Spam dal mio form

[asch]

Nel mio sito per essere contattato c'è un form.
Bisogna compilare obbligatoriamente dei campi (nome, cognome, email ecc.) e poi si clicca invio.
L'email viene generata da una pagina ASP usando CDONTS.

E' da un pò di tempo che giornalmente mi arrivano una decina di email spamming usando questo form.
Non credo che giornalmete questo spammer venga nel mio sito per compilare il form ed inviarlo, suppongo che lo faccia in automatico anche se non ho capito come fa!

Comunque vorrei sapere se c'è un metodo per bloccare lo spamming che viene creato con il mio form "contattaci".

Testo del messaggio:
The exspectatio, therefore, to stayin the traditions of casino rama

[dizionario]

Ci sono programmi che scandagliano siti e compilano in automatico i form
Una soluzione contro questo tipo di spam, abbastanza diffusa, è quella di fare un'immagine con un security code, che riporti cifrato in un campo hidden che l'utente deve digitare in una apposita casella di testo.
Alla ricezione del form, verifichi se il codice del campo hidden decifrato corrisponde a quello che l'utente ha digitato

[adrianaoliveira]

Ciao ragazzi,

anche noi siamo molto interessati a questa protezione

potreste farci un esempio pratico????

questo sotto é il code del form

codice:

<form name="form1" method="post" action="inviaforward.asp">
              <input type="hidden" name="IDNews" value="<%=ID%>">
              <div align="center"> 
                <table width="473" border="0" cellspacing="0" cellpadding="1" class="Verdana1nero">
                  <tr> 
                    <td width="146">Nome Remetente :</td>
                    <td width="323"> 
                      <input type="text" name="nomemittente" size=40 value="<Escreva aqui seu Nome>" onFocus="if (var_tmp1_1==0) this.value='';var_tmp1_1=1;">
                    </td>
                  </tr>
                  <tr> 
                    <td width="146">E-mail Remetente :</td>
                    <td width="323"> 
                      <input type="text" name="mittente" size=40 value="<Escreva aqui seu e-mail>" onFocus="if (var_tmp1_2==0) this.value='';var_tmp1_2=1;">
                    </td>
                  </tr>
                  <tr> 
                    <td width="146">E-mail Destina&ccedil;&atilde;o :</td>
                    <td width="323"> 
                      <input type="text" name="destinatario" size=40    value="<Escreva aqui e-mail Destina&ccedil;&atilde;o>" onFocus="if (var_tmp1_3==0) this.value='';var_tmp1_3=1;">
                    </td>
                  </tr>
                  <tr> 
                    <td width="146">Comentarios</td>
                    <td width="323"></td>
                  </tr>
                  <tr> 
                    <td colspan="2"> 
                      <textarea name="commento" rows="3" cols="55%" wrap="SOFT"></textarea>
                    </td>
                  </tr>
                </table>
                

                <input type="button" name="Button" value="Invia" onClick="javascript: Verifica()" >
                <input type="button" name="button" value="Anula" onClick="window.close()" >
              </div>
            </form>

questo sotto invece é il code che invia

codice:

<%
Option Explicit

Dim SQL,Conn,rec,ObjCdoMail
Dim ID, nomemittente, mittente, destinatario, commento, testo
ID=Request.Form("IDnews")
nomemittente=Request.Form("nomemittente")
mittente=Request.Form("mittente")
destinatario=Request.Form("destinatario")
commento=Request.Form("commento")

Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "dsn_Natal"

SQL="SELECT * FROM veiculos WHERE IDutente=" & ID
Set Rec = Conn.Execute(sql)


' ora imposto la mail
  set objCDOmail = Server.CreateObject("CDONTS.NewMail")
  objCDOMail.From = mittente
  objCDOMail.To = destinatario
  objCDOMail.Subject = "NatalMercado.com - " & Rec("Marca") & Rec("modello")

' creo il testo
testo = "Ola," & chr(13) & chr(13) &_
nomemittente & " ti invio esta Messagem, publicado no portal Natalmercado.com, " & chr(13) & chr(13) &_
nomemittente & " ti invio esta Messagem da seçao Veiculos  " & chr(13) & chr(13) & chr(13) &_
"" & Rec("marca") & "" & " - " & Rec("Modello") & chr(13) & "Cor - " & Rec("colore") & chr(13) & "Ano Fab. - " & Rec("anno") & chr(13) & "Portas - " & Rec("porte") & chr(13) &_
"cl. - " & Rec("potenza") & chr(13) & "Alimentaçao - " & Rec("alimentazione") & chr(13) & chr(13) & Rec("guida") & chr(13) & Rec("aria") & chr(13) & Rec("vetri") & chr(13) & Rec("Chiusura") & chr(13) & Rec("antifurto") & chr(13) & Rec("cambioaut") & chr(13) & Rec("autoradio") & chr(13) & Rec("internipell") & chr(13) & chr(13) & chr(13) &_ 
"Preço - " & "" & Rec("prezzo") & "" & chr(13) & chr(13) & Rec("testo") & chr(13) & chr(13) &_
"Commenti del mittente:" & chr(13) &_
commento & chr(13) & chr(13) &_
"Para ver a Proposta cliqui no endereço abaicho" & chr(13) & chr(13) & "" & "http://www.natalmercado.com/veiculos/dettaglio.asp?ID=" & Rec("IDUtente") & "" & chr(13) & chr(13) &_
"________________________________________" & chr(13) & chr(13) &_
"esta Messagem naõ e' spamming, em quanto o seu invio naõ " &_
"depende da redação de Natalmercado.com , mais unicamente da vontade do seu rementente."


