Kategorien
Know-how

DSGVO: So funktioniert bei mir die Spam-Absicherung in Contact Form 7

Wenn das Kontaktformular online geht, dauert es in der Regel nicht lange, bis die ersten Bots automatisierte Spam-Anfragen senden. Es gibt dagegen etliche Maßnahmen, aber nicht alle arbeiten zwingend datenschutzkonform.

Spamabwehr über IP-Erfassung ist erst einmal ein Datenschutzproblem

Vor der Datenschutz-Grundverordnung hatte ich gegen diese Spam-Nachrichten ein Tool eingesetzt, das die Besucher-IP mit einer Datenbank abglich, um potenzielle Spammer zu identifizieren. Das funktionierte auch ganz hervorragend. Allerdings war dieser Abgleich mit der Speicherung und Verwendung der Besucherdaten verbunden. Wenn ich es richtig verstehe, könnte man in der Datenschutzerklärung darauf hinweisen und die Verarbeitung als technisch notwendig begründen. Ich wollte mich allerdings nicht in solche Feinheiten einarbeiten.

Die Suche nach der richtigen Lösung

Es musste also eine andere Lösung her. Captcha-Dienste haben in der Regel das gleiche Problem, die Eingaben des Nutzers werden an einem anderen Ort verarbeitet und gespeichert, der Vorgang muss zumindest in der Datenschutzerklärung dargestellt werden. Inzwischen gibt es sicher auch in diesem Bereich geeignete Lösungen, damals passte aber keine für mich. Ich hatte es auch mit einem lokal gespeicherten Captcha-Algorithmus probiert, konnte ihn aber nicht vernünftig ins Design integrieren und war auch sonst nicht mit der Darstellung zufrieden.

Eine mögliche, aber durchlässige Lösung: Honeypot

Um dem Spam Herr zu werden, habe ich Contact Form 7 Honeypot ausprobiert. Das Prinzip des Honeypots funktioniert sehr einfach und datenschutzkonform. Die Technik setzt auf die Automatisierung der Spam-Roboter, die stupide alle Anforderungen von Websites entsprechen wollen. In diesem Fall wird ein für menschliche Nutzer/innen unsichtbares Feld angelegt, das zum Beispiel „Telephone“ heißt. Der Bot trägt irgendeinen passenden Nonsens-Inhalt ein – und ist in die Falle gegangen. Wird das nur im Quellcode sichtbare Feld ausgefüllt, wird die Nachricht nicht an mich abgeschickt. Der Spammer greift in den offenen Honigtopf, eine klebrige Angelegenheit.

Weil trotzdem immer wieder Spam durchkam, setzte ich schließlich zwei solcher Honigtöpfe ein, was auf Dauer aber immer noch nicht für völlige Ruhe sorgte.

Meine aktuelle Lösung – seit etlichen Monaten spamfrei

Irgendwann wurde ich auf die Quizfunktion von Contact Form 7 aufmerksam. Bei der Erstellung eines Formulars kann man mithilfe des Buttons „Quiz“ eine Frage einbauen, die vor dem Absenden der Mail beantwortet werden muss. Da ich hauptsächlich mit deutschsprachigen Kund*innen und Interessent*innen zu tun habe und eine möglichst breit lösbare und unmissverständliche Frage haben wollte, erkundige ich mich nach dem Namen der Hauptstadt Deutschlands.

Es sind aber zum Beispiel auch Rechenrätsel möglich, auch können mehrere Fragen angeboten werden. Es wird dann eine Frage nach dem Zufallsprinzip ausgewählt.

Das Ganze wird hier noch einmal vom Entwickler selbst auf Englisch ausführlich beschrieben. Bei mir klappt es jedenfalls einwandfrei; seit ich das Quiz nutze, ist keine automatisierte Spammail mehr in meinem Postfach gelandet.

Diesen Artikel habe ich am 17. Oktober 2018 erstellt und am 27. Januar 2022 auf den aktuellen Stand gebracht.

Titelbild: Hannes Johnson auf Unsplash

6 Antworten auf „DSGVO: So funktioniert bei mir die Spam-Absicherung in Contact Form 7“

Dankeschön für diesen Artikel!
Auch ich suche eine DSGVO konforme Lösung, bei der möglichst keine Daten Dritten bereitgestellt werden müssen. In der Folge habe ich ein Kontaktformular mit Contact Form 7 und dem Plugin … Honeypot erstellt. Dank Ihres Artikels werde ich das nachträglich (gestern) ergänzte Quiz wieder entfernen und durch einen zweiten Honeypot ersetzen. Danke für diesen Tipp!

