Nur Forum - das Problem liegt in der Anmeldung neuer User beim Forum. Alle Admins erhalten ab sofort Email Benachrichtigung bei neuen Anmeldungrn. Bitte im Zweifel prüfen und den betreffenden User bannen. Ich versuche die nächsten Tage, das weiter auszubauen. Ein Spamfilter löst nicht das Problem - die Bots müssen gestoppt werden bzgl der Neuregistrierung von Accounts.

!

Was man noch bedenken sollte, ist, dass wenn ein Bot sich registriert hat, wird dieser ziemlich zügig Spam verbreiten.
Da rennen die Admin nur hinterher.
Ich würde, wenn ich schon den Admin ne Mail schicke, denen entweder ne gewisse Karenzzeit oder manuelle _Aktivierung_ anbieten, auch wenn das keine Dauerlösung sein kann.

@Hannibal: derzeit ist jetzt eine manuelle Aktivierung eingeschaltet - jeder, der sich neu anmeldet, muss erst den Opt-In Link klicken in der E-Mail, die er bekommt. Oder was meintest Du genau?

@Admins/Global-Mods: bitte kurz Feedback an mich, ob Ihr die Registrierungs-Mails neuer User alle erhaltet, thnx!

Jep, bekomme die Mails.

Ich denke er meinte, dass neue Nutzer manuell von einem Admin freigeschaltet werden müssen.

Genau, wie gesagt: das ist für die Admin ziemlich bescheuert und keine Langfristige Lösung, aber ich fürchte, das das Bannen den Bots immer hinterher läuft. Admins können ja nich ständig online sein.

Toll wären natürlich Mechanismen, die einen Menschen möglichst selbst erkennen können.

Neue Nutzer erhalten eine E-Mail mit einem Opt-In Link - wird dieser Link nicht geklickt, wird auch der Account nicht aktiviert. Wenn also ein Bot sich registriert und keine gültige E-Mail verwendet, unter der der Bot selbstständig die Opt-In E-Mail abholt und dann auch automatisiert den Link darin "anklickt", bleibt der Account inaktiv. Ein Admin muss weder bannen noch freischalten in diesem Fall.

Die Lücke ist: Wenn der Bot die E-Mail liest und den Link aufruft, dann bringt dieses Verfahren nichts. Das scheint mir wahrscheinlich zu sein. Die (mögliche) Lösung: man baut den Opt-In Link so um, dass er nicht mehr den Standards entspricht. Die Bots gehen ja zumeist vom Default-Setup aus. Und man baut mehrere Links (zu anderen Teilen der Website beispielsweise) in die E-Mail ein - so dass der Bot den richtigen Link nicht automatisch erkennt. Oder man verbindet das Opt-In mit einem weiteren Captcha (das ist aufwändiger, da nicht vorgesehen in dieser Foren-Software) etc. Soweit die Idee. Das ist ein geringerer Eingriff in das Forum, als eine Anti-Spam Software zu installieren. Warum? Weil es nur einen kleinen Teil der Programmierung (nämlich den Anmeldeprozess) betrifft und daher nicht "destruktiv" ist.

aber im gebridgten setup kann ich mir doch auch einfach einen website account anlegen und erhalte damit automatisch auch einen forums account...dann gibt es doch zwei einfallstore.


bringt unter dem strich nichts...da

1) es weder black noch whitelisten für mail adressen gibt...es kann alles sein. es können wegwerfadressen sein, es können lokal installierte mailserver sein, es können botnetze sein. zusätzlich sind alle top level domains zugelassen, obwohl dieser forum primär deutsch ist.

2) zum link anklicken brauch ich einfach nur die mail die bei mir ankommt nach url zu durchsuchen...kann mir als spamer völlig egal sein wieviel urls in der mail drin sind. durchsuchen...gefundene url öffnen...nächsten account anlegen und das gleiche nochmal

3) ich kenn deine plugins nicht genau...aber kannst du rate limits setzen? d.h. z.b. registrierungen aus dem ausland (.pl) auf max. 5 pro stunde begrenzen ect


schöne lösung ist: link auf eine aktivierungsseite auf der man sich mit der email adresse und einem aktierungscode aus der mail "aktivieren" muss. plugins findest du im smf forum...zusätzlicher possitiver nebeneffekt...man umgeht über dieses plugin auch direkt brute force angriffe auf forum accounts (die z.Zt. massiv zugange sind...siehe smf forum).

...bei fragen...fragen!

