Auteur: Jesse Kester

Categorieën: Greenhost, Security

Spam-bom, mede mogelijk gemaakt door jouw website?

Voornamelijk via WordPress-sites en nieuwsbrief-aanmeldformulieren worden gigantische hoeveelheden ongewenste e-mail verstuurd. In de meeste gevallen hebben de eigenaars van de sites niet door dat hun sites hieraan bijdragen.

In de rest van deze blogpost staan aanwijzingen om te bepalen of jouw site daar aan bijdraagt, welke trucs er worden gebruikt en hoe je dit tegen kunt gaan!

Er wordt ongewenste e-mail verstuurd vanaf webhostingpakketten

We krijgen de laatste tijd veel meldingen (via Feedback loops) dat er ongewenste e-mail wordt verzonden vanaf de webhosting van onze klanten. We nemen meldingen als deze zeer serieus. Wanneer er spam wordt verstuurd vanaf onze servers heeft dat namelijk een negatief effect op al onze klanten.

Soms verstuurt iemand die met valse gegevens een nieuw account bij ons heeft aangemaakt spam, soms wordt het verstuurd door iemand die de website van een van onze klanten heeft gehackt. De reputatie van onze mailserver wordt hierdoor slechter, waardoor legitieme e-mails van onze klanten bij de ontvangende partij eerder in de spam folder terecht komen.

Nieuw soort spam

De meeste spamfilters weten inmiddels vrij goed de aanbiedingen voor Viagra en gratis geld te scheiden van legitieme e-mails. De meeste recente mailtjes die bij ons als spam werden aangemeld pasten echter niet het normale beeld van spam-berichten. Op het eerste gezicht lijkt het namelijk helemaal geen spam.

Er wordt gebruik gemaakt van standaard mails die ook vaak legitiem verstuurd worden. Voorbeelden hiervan zijn e-mails die vragen om een inschrijving voor een website of om een aanmelding op een nieuwsbrief goed te keuren.

Het lijkt erop dat dit een van de nieuwe wapens is in het arsenaal van de moderne internettrollen. Door vanaf duizenden verschillende websites geautomatiseerd aan één persoon bevestings-e-mails te laten sturen kan je de e-mailbox van deze persoon geheel onbereikbaar maken. Wired heeft hier een indrukwekkend (Engelstalig) artikel over geschreven.

Naast het beschermen van de reputatie van onze e-mailservers is er dus nog een reden om actie te ondernemen: deze e-mails zorgen voor een hoop overlast bij de ontvangers.

Uitgaande e-mail versturen vanaf je website

Eigenlijk is ieder formulier waarbij een website bezoeker een willekeurig e-mailadres kan invoeren kwetsbaar. Denk hierbij bijvoorbeeld aan formulieren als “share with a friend”, inschrijven voor een nieuwsbrief, of contactformulieren die een kopie van het bericht naar de bezoeker van de website sturen.

De beste manier om misbruik te voorkomen is door simpelweg de optie voor het versturen van e-mails vanaf je website niet mogelijk te maken. Wanneer het *echt* niet anders kan, moeten deze velden op z’n minst worden beveiligd tegen geautomatiseerde invoer.

Blokkeer spam versturen via WordPress

De meest misbruikte optie voor het versturen van deze ongewenste e-mails is de mogelijkheid binnen WordPress-websites om een nieuwe gebruiker aan te melden. Maak je gebruik van WordPress en kan je tijdens het inloggen aangeven dat je je wilt registreren als nieuwe gebruiker?

Registreer gebruiker

Dan is jouw WordPress-site klaar om misbruikt te worden.

Het is eenvoudig om dit uit te schakelen. Log in op de WordPress-backend en ga naar: “Settings” > “General”.

Daar kan je bij “Membership” de optie “Anyone can register” uitvinken.

WordPress Settings

Daarna zal de registratie-knop verdwijnen bij het inloggen, en wanneer je de URL voor registreren (voorbeeld.nl/wp-login.php?action=register) rechtstreeks bezoekt zal je dit zien:

Registratie onmogelijk

Gefeliciteerd, je WordPress-site kan nu niet meer misbruikt worden!

Heb je moeite bovenstaande stappen te volgen en zie je dat het aanmelden als nieuwe gebruiker voor jouw WordPress-sites nog aan staat? Neem dan even contact met ons op.

Andere CMS’en Nieuwsbrieven en contactformulieren

Een andere veel voorkomende manier voor het versturen van dit soort ongewenste e-mails is via het aanmeldformulier van een nieuwsbrief of via een contactformulier. Aangezien hiervoor geen standaard formaat is, kunnen we helaas geen one-size-fits-all-oplossing geven. In de regel zal het voldoende zijn om een Captcha (ik ben geen robot) of trap fields aan het registratieformulier toe te voegen.

Misschien biedt jouw CMS je bezoekers ook de optie om zich als nieuwe gebruiker aan te melden. Wanneer je een ander CMS gebruikt, zoals Joomla, Drupal of Magento, kan je het beste even zoeken (wij geven hiervoor de voorkeur aan DuckDuckGo) naar “disable new user registration” gevolgd door de naam van je CMS. Meestal is het een kwestie van het uitvinken van een optie in het configuratiescherm.