11. Januar 2009

Spam in TYPO3 Formularen verhindern

in Dev, Extension, TYPO3blogger

Ich habe mich jetzt längere Zeit mit dem leidigen Thema unerwünschter Einträge über das TYPO3 Kontaktformular bzw. über ve_guestbook [link] auseinandergesetzt und möchte meine Erfahrungen teilen.
Wer ein normales T3 Kontaktformular einsetzt, hat derzeit das Problem, dass es nahezu keine Maßnahmen gegen Spam gibt.

nd_antispam:
Die früher sehr beliebte Captcha Erweiterung nd_antispam, die über die XCLASS ein Captcha für das normale Gästebuch angeboten hat, gibt es nicht mehr im TER (Gründe liegen auf der Hand) und wird auch nicht mehr gepflegt. Wer dennoch auf eine ältere Version zurückgreifen kann, sollte auf den Einsatz verzichten, sofern ihm an der Sicherheit seines Internetauftritts liegt.

timtab_badbehavior [link]:
Wer aber auf sein geliebtes T3 Formular nicht verzichten will, kann sich mal an timtab_badbehavior versuchen. Hierbei handelt es sich um eine Erweiterung, die sich komplett in T3 einklinkt und global alle übermittelten POST und GET Parameter zu filtern versucht. Die Idee ist grundsätzlich nicht verkehrt, hat das Spamaufkommen auf meiner Liveumgebung aber nur bedingt reduzieren können und im Laufe einiger Updates auch zwischenzeitlich mein Gästebuch komplett lahm gelegt.

Meiner Meinung nach bleibt nur der Umstieg auf eine alternative Kontaktformularextension wie Mailformplus [link] oder Powermail [link] die auch jetzt schon eine Vielzahl von Spamvermeidungsmaßnahmen unterstützen.

Die Klassiker – captcha [link] und sr_freecap [link]:
Diese beiden bekannten Captcha Erweiterungen können zusammen mit Powermail und ve_guestbook eingesetzt werden. Mailformplus unterstützt in jedem Fall sr_freecap, was auch etwas umfangreicher als captcha ist.
Was ist eigentlich ein Captcha? Unter einem Captcha versteht man ein Bild das Zahlen und Ziffern anzeigt, die der User lesen und in einem speziellen Feld eintragen soll. Der ursprüngliche Gedanke ging davon aus, dass nur ein Mensch in der Lage wäre, ein Text auf einem Bild zu erkennen, was Maschinen aussperren sollte. Zur Effizienz unten mehr…

jm_recaptcha [link]:
Eine aufgender Stern am captcha Himmel? Na in jedem Fall eine Alternative in Bezug auf mailformplus und Powermail. Ein reCaptcha unterscheidet sich etwas von einem normalen Captcha, da es aus zwei Wörtern besteht (eines davon wurde per OCR zuvor falsch erkannt). Ein Nachteil ist jedoch die Verbindung zu einem fremden Server und die mangelnde Konfigurationsmöglichkeit.

wt_calculating_captcha [link]:
Hierbei handelt es sich um eine ganz neue Captcha Erweiterung, die den User zum Kopfrechnen auffordert. Diese Variante wird derzeit nur in Powermail unterstützt, was sich aber noch ändern kann.

wt_spamshield [link]:
Spamshield kann mit Powermail oder ve_guestbook (leichte Modifikation nötig) verwendet werden. Spamshield vereint mehrere Anti-Spam Varianten (z.B. Sessioncheck, Timecheck, Linkcheck, Akismet, Namecheck – Details sind im entsprechenden Handbuch nachzulesen), ohne ein Captcha einsetzen zu müssen; daher wohl die barrierearmste Variante Spam zu vermeiden. Diese Erweiterung wurde in der T3N Nr.13 [link] im Zusammenhang mit ve_guestbook vorgestellt.

Submit via JavaScript [link]:
Eine andere Alternative ist es, dass Ziel des Formulares (target) falsch zu setzen und über JavaScript das eigentliche Target zu nutzen. Diese Variante kann man eigentlich in allen Formular Extensions mit HTML Template selber integrieren.

Honeypot Methode [link]:
Wer gerne selber Hand an Extensions legt oder vielleicht spamshield um eine weitere vielversprechende Methode erweitern will, kann sich an Honeypod orientieren. Im Prinzip wird hier ein zusätzliches Feld hinzugefügt, dass aber per CSS und/oder JavaScript ausgeblendet wird. Davon ausgehend, dass ein „blöder“ Spamrobot einfach alle Felder die er findet zumüllt, müsste der Spam-Alarm ausgelöst werden, sobald sich Inhalt im Honeypod befindet. Hier gibt es derzeit noch keine Erweiterung in TYPO3.

