Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Einführung in die Anti-Spam-Mechaniken des MGB
#1
Information 
Hier gibt es eine Einführung in die Anti-Spam-Mechaniken des MGB.

Welche Anti-Spam-Maßnahmen stellt das MGB bereit?

- Blocklisten (IP, E-Mail, Domain)
- Abgleich des Eintrags mit stopforumspam.com
- IP-Block-Automatik
- Referrer-Prüfung
- Captchas (Eigene Captchas, recaptchaV2, Are you a human?)
- Dynamische Feldvariablen
- Akismet-Plugin (wird in der nächsten Version nicht mehr unterstützt)
- Absendesperre
- Tippgeschwindigkeitserkennung

Wie funktionieren die einzelnen Mechaniken?


Blocklisten

Fangen wir mit den Blocklisten an. Das MGB verfügt über drei verschiedene Blocklisten. IP, E-Mail und Domain. Die Namen sprechen für sich, denke ich. Wird ein neuer Eintrag erstellt und man identifiziert den Nutzer als Spammer, kann man ihn auf nur einzelne Blocklisten oder auf alle setzen. z.B. seine E-Mail Adresse wird dann nicht mehr akzeptiert. Oder die IP. Die Domain-Blockliste blockiert komplette Domainbereiche. z.B. alle deren E-Mail von "rumbler.ru" kommt, werden abgewiesen.

Diese Blocklisten können eingesehen und verwaltet werden. Die erste Spalte ist die ID unter der der Eintrag gespeichert ist. Die zweite Spalte beinhaltet den Eintrag. Die dritte Spalte zeigt wie oft damit schon ein Eintrag verhindert wurde. In der vierten Spalte steht wie lange der Eintrag schon vorhanden ist. Mit dem Mülleimer kann man den Eintrag löschen.

Im Dropdown-Menü kann man alle Einträge auf einmal löschen.


Abgleich des Eintrags mit stopforumspam.com

Eine sehr effektive Methode Spam zu verhindern, ist der Abgleich mit stopforumspam.com. Nutzer melden dort häufige Spammer. Das MGB vergleicht quasi die IP, die E-Mail und den Nutzernamen mit der Seite und identifiziert somit häufige Spammer. Wird der Nutzer als solcher erkannt, wird der Eintrag wahlweise abgewiesen oder angenommen (um einen erfolgreichen Eintrag vorzutäuschen und somit einer Wiederholung vorzubeugen) und steckt den Eintrag zu "Spam-Einträge".

Folgende Optionen können getätigt werden:

Häufigkeit von Nutzername, E-Mail und IP: Wie oft muss der Spammer bereits gemeldet worden sein, damit er als Spammer erkannt wird?
Für Abweisung benötigt: Legt fest welche Kriterien erfüllt sein müssen, damit wirklich geblockt wird. Reicht es wenn die IP als Spam-IP genannt wird, oder muss zusätzlich die E-Mail Adresse auch noch übereinstimmen?
Als Spam-Eintrag markieren: Siehe einen Absatz weiter oben
API Key: Möchte man selbst Spammer bei der Seite "petzen", so muss man sich einen API Key besorgen. Dafür im Forum der Seite registrieren und anschließend einen API Key anfordern.


IP-Block-Automatik:

Legt fest wie oft innerhalb einer bestimmten Zeit ein User einen Eintrag machen oder es zumindest versuchen darf, bevor er automatisch auf die IP-Blockliste gesetzt wird.


HTTP-Referrer-Prüfung:

Wenn jemand die email.php oder die newentry.php direkt ohne Umweg über die index.php aufruft, dann wird er abgewiesen. Normale Nutzer machen das nicht. Sie kommen so gut wie immer über die index.php. Bots die wissen, wie das Gästebuch aufgebaut machen das schon.

Suchmaschinen können ausgenommen werden.


Captchas

Das MGB-eigene Captcha kann mit zahlreichen Einstellungen variiert und somit leichter oder schlechter lesbar gemacht werden. Außerdem steht es auch noch in Form einer Matheaufgabe zur Verfügung.

Eine Alternative dazu bietet Googles recaptchaV2. Dazu werden zwei API Keys benötigt. Diese können bei Google beantragt werden. An der Unterstützung für recaptchaV3 arbeite ich. Ich hoffe, es mit der nächsten Version integrieren zu können. Das benötigte Plugin kann hier heruntergeladen werden. Es muss unter "plugins/recaptcha" kopiert werden.

Are you a human? fliegt mit der nächsten Version raus. Deswegen gehe ich darauf gar nicht näher ein.


Dynamische Feldariablen

Ein sehr kryptischer Name. Die Idee dahinter sieht wie folgt aus. Bots sind sehr statisch. Sie werden auf etwas trainiert und machen das dann automatisiert. Spammern ist bekannt wie die newentry.php und das Eintragsformular aussieht. Das Feld in dem die Nachricht eingegeben werden muss trägt den Namen "message". Um das zu stören, werden statt der normalen Namen (name, hp, mail, ...) kryptische, zufällige Werte generiert. Das soll die Bots durcheinander bringen. Wie erfolgreich das ist, weiß ich leider nicht.

Die Länge und die Methode mit der die Zufallszahlen bestimmt werden, kann angepasst werden.


Akismet

Ähnlich wie stopforumspam.com. Fliegt mit der nächsten Version.


Absendesperre

Die Absendesperre misst die Zeit, wie lange ein Benutzer sich auf der newentry.php befindet. Schickt er seinen Eintrag zu schnell ab, muss er warten bis die Zeit um ist. Ich denke darüber nach, die Zeit bei jedem fehlgeschlagenen Absendeversuch zu potenzieren.


Tippgeschwindigkeitserkennung

Ist es möglich einen ultralangen Text in weniger als ein paar Sekunden zu tippen? Nein, ich denke nicht. Dann muss es ein Spammer sein, der automatisiert Einträge macht. Der Spammer wird für eine festlegbare Zeit geblockt.


Ich hoffe, ich konnte ein wenig Licht ins Dunkel der Anti-Spam-Mechaniken bringen. Es ist schwer zu sagen, welche die effektivsten sind. Bewährt hat sich bei mir auf jeden Fall die Domain-Blockliste (diese muss aber erst etwas "wachsen" um besser zu werden), die Prüfung gegen stopforumspam.com und die Referrer-Prüfung. Das sind so die häufigsten Blockgründe bei meinem Gästebuch. Eine Kombination ist wahrscheinlich auch besser als nur eine der genannten Methoden zu nutzen. Bei mir kommen jedenfalls nur noch selten Spammer als gültiger Eintrag durch.

Bei Fragen gerne hier antworten.
Zitieren


Möglicherweise verwandte Themen…
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Wie gut hält sich die 0.7 gegen Spam? mopzz 5 13.640 17.06.2015, 20:11:37
Letzter Beitrag: Luxi

Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste