Auslöser: Formular-Spam und unerwünschte Nachrichten
Leiden Sie auch unter Formular-Spam? Betreiben Sie eine Website mit einem oder mehreren Formularen, z.B. einem Kontaktformular und einem Formular für die Registrierung für Ihren Newsletter? Erhalten Sie, wenn sich darüber jemand mit Ihnen in Verbindung setzt bzw. sich für Ihren Newsletter registriert eine Benachrichtigung per E-Mail und wird für den Vorgang automatisch ein Eintrag in Ihrem CRM-System erstellt?
Dann kennen Sie sehr wahrscheinlich auch die Thematik, dass Sie darüber – je nach Bekanntheit und Beliebtheit Ihrer Webseite – zahlreiche unerwünschte und sinnlose Nachrichten und Einträge im CRM erhalten. In unserem Fall sind dies beispielsweise meist Nachrichten aus allen Ländern der Welt mit Kooperationsangeboten für Website-Erstellung und -Programmierung, die bei uns in der Regel von Unternehmen aus Indien und USA stammen.
Da wir unsere Dienstleistungen aus verschiedenen Gründen jedoch ausschließlich im deutschsprachigen Raum – primär Deutschland und Österreich, gelegentlich auch in der Schweiz – anbieten, und zudem hohen Wert auf eine qualitativ hochwertige Eigenleistung setzen, sind solche Kooperationsangebote für uns nicht von Bedeutung. Wir haben sogar oberhalb unseres Kontaktformulars extra eine englische Textpassage eingefügt die den Besucher darum bittet, von Anfragen außerhalb des deutschsprachigen Raums abzusehen – nur hält das diese Unternehmen leider nicht davon ab es trotzdem zu versuchen.
Zudem erhalten wir zunehmend Nachrichten mit identischem Vornamen und Nachnamen, oder mit für uns sinnlosen englischsprachigen Angeboten im Nachrichtentext, wo alleine dadurch schon erkennbar ist, dass das Formular nicht von einem Menschen vor einem Bildschirm sondern von einer Automatik-Software (meist als Formular-Bot oder Spam-Bot bezeichnet) ausgefüllt und versendet wurde. Letztere „Anfragen“ sind für uns als Unternehmen natürlich völlig nutzlos, da sich dahinter ja keinerlei Interesse an unseren Dienstleistungen verbirgt, sondern hier per Masseneintragungen versucht wird, irgendetwas zu verkaufen oder uns sogar zum Besuch von mit Schadcode verseuchten Websites zu verleiten.
Wie kann man Formular-Spam und unerwünschte Nachrichten vermeiden?
Es gibt verschiedene Methoden um die oben geschilderten, unerwünschten CRM-Einträge und Nachrichten zu vermeiden. Hier eine Liste möglicher Maßnahmen, ohne Anspruch auf Vollständigkeit.
Versteckte Formularfelder
Man integriert in das Formular ein für den menschlichen Besucher unsichtbares Formularfeld, welches nur Formular-Bots „sehen“ (da diese nur den HTML-Code der Seite „lesen“ und untersuchen können) – und eben auch ausfüllen. Dies macht man sich zunutze, indem man – entsprechende Programmierkenntnisse vorausgesetzt – beim Versuch, das Formular abzusenden, im Hintergrund das unsichtbare Formularfeld überprüft, und die Versendung unterbindet, wenn in diesem Feld etwas eingetragen wurde.
Captchas
Das bekannteste Captcha ist das ReCAPTCHA von Google, welches man auf vielen Formularen im Web finden kann. Hier muss der Besucher in der Regel eine Bilderfrage beantworten, indem er die passenden Kästchen aus einem Bildermosaik anklickt (z.B. alle Fahrräder im Bild). Es gibt aber auch einfachere Captchas, wo der Besucher z.B. eine einfache Rechenaufgabe korrekt lösen muss bevor das Formular abgesendet werden kann. Die meisten Formularlösungen in CMS-Systemen haben eine Captcha-Option integriert, die dann einfach genutzt werden kann.
In unserem Formularsystem gibt es leider nur das ReCAPTCHA von Google. Das wäre leicht zu integrieren und hätte uns zumindest vor den Formular-Bot-Einträgen bewahrt. Allerdings gibt es schon seit Jahren immer wieder Stimmen von Internetrechts-Experten (z.B. auch eRecht24), die vor der Verwendung des ReCAPTCHAS aus Datenschutzgründen warnen – und werden es deshalb auch weiterhin nicht verwenden.
