Eine Nachricht im Postfach, die nach Kontaktanfrage aussieht, aber nur aus Werbe-Links und kryptischem Text besteht. Wer ein Kontaktformular auf der eigenen Seite hat, kennt diese Mails. Mit der Zeit werden es mehr.
Das ist fast immer automatisierter Massenversand, der wahllos Millionen Adressen abklappert. Und Formspam lässt sich mit ein paar gut gewählten Mitteln so weit eindämmen, dass kaum noch etwas durchkommt. Echte Interessenten dürfen dabei nicht zum Kollateralschaden werden.
Warum Kontaktformulare Spam anziehen
Ein Kontaktformular ist eine offene Tür ins Postfach. Genau das macht es für automatisierte Programme interessant. Diese sogenannten Bots durchsuchen das Netz nach Formularen, tragen vorbereitete Werbung ein und schicken sie tausendfach ab. Kein Mensch sitzt dahinter, der Deine Seite ausgesucht hat.
Für den Bot zählt nur die Mechanik: Felder finden, ausfüllen, absenden. Er liest Deine Texte nicht, er versteht Deinen Hinweis „Bitte keine Werbung" nicht. Er arbeitet eine Liste ab. Deshalb hilft gegen Formspam vor allem eine technische Unterscheidung zwischen Mensch und Maschine.
Was diese Flut anrichtet, geht über das genervte Löschen hinaus. Sie kostet Zeit, verdeckt echte Anfragen und belastet im Extremfall den Server. Wie tief der Schaden reicht, beschreibt der Beitrag was Spam Deiner Webseite wirklich kostet im Detail.
Der Honeypot — der unsichtbare Türsteher
Der eleganteste Schutz ist der, den niemand bemerkt. Ein Honeypot (wörtlich Honigtopf) ist ein zusätzliches Eingabefeld im Formular, das für menschliche Besucher unsichtbar bleibt. Es wird per Gestaltung weggeblendet, sodass im Browser nichts davon zu sehen ist.
Ein Mensch füllt dieses Feld also nie aus, weil er es gar nicht wahrnimmt. Ein Bot dagegen liest den Formular-Aufbau direkt und füllt aus Gewohnheit jedes Feld, das er findet. Genau das verrät ihn. Kommt eine Nachricht herein, in der das versteckte Feld beschrieben ist, war es eine Maschine, und die Anfrage landet im Papierkorb statt im Postfach.
Der Charme dieser Methode: Sie ist für echte Besucher komplett geräuschlos. Niemand muss klicken, tippen oder ein Rätsel lösen. Der Honeypot arbeitet im Hintergrund und fängt einen großen Teil der einfachen Bots ab. Er ist deshalb die erste Verteidigungslinie, nach der man fragen sollte.
Captcha mit Augenmaß
Captchas kennt jeder: die Aufforderung, alle Ampeln anzuklicken oder verzerrte Buchstaben abzutippen. Sie sollen beweisen, dass ein Mensch am Werk ist. Das funktioniert gegen Bots, hat aber einen Preis, der oft unterschätzt wird.
Denn jede dieser Hürden kostet den Besucher Aufmerksamkeit und Geduld. Wer dreimal die falsche Ampel erwischt, bricht im Zweifel ab und schreibt gar nicht. Du hast den Bot ausgesperrt und den Kunden gleich mit. Ein Captcha ist also ein Werkzeug mit Nebenwirkung, kein kostenloser Schutz.
Moderne Varianten arbeiten deshalb unauffälliger. Sie beobachten im Hintergrund, wie sich ein Besucher auf der Seite bewegt, und schlagen nur dann Alarm, wenn etwas verdächtig wirkt. Im Normalfall sieht der Besucher davon nichts. Wenn schon Captcha, dann diese leise Form, und am besten erst als zweite Stufe, falls Honeypot und Zeitsperre nicht reichen.
