Spamschutz für Powermail-Formulare
Ab 22.09.2023 steht „Friendly Captcha” für den Webauftritt zur Verfügung. Dies ist datenschutzkonform und gemeinsam mit der Stabsstelle für Datenschutz und Informationssicherheitsmanagement (DISM) abgestimmt und offiziell genehmigt. Es handelt sich um eine aus Sicht von Datenschutz, Benutzerfreundlichkeit und Barrierefreiheit gut zu empfehlende Methode für den Spamschutz für Formulare.
Wenn Formulare öffentlich im Netz verfügbar sind, kann es vorkommen, dass diese von Spambots automatisch ausgefüllt und abgeschickt werden. So kann es innerhalb kürzester Zeit zu einem hohen Email-Aufkommen durch unerwünschte Anmeldungen kommen. Insofern wird ein guter Spamschutz bei (öffentlichen) Formularen stark empfohlen.
Powermail bietet bereits einen eingebauten Spamschutz (u.a. „Honeypot”), der jedoch leider nicht alles abfängt.
Lösungsmöglichkeiten
Die unten genannten Lösungen können miteinandere kombiniert werden. Ist die Seite nicht öffentlich erreichbar, ist in der Regel kein weiterer Spamschutz erforderlich.
Empfehlung
- Sofern Zielgruppe hochschulintern: Seitentyp „Intranet” auswählen (kein weiterer Schutz erforderlich).
- „Friendly Captcha” – dies kann als weiteres Feld in ein bestehendes Formular eingebaut werden
- Wenn es sinnvoll und möglich ist: Für einzelne Felder Validierung konfigurieren.
Generell sollte auf der Seite, auf dem sich das Formular befindet, eine Kontaktmöglichkeit genannt werden, an die man sich bei Problemen mit dem Formular wenden kann.
Möglichkeit 1: Zugriff auf die Seite beschränken
- Wenn der Teilnehmerkreis hochschulöffentlich ist, kann die Seite als „Intranet”-Seite bereitgestellt werden. Somit ist kein weiterer Spamschutz erforderlich. Die Seite ist im Uni-Netz und mit zentralem Login eingeloggt für Beschäftigte und Studierende erreichbar.
- Seite mit selbst gewähltem Zugriffschutz: Dies ist etwas aufwändiger, da hierfür eine eigene Nutzergruppe und Nutzerzugänge in TYPO3 angelegt werden müssen, sowie eine Seite für den Login. Es ist dann aber auch für Nutzer außerhalb der Uni (mit den Nutzerdaten) erreichbar.
Der Nachteil bei diesen Lösungen ist, dass die Seite nicht in externen Suchmaschinen gefunden werden kann. Es wird empfohlen, dafür eine übergeordnete, öffentliche Seite zu erstellen, die als Einstiegsseite dienen kann und von Suchmaschinen gefunden wird.
Möglichkeit 2: "Friendly Captcha"
Es ist als weiteres Feld „Friendly Captcha” auswählbar. Damit wird das „Friendly Captcha” in dem Formular genutzt.
Anzeige auf der dargestellten Seite:
Möglichkeit 3: Felder validieren
Bei bestimmten Feldern (z.B. Matrikelnummer, E-Mail Adresse, Telefonnummer, deutsche PLZ) kann eine Validierung konfiguriert werden, sodass nur bestimmte Werte erlaubt sind und / oder das Feld ein Pflichtfeld ist.
Dies ist – ohne Kombination mit anderen Mitteln – in der Regel kein ausreichender Schutz gegen Spam-Bots, schützt aber gegen manuell (auch unabsichtlich) inkorrekt ausgefüllte Formulare.
Des weiteren ist es sinnvoll Pflichtfelder und Validierung einzusetzen, da es auch den Ausfüllenden hilft, korrekte Angaben zu machen und vor Fehleingaben schützt. Hier ist jedoch wichtig, es den Nutzern leicht zu machen, z.B. durch Eingabe eines Platzhalters oder zusätzlichen Informationen auf der Seite.
Beispiel: Email (ist Pflichtfeld, wird auf gültige E-Mail Adresse validiert)
Weitere Auswahlmöglichkeiten
Beispiel: Eingabe einer gültigen deutschen PLZ (Pflichtfeld, Platzhalter und regulärer Ausdruck)
Reguläre Ausdrucke
Einige Restriktionen – wie im obigen Beispiel für die PLZ - lassen sich leider nur über kryptische „reguläre Ausdrucke” (englisch: „regular expression”, „regex”) realisieren.
Hier muss „Feldüberprüfung” „Muster (RegEx)” ausgewählt und der reguläre Ausdruck in „Konfiguration der Validierung” eingegeben werden.
Beispiele:
^[0-9]{5}$ | deutsche PLZ, der Text muss aus einer 5-stelligen Zahl bestehen |
@(uni-oldenburg.de|uol.de)$ | Uni Email-Adresse muss genutzt werden |
Regex101 kann genutzt werden, um reguläre Ausdrucke zu prüfen.
Möglichkeit 4: Double Opt-In
Im Inhaltselement Powermail kann „Double Opt-In” aktiviert werden. Somit wird nach Ausfüllen eines Formulars zunächst eine E-Mail abgeschickt. Erst wenn in der E-Mail der Bestätigungslink angeklickt wird, wird das Formular vollständig abgeschickt.
Bei Missbrauch durch Spam-Bots kann es auch hier zu einem erhöhten E-Mail-Aufkommen an die Bestätigungs-Email kommen, insofern ist diese Methode nicht für Spam-Schutz zu empfehlen, kann aber gerne in Kombination mit einer Spam-Schutz Methode eingesetzt werden.