D7: Effektiver Spamschutz für Webform gesucht

Gegen Menschen, die das machen, kann keines dieser Module helfen, da die nur gegen Bots gerichtet sind. Gegen menschliche User gibt es eben keinen Spam Schutz.

Googles reCAPTCHA ist momentan das einzige Tool, dass Spam wirkungsvoll vermeidet: https://www.drupal.org/project/recaptcha

Ja, das stimmt wohl. Das kann ich leider nicht identifizieren.

Das ist bei mir leider auch nicht wirklich erfolgreich :-|

Es gibt das Modul "riddler", bei dem man selbst Fragen und Antworten dazu definieren kann. Das erfordert ein wenig mehr Mühe, wenn man die Antwort erst via google suchen muss. Bei kommerziellen Shops ist da aber die Hürde vielleicht zu hoch. Ich habe mit dem Modul jedenfalls gute Erfahrungen gemacht und (ohne Mollom) keinen Spam mehr.
https://www.drupal.org/project/riddler
Vielleicht hilft Dir das?
LG

Danke, "Riddler" kenne ich noch nicht. Werde ich mal testen.

" bei dem man selbst Fragen und Antworten dazu definieren kann. Das erfordert ein wenig mehr Mühe, wenn man die Antwort erst via google suchen mus"
Und wer wird dann das Formular noch absenden?
Also ehrlich, wenn ich als User so begrüßt und unter Generalverdacht gestellt werde, dann habe ich schon fertig mit der Webseite.
Erst auf Google suchen? Habe ich sonst nichts zu tun??? ;-)

Die Frage diksutiere ich seit Jahren ausführlich mit meinen Kunden.
Es ist immer das Gleiche:
Man probiert auf wiederholten Kundenwunsch - wieder besseren Wissens - versch. Module aus und stellt fest, es bleibt immer noch der Bodensatz von Sonnenbrillen-Werbung von armen Teufeln in Tailand, die dafür gezahlt werden, dass sie die händisch eintragen (nur ein Beispiel).

Man muss sich dann ernsthaft die Frage stellen:
Kommt eine erhebliche Menge an wichtigen Kontaktgesuchen über das Formular?
JA: dann nehme ich dafür klaglos in Kauf, den nicht automatisierten Spam händisch zu löschen.
NEIN: dann weg mit dem Kontaktformular, eine Email gehört sowieso ins Impressum, darauf kann man dann von der Kontakt-Seite verlinken.

Wer ernsthaft Kontakt aufnehmen möchte, der wird das finden.
Erstaunlicherweise bekommen wir über die Geschäftsmail, die überall auf den Seiten steht, so gut wie keinen direkten Spam.
Nur über die Kontaktformulare - bevor wir sie entfernt haben.
Und über die privaten Emails, die ich über die Jahre hier und da verwendet habe, um mich auf irgendwelchen - offensichtlich weniger seriösen - Plattformen anzumelden.

Ich verwende als User auch ungerne die Kontaktformulare, vor allem wenn ich dann keine Kopie bekomme von meiner Kontaktaufnahme.
Man verliert dann leicht den Überblick, wem man wegen was gemailt hat.
Maile ich über meinen Mail-Client, dann habe ich alles gut dokumentiert und wieder auffindbar.

Gute Erfahrungen habe ich in letzter Zeit mit antibot gesammelt. Das funktioniert ganz simpel: Es wird geprüft, ob der Besucher-Client Javascript aktiviert hat, was bei Bots nicht der Fall ist.

Ansonsten schließe ich mich den Ausführungen von montviso an. Gegen händisch eingetragenen Spam dürfte kein Kraut gewachsen sein. Der Sinn von Kontaktformularen hat sich mir persönlich auch noch nie erschlossen. Manche Kunden stehen da aber total drauf und sind auch nicht davon abzubringen.

" Manche Kunden stehen da aber total drauf und sind auch nicht davon abzubringen."
Stimmt. Die kriegen das natürlich auch von mir.

Ich habe bei zwei Drupal-7 Seiten auch derzeit das Problem von Comment Spam. Bin mir noch nicht endgültig sicher, aber vermute menschliche Spammer.
Wenn sich das als Jobprofil verbreitet, hat man wirklich keine Chance. :P
So lange es aber bei zwei bis drei Einträgen pro Tag bleibt, ist es managebar.
Zum Glück sind keine Kundenseiten betroffen, sonst könnte ich denen auch nichts anderes sagen.

Man kann nur verschiedene Anti-Spam-Methoden durchprobieren, wenn irgendeine zieht, war es vielleicht doch ein oder mehrere Bots.

Hallo, ich wehre mich schon seit Jahren erfolgreich gegen Spam in offen zugänglichen Webforms mit folgenden zwei einfachen Mitteln:
- Ein nichtbeschreibbares Feld (Deaktiviert) mit einem Standardwert, idealeweise aus einem Mix aus Zeichen, auch Umlaute, eintragen.
- ein zweites Feld, in das der oben vorgegebene Wert eingetragen bzw. hineinkopiert werden muss.
- Diese zwei Felder über "form validation" auf Übereinstimmung (equal values) prüfen lassen.
- ev. zusätzlich das das Webform auf zwei Seiten verteilen (page break).

Kontakt ist nicht die einzige oder wichtigste Anwendung für ein Formular.

Eine wirksame Spamabwehr kenne ich allerdings auch nicht, bleibt nur Moderation :(

Habe sehr gute Erfahrungen mit https://www.drupal.org/project/webform_validation gemacht.

Seit das Modul läuft ist der Spam um 95% zurück gegangen und man kann die Werte ständig ergänzen.

