Sachkunde der Webformulare

Sich vor Spam über Kontaktformular schützen

Reinhard Söllradl Aktualisiert: 12. Dezember 2024 8:30 Min. Lesedauer
Titelbild zu: Sich vor Spam über Kontaktformular schützen
Portrait Foto Reinhard Söllradl

Gründer von Form.taxi und Webentwickler seit 2000.

Zuletzt aktualisiert am
12. Dezember 2024

8:30 Min. Lesedauer

Inhaltsübersicht

Es gibt nichts Schlimmeres, als festzustellen, dass Ihr Online-Formular mit Spam-Sendungen überflutet wird. Das ist eine enorme Zeitverschwendung und leider etwas, mit dem sich alle Website-Besitzer irgendwann einmal auseinandersetzen müssen. In diesem Artikel erfahren Sie, welche Möglichkeiten es zur Spam-Vermeidung gibt und wie Sie diese auf Ihrer Website einsetzen.

Was ist Formular-Spam?

Von Formular-Spam spricht man, wenn massenhaft Nachrichten über Website-Formulare, wie z. B. den Kontaktformularen auf Webseiten, verschickt werden. Diese sollen oft zur Bestellung fragwürdiger Produkte verleiten oder sie erhalten Links, bei deren Aufruf die Installation von Schadsoftware oder Viren erfolgt. Das Durchsuchen von Spam-Nachrichten verschwendet nicht nur Ihre Zeit, sondern kann ernsthafte Schäden verursachen. Ganz zu schweigen davon, dass dies Ihre Zeit und Mühe für diejenigen, die wirklich mit Ihnen in Kontakt treten wollen, zunichtemacht.

Grundsätzlich können alle Formulare einer Webpräsenz für den Spam-Versand missbraucht werden. Neben Kontaktformularen sind ebenso alle Formulare betroffen, die zur Übermittlung einer Textnachricht dienen. Spammer kümmern sich selten um eine Unterscheidung. Je mehr Formulare mit Spam geflutet werden können, umso höher ist die Wahrscheinlichkeit, dass das Versenden Erfolg hat.

Wie funktioniert das Formular-Spamming?

In aller Regel wird Spam nicht direkt von Personen versendet. Das mag auch vorkommen, aber da dafür der Aufwand sehr hoch ist, schreiben Spam-Versender einfache Computerprogramme (Spambots), die Webseiten nach Formularen durchsuchen. Die gefundenen Formulare werden automatisiert mit den betrügerischen Inhalten ausgefüllt und abgesendet.

Diese Art des automatisierten Spams ist relativ gut zu bekämpfen, da die Bots keine Menschen sind und nur stur noch einem fixen Schema agieren. Das macht sie jedoch nicht weniger schädlich. Manche Spambots versuchen, Skripte in die Website einzuschleusen, um die Website zu kapern oder um versteckte Links zu hinterlassen, um sich damit einen SEO-Vorteil zu verschaffen.

Den Spammern, die Spambots einsetzen, ist es egal, ob sie sie aufhalten können. Diese Bots sind so leistungsfähig, dass sie täglich auf Millionen von Websites zugreifen können. Irgendwann finden sie eine Schwachstelle, die sie ausnutzen können.

Wie schütze ich mich nun vor diesem Spam? Wir haben Ihnen in Folge eine Übersicht über Schutzmaßnahmen zusammengestellt, mit denen Sie schnell und einfach Ihre Online-Formulare absichern können.

Methoden, um Formular-Spam zu vermeiden

Wenn Sie Formular-Spam bekämpfen möchten, gilt es, automatisierten Bots das Ausfüllen Ihrer Formulare zu erschweren, wenn nicht gar unmöglich zu machen. Aber gleichzeitig soll die Nutzung für echte Website-Besucher nicht unnötig erschwert werden.

Sehen wir uns nun an, welche Methoden es zur Spam-Vermeidung gibt und welche Vor- und Nachteile diese mitbringen.

Die kniffeligen CAPTCHAs

Sie kennen sicher diese kryptischen Boxen mit schlecht lesbaren Buchstaben oder anderen visuellen Aufgaben. Erst wenn die verlangte Aufgabe richtig gelöst wurde, beispielsweise durch Eingabe der richtigen Buchstaben, kann das Formular abgesendet werden. Diese kleinen Rätsel werden als CAPTCHAs bezeichnet und sollen durch die Formular-Nutzer leicht zu lösen sein, aber für die Spambots eine kaum überwindbare Hürde darstellen.

