MailformPlus + CheckReferrer = Böse Mischung

Seit Version 4.0.0 der Extension MailformPlus (th_mailformplus) verfügt das Mail-Form Plugin über Funktionen zur Spam-Abwehr. Das ist zwar gut, führt aber in manchen Fällen leider zu Problemen...

Eine dieser neuen Funktionen ist das Abgleichen des HTTP Referer ($_SERVER['HTTP_REFERER']) mit einer per TypoScript definierten Liste von zulässigen Referers. Diese Liste wird standardmäßig (und automatisch) um den eigenen Server ($_SERVER['HTTP_HOST']) erweitert. Sinn und Zweck dieser Funktion ist es zu verhindern, dass jemand über einen anderen Server unser Mail-Formular missbraucht, um Spam zu verschicken. Dazu schickt der Spammer GET- oder POST-Requests (also abgesendete Formulare, mit seinem Content = Müll) von seinem Server an unsere Seite mit dem Formular. Würde der Referer nicht geprüft, schickt das Formular nun fleißig Mails über unseren Server und Mailadresse raus. Richtig problematisch wird es, wenn das Formular so konfiguriert ist, dass der Kunde eine Bestätigungsmail erhält! Dann geht der ganze Müll (abhängig von den Formular-Feldern die in der Mail verarbeitet werden) raus an die angegebene Email Adresse. Im anderen Fall, wird nur die Datenbank und das Postfach des Admin zugemüllt.

Das spricht natürlich dafür, die Standardkonfiguration so zu lassen wie es ist. Allerdings, wie ja schon geschrieben gibt's hier ab und an Probleme... Und zwar dann, wenn ein richtiger Kunde das Formular ausfüllt und aus irgendwelchen Gründen keinen Referer hat. Das kann z.B. durch bestimmte Netzwerk-Konfigurationen, Browser Plugins die den Referer löschen oder an den Firewall-Einstellungen liegen. Der nicht vorhandene Referer wird mit der Liste der zulässigen verglichen, was natürlich zu keiner Übereinstimmung führt. In Folge dessen, wird weder eine Mail an den User noch an den Admin gesendet. War es eine "dringende" Kontaktanfrage, hat man den potenziellen Neukunden unter Umständen verloren... blöd!

Dieses Verhalten kann man über TypoScript abstellen. Das geht so:

plugin.tx_thmailformplus_pi1.doNotCheckReferer = 1

Ich würde das Risiko nicht eingehen, einen Neukunden zu verlieren. Auf der anderen Seite ist es etwas Riskant die Prüfung des Referer abzustellen. Daher muss man einfach sehr genau beobachten was da vor sich geht ;).

Ach ja, es gibt noch 2 weitere Einstellungen um die Problematik etwas zu entschärfen. Zum einen kann man die Zahl der Email die an eine Email-Adresse gesendet werden begrenzen.

plugin.tx_thmailformplus_pi1.limitMailsToUser = 1

Und, zum andern könnte man ein Captcha einbauen - z.B. freeCap CAPTCHA (sr_freecap) oder reCAPTCHA (jm_recaptcha). Das hält zumindest die meisten Maschinen davon ab Spam zu verschicken. Auf der anderen Seite sind diese Captchas nicht sonderlich userfreundlich.

Tja... wie man's macht... isses falsch ;)! Was denkt Ihr?