Fazit:
Wolltest du dich schon Mal in einem Forum anmelden und hattest Probleme das gezeigte Captcha zu entziffern? Das heißt aber noch lange nicht, dass eine Maschine auch Probleme hat, das gleiche Captcha per ausgekniffelter OCR Software aufzuschlüsseln! Daher ist es fraglich wie sicher der Einsatz eines Bildes mit Text vor ungewollten Nachrichten noch schützen kann. Ein reCaptcha ist zumindest in der Theorie vielversprechender als ein normales Captcha. Falls aber ein Captcha zum Einsatz kommen soll, ist darauf zu achten, dass man sich schon als Mensch schwer tut, die richtigen Ziffern zu erkennen. Ich konnte keinen signifikanten Unterschied zwischen den einzelnen Captcha Extensions erkennen. Der größte Unterschied liegt wohl in der jeweiligen Flexibilität und Einsetzbarkeit. Leider fehlen mir derzeit auch sämtliche Erfahrungen in wie weit eine Maschine derzeit noch mit einem Rechencaptcha fertig wird, aber auch das dürfte mittelfristig kein Problem darstellen.
Eine echte Alternative ist wt_spamshield, die es bei mir geschafft hat, den kompletten Spam auszuschließen! Aber auch die Methode über Javascript das Formularziel zu ändern, soll sich sehr gut eignen und erfordert eigentlich nur JavaScript beim Besucher.
Leider gibt es in TYPO3 noch keine mir bekannte Extension die sich der Honeypod Methode annimmt – hier wäre also Handarbeit nötig.
Im Übrigen ist mir aufgefallen, dass der Einsatz einer Bestätigungsseite (mit Powermail nur ein Haken) schon ca. 90% aller Spameinträge verhindert – und das ganz ohne weitere Extension 🙂

Interessante Links zu diesem Thema:

Habe ich etwas wichtiges vergessen oder übersehen? Gibt es noch interessante Links? Aber auch sonst freue ich mich über jeden Kommentar!

Grüße, Alex

[Update 13. Januar 08]
Innerhalb der letzten Tage hat sich eine Menge getan in Sachen Spam-Prevention, daher muss ich meinen Beitrag noch einmal ergänzen:

  • wt_spamshield: Seit 0.5.0 kann die Extension auch mit dem Standard Kontaktformular verwendet werden
  • wt_spamshield: Seit 0.5.0 auch mit Honeypot Methode
  • wt_calculating_captcha: Seit 0.1.2 kann das Captcha auch mit dem Standard Kontaktformular verwendet werden
  • mf_akismet [link]: Alternative wenn man ve_guestbook ausschließlich mit einer Akismet Überprüfung ergänzen will
  • aw_antispambots [link]: Honeypot und Rechenaufgaben ausschließlich für Mailformplus

16 Reaktionen zu “Spam in TYPO3 Formularen verhindern”

Kommentare abonnieren (RSS) oder TrackBack URL

Danke für diese Auflistung Alex. wt_spamshield werde ich demnächst ausprobieren. Habe auf einer Seite gerade ein akutes Spamproblem im ve_guestbook.

Tobi am 11. Januar 2009 um 22:54

Kaum ist die digitale Tinte trocken, schon gibt es Updates:
– wt_calculating_captcha kann jetzt auch für das Standard Kontaktformular eingesetzt werden
– Es gibt wohl auch eine Honeypod Extension wurde mir mitgeteilt – leider ist der Name unbekannt

Grüße, Alex

Alex Kellner am 12. Januar 2009 um 00:27

Ich würde das auch noch ergänzen. Es gibt noch eine Akismet Integration für TYPO3 von Michael Feinbier:
http://typo3.org/extensions/repository/view/mf_akismet/current/

std. nur für ve_guestbook, ist aber auf andere „Systeme“ übertragbar!

Tim Lochmüller am 12. Januar 2009 um 00:49

…musste ich mal kurz hype!n 🙂
Schöner Beitrag!

Sven am 12. Januar 2009 um 09:34

Javascript als Grundvoraussetzung zu nehmen betrachte ich als falsch…
Bots durchforsten den Quelltext mit logik, wo name=“email“ steht gehört ne email hin usw…
Wenn man jetzt nicht Besucher hat, welche dieses auch so betrachten, ist es schon eine Hilfe in den Feldern kleine Fallen einzubauen…

Christian am 12. Januar 2009 um 09:40

Hmmm…. sehe ich anderes Christian. Die Felder heißen ja auch immer noch email etc. nur das target im form ist falsch. Erst durch den klick auf den Submit button wird das target richtig gesetzt. Dies kann zudem „cordiert“ (wie TYPO3 es mit Mails macht) im Quelltext stehen.

