Bekannte CMS wie Joomla, WordPress etc. werden leider immer wieder zum Versand von Spam missbraucht. Dies kann zu einer merklich schlechteren Reputation des Servers führen und hat somit negative Auswirkungen auf die Zustellung von E-Mails. METANET sperrt daher in einem Missbrauchsfall die betroffenen Komponenten von Joomla, um das Problem einzudämmen.
Dieser Artikel beschreibt wie Ihre Applikation für den Versand von Spam missbraucht werden kann und welche Möglichkeiten existieren, um das Problem zu beheben.
Dieser Artikel wird laufend erweitert, um weitere Fälle zu dokumentieren, welche standardisierte Gegenmassnahmen erlauben.
Kontaktformular
Das Joomla-Kontaktformular ist üblicherweise standardmässig aktiviert und leider nicht besonders gegen Spam-Versand geschützt. Aus diesem Grund wird diese Funktion besonders häufig missbraucht, um Spam E-Mails über fremde Webseiten zu versenden. Speziell der Umstand, dass das Kontaktformlar auch erreichbar ist, selbst wenn es nicht aktiv auf der Seite eingebunden ist, macht es zu einer unterschätzten Gefahrenquelle.
Das Kontaktformular wird durch die Joomla Komponente Kontakte bereitgestellt und ist bei jeder Joomla Installation standardmässig verfügbar. Ob auf Ihrer Webseite dieses Formular aktiv ist, können Sie ganz einfach selber testen. Rufen Sie dazu Ihre Domain mit dem Zusatz "/index.php?option=com_contact " in der URL auf.
Beispiel: www.ihre-domain.ch/index.php?option=com_contact
Es wird nun eine Übersicht mit den verfügbaren Kategorien der Kontakte angezeigt. Über diese Kontakte kann auf das Kontaktformular zugegriffen werden.
Lösung: Kontaktformular deaktivieren
Oftmals wird das Standard-Kontaktformular gar nicht benötigt. In diesen Fällen kann das Problem gelöst werden, indem das Kontaktformular deaktiviert wird:
- Navigieren Sie unter Joomla zu Komponenten -> Kontakte -> Optionen
- Wählen Sie den Tab Formular aus
- Setzen Sie die Option Kontaktformular auf Verbergen
- Bestätigen Sie anschliessend mit Speichern
Lösung: Captcha installieren
Mit einem Captcha können automatisierte Bots daran gehindert werden, automatisiert das Kontaktformular zu verwenden. Kleine Aufgaben sollen sicherstellen, dass ein Mensch das Kontaktformular ausfüllt und absendet.
Joomla stellt hierzu eine Anleitung bereit, wie das bereits mitgelieferte reCaptcha Plugin aktiviert und eingebunden werden kann.
Anleitung J3.x: Google ReCaptcha
Benutzerregistrierung
Bei älteren Joomla Installationen kann es vorkommen, dass die Registration für Benutzer standardmässig freigeschaltet ist. Diese Funktion kann missbraucht werden um automatisiert Spam zu versenden. Die Spammer machen sich hierbei den Umstand zu Nutze, dass die E-Mail Adresse welche einen Benutzeraccount anlegt, automatisch eine E-Mail erhält. So wird für die Opfer-Adresse ein Account angelegt und in die Bestätigungs-E-Mail die Spam-Nachricht eingeschleust.
Das offensichtlichste Indiz dafür dass Ihre Joomla Installation mit dieser Methode missbraucht wird, sind unzählige Benutzer in der Benutzerdatenbank.
Lösung: Funktion Benutzerregistrierung deaktivieren
Für die meisten Joomla Seiten wird die Benutzerregistrierung nicht benötigt und kann daher deaktiviert werden. Somit ist das Problem automatisch behoben.
- Navigieren Sie in Joomla zu Benutzer -> Verwalten -> Optionen
- Setzen Sie die Option Benutzerregistrierung auf Nein
- Bestätigen Sie anschliessend mit Speichern
Artikel aktualisiert am 14.04.2020