Illustration zu Captchas

Die Funktionalität des CAPTCHAs wird in der Regel von einem externen Anbieter übernommen. Dazu muss man sich bei einem solchen Anbieter registrieren und erhält ein Skript, welches in die eigene Website einzubauen ist. Dieses Skript bringt dann die Anzeige und Funktion des CAPTCHAs in die Website und kommuniziert beim Ausfüllen des Formulars mit dem Anbieter, um die Eingabe auf Korrektheit zu überprüfen.

Am bekanntesten ist hier sicherlich der Service von Google. Google nennt diesen Dienst reCAPTCHA und bietet unterschiedliche Versionen an. Die Version 3 verzichtet sogar ganz auf die Anzeige eines Rätsels und führt die Überprüfung für den Nutzer unsichtbar durch. Die Beschreibung und Anleitung zum Einbau finden Sie auf der reCAPTCHA-Seite bei Google.

Weitere Anbieter sind hCapture oder Friendly Captcha, welche sich durch ein Augenmerk auf Datenschutz auszeichnen (DSGVO-konform).

Erfahrungsgemäß lässt sich sagen, dass CAPTCHAs einen guten Schutz vor Spam-Missbrauch bieten. Es ist jedoch zu beachten, dass CAPTCHAs nicht perfekt sind und gelegentlich von fortschrittlicheren automatisierten Systemen überwunden werden können. Ferner können CAPTCHAs für einige Benutzer, insbesondere solche mit Sehbehinderungen, schwer zu lösen sein. Des Weiteren sollte einem bei der Nutzung eines CAPTCHA-Anbieters bewusst sein, dass dieser auf technischer Ebene den Zugriff auf die Formulareingaben und die Aktivitäten auf Ihrer Webseite erhält. Dies kann in Hinblick auf den Datenschutz kritisch gesehen werden und erfordert ein gewisses Vertrauen in den Service-Anbieter.

  • gute Erkennung von Spam-Sendungen
  • Manche Seitenbesucher haben Schwierigkeiten bei der Nutzung
  • Einbau erfordert technisches Grundwissen
  • Drittanbieter erhält Zugriff auf Website-Aktivitäten

Verwendung der Honeypot-Methode

Wenn Sie kein Fan von CAPTCHAs sind, können Sie stattdessen auch die Honeypot-Methode verwenden.

Der Honeypot (auf Deutsch: Honigtopf) ist quasi eine Falle für die Spam-Bots. Mit dem Auslösen der Falle wird das Absenden des Formulars unterbunden.

Aber wie funktioniert diese Falle? Eigentlich recht simpel. Dem Formular wird ein zusätzliches Eingabefeld mit unauffälligen Namen hinzugefügt. Dieses Feld agiert als der Honeypot. Wird nun beim Absenden des Formulars festgestellt, dass in dem Honeypot-Feld ein Inhalt eingegeben wurde, schnappt die Falle zu und die weitere Sendungsübertragung wird verhindert.

Um zu verhindern, dass echte Nutzer dieses Feld ausfüllen, wird das Honeypot-Feld in der Darstellung ausgeblendet. Man versteckt es für den Website-Besucher, mit einer einfachen CSS-Anweisung (display: none). Damit ist es auf dem Frontend für den Website-Besucher unsichtbar – er schreibt also auch nichts rein.

Warum wird das Feld von einem Spam-Bot ausgefüllt?
Spam-Bots funktionieren üblicherweise so, dass sie den Quellcode einer Webseite und des Formulars automatisiert auslesen und bei allen vorgefundenen Eingabefeldern einen Inhalt einfügen, um damit eventuelle Pflichtfelder zu bedienen.

Für die technische Umsetzung muss eine Abfrage in das Website-System eingebaut werden, die kontrolliert, ob das Honeypot-Feld ausgefüllt wurde und wenn die Formularübertragung abbricht. Dies wird in dem serverseitigen Programm integriert, welches sich um die Entgegennahme der Formularsendungen kümmert. Mit entsprechendem Fachwissen in der Programmierung kann man das selber leicht umsetzen. Oder Sie nutzen einen Service, der die Honey-Methode bereits mitbringt.

Wenn Sie unser hauseigenes Formular-Backend für Ihr Formular einsetzen, ist es nur nötig, die Honeypot-Funktion im Einstellungsbereich zu aktivieren und einstellen, wie der Name des Feldes lautet, damit es bei der Übertragung als das Honeypot-Feld erkannt werden kann. Weiter Informationen dazu finden Sie in unserer Dokumentation.