Unter jedem Webform findet man nach Installation einen weiteren TAB Form Validation und kann dort beliebig weitere Webform Rules anlegen.

Beispiel meiner 2 Rules:

1. Blacklist E-Mails, Werte: .ru, .se, .fr, .net, .au, .es, aol, hotmail, yandex, .uk, .cz

2. Blacklist Words Betreff Field, Werte: http, https, www, click, buy, here, look

Damit wird es für Spammer uninteressant, da er keine Links oder Handlungsaufforderungen in den Betreff setzen kann.

Grüße Jenna

Hallo,
ich habe Webform_Validation noch nicht ausprobiert, ist aber genau das was ich suche. Ich werde es definitiv kurzfristig testen. Vielen Dank schon einmal für den Tip. Weißt Du ob ich auch via Rules auf Body(Nachrichtentext) zugreifen kann und nicht nur auf die Betreffzeile?
Ich möchte nämlich eine Rules erstellen, die bei unseriösen Wörtern oder Links einfach den "Senden-Button" ausblendet.

Ja klar, das geht.. ich meinte auch das Body Feld.

War etwas doof formuliert.

Du hast auch noch etliche weitere Möglichkeiten an Webform Rules, die man miteinander kombinieren kann.

Grüße Jenna

Also ich kann Antibot nur wärmstens empfehlen. Das schafft Ruhe und das ohne nervige Captchas und ohne viel Konfiguration.

Selbst webchick ist ein Fan davon: https://www.drupal.org/project/antibot/issues/2984755

Mit meinem Post habe nicht das Standard Kontaktformular von Drupal gemeint, sondern eben Formulare mit dem Modul Webform erzeugt. Auf meinen Instanzen setze ich weit über hundert Webformulare mit Webform um und eben mit dem auch von Jenna erwähnten Modul Webform Validation. Das ist simpel und sehr wirksam. Mit der oben beschriebenen Methode schalte ich jeglichen - nicht menschlichen - Spam aus. Ich habe übrigens auch das Standard Kontaktformular durch ein selbst mit Webform erzeugtes ersetzt.
Gruß RM

Hallo,
ich habe mal ein wenig Zeit gefunden und mich mit dem Modul Webform_Validation beschäftigt. Kann mir jemand bei dieser Fehlermeldung helfen.

Fatal error: Call to undefined method WebformConditionals::isExecuted() in /www/htdocs/xxxxxxx/sites/all/modules/webform_validation/webform_validation.module on line 157

Egal welche "Formularvalidierung" ich verwende, erhalten ich diese Meldung.

Vielen Dank für Eure Hilfestellungen.
VG Thomas

Es gibt einen Issue dazu, aber der steht auf gelöst:

https://www.drupal.org/project/webform_validation/issues/2854226

Würde da nochmal die Fehlermeldung anhängen und den Thread wieder aktivieren.

Grüße Jenna

Für mich kommt trotz der - ebenso erlebten! - Spam-Probleme so ein Google-Tool nicht in Frage, siehe:
https://www.fastcompany.com/90369697/googles-new-recaptcha-has-a-dark-side
(sorry, nur Engl.).
oder hier:
https://kevv.net/you-probably-dont-need-recaptcha/
Jedenfalls möchte ich die Webseitenbesucher nicht zwingen, Google fast alle Rechte zum Schnüffeln freizugeben (unabhängig von der Ignoranz der meisten)

So landen Ergebnisse von Webform bei mir nicht unbesehen auf den Seiten, allerdings muss ich typ. unabhängig von Spam sowieso eine manuelle Prüfung der Eingaben vornehmen, das relativiert das Problem bei mir. Honeypot nutze ich, das hilft ein Stück weit.

Es gibt auch Bots mit JS Engine. Die Überprüfung von Antibot ist schon komplexer: Wenn Antibot JS findet, wird überprüft, ob Tastatureingaben, Maus- Bewegungen oder Touch move events stattfinden. Ist dies nicht der Fall, kann der Submitter kein Mensch sein --> blocked.

Ich halte Antibot ebenfalls für das beste Antispam- Modul für Drupal. Die Idee der Identifizierung ist einfach clever. Automatisierter Spam kommt damit kaum noch durch.

Leider hat Antibot auch eine große Schwachstelle. Die Logik läuft in einer vorgeschalteten form validate function unter example.com/antibot. Wenn ich weiß wie Antibot funktioniert und wie Drupal Formular Eingaben verarbeitet, kann ich Antibot relativ simpel umgehen indem ich direkt zum Form Endpoint submitte. Mit zunehmender Verbreitung der Antibot Methode werden sich Spammer darauf einstellen. Packe ich die Logik von Antibot hingegen direkt in den Form Endpoint, ist endgültig Ruhe gegen Bots.

Teste mal Antibot, das lohnt sich wirklich: https://www.drupal.org/project/antibot

danke, interessante Empfehlung, aber bisher hatte ich auf 'meinen' Seiten Javascript nicht zur Voraussetzung für Gäste gemacht (Redakteure o.ä. ist was anderes, die sind dann nicht anonym), und das möchte ich auch für Formulare wie ich sie brauche beibehalten.
Aus der Modulbeschreibung:
"... When the page is loaded, if the user does not have JavaScript enabled, the form is hidden and a message is presented to them. ..."

Zwei Dinge:

1. Eine Website ohne Javascript in 2019 ist keine Website sondern ein weißes Blatt Papier
2. Der aktuell beste Spamschutz gegen Angriffe aller Art auf Drupal 7 Plattformen ist Drupal 8

Formulareingaben ohne Javascript sind möglich Validierungen gegen Spam ohne Javascript sind so gut wie unmöglich oder zumindest den Aufwand nicht wert.