DALL·E 2023-08-18 13.47.47 - A criminal hacker is trying to intrude into a computer system to read unencrypted email messages. Landscape format
Veröffentlicht am von Max Hagemann

So sicherst du deine Kontaktformulare – Schütze deine Website vor Missbrauch

Spamschutz wird für jeden Webseitenbetreiber immer wichtiger. Vielleicht hast auch du bereits erlebt, wie Spam über Kontaktformulare deiner Seite versendet wurde. 

Die Folge: E-Mails, auch legitime, konnten zeitweise an Empfänger bei großen E-Mail-Diensten nur eingeschränkt zugestellt werden. 

Das ist ein Problem, das nicht nur deinen Hosting-Provider betrifft, sondern auch dich und deine Nutzer. Lass uns also gemeinsam genauer anschauen, wie Kontaktformulare zur Spamschleuder werden können und wie du dem effektiv entgegenwirken kannst.

Warum sind Kontaktformulare ein Ziel für Spam?

Kontaktformulare sind wichtig für die Kommunikation zwischen dir als Webseitenbetreiber und deinen Kunden. Leider sind sie auch beliebte Angriffsziele für Spammer. Dabei klingt der Begriff Spam eher harmlos. Es handelt sich bei der schädlichen Payload keineswegs immer um plumpe Werbung, sondern auch oft um Phishingversuche. Es wird nach unserer Beobachtung auch gerne versucht, Schadsoftware, getarnt als Bild oder Office-Datei, mitzusenden. Die Absenderadressen der Kontaktformulare erscheinen vielen Spamfiltern zunächst als „saubere Adressen“.

Das sind die häufigsten Schwachstellen bei der Implementierung von Formularen auf Webseiten:

Fehlende Validierung

Wenn deine Formulareingaben nicht ausreichend validiert werden, können Bots und Skripte sehr einfach automatisierte Spam-Nachrichten versenden. Das gefährdet nicht nur deine Server, sondern auch deine Kommunikationswege. Das ist die erste Line of Defense, wie die Fachleute sagen. Damit ist eine einfache Eingabeüberprüfung gemeint: Ohne Validierung kann das Formular z.B. jegliche Daten akzeptieren. Daher sollte man sicherzustellen, dass sie einem erwarteten Format entsprechen. 

Keine CAPTCHA-Integration

Ohne CAPTCHA oder reCAPTCHA sind deine Formulare ein gefundenes Fressen für automatisierten Spam. CAPTCHA-Tools helfen dabei, echte Nutzer von Bots zu unterscheiden.

E-Mail-Injection

Ungeschützte Formulare erlauben es Angreifern, zusätzliche E-Mail-Header einzuschleusen. Dadurch können sie das Formular missbrauchen, um Spam-Mails zu versenden.

Fehlende Rate Limiting

Begrenze die Anzahl der Formularübermittlungen, um massenhafte Anfragen zu verhindern. So kann Mehrfacheingaben des immer gleichen oder nahezu gleichen Texts an unterschiedliche Adressen abfangen. 

Was bedeutet Outbound-Spam für deinen Hosting-Provider?

Wenn über deine Seite Spam verschickt wird, kann das weitreichende Konsequenzen haben. Das sind die wichtigsten:

IP-Blockierung

Die IP-Adresse des Servers, der die Mail versendet,, könnte auf einer Blacklist landen, was auch die Zustellung legitimer E-Mails beeinträchtigt, auch die von anderen Usern. 

Rufschädigung

Wird dein Provider als Spamversender gebrandmarkt, leidet auch dein Ruf. Vertrauen geht verloren und Kunden könnten sich abwenden.

Erhöhte Supportkosten

Die Bearbeitung von Spamproblemen bindet Ressourcen im Support und behindert die Bearbeitung anderer Anliegen.

Rechtliche Konsequenzen

In manchen Ländern können Spamversand rechtliche Folgen haben, besonders wenn nicht angemessen auf Missbrauch reagiert wird. Auch in Deutschland schreiben Gesetze vor, dass man als Webseitenbetreiber Maßnahmen zum Schutz von Daten treffen muss. 

