TYPO3 Standard Mail-Formular: SPAM vs. Captcha

Einer unserer Kunden hatte Ärger mit einem Spammer. Genauer gesagt wurden seine Mail-Formulare (nur) mehrere Dutzend Male am Tag mit Spam-Links gefüttert und abgeschickt. Ob das jetzt automatisch passiert ist, habe ich nicht recherchert. Es musste jedoch eine Lösung gefunden werden, die den Kunden zufriedenstellt.

Normalerweise sichert man Mail-Formulare mit Sicherheitsabfragen, sog. Captchas, ab. Und damit wären wir schon beim Problem: es gibt im Moment scheinbar keine fertige TYPO3-Extension gegen Spam im Standard-Formular. Wenn man sich mal etwas auf die Suche macht, dann findet man jedoch Hinweise auf die Extension "nd_antispam". Die jedoch wurde offensichtlich aus dem Repository wieder entfernt. Man munkelt: aus Sicherheitsgründen. Also was tun?

Nun, da das Standard-Mail-Formular von TYPO3 eh nur für einfache Formulare geeignet ist, kann man auch gleich auf eine auf Mailformulare spezialisierte Extension zurückgreifen. Die Lösung zu meinem eingangs erwähnten Spam-Problem habe ich in der Erweiterung "powermail" gefunden. Dank IRRE ist es damit fast noch einfacher, sich ein anständiges Mailform zu erstellen. Man kann Feldtypen, Feldeigenschaften und deren Validierung mit ein paar Clicks einstellen - komfortabler und schneller jedenfalls als wie mit dem Standard-Formular-Generator.

"powermail" bietet bereits eine Unterstützung für Captcha-Abfragen. Man muss einfach ein neues Feld vom Typ "Captcha-Abfrage" hinzufügen. Mehr nicht. Naja, nicht ganz: Voraussetzung dafür, dass das funktioniert, ist natürlich die Installation der Captcha-Extension "sr_freecap".

Wer jetzt noch höhere Ansprüche an die Formular-Sicherheit hat, der kann auch noch die TYPO3-Erweiterung "wt_spamshield" installieren. Diese bietet Maßnahmen gegen Spam in powermail und ve_guestbook. Außerdem enthält sie Session-, Zeit- und Linkchecks, Akismet Unterstützung sowie eine Namensprüfung.

Meine Empfehlung ist aber, die Checks von "wt_spamshield" zunächst einmal alle abzuschalten und nur bei Bedarf, d. h. wenn Captcha nicht mehr reicht, nach und nach zu reaktivieren. Ich hatte mit einigen der Sicherheitsmechanismen leichte Probleme, die dazu führten, dass gar keine Mails mehr verschickt wurden, was natürlich suboptimal ist. Suboptimal war auch ein Phänomen, welches ich beobachten musste: meine Mails wurden immer doppelt verschickt. Aber dazu habe ich noch einen weiteren Beitrag geschrieben. So viel vorab: die Lösung ist einfach.