If you run MT or host people who run MT, run, don't walk, to your box and disable the ms-send-entry.cgi. They don't verify that just a single email address has been submitted. Nor do they do any other basic security checks. And, guess what? Right. The spammers have discovered the hole. They used one the MT weblogs I host to send chunks of spam to AOL over the last few weeks. But I couldn't trace the root of the problem. Then today they used it to start sending bucketloads of spam through the user's email submission form and I managed to trace it to MT.

Bei den Zope Newbiews gibt es einen Fix (für die mt-send-entry.cgi; ich habe die Datei jetzt einfach mal umbenannt — mal sehen, ob es wirklich daran liegt). Das Problem ist auch im MovableType-Forum bekannt. Allerdings ohne Feedback.
Das wäre eine Erklärung warum ich in letzter Zeit hier auf ein bestimmtes Postfach dauernd Return-Mails von AOL bekomme …