Netzwerküberlastung

Massenhaft versendeter Spam belastet die Server und beeinträchtigt die Servicequalität. Auch das muss verhindert werden.

So sicherst du Kontaktformulare auf deiner Website effektiv ab

Hier sind einige Maßnahmen, mit denen du deine Formulare absichern kannst:

Implementiere CAPTCHA, wenn du Kontaktformulare anbietest

CAPTCHAs sichern deine Formulare effektiv ab, indem sie sicherstellen, dass nur Menschen sie nutzen können. Dabei kann es sich um das Eingeben verzerrter Texte oder das Auswählen von Bildern handeln.

Verwende aktuelle CAPTCHA-Technologien

Moderne Lösungen wie von Google oder Cloudflare bieten effektiven Schutz. Alternativen findest du auf European Alternatives oder im Runcloud Blog.

Eingabevalidierung und -bereinigung der User-Eingaben

Sorge dafür, dass nur Daten im erwarteten Format akzeptiert werden, um Risiken wie E-Mail-Injection zu minimieren.

E-Mail-Rate Limiting

Begrenze die Anzahl der E-Mails, die in einer bestimmten Zeit überhaupt übermittelt werden können, um Missbrauch vorzubeugen.

Aktivitäten überwachen: Funktionieren deine Kontaktformulare wie sie sollten?

Protokolliere die Aktivitäten deiner Formulare, um verdächtige Muster schnell zu erkennen und darauf reagieren zu können.

So funktioniert CAPTCHA für Kontaktformulare

Dieses Diagramm zeigt, wie ein Online-Formular mit Captcha-Schutz typischerweise funktioniert. Ein Captcha dient als Schutzschild gegen Spam und automatisierte Angriffe. Erst wenn ein Mensch die kleine Aufgabe löst, können die eingegebenen Daten sicher gespeichert und eine Bestätigung versendet werden. So wird gewährleistet, dass nur echte Nutzer mit Ihrer Website interagieren und Kontaktformulare nicht verwendet werden, um Spam zu generieren.
Einfache Rätsel, großer Effekt: CAPTCHAs sorgen für einen sicheren und reibungslosen Ablauf beim Ausfüllen von Online-Formularen.

CAPTCHA steht für: Completely Automated Public Turing test to tell Computers and Humans Apart. Es handelt sich um einen Sicherheitsmechanismus, der entwickelt wurde, um sicherzustellen, dass die Interaktion mit einem Webdienst von einem Menschen und nicht von einem automatisierten Bot stammt.

Ein Kontaktformular kann so konfiguriert werden, dass es eine Kopie des eingefügten Textes an eine angegebene Adresse schickt. Die ist aber nicht ein einzige Einfallstor. Das Skript für das Kontaktformular kann so manipuliert werden, dass versteckte Felder und deren Inhalt mitgeschickt werden oder die generierten Mailheader ergänzt bzw. verändert werden. Ein ähnliches Prinzip haben wir im Fall von SMTP Smuggeling gesehen.

Hier sind die grundlegenden Prinzipien, wie ein CAPTCHA funktioniert. Einige davon sind heute maschinell vergleichsweise leicht zu umgehen, andere sind auch für KI-Tool schwieriger und erzeugen deutlich mehr Kosten beim Spammer:

Herausforderung und Antwort

Ein CAPTCHA präsentiert dem Benutzer eine Aufgabe oder Herausforderung, die für Menschen leicht zu lösen ist, aber für Computer schwierig oder unmöglich. Dies könnte das Erkennen von verzerrtem Text, das Lösen einer einfachen Rechenaufgabe oder das Auswählen bestimmter Bilder aus einer Gruppe sein.

Verzerrter Text

Eine der frühesten Formen von CAPTCHA besteht darin, den Benutzer zu bitten, verzerrten oder verschwommenen Text einzugeben. Die Verzerrung macht es für Computer schwierig, den Text mit optischer Zeichenerkennung (OCR) zu analysieren.

