Spam via formulieren op je website

Veel mensen kennen het wel: spam via het contactformulier op je website. Deze vorm van spam kun je tegen gaan door de formulieren van je website hiertegen te beveiligen.

 

Spamfilter in je hostingpakket

Een logische vraag die we vaak krijgen: waarom houdt het spamfilter in mijn hostingpakket de spam van formulieren niet tegen?
Vanuit het spamfilter gezien is het het juist logisch dat het niet wordt tegengehouden. Sterker nog: alle e-mail die wordt gestuurd vanaf een formulier op je website, wordt genegeerd door het spamfilter in je hostingpakket.

Het spamfilter in je hostingpakket filtert e-mail. Ongewenste berichten worden tegengehouden, gewenste mail wordt doorgelaten en afgeleverd in je inbox. Het spamfilter bekijkt alleen de mail die van anderen afkomstig is en niet de mail die jij aan jezelf stuurt. En ook niet de berichten die jij stuurt aan een ander e-mailaccount in je hostingpakket. Het is immers onwaarschijnlijk dat je spam aan jezelf of aan je collega’s stuurt.

Stel je hebt in je hostingaccount twee e-mailadressen aangemaakt: tess@jebedrijfsnaam.nl en juul@jebedrijfsnaam.nl.
Op je website staat een contactformulier en je hebt het zo ingesteld dat alle ingevulde formulieren worden verzonden aan tess@jebedrijfsnaam.nl.

 

Gefilterde mail – externe mail

Je stuurt vanaf je e-mailaccount dat je hebt van je internetprovider een email. Dus bijvoorbeeld vanaf tess@xs4all.nl aan tess@jebedrijfsnaam.nl.
Het spamfilter beoordeeld deze e-mail en als het bericht niet geclassificeerd wordt als spam, dan wordt het afgeleverd in je inbox op tess@jebedrijfsnaam.nl.

 

Ongefilterde mail – interne mail

Mail binnen je account wordt niet gefilterd. Voorbeelden zijn:

• Je stuurt jezelf een mail. Dus vanaf tess@jebedrijfsnaam.nl een mail aan tess@jebedrijfsnaam.nl.
• Je stuurt je collega een e-mail. Dus vanaf tess@jebedrijfsnaam.nl naar juul@jebedrijfsnaam.nl.
• Het contactformulier op je website wordt ingevuld en je ontvangt deze mail op tess@jebedrijfsnaam.nl.
  Het contactformulier op je website is afkomstig vanaf jouw eigen domein. Voor het spamfilter is er geen reden om dit soort mail te filteren; het is interne mail.

 

Spambots

De meeste spam die binnenkomt via een formulier is spam die wordt verzonden door een spambot. Een spambot is een geautomatiseerd programma dat het internet afspeurt naar formulieren en deze automatisch invult en verstuurt.

 

Spam via webformulieren voorkomen

Je kunt formulieren helemaal van je site bannen en enkel een e-mailadres vermelden. Dat is natuurlijk een oplossing, maar niet voor iedereen of voor elke website geschikt. Een contactformulier kun je wellicht wel missen, maar een boekingsformulier of een bestelformulier natuurlijk niet.

Er zijn verschillende manieren om spam via formulieren zoveel mogelijk tegen te houden. Geen enkele manier is waterdicht, maar je kunt de spam wel zo beperken dat de hoeveelheid aanvaardbaar is. Door verschillende methoden te combineren, kun je nog betere resultaten behalen.
De belangrijkste manier om spam via een formulier te voorkomen is door het formulier te beveiligen met een captcha.

 

Captcha

Een captcha (een afkorting van completely automated public turing test to tell computers and humans apart) ken je vast wel. Een plaatje met cijfers en letters, waarvan de tekens exact moeten worden overgenomen voordat het formulier verzonden kan worden. Zo’n plaatje wordt weergegeven als een afbeeldingsbestand. Mensen kunnen de tekst wel lezen, maar een spambot kan alleen tekst lezen in een html-bestand. Op deze manier worden computers en mensen van elkaar te onderscheiden.

Helaas is het zo dat spambots steeds slimmer worden en steeds vaker in staat zijn om dit soort plaatjes te lezen. Je ontvangt dan alsnog spam via het formulier.

 

reCAPTCHA

reCAPTCHA is een project van Google en moet een einde maken aan het irritante overtypen van moeilijk leesbare codes. Het is een geavanceerde techniek die ervoor zorgt dat bezoekers zo weinig mogelijk merken van de spambeveiliging.

Bij de vorige versie van reCAPTCHA (v2), was het nog nodig om een vinkje te plaatsen om aan te geven dat je geen robot bent.

Op basis van je gedrag (scrollen, klikken, snelheid van invullen, etc.) en andere factoren (IP-adres, eerder geplaatste cookies, etc.) krijgt dit gedrag een risicoscore. Uit de risicoscore maakt Google vervolgens op of of ze te maken hebben met een legitieme bezoeker of een spambot. Een echte bezoeker hoeft dan alleen op een vinkje te klikken, waarmee diegene bevestigt geen robot te zijn. Vervolgens kan het bericht dan via het formulier naar de ontvanger worden verzonden.
Bij twijfel wordt een puzzel voorgeschoteld en moet de bezoeker bijvoorbeeld zebrapaden, etalages of tractoren zoeken.

Met de laatste versie van reCAPTCHA (v3) kunnen menselijke gebruikers automatisch van bots worden onderscheiden. De gebruikers worden met een score gewaardeerd op basis van hun gedrag. Op basis van het gedrag krijgen ze een risicoscore. reCAPTCHA v3 werkt op alle pagina’s van een website en niet alleen op de pagina’s met formulieren en analyseert het gedrag van de gebruiker en geeft daar een risicoscore aan. Google reCAPTCHA v3 is onzichtbaar. Je ziet dus geen captcha op je website.

 

reCAPTCHA instellen in je website

reCAPTCHA mag je gratis gebruiken. Je hebt wel een Google account nodig.

1. Bezoek de reCAPTCHA pagina en log indien nodig in.
2. Vul het formulier in en klik op Verzenden.
3. Je ontvangt per direct een site sleutel (site key) en een geheime sleutel (secret key). Deze codes heb je nodig om reCAPTCHA te activeren voor je formulieren.

 

reCAPTCHA gebruiken in Joomla

Joomla 2.5 ondersteunt reCAPTCHA v2.
Vanaf Joomla 3.9 wordt reCAPTCHA v3 ondersteund.

In de officiële documentatie van Joomla lees je hoe je reCAPTCHA integreert in je Joomla 3 website.

 

reCAPTCHA gebruiken in WordPress

Er zijn veel WordPress plugins voor formulieren en niet elke plugin is geschikt voor reCAPTCHA. Sommige plugins ondersteunen alleen reCAPTCHA v2.

Een veel gebruikte formulieren plugin voor WordPress is Contact Form 7. Contact Form 7 heeft ingebouwde voorzieningen voor reCAPTCHA v3. De stappen om reCAPTCHA v3 te integreren staan omschreven in de officiele documentie van Contact Form 7.

 

Privacy en reCAPTCHA

Als je reCAPTCHA v2 of v3 in je website integreert, moet je hierover een vermelding opnemen in de privacyverklaring. Mogelijk moet je je huidige privacyverklaring aanpassen.
reCAPTCHA plaatst ook een cookie en je website heeft dus ook een cookieverklaring nodig.
In een artikel dat binnenkort verschijnt op onze website, vertellen we meer over de juridische gevolgen van het gebruik van een reCAPTCHA.