Witam, zacząłem otrzymywać spam na adres mail kontaktowy mojej strony, który nigdy nie był widoczny w sieci (na żadnym forum, bezpośrednio w źródle strony itd.). Adres ten jest jedynie w źródle php formularza kontaktowego. Formularz jest zabezpieczony SBLAMem.

Poniżej fragment strony kontakt.php:

[PHP] pobierz, plaintext 
<?php
// sprawdzamy, czy zmienna $submit jest pusta
if (empty($_POST['submit'])) {
    // wyświetlamy formularz
    echo "<form onsubmit=\"usun_pl(this)\" action=\"\" method=\"post\">
<table border=\"0\" align=\"center\">
<tr>
<td class=\"standardtr\">Treść wiadomości:</td>
<td><textarea cols=\"50\" rows=\"5\" class=\"komentarz\" name=\"tresc\"></textarea></td>
</tr>
<tr>
<td class=\"standardtr\">Przedstaw się:</td>
<td><input class=\"podpis\" type=\"text\" name=\"imie\" /></td>
</tr>
<td class=\"standardtr\">Adres e-mail:</td>
<td><input class=\"podpis\" type=\"text\" name=\"email\" /></td>
</tr>
<tr>
<td> </td>
<td><input class=\"button_w\" type=\"submit\" name=\"submit\" value=\" \" /><br /><br />
</td>
</tr>
</table></form>
<script src=\"sblam.js.php\" type=\"text/javascript\"></script>";
}
// sprawdzamy, czy zmienne przesłane z formularza nie są puste
elseif (!empty($_POST['tresc']) && !empty($_POST['imie']) && !empty($_POST['email'])){
include_once "sblamtest.php";
$rezultat = sblamtestpost(NULL, "1234123123qeqdaqadq");
 
if ($rezultat > 0) {
    echo '<div class="error" align="center">To jest spam!<br /><br /><a class="szary" href="java script:history.go(-1)">Spróbuj ponownie.</a>
    <p><a href="'.sblamreporturl().'">Zgłoś błąd filtru</a></p></div>';
}
else{
    // jeżeli powyższy warunek jest spełniony tworzona jest wiadomość
    // zmienna $message zawiera treść wiadomości
    $message = "Tresc wiadomosci:\n$_POST[tresc]\nWyslal: $_POST[imie]\ne-mail: $_POST[email]";
    
        // zmienna $header zawiera przede wszystkim adres zwrotny
    $header = "From: $_POST[imie] <$_POST[email]>";
    // funkcja mail() za pomocą której wiadomość zostanie wysłana
    @mail("xyz@xyz.pl","Wiadomosc ze strony WWW","$message","$header")
    or die('Nie udało się wysłać wiadomości');
    // wyświetlenie komunikatu w przypadku powodzenia 
    echo "<div class=\"ok\" align=\"center\">Wiadomość została wysłana poprawnie!</div>";
    }
}
// lub w przypadku nie wypełnienia formularza do końca
else {
echo "<div class=\"error\" align=\"center\">Wypełnij wszystkie pola formularza!<br /><br /><a  class=\"szary\" href=\"java script:history.go(-1)\">Spróbuj ponownie.</a></div>";
}
include('boxes.php');
include('footer.php');
?>
[PHP] pobierz, plaintext 

Najbardziej zaniepokoił mnie fakt, że spam jest jakby wysyłany ode mnie do mnie (adres w OD to xyz@xyz.pl) Mam nadzieję że domena nie zostanie dodana do jakichś czarnych list i ten "spam ode mnie" przychodzi tylko do mnie.

Otrzymywany spam w ogóle nie wygląda na wysłany z formularza, nie trzyma schematu.

Moje główne pytanie: Jak to możliwe, że ktoś znalazł ten mail. Strona dopiero startuje, mała popularność, a wysyłanie wiadomości tylko przez ten form. I co zrobić aby spamowanie nie było możliwe? Myślałem, że sblam zabezpieczy formularz...

:
http://sblam.com/instalacja/php.html#nazwy

Dzięki, zmieniłem, zobaczymy czy teraz nie będę dostawał co godzinę linku do chińskiej apteki z viagrą



Z drugiej strony nie wiem czy to z powodu złej konfiguracji SBLAM ten spam. Temat wiadomości w moim formularzu jest ustawiony na stałe (Wiadomośc ze strony www), a w spamie dostaję w temacie Dear xyz@xyz.pl 70% 0FF on Pfizer ! itp. Podejrzewam, że wiadomości muszą być wysyłane inaczej niż przez form. Ale odczytanie maila z pliku php nie powinno być możliwe... No chyba że jakieś hacki.

Nie wiem na jakiej zasadzie działa sblam, ale poczytaj o email injection http://www.damonkohler.com/2008/12/email-injection.html, może przez to masz inny temat wiadomości.

Przez form na pewno.

To, w takim razie, dlaczego sblam nie zarejestrował tych wpisów? Poprzednie były, nawet te przed zmianą null'a na tablicę z nazwami pól

To się one zgadzają w ogóle? Nie pamiętam dokładnie, ale sprawdź pola.

Jeśli dużo puszcza, to ręcznie naucz Sblam!, co jest, a co nie jest spamem.

Zastosowałem klasę PHPMailer (wysyłanie przez SMTP) + Sblam. Na razie spam nie przychodzi.