Bildbasierte Herausforderungen

Moderne CAPTCHAs verwenden oft Bilder. Der Benutzer könnte aufgefordert werden, alle Bilder auszuwählen, die ein bestimmtes Objekt enthalten, wie z.B. Ampeln oder Autos. Diese Aufgaben nutzen die Fähigkeit des menschlichen Gehirns zur Mustererkennung, die für Computer komplex ist.

Rechenaufgaben

Einige CAPTCHAs verwenden einfache mathematische Probleme, die ein Benutzer lösen muss, wie z.B. das Addieren zweier Zahlen. Diese sind für Menschen trivial, aber erfordern zusätzliche Programmierung für Bots.

Verhaltensbasierte CAPTCHAs

Diese analysieren das Benutzerverhalten, z.B. die Art und Weise, wie jemand tippt oder die Maus bewegt. Sie setzen maschinelles Lernen ein, um menschliches Verhalten von automatisierten Skripten zu unterscheiden.

Zeitbasierte Tests

Manche CAPTCHAs berücksichtigen die Zeit, die ein Nutzer benötigt, um die Herausforderung zu lösen. Bots agieren oft viel schneller oder langsamer als ein Mensch.

Das Ziel eines CAPTCHA ist es, die Benutzerfreundlichkeit für Menschen zu erhalten, während es gleichzeitig für Bots eine erhebliche Hürde darstellt. Moderne Entwicklungen, wie Googles reCAPTCHA, versuchen, den Prozess für legitime Benutzer so nahtlos wie möglich zu gestalten und verwenden oft unsichtbare Methoden zur Erkennung von Bots im Hintergrund.

Aktuelle CAPTCHAs zu verwenden ist die aus unserer Sicht einfachste Maßnahme gegen Formularspam. Es gibt recht viele Anbieter, die Captchas anbieten. Gut funktionieren z.B. die von Google und Cloudflare. Es gibt aber auch andere, die hier genauer beschrieben sind:

Folgende Tools zum Schutz für Kontaktformulare und anderen Eingabefeldern sind uns aufgefallen und für jeden Webseitenbetreiber sicherlich einen näheren Blick wert:

  1. Friendly Captcha – Ein CAPTCHA-Dienst aus Deutschland, bei dem nur ein Kästchen angeklickt werden muss.
  2. Captchafox – Ein CAPTCHA-Dienst aus Deutschland, der Integrationen für WordPress, Node, Vue und React bietet.
  3. Trustcaptcha – Ein CAPTCHA-Dienst aus Deutschland, der Webseiten vor Bot- und Spam-Angriffen schützt, ohne dass Benutzer Puzzle lösen oder ähnliche Aufgaben erfüllen müssen.
  4. Captcha – Ein österreichischer CAPTCHA-Dienst, der ein Proof-of-Work-System verwendet und daher keine Benutzereingaben erfordert. Es gibt Plugins für WordPress, Keycloak-Erweiterungen und Joomla-Integrationen.
  5. Swetrix CAPTCHA – Ein CAPTCHA-Dienst von Swetrix, einer ukrainischen Firma für Webanalytik, die die Privatsphäre priorisiert und in ihr Webanalytik-Plattform integriert ist.
  6. ALTCHA – Ein Open-Source-CAPTCHA-Dienst, der keine Cookies, Fingerprints oder Tracker sammelt und auf deinem eigenen Server gehostet wird.
  7. mCaptcha – Ein Open-Source-CAPTCHA-D

Daneben gibt es weitere kommerzielle Tools verschiedener Cloud-Service-Provider, mit denen Kontaktformulare oder andere Usereingaben, die ausgewertet werden sollen, geschützt werden können.

