Das Problem mit dem Spam über Kontaktformulare ist leider nichts neues, unter der Bezeichnung "Formmail Problem" ist die Taktik der Spammer, Werbemüll über Kontaktformulare unschuldiger Homepagebesitzer abzusetzen, schon seit einigen Jahren bekannt. Dies betrifft vor allem die Fertig-Formularscripts aus dem Freeware Bereich, bei denen die Empfängeradresse per Parameter übergeben wird - darunter auch das namensgebende Freeware Script "FormMail".

Zum Schutz vor dieser Art Misbrauch setzen wir bei CVK-Service bereits seit Jahren nur noch eMail Formulare ein, bei denen die Empfängeradresse fest im Quellcode des Scriptes hinterlegt ist und durch entsprechende Programmierung eine Umleitung der vom Formularscript erzeugten eMails durch Spammer an Dritte unmöglich gemacht wird. Die Spamattacke kann also keinen Erfolg haben, der Versuch ist ansich nutzlos.

Dies war auch in diesem Fall so, aber die Hartnäckigkeit des Spammers führte zu einem weiteren Problem: der Posteingang des Mitarbeiters des Kunden, welcher für die Kontaktanfragen zuständig ist, wurde durch die fehlgeschlagenen Versuche des Spammers fast schon überschwemmt. Denn bei jedem Versuch, den der Spammer gestartet hatte, landeten gut 10 eMails im Posteingang des Mitarbeiters. Da solche Spamattacken in der Regel vollautomatisch pausenlos rund um die Uhr für meist einige Wochen ablaufen, kommen da sehr schnell sehr viele eMails zusammen.

Vorgabe war es also, legitime Kontaktanfragen von Spamversuchen  zu unterscheiden und so die Spamversuche gleich von vornerein auszufiltern. Ein Filtern anhand der IP Adresse war jedoch nicht die richtige Lösung, da solche Angriffe oft von immer neuen - wahrscheinlich infizierten  Zombie -  PCs ahnungsloser DialUp Nutzer mit dynamischer IP ausgingen.  Ein automatischer IP Filter würde in so einem Fall sehr schnell auch legitime Kontaktanfragen blockieren.

Daher setzten wir zur Lösung des Problems auf einen selbsterstellten Inhalte-Filter, welcher alle Formulardaten erstmal überprüft und bei verdächtigen Inhalten den Mailversand verweigert. Dazu wurden die PHP basierten Formularscripte um RegEx basierte Filter ergänzt, mit denen es uns in kürzester Zeit gelang, sämtlich Varianten der Angriffswelle zu filtern und so sicherzustellen, dass nur noch legitime Kontaktanfragen an die Mitarbeiter des Kunden zugestellt wurden. Und das übrigens ohne auch nur einen "False Postive" - also ohne eine legitime Anfrage fälschlicherweise zu filtern.