[TYPO3-german] SPAMSHIELD

[Thomas Skierlo]

Hallo Gerhard,

als ich vor ca. 1 Jahr das Portfolio der TYPO3 Extensions zur 
Forum/Formularspamvermeidung durchforstet habe, war nichts dabei, was 
gegen die heutige Spam Realität glaubhaft funktionierte. Speziell 
Captchas erscheinen mir heute vollkommen wirkungslos.

Die Idee mit hidden Fields war mal ganz nett, ist aber heute ebenfalls 
wirkungslos. Heute schaut der Spambot zuerst, ob ein Feld als hidden 
markiert ist – und meidet das Ausfüllen, wenn dem so ist.

Jede Software, die für uns verfügbar ist, ist auch für das Rattenpack 
der Forum Spammer verfügbar. Sie passen einfach ihre OCR Engine an die 
gängigen Captche Lösungen an – und aus die Maus. Also steigt man auf 
etwas anderes um, z.B. Rechenaufgaben, und wundert sich, dass trotzdem 
alles durchkommt. Captchas werden heute gerne von sog. Captcha-Slaves 
gelöst. Realen, armen Schweinen, die für 1000 gelöste Captchas $2,- 
erhalten. Es sitzen also nicht nur Bots vor der Tastatur. Captcha-Slaves 
werden gern genutzt, wenn es um Registrierung auf einer Website geht. 
I.d.R. stößt der registrierte User auf keine weiteren Beschränkungen – 
und ein Bot kann zukünftig alles vollspammen.

Was gut funktioniert, zumindest, wenn man nicht das erste Opfer ist, 
sind externe Blacklists. Auf die kann man zumeist nur zugreifen, wenn 
man einen entsprechenden (API) Key hat oder man seinerseits einen 
Honeypot anlegt, um die Datenbasis zu vergrößern (Dieses wiederrum ist 
so scheisse erklärt, dass es 9 von 10 nicht hin bekommen). Brauchbare 
Blacklists sind zudem oft kostenpflichtig.

Schaut man sich die IPs an, von der dieser Spam kommt, so erkennt man 
schnell einige Epizentren. Ukraine, Russland, China, Vietnam, aber 
durchaus auch, Schweden, Frankreich, Deutschland, USA, Belgien (alle 
Länder gemäß Spamlog der letzten 24 Stunden auf meinem Server).

Die alles verursachenden Ratten müssen sich nicht mal bemühen, ihr 
Treiben zu verschleiern (z.B. durch gekaperte Systeme) – nein, sie 
nutzen einfach ihren normalen IP Pool. Dies Art von Spam, der zwar 
gigantische Kosten und Schäden verursacht, ist nicht einmal illegal. Die 
EU Politiker sind viel mehr daran interessiert, eigene Trojaner auf Eure 
Platte zu kriegen, als Spam gesetzlich zu verhindern.


Was hilft wirklich? Eine Mischung aus:

1) Eigene Wortliste (buy, cheap, generique, generic, mg, viagra, levita, 
loan, loans, payday,...)

2) Mindestzeit zwischen Laden des Formulars und Absenden (z.B. 5s, ein 
Bot füllt in der Zeit 1000 Formulare aus) – dies wirkt gegen ALLE Bots 
zuverlässig.

3) IP Sperre aller Länder, die nicht zur Zielgruppe/Sprache der Website 
passen (dies ist sehr restriktiv, aber auch sehr wirkungsvoll – und sehr 
unfreundlich)

4) Erkennung von mehr als einem Link (solange man einen zulassen mag)

5) Blacklist nutzen

6) Sichtbares Feld, welches per landessprachlicher Erklärung leer 
bleiben MUSS (aber welcher User liest schon Erklärungen?).

7) Formular über Textlink in Popup Fenster laden

8) Referrer prüfen

9) Politikern in den Südpol treten

10) Fail2ban mit langer Banzeit nutzen (z.B. 30 Tage)

11) Ausschließlich moderierte Postings

TYPO3 hat sich in den letzten 4 Jahren dramatisch und rapide verändert, 
und ist heute das tollste Fahrgestell im CMS Fuhrpark. Leider hat es 
dabei die meisten Räder verloren, und auch andere wesentliche 
Karosserieteile, die früher von Extension Zulieferern gebastelt wurden. 
Die haben aber heute längst den Anschluss (und die Lust) 
verloren.Vielleicht wird es ja irgendwann mal jemanden auffallen, dass 
es zwar ganz toll ist, immer den modernsten Core zu haben, aber das es 
kontraproduktiv ist, innerhalb der Lebensdauer gängiger LTS OS Versionen 
auf eine neue PHP Version zu setzen, ohne die TYPO3 6 nicht läuft. So 
muss ich mich derzeit mit einer (sinnlosen) Aktualisierung meiner Server 
herumschlagen, anstatt eine brauchbare Antispam Lösung zu entwickeln 
(genauer: Einen Antispam Service)

Grüße,

Thomas