Spamschutzmaßnahmen

Kommentarspam und auch der Spam in den auf privaten Homepages gebräuchlichen Gästebüchern nimmt in den letzten Monat gefühlt exponentiell zu. Deswegen möchte ich an dieser Stelle einmal auf die verschiedenen Spamschutzmaßnahmen im Web hinweisen:

• Captchas
• Rechenaufgaben
• Dumme Fragen
• Vergleich der IP-Adressen
• Zeitschutz
• Formularverschachtelungen
• verstecktes Formularfeld
• Turingtests

Diese acht Maßnahmen sind die am weitesten Verbreiteten im Web. Folgend eine kurze Erklärung der verschiedenen Mechanismen:

Captchas

Sehr bekannt und viel verwendetes Mittel gegen Spambots. Es wird mittels der GDLib eine Grafik aus Bild und Text dynamisch erzeugt. Hier ein einfaches Captcha:

Wird der korrekte Text in einem Formularfeld übermittelt, wird der Kommentar zugelassen, ansonsten wird er verworfen.

Rechenaufgaben

Diese Methode ähnelt sehr dem Captcha, nur dass es ohne die GDLib auskommt (welche auf dem Webserver zur Verfügung stehen muss und je nach Anzahl der PIs auch entsprechend Last erzeugt). Es wird einfach eine Rechenaufgabe gestellt, beispielsweise:

3 und vier macht?

In einem Formularfeld wird die Antwort abgefragt, ist sie richtig wird der Kommentar zugelassen, ansonsten verworfen.

Dumme Fragen

Eine Abwandlung der Rechenaufgabe. Eine Frage könnte beispielsweise sein:

Welche Farbe hat das rote Auto?

In einem Formularfeld wird die Antwort abgefragt, ist sie richtig wird der Kommentar zugelassen, ansonsten verworfen.

Vergleich der IP-Adressen

Diese sehr spezielle Schutzmaßnahme wird selten alleine eingesetzt, bietet aber i.d.R. einen guten Schutz gegen professionelle Spammer. Die IP-Adresse des Formularaufrufers wird vermerkt. Beim Absenden wird die IP-Adresse des Absenders mit der des Aufrufers verglichen. Unterscheiden sich diese IPs, handelt es sich höchstwahrscheinlich um einen Spammer.

Zeitschutz

Der Zeitschutz funktioniert ähnlich wie an der Kasse einer Bankfiliale. Das Formular darf ausgefüllt werden, die Daten werden aber erst nach ein paar Sekunden akzeptiert. Dies fällt im Alltagsbetrieb nicht auf, da normale Besucher schon mehr als zwei Sekunden brauchen um ein Formular auszufüllen, Spambots jedoch recht flink sind. Die Umsetzung ist rel. einfach, die ein Timestamp im Formular abgelegt wird. Ist der Absende-Timestamp größer-gleich dem Formular-Timestamp plus zwei Sekunden, geht alles klar, sonst wird der Kommentar als Spam verworfen.

Formularver-
schachtelungen

Von WLAN-Netzen bekannt als Honeypot; dort werden einfach hunderte von WLAN-Netzen bekannt gemacht, jedoch ist nur eins funktionstüchtig. Bei den Formularverschachtelungen wird vor dem eigentlichen Kommentarformular ein verstecktes Formular deklariert. Da Spambots meist das erste gefunden Formular abarbeiten, und nicht alle auf der Seite vorhandenen, gelangen sie gar nicht bis zum Kommentar durch, während der normale Besucher nichts davon merkt. Für CSS-lose Besucher oder Besucher mit Screenreadern sollte das "Spam-Formular" entsprechend deklariert werden, damit sie es nicht fälschlicherweise ausfüllen.

verstecktes Formularfeld

Das versteckte Formularfeld arbeitet als Spamschutz genau invertiert zum Captcha und Ähnlichen. Es wird ein zusätzliches Formularfeld eingefügt und per CSS versteckt; ebenso für Screenreader als nicht auszufüllen gekennzeichnet. Beim Absenden des Formulars wird geprüft ob das Feld leer ist. Wenn ja, wird der Kommentar zugelassen, wenn nein, als Spam verworfen. Da Spambots einfach alle Formularfelder ausfüllen eine durchaus praktikable Lösung, die sich zudem mit anderen Spamschutzmaßnahmen kombinieren lässt.

Turingtests

Der Turingtest ist wissenschaftlich teilweise umstritten und zugegebenermaßen werden wir hier keine sauberen Turingtest verwenden, sondern nur einzelne Module des Tests als Spamschutz nutzen. Diese ähneln den "dummen Fragen". Eine Turingtestfrage wäre beispielsweise:

Geben Sie den ersten und vorletzten Buchstaben des Wortes "$zufallsWort" an:

Ist die Antwort richtig wird der Kommentar zugelassen, ansonsten verworfen.

Fazit

Hier gibt es kein Fazit. Das ist ein Wettrüsten zwischen Spammern und Spamschützern. Eine sinnvolle Kombination bietet derzeit höchstmöglichen Schutz, dennoch wird der eine oder andere Spambot noch durchkommen können. Eine Liste wunderhübscher Spammails gibt es übrigens auf www.spamflut.de