Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:sa:mailman [2015/10/25 07:49] – [Exim] niccolo
+++ doc:appunti:linux:sa:mailman [2020/09/25 17:45] (current) – [Migrazione] niccolo
@@ Line 328: / Line 328: @@
 </code>
+===== Abuso della form di registrazione (SPAM) =====
+Capita di vedere tentativi automatizzati e malevoli di sottoscrivere indirizzi email ad una lista. Non è chiara l'utilità di questi tentativi, ma la **conferma di registrazione** viene inviata ad un destinatario che eventualmente **segnala il messaggio come SPAM** con tutte le conseguenze del caso (il server finisce in qualche **blacklist**).
+Come spiegato in questo articolo **[[https://www.ralfj.de/blog/2018/06/02/mailman-subscription-spam.html|Fighting Mailman Subscription Spam: The Easy Way]]** è sufficiente aggiungere una riga al file **/etc/mailman/mm_cfg.py**:
+<code>
+SUBSCRIBE_FORM_SECRET = "Kw4Qb4MF9Yoe2Tvldu7O8KFK"
+</code>
+Questa impostazione attiva un **[[wpit>Cross-site_request_forgery|CSRF token]]** nella form di registrazione che impone il caricamento della form prima della sottomissione. Se questo parametro esiste, viene controllato anche il tempo intercorso fra il caricamento della form e la sua sottimissione: se è inferiore ai 5 secondi il submit viene rifiutato. In generale un bot agisce molto rapidamente e quindi fallirà il sumbit del form.