ALTCHA-Captcha gefällt uns gut aus folgenden Gründen:

  • Es ist Open Source und kostenlos.
  • Es erfüllt die DSGVO-Vorschriften, indem es keine Cookies oder Fingerprints sammelt.
  • Es verwendet ein Proof-of-Work-Verfahren, das als erste Verteidigungslinie gegen Spam dient.
  • Es enthält einen Spamfilter, der auch komplexe Angriffe und menschlich generierten Spam stoppt.
  • Es ist benutzerfreundlich und eliminiert die Notwendigkeit von Rätsellösungen.
  • Es verbessert die User Experience (UX) der integrierten Website.
  • Es ist maschinenzugänglich und bietet Merkmale zur Barrierefreiheit von Maschine-zu-Maschine-Kommunikation.
  • Es wird unter einer MIT-Lizenz veröffentlicht und ist somit frei für die Verwendung durch Einzelpersonen, kleine Unternehmen und Großunternehmen.
  • Es ist leicht zu integrieren und bietet Zwei-Faktor-Authentifizierung über Checkbox-Verifizierung.

Auch für WordPress gibt es fertige Plugins. Hier empfiehlt sich die Suche im Pluginverzeichnis. Ein Beispiel ist hier, aber auch Stop Spammers (ein WordPress-Plugin, das Spam-Kommentare und -Registrierungen verhindert) und Spamfighter (ein weiteres WordPress-Plugin, das Spam filtert und blockiert kommen vielleicht in Frage). Dabei ist es wichtig, die Plugins stets aktuell zu halten. WordPress bietet an, die Plugins automatisch upzudaten. Dies sollte man aktivieren.

Wie goneo auf Outbound-Spam aus Kontaktformularen reagiert

Automatische Überwachung und Sperrung

Sobald ein verdächtiges Absenderverhalten erkannt wird, greifen bei goneo automatische Überwachungsmechanismen. Auffällige Absender, bei denen ein erhöhtes Risiko für Spam-Versand festgestellt wird, werden unmittelbar gesperrt. Dies bedeutet, dass von diesen Absendern keine E-Mails mehr über unsere Server verschickt werden können – egal, ob es sich um Spam oder legitime Benachrichtigungen handelt. Die Sperrung stellt sicher, dass der potenzielle Schaden minimiert wird. Dies passiert pro Jahr einige Tausend Mal.

Diese Sperren können teilweise vom Kunden oder durch den Kundendienst entsperrt werden. Wenn der Kunde mehrfach auffällig wird, kann er sich nicht mehr selbst entsperren. Je häufiger der Kunde gesperrt wird, desto länger die Sperrdauer. Die erste Sperrung dauert mindestens 24 Stunden und erhöht sich weiter pro Sperrung.

Benachrichtigung per E-Mail

Transparenz ist uns bei goneo wichtig. Sobald eine Sperrung erfolgt, informieren wir die betroffenen Kunden umgehend per E-Mail. Die Mail wird an die Adresse gesendet, die der Vertragspartner als Kontaktadresse angegeben hat. 

Auf diese Weise wissen Sie als Webseitenbetreiber sofort, dass es ein Problem gibt, und können gezielte Maßnahmen zur Behebung und Prävention ergreifen.

Fazit: Kontaktformulare müssen geschützt werden

Indem du diese Sicherheitsmaßnahmen umsetzt, schützst du nicht nur dich selbst, sondern auch das Vertrauen deiner Nutzer in deine Kommunikationskanäle. Bei goneo setzen wir auf fortschrittliche Spam-Erkennung und -Verhinderung, um Missbrauch zu minimieren. Im Falle eines Falles informieren wir dich natürlich umgehend.

Nimm die Absicherung deiner Kontaktformulare ernst – zum Wohle deiner Webseitenbesucher, deiner Kunden und deiner Marke. 

Nutze unsere Tipps und Tools, um deine Webseite heute noch sicherer zu machen. Denk daran: Ein sicherer Kontakt zu deinen Kunden ist unbezahlbar. Werde aktiv und rüste dich gegen die Herausforderungen, die die digitale Kommunikation mit sich bringt. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert