¿Se ha enviado spam con suscripciones de boletines falsos? Aprenda a proteger sus formularios usando doble opt-in, CAPTCHA y Cloudflare. Backstory He despertado hasta 200 nuevos suscriptores en la newsletter de mi sitio, ¿Por fin fue viral mi sitio web? Vídeo.com Después de comprobar a los nuevos suscriptores, noté que nadie había verificado sus direcciones de correo electrónico, ni siquiera una, que definitivamente no es una confianza. Después de algunas investigaciones rápidas, comprendí que realmente había sido enviado por spam. Pero todos los correos electrónicos parecen legítimos. kathyolynn@yahoo.com lukeckins@gmail.com dispatch@gonealinc.com doug_fern@hotmail.com Después de algunas investigaciones iniciales (introducir los correos electrónicos en ), parece que la mayoría de estas direcciones de correo electrónico han estado en algún tipo de hack o violación. HaciendaPuebla ¿Cómo puedo prevenirlo en el futuro? Alguien decidió usar direcciones de correo electrónico comprometidas para spam mi formulario ¿O para contaminar mi newsletter, para ver hasta dónde podrían ir, o simplemente porque pueden? Lo que aprendí Cuando se hace algo disponible públicamente en Internet, habrá spammers, habrá bots, y habrá personas que intentan hackearlo. Resulta que este tipo de ataque de spam es más común de lo que piensas (especialmente desde que mi Los bots rastrean la web y buscan formularios, generalmente boletines de noticias o formularios de contacto, y luego comienzan a enviar direcciones de correo electrónico "leaked". Noticias del blog Pero ¿por qué?Aquí hay algunas razones que he encontrado: y y y y y Para contaminar su lista de correo electrónico (si esto es un ataque personal, que no creo que sea en este caso) Para comprobar la validez de los correos electrónicos?? Para molestar a los propietarios de las direcciones de correo electrónico que han perdido suscripción a miles de boletines Para molestar al propietario del sitio web (me) Cómo lo arreglé Tengo varias soluciones a este problema. Paso 1: habilitar el doble opt-in El primer y más importante paso es asegurarse de que todos sus boletines son “doble opt-in”, lo que significa que el usuario tiene que confirmar su dirección de correo electrónico antes de suscribirse. En Listmonk (el software de boletines que estoy utilizando), asegúrese de que la lista a la que está suscribiendo a sus usuarios es double opt in. Esto significa que incluso si su formulario es spamado, puede simplemente eliminar todas las direcciones que no han verificado su correo electrónico (después de un par de días / semanas). ¿Quieres saber cómo configurar tu propio boletín de noticias auto-hostado con Listmonk? . el Cómo configurar una newsletter auto-hostada usando Listmonk Paso 2: Añadir Captcha o Cloudflare JS Challenge El segundo paso que tomé fue habilitar algún tipo de captcha. Inicialmente, configuré un HCaptcha a través de Listmonk. Pero no creo que sea la mejor solución, ya que es una especie de molestia. newsletter. Si está interesado en cómo hacerlo, aquí está cómo: Vídeo.com y y y y Abre el listmonk web UI Ir a los Settings En Seguridad, habilite captcha y introduzca una clave de API de hCaptcha.com (previamente tendrá que registrarse en hcaptcha.com) Sin embargo, con esta configuración, si está utilizando formularios personalizados (como el formulario de suscripción de correo electrónico a continuación), el proceso de envío se romperá. Así que en lugar de eso, lo que he llegado con y estoy usando actualmente en Newsletter es usar Cloudflare JS Challenge en un subdominio específico. 4rcal.com La forma en que he configurado mi boletín de correo electrónico es que tengo Listmonk en marcha Un subdominio separado. newsletter.4rkal.com Esto significa que puedo configurar ese subdominio específico como "bajo ataque" en Cloudflare y pedir a los usuarios que a veces completen un captcha. Para hacer esto: y y y y y y y y y Enlace a cloudflare.com Inicie sesión y vaya al dashboard de su dominio específico En Seguridad, seleccione WAF Haga clic en Crear regla Dale cualquier nombre Bajo Campo seleccione el nombre de host y bajo Operador seleccione wildcard, en Value introduzca el subdominio, en mi caso, que es newsletter.4rkal.com. La expresión debería parecer así (http.host wildcard "newsletter.4rkal.com") En la sección Elige acción seleccione JS Challenge Click en Salvar Y eso es acerca de eso. Resumen Hacer que tu sitio web sea spamado nunca es divertido, pero espero que este artículo haya dado claridad a las personas que pasan por el mismo problema que yo. Subscríbete Únete a nuestra newsletter aquí: https://newsletter.4rkal.com/subscription/form
