Позволяя пользователям определить отправителя по электронной почте

Question

, клиент спросил меня о небольшой форме для своего веб-сайта, из которой можно было бы отправить URL-адрес кому-либо. Что-то вроде «Эй, проверьте это».

Поскольку он не был доволен mailto:, я хочу использовать функцию PHP mail(), но мне интересно, разумно ли это, чтобы пользователи определяли отправителя электронной почты. Меня беспокоит, что форма злоупотребляет спамом/фишированием.

Это повод беспокоиться? Это даже законно?

Answer 1

Юридически отправить электронное письмо. Это не правовая (повсюду) отправка спама. Но вы просто предоставляете ссылку общего доступа, а не сервер ретрансляции, поэтому я бы не стал беспокоиться об этом. Если вы ограничите количество контроля над содержимым сообщения и ограничите количество людей, чтобы отправить его, это не будет слишком интересно для спамеров.

Позволяя пользователю выбрать отправителя, это не очень хорошая идея. Некоторые серверы ретрансляции почты проверяют, разрешен ли исходному серверу отправлять электронные письма для домена, указанного в адресе, поэтому почта никогда не сможет прийти. Вы можете безопасно установить отправителя имя.

Кроме того, если получатели сообщения считают его спамом и сообщают об этом, ваш домен может попасть в черный список, и ваши письма будут отправляться во нежелательную почту во многих случаях, поэтому вы хотите удостовериться, что нет (или мало) спам отправляется через вашу форму.

Эти боты автоматически используют каждую форму, чтобы увидеть, что происходит, поэтому вам нужно приложить некоторые усилия. Вы можете добавить капчу, что тоже препятствует людям, хотя Google is going to put an end to that. Или вы могли бы защитить его другими способами, как honeypot. Возможно, вы можете просто сгенерировать форму через JavaScript, что является большим препятствием для большинства спам-ботов.

Answer 2

Установка From по электронной почте в php mail не является поводом для беспокойства. Проблема в том, что вы будете отправлять электронные письма с вашего сервера. В заголовках сообщений будет встроена информация о вашем сервере, поэтому любые вопросы будут привязаны к вам.

До тех пор, пока вы можете защитить свой собственный сервер от разрешения этих спам-фишинговых атак, в этом нет ничего плохого.

Просто ограничьте число людей, которое может отправить mail, и убедитесь, что он не может быть вызван несколько раз подряд - как со сценарием.

Таким образом, спамеры не смогут воспользоваться вашей страницей, чтобы попытаться отправить спам. Они отправятся в другое место.

Есть еще что делать, чтобы работать с отправкой электронной почты, но это, по крайней мере, поможет вам начать работу.

Answer 3

«Законно» зависит от страны, в которой.

Я не думаю, что вам нужно беспокоиться о спаме, если вы создали логин.

Или вы можете ограничить количество писем по IP-адресу. Однако это может быть подделано, поэтому это может быть не лучший вариант.

Есть другие варианты управления, которые вы могли бы сделать; ограничить количество писем с помощью комбинации User Agent/IP и т. д.

Answer 4

Помимо причин, о которых говорили другие, которые ответили на этот вопрос, я бы посоветовал это сделать, потому что эти сообщения, скорее всего, будут помечены как спам фильтрами спама из-за записей SPF и DMARC.

Например, кто-то отправляет сообщение через вашу систему с адреса yahoo.com, большинство спам-фильтров будут обрабатывать сообщение как спам, потому что запись DMARC os Yahoo, в которой в основном говорится, «любое сообщение, отправленное с yahoo. com, который не был создан с почтового сервера в сети yahoo, является спамом '. См. https://help.yahoo.com/kb/mail/SLN24016.html?impressions=true для получения дополнительной информации.