Ich denke da blicken recht wenig Bots durch, oder?

Tim Lochmüller am 12. Januar 2009 um 11:30

Was ich damit sagen möchte ist, anhand der Validierung erkennt man die Fehler…

Nimmt man noch Dinge wie Zeitdifferenz aufruf und versand hinzu usw. bestehen keine Fehler für Nutzer die kein Javascript aktiviert haben…

Ich bastel somit also ein Formular, wo ich die Input[Elemente] anders bezeichne als sie Bedeutsamkeit haben.
Der normale Nutzer bemerkt dies jedoch nicht, somit kann ich schonmal Fehler erkennen.
Beispiel: (Feld email „quelltext“ ist für das menschliche auge jedoch telefon.
Da genügt nen regex oder filter_var und gut ist…)

Oder ich binde Felder ein, welche ich via css, class usw. ausblende (display:none;) bots schreiben für gewöhnlich in alle felder Werte, auch schonmal eine Möglichkeit Fehler zu erkennen.

Ergebniss viele Wege führen nach Rom.

Ich bin halt einfach nicht die Person für Javascript…

Christian am 12. Januar 2009 um 15:08

Da bin ich auch etwas skeptisch: Ein Formular sollte möglichst mit Label Tags aufgebaut sein. In so einem Label kann schon Mal das Wort „Email“ vorkommen. Das ist doch kein Problem für den Spambot? Aber auf jeden Fall hast du Recht, wenn du schreibst, dass eine Maßnahme, die auf JS beruht eine gewisse Barriere für den Besucher darstellt.

Grüße, Alex

Alex am 12. Januar 2009 um 16:16

Achtung sr-freecap leidet am Tourette Syndrom. Das Wörterbuch enthält einige Begriffe die zu Irritationen führen können „Zicke, Stalin…“

Sie dazu unseren Beitrag auf:
http://think.digital-worx.de/2008/08/07/captcha-mit-tourette-syndrom/

Mirko am 13. Januar 2009 um 11:40

Prima Auflistung. Ich setze für mein Gästebuch (ve_guestbook) seit geraumer Zeit (> 4 Monate) wt_spamshield erfolgreich ein. Hatte seither nur einen einzgen Spameintrag und der war scheinbar „handgemacht“… Bin sehr zufrieden damit.
Grüße
Peter

Peter am 13. Januar 2009 um 17:31

Vielen Dank für den interessanten Artikel. timtab BH macht eigentlich einen sehr guten Job, lässt aber bei einer hochfrequentierten Seite von ca. 50 Einträgen täglich ein oder zwei durch.

Ab heute läuft wt_spamshield, mal schauen 🙂

Henrik Ziegenhain am 23. Januar 2009 um 08:33

Super Artikel! Dank Dir.
Kleiner Hinweis: Beim Update hast Du Dich im Jahr geirrt (2008).
Gruß,
Jörg

Jörg Wagner am 13. November 2009 um 13:26

hi. die wt_spamcheck ist wohl wirklich sehr rumdumschlagend und erfolgreich.

ich habe einen anderen ansatz gewählt, um meinen kunden von spammails (über mailformplus) zu verschonen: eine kleine nifty extension auf keywordbasis:
http://stefan.maischner.de/typo3-keywordbasierte-spamabwehr-fuer-th_mailformplus-captcha/

stefan am 02. Januar 2011 um 10:30

Das soll ich auf jeden Fall schaffen, sehr hilfreich. Danke schön!

Jonathand Mocher am 09. März 2012 um 08:29

Ich verwende Typo3 4.7.x und kann wt_spamshield leider nicht verwendet, weil die Extension nicht kompatibel ist. Es wäre wünschenswert, dass bei Aktualisierungen von Typo3 (wie hier von Version 4.6.x auf 4.7 im Frühjahr 2012) auch die Extensions auf aktuellen Stand gebracht werden. Danke

LukasH am 30. Oktober 2012 um 09:47

Hallo Lukas,
das Problem ist bekannt. Hier ist der entsprechende Bug-Report:
http://forge.typo3.org/issues/38288
Diese Extensions werden kostenlos zur Verfügung gestellt, oft von Privatleuten. Der Preis dafür ist, dass sie nicht immer up-to-date sind. Du hast die Möglichkeit, den Fehler selbst zu beheben und Deine Arbeit der Community zurückzugeben, indem Du den Patch in obigem Bug-Report veröffentlichst.

Jörg Wagner am 31. Oktober 2012 um 08:57

Kategorien

Archiv