PHP 社交网站用户垃圾邮件 - 使用宏向所有用户发送电子邮件答案

【问题标题】：PHP Social Network Site User Spamming - Sent emails to all users using MacrosPHP 社交网站用户垃圾邮件 - 使用宏向所有用户发送电子邮件
【发布时间】：2011-08-13 18:28:23
【问题描述】：

寻找这个问题的最佳解决方案（几乎所有社交网站都遇到这个问题）

我有一个用于我们社区的小型社交网站。其中一项功能是用户可以向系统中的用户发送电子邮件（就像 facebook）

几天前，一位用户向所有使用宏或其他自动化系统的用户发送了一封垃圾邮件。整个过程只用了 3 分钟，每个人都收到了那封邮件。我删除了该用户并添加了验证码以防止任何其他用户以这种方式发送垃圾邮件。但我确信这不是最佳解决方案。

所以考虑

只允许用户在 2 分钟内最多发送一封电子邮件
用户每天最多可以发送 100 条消息
如果他达到最大 100 块该用户

同样适用于 cmets，在墙上发帖，或发送添加为好友请求和其他情况。

查看此链接http://nedbatchelder.com/text/stopbots.html 并考虑使用Honeypot ..

但是我解释的垃圾邮件是针对注册激活用户的，有没有其他最好的方法来防止他/她..？

【问题讨论】：

围墙花园中的垃圾邮件预防本质上比 smtp、irc、xmpp 等开放系统更简单。您已经了解了防止未来群发邮件的基础知识（除了仅使用该验证码来重复消息）。那么，为什么要费心使用蜜罐或寻求更困难的方法呢？也很难回答没有数据库方案/代码或任何东西。

标签： php social-networking spam honeypot

【解决方案1】：

我认为有三个考虑因素：

帐户可以创建多久以及由谁创建？
哪些功能需要保护，如何保护？
用户如何确定他/她是受信任的，以及何时以及如何撤销该信任？

1。限制新帐户

您已经提到的第一点已通过验证码解决（至少是暂时的）。长期以来，Facebook 和谷歌都需要其他形式的可验证身份，例如手机号码，才能创建新帐户。其他网站使用referral-based signup，如果用户滥用，则可以追溯到引荐来源网址。许多网站对可以创建多少新帐户有某种限制。

2。功能保护

除了允许注册用户访问之外，哪些功能标准需要额外的保护？

例如，任何暴露某人个人信息（姓名、联系信息等）的事情都应该以某种方式受到限制，无论是使用隐藏电子邮件（如craigslist、Source Forge 和许多论坛系统），或在与其他人共享该信息之前需要用户的批准（Facebook 好友和隐私设置）。

另外，您如何保护这些功能？节流？延迟访问更强大的功能，如 Stack Overflow？某种machine-learning 来分析行为模式并识别滥用行为？

3。主动损害控制

最后，用户如何确定他们没有滥用，以及您采取哪些步骤主动识别这些类型的用户？

例如，您可能会为电子邮件设置阈值，但如果用户发送的电子邮件过多，您可能会延迟它们或将它们放入审核队列，而不是关闭电子邮件。如果用户发送了许多相同的电子邮件或过多的电子邮件，您可能会决定暂时暂停他们的帐户或禁用对某些功能的访问。

另一个重要的考虑因素是，当合法用户的帐户遭到入侵时，您会怎么做？您会采取什么措施来识别、锁定并最终恢复这些帐户？

应对攻击

对这些事件的常见第一反应是进行损害控制并立即清理混乱。不。备份您的日志和数据库，禁用用户而不是删除它，然后然后进行清理。几乎所有滥用行为都遵循某种类型的模式，为了识别、理解和防御这种模式，您需要能够检查留下的数据。

显然，您还需要通过禁用违规帐户或攻击方法（例如通过禁用电子邮件系统）来防止立即重复攻击，但要小心丢弃数据。

【讨论】：

也许现在允许用户接受来自他们不允许的用户的电子邮件？或者也许那些进入“垃圾邮件”文件夹让他们批准来自所述用户的消息？ CAPTCHA 通常会更多地惩罚人类用户，因为您可以绕过 CAPTHCA，尤其是在它很常见的情况下（您不知道垃圾邮件发送者将如何顽强地将信息发送出去）。
非常感谢您提供的详细信息。这些都很好，对我有帮助。特别是检查相同的电子邮件。也许我应该用一些逻辑来检查相同的电子邮件
反验证码/蜜罐在这种情况下很好，例如大小为零的白底白字表单字段，或其他假定善意但监控恶意/垃圾邮件/过快消息的方法。