Evitar ataques spam en mi sitio

potoka · #1 (**permalink**) 30/08/2011, 12:39

Hola a todos, les cuento que esto me surgió recién: resulta que veo que llegaron a mi bandeja de correo del servidor muchos emails de subject "Mail failure - no recipient addresses" y el contenido del mensaje es:

A message that you sent contained no recipient addresses, and therefore no
delivery could be attempted.

------ This is a copy of your message, including all the headers. ------
Y acá sigue todo el resto del mensaje...

Le pregunté a los del servidor y me dijeron que borre inmediatamente ese script y que busque como asegurarlo, porque aparentemente está abierto para ser exploiteado.

Este es el script:

Código PHP:

  $titulo=$_GET['titulo']; 
$autor=$_GET['autor']; 
$id=$_GET['id']; 
$tunombre=$_POST['tunombre']; 
$tuemail=$_POST['tuemail']; 
$nombreamigo=$_POST['nombreamigo']; 
$emailamigo=$_POST['emailamigo']; 
//echo $id; 
$asunto = "Un colega le recomienda un libro"; 
 
$mensaje = "Estimado/a <b>". $nombreamigo."</b>, <br> 
su colega <b>".$tunombre."</b> le recomienda que ingrese al siguiente enlace: (enlace) 
en el cual podrá encontrar el libro <b>". $titulo . "</b> del autor <b>". $autor .  
"</b>. <br>"; 
 
// Utilizamos la función mal() de PHP para realizar el envío 
// del mensaje 
            $headers = "From: " . $tuemail . "\r\n"; 
            $headers .= "Reply-To: ". $tuemail . "\r\n"; 
            $headers .= "MIME-Version: 1.0\r\n"; 
            $headers .= "Content-Type: text/html; charset=ISO-8859-1\r\n"; 
             
mail($emailamigo, $asunto, $mensaje, $headers);

Alguien podría indicarme qué tengo que modificarle para que no sea exploiteable?
Desde ya les agradezco!!

pateketrueke · #2 (**permalink**) 30/08/2011, 12:45

No has tan fácil asegurar un formulario, nada de cambiar una linea y por arte de magia ya está.

Te invito a investigar sobre reCAPTCHA, que te servirá para evitar el envío automatizado de tu formulario.

ocp001a · #3 (**permalink**) 30/08/2011, 13:32

Si tu script es tal cual, no se asegura de haber sido llamado previamente por un formulario, puede ser llamado directamente son pasarle ningún parámetro, lo cual hace que al ser llamado intente mandar email sin dirección.

Primero asegúrate de que estás recibiendo algún dato por $_POST, así confirmas que los datos te llegaron de un formulario previo y no pro llamada directa.

Luego, comprueba cada variable que recibas por $_GET o $POST para evitar posibles inserciones de códigos maliciosos.

pateketrueke · #4 (**permalink**) 30/08/2011, 13:41

ocp001a, pero aún así un formulario puede ser simulado con cURL o Javascript, lo cual hace que parezca que proviene exactamente de donde el formulario yace.

Por eso la técnica consiste en comprobar que un humano es realmente quien introdujo dichos datos, para eso existe reCAPTCHA y similares.

ocp001a · #5 (**permalink**) 30/08/2011, 13:47

Lo sé, pero las indicaciones que puse son lo más simple (y además necesario) que se puede hacer, ya por otro lado, hacer uso únicamente del reCAPTCHA (no mencionaste nada más) seguiría dejando el hueco de que un humano intencionadamente metiera código malicioso.

En otras palabras, pateketrueke, sin menospreciar tu aporte, lo complementé con la sugerencia de la comprobación.

pateketrueke · #6 (**permalink**) 30/08/2011, 13:53

Claro, eso es distinto.

Que un usuario supere la prueba del reCAPTCHA no asegura que la dirección de correo que introdujo es real, ¿verdad?

Y bueno... hay muchas otras técnicas más, pero al final todos tratan de demostrar lo mismo: que un humano no haría lo que una máquina si, o al revés.

Al final comprobar la validez de los datos es crucial para nuestros programas, aunque hay veces que nos quedamos cortos al comprobar solo el formato de un e-mail en este caso pues puede complicarse verificar que dicha dirección es 100% real y no un simple fake.

potoka · #7 (**permalink**) 31/08/2011, 08:31

Hola, les agradezco tanto a pateketrueke como a ocp001a por sus aportes! Voy a tratar de aplicar todo lo que me dicen y espero se terminen estos ataques de spam.
Lo único que sucede con reCaptcha es que, quienes me pidieron la página, dicen que ocupa mucho lugar y quisieran algo más chico. Voy a investigar si se puede, o conseguir algo similar que ocupe menos espacio.

Gracias nuevamente!!

Saludos!

Uncontroled_Duck · #8 (**permalink**) 31/08/2011, 11:57

Siempre es mejor sacrificar espacio que tiempo eliminando mails indeseados

potoka · #9 (**permalink**) 31/08/2011, 13:42

Cita:

Iniciado por Uncontroled_Duck

Siempre es mejor sacrificar espacio que tiempo eliminando mails indeseados

jaja coincido totalmente, sólo me queda convencer a ellos!.
Muchas gracias!

Uncontroled_Duck · #10 (**permalink**) 31/08/2011, 13:52

Cita:

Iniciado por potoka

[...] sólo me queda convencer a ellos! [...]

Es una buena frase con la que comenzar

En serio, la verdad es que son muchos los sitios que lo han implementado, y es google quien lo soporta. Eso debería de bastar para convencerlos de que es una buena solución.

Suerte, un saludo,