objCDOMail.Body = (testo)
objCDOMail.Send
set objCDOMail = Nothing
set Rec = Nothing
%>

<html>
<head>
<title>NtalMercado.com</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<META NAME="AUTOR" CONTENT="arturo villa">
<META NAME="description" content="Rubrica di informazione finanziaria con news della giornata">
<meta name="keywords" content="news,finanza,borsa,ultime notizie,congiuntura,tassi,bilanci,inflazione,pil,consumi,M4,M3,M2,M1,tassi di interesse,bilancia commerciale,">
</head>
<body bgcolor="#FFFFF7" onLoad="" text="#000066" link="#000066" vlink="#000066" alink="#000066" leftmargin="2" topmargin="5" name="Main">
<p align="center"></p>
<p align="center"></p>
<p align="center"></p>
<p align="center"><font face="Tahoma" size="3"><font size="2">A MENSSAGEM FOI ENVIADA CORRETAMENTE</font></font></p>
<p align="center">
  <input type="button" value="Fecha" onClick="window.close()" name="button">

</p>
</html>

nel caso come bisognerebbe intervenire????

e poi ancora, é possibile che possano usare in automatico questo form per inviare spam ad utenti vari???

grazie di tutto

arturo juciara

www.brasile-natal.com

[br1]

In testa alla pagina che processa il form ed invia la mail:

codice:

<%
if Request.ServerVariables("HTTP_REFERER") <> "http://www.tuosito.it/paginaconform.asp" then
  response.redirect "stopaifurbi.asp"
end if
%>

potrebbe essere sufficiente

ciao

[adrianaoliveira]

si molto sufficiente.

come sempre sapete dare una risposta a tutto.


arturo juciara

www.brasile-natal.com

[adrianaoliveira]

ho provato la soluzione sopra ma per ora non funziona

ho inserito in testa al file che processa il form e invia la mail questo code


if Request.ServerVariables("HTTP_REFERER") <> "http://www.natalmercado.com/veiculos/forward.asp" then
response.redirect "stopaifurbi.asp"
end if


ho provato l'invio e la pagina del form ha proprio l'indirizzo

http://www.natalmercado.com/veiculos/forward.asp

ma la pagina mi rimanda a stopaifurbini.asp

perché???/


forse perche il form che raggiunge la pagina che invia la mail ha questo indirizzo???

http://www.natalmercado.com/veiculos/forward.asp?ID=

é forse per quel ?id= che la pagina mi rimanda a stopaifurbini.asp


GRAZIE

arturo juciara

www.brasile-natal.com

[br1]

... e allora accetta qualunque pagina del tuo sito... controlla solo il dominio:

if left(Request.ServerVariables("HTTP_REFERER"),28) <> "http://www.natalmercado.com/" then
response.redirect "stopaifurbi.asp"
end if

ciao

[dizionario]

Se il programma spammatore non legge il response.redirect, basta che non sia programmato per farlo, esegue tutta la pagina
(almeno mettere un response.end dopo il response.redirect)

Se il programma spammatore è fatto decentemente passa anche l'HTTP_REFERER

Se un normale utente ha installato norton o altri firewall che bloccano gli HTTP_REFERER non può inviare il modulo e si sente trattato come uno spammatore

Insomma non sempre funziona, il metodo del security code funziona meglio

[br1]

La mia non voleva essere "la" soluzione...

Originariamente inviato da br1
... potrebbe essere sufficiente ...

... anche il metodo che citi presenta controindicazioni... non ultima la legge sull'accessibilita'

ciao

Se il programma spammatore non legge il response.redirect, basta che non sia programmato per farlo, esegue tutta la pagina
(almeno mettere un response.end dopo il response.redirect)

Se il programma spammatore è fatto decentemente passa anche l'HTTP_REFERER

Questa non l'ho capita :master: pensavo che un client non potesse accedere all'ASP sul server

[dizionario]

Originariamente inviato da br1
Questa non l'ho capita :master: pensavo che un client non potesse accedere all'ASP sul server

Non mi sarò spiegato bene

Il response.redirect genera un http header "Error 302 moved temporary" che dice al client di andare a trovare quella pagina altrove perché è stata temporaneamente rimossa
Se il client non è programmato per farlo non lo fa
Tutti i browser e i motori di ricerca lo fanno, leggono l'istruzione e mandano una nuova richiesta al server richiedendo la nuova pagina.

In pratica funziona così:

1) utente digita www.pippo.it/pluto.asp
2) in pluto.asp c'è "response.redirect paperina.asp", il server dice al browser "ehi guarda che devi andare su paperina.asp"
3) il browser capisce che deve andare su paperina.asp e dice al server "ok dammi paperina.asp"

Ma il passaggio 3 non è obbligatorio, il client se ne può fregare di chiedere la nuova pagina paperina.asp, perché magari è stato programmato male

L'HTTP_REFERER è una variabile che manda il client al server quando clicchi su un link ecc., ma è possibile manipolarla, settarla a piacimento (non nei browser ovviamente)

Cioè, per esempio, posso benissimo chiedere una pagina di un sito e far apparire che provenga da un sito a piacimento magari che non esiste nemmeno, oppure scrivere nell'HTTP_REFERER "ciao webmaster!"