In einem Online-Formular verhindert ein Honeypot die Einsendungen von Spambots sehr gut – ganz ohne Bedenken zu Datenschutz oder Barrierefreiheit. Das Schöne an dieser Methode ist, dass der Nutzer nichts von diesem Schutz mitbekommt und nur die ganz normalen Eingabefelder des Formulars sieht.

  • gute Erkennung von Spam-Sendungen
  • einfacher Einbau in die Website
  • kein Hindernis für Nutzer
  • unbedenklich in Hinsicht auf Datenschutz & Barrierefreiheit

Beantwortung einer Aufgabe

Eine weitere Technik, mit der Sie Formular-Spam verhindern können, besteht darin, ein Formularfeld zu erstellen, das den Besuchern der Website eine Frage stellt, die sie richtig beantworten müssen. Sie könnten eine Textfrage oder eine mathematische Frage stellen, die die Besucher ausfüllen müssen, bevor sie ihr Formular abschicken können. Wichtig ist, dass die Frage so gestaltet wird, dass die Leute sie auch tatsächlich beantworten können.

Ähnlich der Honeypot-Methode muss beim Sendevorgang eine Überprüfung eingebaut bzw. entsprechend programmiert werden, damit auch eine Überprüfung der Antworteingabe stattfindet.

  • gute Erkennung von Spam-Sendungen
  • Programmierkenntnisse für den Einbau erforderlich
  • unbedenklich in Hinsicht auf Datenschutz & Barrierefreiheit
  • zusätzlicher Aufwand und Hürde für Nutzer

Fortgeschrittene Schutzmaßnahmen

Für einen zuverlässigen Schutz vor Spam und zur Eindämmung bei besonders hohem Spam-Aufkommen können erweiterte Abwehrmethoden Abhilfe schaffen. Im Folgenden zeigen wir Ihnen, welche Techniken es hier gibt und wie Sie diese auch bei Ihrem Webformular einsetzen können.

Validierung der Absenderadresse

In fast jedem Formular gibt es Feld, in dem der Nutzer seine E-Mail-Adresse einträgt. Bei dieser Schutzmethode wird die eingetragene Adresse auf mehrere Aspekte überprüft und die Formularsendung nur durchgelassen, wenn es sich um eine zulässige E-Mail-Adresse handelt.

Die Adresse wird unter anderem auf die technische Gültigkeit überprüft. Ob der E-Mail-Server hinter der Adresse erreichbar ist und keinen Fehler zurückliefert. Und des Weiteren wird geprüft, ob die Adresse auf verschiedenen Listen mit bekannten Spam-Adressen verzeichnet ist.

Spamfilter

Ein Spamfilter ist wohl das mächtigste Tool gegen Spam-Sendungen. Der Filter analysiert die übermittelten Formulareingaben und berechnet die Ähnlichkeit zu Inhalten in der hinterlegten Datenbank. Wenn eine Sendung anhand der Textinhalte eine erhöhte Ähnlichkeit zu bekannten Spam-Inhalten aufweist, wird diese Sendung als Spam erkannt. Die Inhaltsdatenbank des Spamfilters wird durch die Nutzung laufend mit weiteren Inhalten von händisch als Spam markierten Sendungen gefüttert. Damit wird die Erkennung immer zuverlässiger und alle Nutzer des Spamfilters profitieren von der gemeinschaftlichen Nutzung.

Domainfreigaben

Mit der Freigabe bestimmter Domains, wird beim Sendevorgang kontrolliert, ob das Formular von einer Website mit freigegebener Domain abgesendet wurde. Handelt es sich um eine andere Domain, wird die Sendung als Spam klassifiziert. Dies soll verhindern, dass Sie Formularsendungen von einer nachgebauten Website erhalten.

Nutzung auf Ihrer Website

Im Gegensatz zu den einfachen Schutzmethoden sind diese fortgeschrittenen Techniken komplexer und erfordern für den Betrieb erheblichen Aufwand. Daher sind diese Methoden üblicherweise nur in einem großen Maßstab sinnvoll zu betreiben.

Wenn Sie diese aber gerne bei Ihren Formularen nutzen möchten, ohne einen erheblichen Aufwand betreiben zu müssen, haben wir mit unserem professionellen Formular-Backend eine einfache Lösung für Sie. Unser Backend-Service kümmert sich um die Übertragung Ihrer Formularsendungen und bietet alle beschriebenen Methoden zur Spam-Abwehr. Und das in der Basis-Nutzung völlig kostenlos.

Professionelles Formular-Backend