Warum weniger Captcha oft mehr ist
Ein sichtbares Klick-Rätsel vor jedem Absenden behandelt jeden Besucher wie einen Verdächtigen. Das widerspricht dem Sinn eines Kontaktformulars, das Anfragen leicht machen soll. Die meisten Besucher sind Menschen mit einem echten Anliegen, nicht Bots.
Dazu kommt die Frage der Bedienbarkeit. Verzerrte Buchstaben sind für sehbehinderte Menschen kaum lösbar, Bilderrätsel scheitern an Screenreadern, und auch ältere oder weniger geübte Besucher straucheln. Ein Formular, das sich nicht von allen bedienen lässt, schließt Menschen aus. Warum das zunehmend zur Pflicht wird, erklärt der Beitrag dazu, wie Deine Webseite barrierefrei bedienbar bleiben muss.
Die Faustregel: So viel Schutz wie nötig, so wenig sichtbare Hürde wie möglich. Ein gutes Setup fängt den Großteil des Spams ab, bevor ein Besucher überhaupt etwas merkt. Sichtbare Tests sind die Ausnahme für den Ernstfall, nicht der Standard für jeden.
Zeitsperre und serverseitige Prüfung
Neben dem Honeypot gibt es weitere stille Hebel. Einer ist die Zeitsperre. Ein Mensch braucht ein paar Sekunden, um ein Formular zu lesen und auszufüllen. Ein Bot schickt es in Sekundenbruchteilen ab. Wird ein Formular auffällig schnell abgesendet, ist das ein verlässliches Bot-Signal, und die Anfrage wird verworfen. Was am Formular durchrutscht, fängst Du danach im Postfach ab, wenn Du einen Spam-Filter einrichten und sinnvoll einstellen lässt.
Hinzu kommt die Prüfung auf dem Server, also dort, wo der Bot keinen Zugriff hat. Hier lässt sich der Inhalt einer Nachricht auf typische Spam-Muster abklopfen: massenhaft Links, immer dieselben Werbephrasen, unsinnige Zeichenketten. Lässt Dein Formular auch Anhänge zu, gilt dieselbe Sorgfalt für jede hochgeladene Datei, wie der Beitrag zu sicheren Datei-Uploads im Formular zeigt. Solche Nachrichten werden aussortiert, bevor sie Dein Postfach erreichen.
Diese serverseitigen Mittel haben denselben Vorteil wie der Honeypot. Sie laufen unsichtbar und belasten den echten Besucher nicht. Sie sind Teil eines abgestuften Konzepts, in dem ein durchgehender Bot-Schutz für kleine Webseiten über das einzelne Formular hinaus greift.
Schutz, der niemanden aussperrt
Die einzelnen Mittel entfalten ihre Wirkung im Zusammenspiel. Honeypot und Zeitsperre fangen die breite Masse der einfachen Bots ab, geräuschlos. Die serverseitige Prüfung sortiert nach, was durchrutscht. Erst wenn das nicht reicht, kommt ein leises Captcha als letzte Stufe dazu.
Dieses gestufte Vorgehen schützt zwei Dinge zugleich: Dein Postfach vor der Müllflut und Deine Besucher vor unnötigen Hürden. Du musst die Technik nicht selbst bauen. Es reicht zu wissen, was es gibt, und Deiner Agentur zu sagen: Honeypot und Zeitsperre als Basis, sichtbares Captcha nur wenn es ohne nicht geht.
Fazit — leise Wächter schlagen laute Hürden
Formspam ist lästig, aber kein Schicksal. Die wirksamsten Mittel arbeiten im Verborgenen und merzen den Bot aus, ohne dass ein echter Interessent davon etwas spürt.
Wenn Du das Thema angehst, beginne mit dem Unsichtbaren: Honeypot, Zeitsperre, serverseitige Prüfung. Sichtbare Rätsel sind die Reserve für den Notfall. So bleibt Dein Kontaktformular das, was es sein soll: eine einladende, offene Tür für die richtigen Menschen.