Ich habe vor Kurzem begonnen, viele POST-Anfragen an meine Mailman-Abonnementseite unter /mailman//subscribe/example-info_example.co.uk zu erhalten und das HTTP-Protokoll des Servers zeigt:
204.52.107.22 - - [06/Jan/2021:04:07:39 +0000] "POST /mailman//subscribe/example-info_example.co.uk HTTP/1.1" 200 1334 "-" "axios/0.19.2"
Anschließend wird eine E-Mail an eine E-Mail-Adresse gesendet, die nicht auf der Abonnentenliste der Mailman-Mailingliste steht.
Die Mailingliste ist so konfiguriert, dass E-Mails von anderen E-Mail-Adressen als denen des Listenadministrators abgelehnt werden.
Daher möchte ich wissen, was in diesen Anfragen gesendet wird. Gibt es einen Befehl oder ein Skript, mit dem ich den Inhalt dieser POST-Anfragen abrufen kann?
Antwort1
Dies sind bekannte Abonnement-Bots, die einen Haufen unschuldiger Benutzer bei Hunderten von Listen anmelden. Ich habe im letzten Jahr buchstäblich über 10.000 IPs gesammelt und blockiert. Sie können beispielsweise auf der Grundlage von Client-Strings blockieren oder Ihre Mailman-Installation auf eine neuere Version aktualisieren, die Formulardaten dazu zwingt, von der Abonnementseite zu stammen und nicht direkt auf die Formaction zuzugreifen. Ich empfehle außerdem, die Missbrauchs-E-Mail aus dem Netzwerk herauszusuchen, aus dem sie stammt, und eine Beschwerde mit einigen Protokollauszügen per E-Mail zu senden. Bisher hat es mir nichts genützt, aber die meisten dieser Angriffe kommen von Hosting-Einrichtungen, ich hatte sogar einige von Amazon. Wenn sich genügend Leute beschweren, werden diese Hosting-Anbieter diese Aktivität vielleicht einstellen.