Spamschutz für Powermail-Formulare
Seit dem 07.12.2023 ist der Spam-Schutz „Friendly Captcha” für alle Formulare aktiviert. Es muss nun nicht mehr explizit als separates Feld in jedem Formular aktiviert werden. „Friendly Captcha” ist datenschutzkonform und gemeinsam mit der Stabsstelle für Datenschutz und Informationssicherheitsmanagement (DISM) abgestimmt und offiziell genehmigt. Es handelt sich um eine aus Sicht von Datenschutz, Benutzerfreundlichkeit und Barrierefreiheit gut zu empfehlende Methode für den Spamschutz für Formulare.
Wenn Formulare öffentlich im Netz verfügbar sind, kann es vorkommen, dass diese von Spambots automatisch ausgefüllt und abgeschickt werden. So kann es innerhalb kürzester Zeit zu einem hohen Email-Aufkommen durch unerwünschte Anmeldungen kommen. Insofern wird ein guter Spamschutz bei (öffentlichen) Formularen stark empfohlen.
Powermail bietet bereits einen eingebauten Spamschutz (u.a. „Honeypot”), der jedoch leider nicht alles abfängt.
Lösungsmöglichkeiten
Die unten genannten Lösungen können miteinandere kombiniert werden. Seit der Nutzung von „Friendly Captcha” für alle Formulare ist in der Regel kein zusätzlicher Spamschutz erforderlich.
Empfehlung
- „Friendly Captcha” – wird nun automatisch in allen Formularen genutzt. Direkt über dem „Abschicken” Knopf wird das Captcha angezeigt.
- Sofern Zielgruppe hochschulintern: Es kann als zusätzlicher Schutz der Seitentyp „Intranet” ausgewählt werden.
- Wenn es sinnvoll und möglich ist: Für einzelne Felder Validierung konfigurieren.
Generell sollte auf der Seite, auf dem sich das Formular befindet, eine Kontaktmöglichkeit genannt werden, an die man sich bei Problemen mit dem Formular wenden kann.
Möglichkeit 1: "Friendly Captcha"
Es wird automatisch in dem Formular das Captcha eingeblendet. In der Regel erfolgt die Verifizierung automatisch sobald das Formular ausgefüllt wird, in Einzelfällen ist noch ein weiterer Klick in das Feld erforderlich.
Möglichkeit 2: Zugriff auf die Seite beschränken
- Wenn der Teilnehmerkreis hochschulöffentlich ist, kann die Seite als „Intranet”-Seite bereitgestellt werden. Die Seite ist im Uni-Netz und mit zentralem Login eingeloggt für Beschäftigte und Studierende erreichbar.
- Seite mit selbst gewähltem Zugriffschutz: Dies ist etwas aufwändiger, da hierfür eine eigene Nutzergruppe und Nutzerzugänge in TYPO3 angelegt werden müssen, sowie eine Seite für den Login. Es ist dann aber auch für Nutzer außerhalb der Uni (mit den Nutzerdaten) erreichbar.
Der Nachteil bei diesen Lösungen ist, dass die Seite nicht in externen Suchmaschinen gefunden werden kann. Es wird empfohlen, dafür eine übergeordnete, öffentliche Seite zu erstellen, die als Einstiegsseite dienen kann und von Suchmaschinen gefunden wird.
Möglichkeit 3: Felder validieren
Bei bestimmten Feldern (z.B. Matrikelnummer, E-Mail Adresse, Telefonnummer, deutsche PLZ) kann eine Validierung konfiguriert werden, sodass nur bestimmte Werte erlaubt sind und / oder das Feld ein Pflichtfeld ist.
Dies ist – ohne Kombination mit anderen Mitteln – in der Regel kein ausreichender Schutz gegen Spam-Bots, schützt aber gegen manuell (auch unabsichtlich) inkorrekt ausgefüllte Formulare.
Des weiteren ist es sinnvoll Pflichtfelder und Validierung einzusetzen, da es auch den Ausfüllenden hilft, korrekte Angaben zu machen und vor Fehleingaben schützt. Hier ist jedoch wichtig, es den Nutzern leicht zu machen, z.B. durch Eingabe eines Platzhalters oder zusätzlichen Informationen auf der Seite.
Reguläre Ausdrucke
Einige Restriktionen – wie im obigen Beispiel für die PLZ - lassen sich leider nur über kryptische „reguläre Ausdrucke” (englisch: „regular expression”, „regex”) realisieren.
Hier muss „Feldüberprüfung” „Muster (RegEx)” ausgewählt und der reguläre Ausdruck in „Konfiguration der Validierung” eingegeben werden.
Beispiele:
^[0-9]{5}$ | deutsche PLZ, der Text muss aus einer 5-stelligen Zahl bestehen |
@(uni-oldenburg.de|uol.de)$ | Uni Email-Adresse muss genutzt werden |
Regex101 kann genutzt werden, um reguläre Ausdrucke zu prüfen.
Möglichkeit 4: Double Opt-In
Im Inhaltselement Powermail kann „Double Opt-In” aktiviert werden. Somit wird nach Ausfüllen eines Formulars zunächst eine E-Mail abgeschickt. Erst wenn in der E-Mail der Bestätigungslink angeklickt wird, wird das Formular vollständig abgeschickt.
Bei Missbrauch durch Spam-Bots kann es auch hier zu einem erhöhten E-Mail-Aufkommen an die Bestätigungs-Email kommen, insofern ist diese Methode nicht (als einzige Lösung) für Spam-Schutz zu empfehlen, kann aber gerne in Kombination mit einer Spam-Schutz Methode eingesetzt werden. Da wir nun immer „Friendly Captcha” nutzen (außer in Ausnahmefällen auf Intranet-Seite), kann diese Methode gerne genutzt werden, ist insbesondere auch hilfreich, um zu prüfen, ob die eingegebene E-Mail Adresse gültig ist.