Spamversand durch CMS
Der Artikel behandelt die Problematik, dass CMS wie Joomla und WordPress häufig für den Versand von Spam missbraucht werden, was die Server-Reputation beeinträchtigen kann. Um dies zu verhindern, sperrt METANET betroffene Joomla-Komponenten. Insbesondere das Joomla-Kontaktformular und die Benutzerregistrierung sind anfällig für Missbrauch. Der Artikel bietet Lösungen wie das Deaktivieren des Kontaktformulars oder der Benutzerregistrierung sowie die Implementierung von Captcha. Auch WordPress-Nutzer sind betroffen, insbesondere mit dem Plugin Contact Form 7. Der Artikel wird laufend aktualisiert, um weitere Lösungen bereitzustellen.
Bekannte CMS wie Joomla, WordPress etc. werden leider immer wieder zum Versand von Spam missbraucht. Dies kann zu einer merklich schlechteren Reputation des Servers führen und hat somit negative Auswirkungen auf die Zustellung von E-Mails. METANET sperrt daher in einem Missbrauchsfall die betroffenen Komponenten von Joomla, um das Problem einzudämmen.
Dieser Artikel beschreibt, wie Ihre Applikation für den Versand von Spam missbraucht werden kann und welche Möglichkeiten existieren, um das Problem zu beheben.
Dieser Artikel wird laufend erweitert, um weitere Fälle zu dokumentieren, welche standardisierte Gegenmaßnahmen erlauben.
Joomla
WordPress
Joomla
Kontaktformular
Benutzerregistrierung
Kontaktformular
Das Joomla-Kontaktformular ist üblicherweise standardmäßig aktiviert und leider nicht besonders gegen Spam-Versand geschützt. Aus diesem Grund wird diese Funktion besonders häufig missbraucht, um Spam E-Mails über fremde Webseiten zu versenden. Speziell der Umstand, dass das Kontaktformlar auch erreichbar ist, selbst wenn es nicht aktiv auf der Seite eingebunden ist, macht es zu einer unterschätzten Gefahrenquelle.
Das Kontaktformular wird durch die Joomla Komponente Kontakte bereitgestellt und ist bei jeder Joomla Installation standardmäßig verfügbar. Ob auf Ihrer Webseite dieses Formular aktiv ist, können Sie ganz einfach selber testen. Rufen Sie dazu Ihre Domain mit dem Zusatz "/index.php?option=com_contact " in der URL auf.
Beispiel: www.ihre-domain.ch/index.php?option=com_contact
Es wird nun eine Übersicht mit den verfügbaren Kategorien der Kontakte angezeigt. Über diese Kontakte kann auf das Kontaktformular zugegriffen werden.
Lösung: Kontaktformular deaktivieren
Oftmals wird das Standard-Kontaktformular gar nicht benötigt. In diesen Fällen kann das Problem gelöst werden, indem das Kontaktformular deaktiviert wird:
- Navigieren Sie unter Joomla zu Komponenten -> Kontakte -> Optionen
- Wählen Sie den Tab Formular aus
- Setzen Sie die Option Kontaktformular auf Verbergen
- Bestätigen Sie anschließend mit Speichern
Lösung: Captcha installieren
Mit einem Captcha können automatisierte Bots daran gehindert werden, automatisiert das Kontaktformular zu verwenden. Kleine Aufgaben sollen sicherstellen, dass ein Mensch das Kontaktformular ausfüllt und absendet.
Joomla stellt hierzu eine Anleitung bereit, wie das bereits mitgelieferte reCaptcha Plugin aktiviert und eingebunden werden kann.
Anleitung J3.x: Google ReCaptcha
Benutzerregistrierung
Bei älteren Joomla Installationen kann es vorkommen, dass die Registration für Benutzer standardmäßig freigeschaltet ist. Diese Funktion kann missbraucht werden, um automatisiert Spam zu versenden. Die Spammer machen sich hierbei den Umstand zunutze, dass die E-Mail-Adresse, welche einen Benutzeraccount anlegt, automatisch eine E-Mail erhält. So wird für die Opfer-Adresse ein Account angelegt und in die Bestätigungs-E-Mail die Spam-Nachricht eingeschleust.
Das offensichtlichste Indiz dafür, dass Ihre Joomla Installation mit dieser Methode missbraucht wird, sind unzählige Benutzer in der Benutzerdatenbank.
Lösung: Funktion Benutzerregistrierung deaktivieren
Für die meisten Joomla Seiten wird die Benutzerregistrierung nicht benötigt und kann daher deaktiviert werden. Somit ist das Problem automatisch behoben.
- Navigieren Sie in Joomla zu Benutzer → Verwalten → Optionen
- Setzen Sie die Option Benutzerregistrierung auf Nein
- Bestätigen Sie anschließend mit Speichern
WordPress
Contact Form 7
Contact Form 7
Externe Quellen / Hilfestellungen: