Das hilft gegen Spam-Versand über Contao-Formulare

Spam über Kontaktformulare kann zum richtigen Problem werden, wenn eine Seite stark unter Beschuss steht. Auch wenn es keine absolut sichere Lösung gibt, liefert das CMS Contao schon seit einigen Jahren eine Möglichkeit, den Spam zu verhindern oder zumindest einzudämmen.

Schon seit Contao 2.11 aus dem Jahr 2012 ist Contao standardmäßig mit einer "Sicherheitsabfrage" für Formulare ausgestattet. Diese bestand damals noch aus einer einfachen Rechenaufgabe. Danach folgte ab Contao 4.4 der Spamschutz über den “Honeypot" und in der neuesten Generation setzt Contao auf den "Proof-of-Work-Mechanismus".

Mit Contao 5.5 kommt nun mit dem Core der Spamschutz von ALTCHA.

ALTCHA verfolgt den sogenannten "Proof-of-Work-Mechanismus". Das heißt beim Laden des Formulars wird eine einfache Aufgabe generiert. Diese Aufgabe kann eine Rechenaufgabe oder eine einfache Prüfung sein, die direkt im Browser gelöst wird. Die Antwort wird dann zusammen mit dem Formular abgeschickt und auf Serverseite wird geprüft, ob die Antwort korrekt ist. Die Aufgaben sind nicht besonders schwer und für Menschen kaum merklich, für Bots stellen sie aber zumindest Aufwand dar. Wie alle anderen Möglichkeiten ist auch diese Lösung nicht 100% wirksam, gerade in Zeiten der KI.

Diese selbstgehostete Lösung ist datenschutzfreundlich, da sie ohne Tracking, Cookies oder Third-Party-Skripte auskommt und gleichzeitig ist sie barrierefrei.

Dank Marko Cupic können auch Contao 4.13 und Contao 5.3-Seiten über seine Erweiterung mit dem Spamschutz von ALTCHA ausgerüstet werden.

• Zur offiziellen Webseite von ALTCHA
• Zur ALTCHA-Erweiterung von Marko Cupic

Contao kommt seit Version 4.4 von Haus aus mit einem Spam-Schutz, der in die Formulare eingebaut werden kann. Das Element heißt “Sicherheitsabfrage” und wird neben den anderen Feldern und dem Absendefeld einfach in das Formular integriert.

Die Sicherheitsabfrage basiert auf dem sogenannten “Honeypot” als Spamschutz. Hier wird den Bots eine Falle gestellt, indem ein weiteres Feld eingefügt wird. Dieses Feld ist aber für normale Besucher nicht sichtbar. Füllt der Bot nun dieses Feld aus, wird das Formular nicht abgeschickt, stattdessen wird die Sicherheitsfrage, eine einfache Rechnung, angezeigt. Wird diese korrekt gelöst, wird das Formular versendet. Falls also, warum auch immer, ein echter Besucher in die Falle tritt, kann er dennoch das Formular abschicken.

Im Februar 2024 häuften sich Berichte in der Contao-Community, dass massenhaft Spam-Mails über Contao-Formulare empfangen wurden. Schnell war klar, die Spammer hatten aufgerüstet und konnten den Spam-Schutz umgehen.

Innerhalb weniger Tage wurde der Contao-Spamschutz überarbeitet und ein Update veröffentlicht. Die Änderungen sind ab Version 4.13.37 und in Contao 5.3 enthalten. Seitdem sind von meinen Kunden keine weiteren Meldungen über Spam eingetroffen, und auch in der Contao-Community ist es diesbezüglich ruhig.

Allerdings gab es auch vereinzelt Fälle, in denen auch das Honeypot-Update nicht geholfen hat. Hier lohnt es sich möglicherweise, die Antispam-Erweiterung von Rocksolid auszutesten, da diese leicht anders funktioniert als die aus dem Contao-Core. Mehr zu dieser Erweiterung im nächsten Abschnitt.

Ich ziehe ein Update immer vor, aber ein Update benötigt auch eine gewisse Zeit, und gerade wenn man mehrere hundert Spam-Mails am Tag empfängt, verstehe ich, dass Geduld hier keine Tugend sondern eine Unmöglichkeit ist.

Im Falle eines meiner Kunden war das der Fall. Zudem ist ein kompletter Relaunch in Planung und somit ist es hier nachvollziehbar, dass das Update von Contao 4.9 auf 4.13 nicht gewünscht war.

Die gute Nachricht: Es gibt eine schnelle und, zumindest momentan, funktionierende Lösung. Bevor der Honeypot-Spamschutz in den Contao-Core aufgenommen wurde, konnte man sich diesen über eine Rocksolid-Erweiterung integrieren. Diese Erweiterung wird weiterhin gepflegt und ist etwas anders aufgebaut als die Core-Funktion, sodass diese weiterhin oft erfolgreich Spam abhält.

Bei meinem Kunden war mit der Umstellung auf RockSolid AntiSpam Ruhe im Postfach.

• Offizielle Webseite von RockSolid AntiSpam
• Contao-Erweiterung: RockSolid AntiSpam