Sitzungs-Kenner (Session Token)
Bei dieser Methode erhält der Besucher beim Besuch der Website ein sogenanntes Session-Cookie (eine kleine Textdatei die ihn eindeutig identifiziert). Da Formular-Bots keine Cookies verwenden, kann auf der Formular-Seite so unterschieden werden, ob es sich um einen echten Besucher oder einen Bot handelt. Das Problem mit dieser Variante ist jedoch, dass ein Besucher, bevor er auf die Formularseite geht, zuerst auf mindestens einer anderen Seite der Website gewesen sein muss, damit die Cookie-Datei erzeugt werden konnte. Falls der Besucher jedoch – sei es durch einen Link in den Suchmaschinen-Resultaten oder einer E-Mail, oder weil er sich ein entsprechendes Lesezeichen im Browser gespeichert hat – direkt auf der Formularseite landet, scheitert diese Methode. Und natürlich erfordert auch dies entsprechende Programmierkenntnisse.
Prüfung der IP-Adressen
Man kann Merkmale der Formular-Bots, z.B. deren IP-Adresse, in einer eigenen Datenbank oder Datenbanktabelle speichern, und diese regelmäßig auf bestimmte Muster und Häufungen überprüfen. Erhält man beispielsweise häufig von derselben oder ähnlichen IP-Adressen Formular-Spam, kann man das Versenden des Formulars unterbinden, wenn eine IP-Adresse einem so erfassten bzw. erkannten Muster entspricht.
Das Problem bei dieser Methode (zumindest innerhalb der EU): ob die Erfassung (also Speicherung über einen gewissen Zeitraum) der vollständigen IP-Adresse dem Website-Betreiber gemäß EU-DSGVO (der EU-Datenschutzgrundverordnung) gestattet ist, muss rechtlich geklärt werden. Hierfür gibt es rechtliche Vorgaben, an die sich z.B. auch die Hosting-Provider (welche immer die vollständige IP-Adresse für einen bestimmten Zeitraum speichern) halten müssen.
Überprüfung der Geo-Location
Wer sich mit IP-Adressen auskennt weiß, dass sich anhand der IP-Adresse eines Besuchers auch dessen ungefährer Standort ermitteln lässt. Die Genauigkeit der Daten entsprechender Dienste im Internet zur Abfrage des geografischen Ortes – sogenannte Geo-Location-Services – unterscheiden sich jedoch je nach Anbieter. Dies gilt ganz besonders für Dienste, welche kostenfrei angeboten werden. Möchte man wie wir Interessenten außerhalb unserer Kundenzielgruppe aus deutschsprachigen Ländern am Absenden unserer Formulare hindern, reicht die Genauigkeit auf Landesebene jedoch aus. Entscheidend ist, dass sich die Daten nicht nur wie bei den meisten Anbietern per Eingabemaske sondern programmgesteuert als Web Service ansteuern und abfragen lassen.
Wir haben uns nach längerer Suche und diversen Tests für die kostenfreie Lösung von ipinfo.io entschieden. Zwar stimmte bei den meisten unserer Testabfragen die Angabe des Ortes nicht (es wurde meistens „Dortmund“ statt „München“ angezeigt), aber für unseren Zweck, also die Abfrage des Herkunftslandes (Deutschland, Österreich, Schweiz) genügt dieser Web Service unseren Anforderungen. Und für den Fall, dass der Web Service einmal nicht funktionieren oder verfügbar sein sollte, und somit das Land nicht ermittelt werden kann, lassen wir natürlich den Versand des Formulars zu.
Die beste Lösung: eine Kombination von mehreren Methoden
Wie bereits erläutert, ist kaum eine der zuvor beschriebenen Methoden hundertprozentig zuverlässig – dies gilt insbesondere dann, wenn man lediglich auf kostenfreie Lösungen zurückgreifen möchte. In diesem Fall bleibt nur noch eine Lösung: man kombiniert mehrere der oben beschriebenen Lösungen und erhöht damit die Wahrscheinlichkeit dafür, dass ein Formular- oder Spam-Bot am Versenden des Formulars gehindert wird.
Wir selbst nutzen aktuell versteckte Formularfelder in Kombination mit der Überprüfung der Geo-Location zur Abwehr von Formular-Spam.
In einem Folge-Artikel werden wir die Integration dieser beiden Methoden gegen Formular-Spam und unerwünschte Nachrichten näher erläutern und dann hier auch entsprechend verlinken.
Antworten