Ihr Beitrag wurde mir in meiner Google Suche weit oben vorgeschlagen. Allerdings hätte ich fast nicht „geklickt“, weil der Beitrag aus Anfang 2018 ist und ich eben eine DSGVO konforme Lösung suche. Vielleicht wenden Sie für diesen Beitrag die gleiche Technik an wie bei Ihrem Beitrag „ein frohes neues Jahr“ (oder ähnlich) -> Beitragsdatum aktualisieren und unter dem Beitrag ein Hinweis, dass der Beitrag ursprünglich aus 2018 ist und jetzt überarbeitet wurde.

Tolle Homepage mit einem noch interessanten Content!

Ihnen ein frohes Neues Jahr 2022 ;-)

Vielen Dank für Ihren Kommentar! Sie haben vollkommen recht, eine Aktualisierung täte vielen Artikeln gut; mir fehlt dafür leider die Zeit, aber ich aktualisiere immer, sobald ich dazu komme. In diesem Fall ist die von mir vorgestellte Lösung auch noch nicht perfekt bzw. tatsächlich überholt. Ich arbeite bei meinem Kontaktformular inzwischen mit einer „Quiz-Abfrage“, die sich über Contact Form 7 ganz einfach erstellen lässt (über den Button „Quiz“). Ich frage dabei nach der deutschen Hauptstadt. Tatsächlich habe ich seitdem überhaupt keine Spam-Zusendungen mehr zu verzeichnen. Ich wünsche Ihnen ebenfalls noch ein gutes, erfolgreiches neues Jahr!

Herzliche Grüße!

Danke für den Artikel. Gibt es denn keine andere Möglichkeit? Deine letzte vorgeschlagene Lösung ist ok, aber nicht optimal. Damit bauen wir eine erhebliche Barriere ein, die zu einer erhöhten Absprungrate führt. Was wir benötigen, ist ein Captcha, welches im Hintergrund automatisch läuft und den User auf Echtheit prüft. Friendly Captcha ist z.B. ein Tool, was genau das anbietet. Der Nachteil: Es kostet monatlich Geld.

Ich denke, man muss hier ein wenig schauen, wo so etwas zum Einsatz kommt. Auf meiner Seite ist die Barriere okay, weil der Schritt zur Kontaktaufnahme ohnehin nicht mit einem Klick funktioniert (Lektorate oder Textaufträge sind aktuell noch schwer zu standardisieren). Wenn es aber darum geht, möglichst viele niedrigschwellige Anfragen zu generieren, dann scheint mir eine Lösung wie Friendly Captcha sehr sinnvoll. Zumal es ja auch eine kostenlose Grundversion gibt. Wenn sich aus der Vielzahl von Anfragen auch eine sinnvolle Auftragsquote ergibt, wäre meiner Meinung nach, gerade im Unternehmensbereich, eine bezahlte Lösung durchaus sinnvoll. Aber wie gesagt, für mich würde sich dies nicht lohnen, wahrscheinlich auch nicht für die meisten anderen Freelancer.

Viele Grüße!

Christian

ich schlage mich auch gerade mit spams rum: stichwort eric jones (findet man direkt ein paar Diskussionen genervter Betroffener zu).
Lösungsvorschläge waren da u.a. Filtern per Flamingo – oder time trap mit Mega Forms. Letzteres hatte ich mir angeschaut um dann festzustellen das Honeypot für cf7 ebenfalls so etwas anbietet.

Ergo: zum einen habe ich jetzt:
a) einen zweiten Honeypot hinzugefügt
b) die Honeypots „logisch“ in das Formular eingefügt (vorher hatte ich meinen Pot für die „Webseite“ unterhalb der Nachricht)
c) eine Time Trap auf 3 Sekunden eingestellt (ich denke/hoffe) das die schlauen Bots in millisekunden ausfüllen).

Das klingt auf jeden Fall spannend und es würde mich interessieren, ob die Honeypots mit diesen Tweaks den Spam besser abfangen. Bei mir funktioniert die Lösung mit der Quiz-Frage nach wie vor vollumfänglich, Spam kam keiner mehr an. Aber natürlich ist es eine Hürde mehr auf dem Weg zur Kontaktaufnahme.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.