 

Captcha wär cool (dem nach Klicken auf den Link).
Abweichen vom SMF Muster ist sicherlich sinnvoll!

@Mojito: die Möglichkeit, über die Website einen Account anzulegen funktioniert derzeit zum einen nicht, zum anderen würde das kein Bot machen - die Bots suchenmit Sicherheit nach installiert SMF Foren und spammen dann diese gezielt. Die Anmeldung über die Website ist hingegen "customized" und wird daher von Bots vermutlich weder beachtet noch erkannt. Es sind auch nicht alle Domains zugelassen, der Mail Server filtert gewisse Domains. Man könnte hier auf eine "allow" Liste umschwenken und nur gewisse TLD zulassen. Bringt aber nicht viel, da sehr viele Leute (leider) Free Mail Accounts der bekannten Großen verwenden und hier .net und .com freigeschaltet bleiben müssen.

Ich stimme aber zu, dass es für den Bot reichen würde, pauschal jeden Link in der Mail aufzurufen - dh man müsste das mit einem weiteren Captcha verbinden. Wenn ich richtig verstehe ist Dein Vorschlag, der User übeträgt manuell einen Code plus seine E-Mail Adresse aus der Opt-In Mail auf eine Web Page und wird erst danach freigeschaltet?

Bitte kurz Status von den Admins: Hat sich die Spam Situation verbessert mit den letzten Maßnahmen? Ich meine die Vergabe von Global-Moderator Rechten plus die Aktivierung der Opt-In E-Mail für neue Accounts? Wie ist der Aufwand derzeit? Was ich mitbekomme ist, dass es weniger Spammeldungen gab die letzten Tage - aber evtl. löscht Ihr einfach nur sehr schnell

hai talex

Die Spam situation hat sich nicht verbessert
Jeden Tag ca. 10-20 Anmeldungen werden von mir (uns) eigentlich gleich gebannt
Für das Forum ist es jetzt sauberer.
Deine Maßnahmen zeigen erste positive Wirkungen
aber für die Global Admins ist es viel mehr Arbeit

Jaaa wir sind schnell beim bannen 

Gruß com.... 

das war der plan...die interaktion und das für einen bot zusätzliche "shared secret" verhindert das vollständige automatisieren und damit die registrierung über einen bot. leider hat das zugehörige smf plugin aber wohl keinen maintainer mehr.

eine abgewandelte aber verwandte variante setzt ein bischen auf die von dir erwähnte änderung des "smf standard verhaltens". cb|emaillogin verlangt einen login über die email adresse statt des usernamens...ein bot automatismus würde also nur noch nach einer anpassung funktionieren, womit das board für spammer unattraktiv wird.

die z.Zt. beste anti-spam lösung für smf ist die kombination aus "Bad Behavior Mod" und "httpBL". sollte http:BL zu aufwändig sein, reicht auch der mod "stop spammer".

Bad Behavior analysiert nicht den spam selbst, sondern das verhalten des spammers. es nutzt z.b. "http fingerprinting" und andere parameter um zu schauen wie sich der besucher verhält. details und screenshots siehe link:

http://custom.simplemachines.org/mods/index.php?mod=2155

http:Bl und stop spammer nutzen einen "spammer datenbank" abgleich um bekannte spammer auszusperren. während http:Bl auf dem sehr bekannten "project honeypot" aufsetzt, findet bei "stop spammer" ein abgleich mit der stopforumspam.com datenbank statt. http:Bl setzt einen installierten honeypot auf dem server vorraus (erst dann erhält man den benötigten api key)...das macht die installation aufwändiger. deshalb ist die einfacher einzurichtende alternative stop spammer...hier muss man sich lediglich registrieren und erhält dann den api key.

http:Bl - http://custom.simplemachines.org/mods/index.php?mod=2155
stop spammer - http://custom.simplemachines.org/mods/index.php?mod=1547

alle genannten projekte sind sehr effektiv...aktiv und werden gemainted (wie du auch den links entnehmen kannst)

...was sagst' talex?

Das sehe ich anders. Ich lösche pro Tag nur noch ein oder zwei Spambeiträge und banne dann die Ersteller.
Das opt-in zeigt Wirkung.
Ich habe nur noch nicht herausgefunden, wie ich die Benachrichtigung ausschalte, das ein Benutzer sein Konto nicht akiviert hat. Das verstopft mein Postfach

....jeden Tag melden sich ca. 10-20 Spammer an. Wir bannen die idR schnell genug, dass sie nicht posten. Ist recht viel Arbeit, funktioniert aber.