TE Online Web

Web, Technik & Digitales

TE Online Web

Web, Technik & Digitales

Kontaktformular-Spam stoppen: Massnahmen ohne Captcha

Ein Kontaktformular ist praktisch, zieht aber Spam an. Wenn Ihr Postfach täglich mit Werbemüll und leeren Nachrichten voll läuft, kostet das Zeit und Sie übersehen echte Anfragen. Dieser Artikel erklärt, warum Formulare Spam bekommen und wie Sie ihn wirksam stoppen, ohne echte Besucher mit nervigen Captchas abzuschrecken. Am Ende haben Sie mehrere Methoden, die Sie sofort umsetzen können.

Warum Formulare Spam anziehen

Der meiste Formular-Spam kommt nicht von Menschen, sondern von automatischen Programmen, sogenannten Bots. Diese Bots durchsuchen das Netz nach Formularfeldern und füllen sie massenhaft aus. Sie lesen die Seite nicht wie ein Mensch, sondern nur den technischen Code.

Genau das ist der Ansatzpunkt. Ein Bot verhält sich anders als ein Mensch: Er füllt Formulare in Millisekunden aus, trägt in jedes Feld etwas ein und folgt keiner sichtbaren Logik. Diese Unterschiede lassen sich ausnutzen, ohne echte Nutzer zu behelligen.

Wirksame Maßnahmen im Vergleich

Es gibt mehrere Techniken. Am stärksten wirken sie kombiniert.

Methode Wirkung Stört echte Nutzer?
Honeypot-Feld Fängt viele einfache Bots Nein, unsichtbar
Zeitprüfung Blockt zu schnelles Absenden Nein
Serverseitige Prüfung Filtert Muster und Links Nein
Captcha Stoppt auch bessere Bots Ja, oft als mühsam empfunden

Das Honeypot-Feld

Ein Honeypot ist ein zusätzliches Formularfeld, das per Code versteckt wird. Ein Mensch sieht es nicht und lässt es leer. Ein Bot sieht nur den Code, hält es für ein normales Feld und füllt es aus. Kommt in diesem Feld etwas an, wird die Nachricht verworfen. Diese Methode ist unsichtbar und stört niemanden.

Die Zeitprüfung

Ein Mensch braucht einige Sekunden, um ein Formular auszufüllen. Ein Bot ist in unter einer Sekunde fertig. Wird ein Formular verdächtig schnell nach dem Laden abgeschickt, ist es fast sicher ein Bot. Diese Prüfung läuft im Hintergrund und fällt echten Nutzern nicht auf.

Ein reales Beispiel

Ein kleiner Onlineshop bekam über sein Kontaktformular täglich Dutzende Nachrichten mit Werbelinks. Ein Captcha wollte der Betreiber vermeiden, weil einige Kunden sich beschwert hatten. Stattdessen wurde ein Honeypot-Feld ergänzt und eine Zeitprüfung aktiviert, die Formulare unter drei Sekunden ablehnt. Der Spam ging stark zurück, ohne dass ein Kunde etwas merkte. Die wenigen übrigen Nachrichten fing eine serverseitige Regel ab, die Einträge mit mehreren Links markierte.

Häufige Fehler und wie Sie sie beheben

Nur auf Captcha setzen. Ein Captcha stört echte Nutzer und schreckt manche ab. Lösung: erst unsichtbare Methoden nutzen, Captcha nur als letzte Stufe.

Prüfung nur im Browser. Bots umgehen das Formular und senden direkt an den Server. Eine reine JavaScript-Prüfung greift dann nicht. Lösung: die entscheidende Prüfung immer serverseitig durchführen.

E-Mail-Adresse offen im Code. Steht Ihre Adresse als Klartext auf der Seite, sammeln Bots sie ein. Lösung: Adresse nicht direkt ausschreiben und Kontakt über das Formular leiten.

Keine Bestätigung, dass es wirkt. Sie aktivieren eine Maßnahme und prüfen nicht nach. Lösung: nach einer Woche das Postfach kontrollieren und bei Bedarf nachschärfen.

Konkrete Schritte

  • Ein Honeypot-Feld einbauen und im Code verstecken.
  • Eine Zeitprüfung aktivieren, die zu schnelles Absenden ablehnt.
  • Die Pflichtprüfung serverseitig durchführen, nicht nur im Browser.
  • Nachrichten mit vielen Links automatisch markieren oder filtern.
  • Die E-Mail-Adresse nicht als Klartext auf der Seite zeigen.
  • Captcha nur einsetzen, wenn die stillen Methoden nicht reichen.
  • Nach ein bis zwei Wochen die Wirkung im Postfach prüfen.

Fazit

Formular-Spam lässt sich zum großen Teil unsichtbar stoppen. Honeypot und Zeitprüfung kosten echte Besucher keine Sekunde und halten die meisten Bots fern. Ihr nächster Schritt: Prüfen Sie, ob Ihr Formular oder Ihr Plugin ein Honeypot-Feld anbietet, und aktivieren Sie es. Erst wenn das nicht reicht, denken Sie über ein Captcha nach.

Haeufige Fragen

Reicht ein Honeypot allein?

Gegen einfache Bots oft ja. Bessere Bots erkennen manche Honeypots. Deshalb ist die Kombination aus Honeypot, Zeitprüfung und serverseitiger Prüfung zuverlässiger.

Sind Captchas wirklich so schlecht?

Sie wirken, können aber echte Besucher frustrieren und die Nutzung erschweren, besonders für Menschen mit Einschränkungen. Als letzte Stufe sind sie sinnvoll, als erste Wahl selten nötig.

Warum bekomme ich Spam, obwohl niemand meine Adresse kennt?

Bots finden Formulare automatisch, indem sie das Netz durchsuchen. Sie brauchen Ihre Adresse nicht zu kennen, das Formular selbst reicht ihnen.

Nutzt ein einfacher Spamfilter im Postfach?

Er hilft, löst das Problem aber nicht an der Wurzel. Besser ist es, den Spam schon beim Absenden zu blockieren, damit er gar nicht erst zugestellt wird.

Quellen

  • OWASP – Empfehlungen zu Formular- und Bot-Schutz
  • Mozilla Developer Network (MDN) – Grundlagen zur Formularverarbeitung
Kontaktformular-Spam stoppen: Massnahmen ohne Captcha
Scroll to top