Formulare: Spamflut auf den DRK-Websites - Stand 07/2025

    In den letzten Tagen ganz besonders, aber auch in der Vergangenheit ein wichtiges Thema.

    In diesem Hilfeartikel möchten wir ein – auch für uns – wichtiges Thema aufgreifen: Die Spamflut durch Formulare auf den DRK-Websites.

    Manche Kunden haben von 900–1400 Spam-Mails in wenigen Stunden berichtet. Alle Spam-Mails werden von den Formularen im DRKCMS durch sogeannte Spam-Bots erzeugt.

    Und bevor wir tiefer in die Materie einsteigen, hier einmal ein Überblick der Formular-Typen im DRKCMS:

    • Anmeldeformulare der KTV
    • Angebotsformular
    • Aktivenformular
    • Kontaktformular „DRK“
    • Kontaktformular Standard TYPO3 CMS
    • Selbst entworfene Standard TYPO3 CMS Formulare
    • Bewerbungsformular der klassischen Jobbörse

    Während die ersten vier Formular-Typen per Schnittstelle direkt in die KDB/DLDB/KTV versendet werden und dort dann die Mails generiert werden, werden die letzten Formular-Typen direkt per E-Mail von unseren Web-Servern versendet.

    Eins haben aber alle Formular-Typen gemeinsam: Ein Standard-Spam-Schutz ist vorhanden!

    Warum kommt so viel Spam durch?

    Diese Antwort ist sehr schnell und einfach gegeben: Die neue Generation von Spam-Bots sind durch KI intelligent geworden. Während vor einigen Jahren noch ein klassisches Honeypot-Feld (Honigtopf, ein unsichtbares Formularfeld, das die Spam-Bots ausgefüllt haben und dadurch als Spam erkannt wurden) ausgereicht hat, müssen die heutigen Maßnahmen weitaus umfangreicher sein.

    Es gab (und gibt) umfangreichere Maßnahmen und viele davon haben Sie uns im Support schon genannt, wir möchten die Möglichkeiten hier für alle noch einmal auflisten:

    • Klassisches Captcha
    • reCaptchas (von verschiedenen Anbietern)
    • Umfangreichere Javascript-Prüfungen vorab (früher haben Spam-Bots die Formulare ohne Javascript abgesendet)

    Wie eingangs erwähnt, sind die Spam-Bots mittlerweile durch KI intelligent geworden, weshalb auch umfangreichere Javascript-Prüfungen keinerlei Wirkung mehr haben. Aber gehen wir auf die oft erwähnten Captchas ein:

    Captchas sind eine wirksame Methode um Spam zu verhindern. Allerdings gibt es heute schon Spam-Bots, die auch diese Captchas auslesen können und somit diese Prüfung umgehen können (die sind noch recht neu, aber es gibt diese schon). Es gibt aber weitaus gravierendere Gründe, weshalb Captchas keine gute Idee sind:

    1. kann die neuste Generation von Spam-Bots Captchas schon auslesen und somit die Prüfung valide umgehen,
    2. sind (die meisten) Captchas nicht TT-DSGVO-konform (z. B. Google reCaptcha)
    3. sind alle Captchas nicht barrierearm.
    4. funktionieren die Capcha-Erweiterungen die wir getestet haben nicht im aktuellen DRKCMS v12

    Nachtrag vom 30.07.2025: Mittlerweile hat es eine ChatGPT KI auch schon geschafft die "Ich bin kein Roboter" Lösungen von Cloudflare o. ä. zu überwinden.

    Sie sehen, auch wir haben uns mit diesem Thema ausgiebig beschäftigt, denn auch für uns im Hintergrund sind Spam-Mails viel Arbeit, Ärger und unnötig.

    Nach der Erklärung nun die positive Nachricht

    Wir sind Ende August mit einer Lösung gestartet, die wirksambarrierearm und DSGVO-konform ist. Der Spam-Schutz – wird Stand heute – für alle Formulare wirksam eingesetzt werden können. Wir haben im ersten Schritt die wichtigsten Formulare abgedeckt: DRK Kontaktformular, Jobboard-Online-Bewerbung, klassische Tx_Form-Formulare und auch Powermail-Formulare (für unsere Semi-Rolling-Kunden) sind implementiert.

    Beta-Tester gesucht: Jedes Produkt ist nur so gut, wie die vorab durchgeführten Tests. Daher suchen wir ab Ende Juli noch Beta-Tester, die bereit sind, den Spam-Schutz aktiv auf der Live-Website einzusetzen, uns wöchentlich Rückmeldung geben und somit an einem aktiven Spam-Schutz mitwirken möchten. Im Gegenzug erhalten die Beta-Tester den Spam-Schutz während der Beta-Phase und nach der Beta-Phase für drei Monate kostenfrei.

    An dieser Stelle ein wichtiger Hinweis: Es wird ein kostenpflichtiges Produkt werden (müssen). Der Betrieb des hinter dem Spam-Schutz liegenden Systems muss gewährleistet werden, und auch der Fortbestand der TYPO3-CMS-Erweiterung und die kontinuierlichen Spam-Schutz-Optimierungen wollen finanziert werden. Über den Kostenansatz können wir an dieser Stelle noch keine Auskunft geben, es hängt ein wenig davon ab, wie die Beta-Phase verläuft.

    Wenn Sie Interesse an der Beta-Phase haben, melden Sie sich gerne auf folgendem Weg bei uns mit dem Stichwort „Spam-Beta-Phase“!

    Tags
    DRKCMS v12 DRKCMS v11 (veraltet)
    Veröffentlicht