denkwerk TechTalk
mosparo, der moderne Open-Source-Spam-Schutz
Spamschutz in Online-Formularen und Kommentarfeldern ist wichtig: Allerdings sind viele Lösungen entweder nicht selbst gehostet oder nicht leistungsfähig genug. Die quelloffene Spamschutz-Software mosparo löst dieses Problem. Wie erklären wir euch hier:
Monty Python sangen in einem Sketch „Spam, Spam, Spam ...“ – und verhalfen dem britischen Dosenfleisch zu ewigem „Ruhm“ als Synonym für omnipräsente Belästigung. Das Spam-Problem kennen nicht nur E-Mail-Nutzer:innen, sondern auch Betreiber von Webseiten: Automatisierte Kommentare und Anfragen in Online-Formularen ersticken tausendfach ernstgemeinten Kundenkontakt.
Die Lösung: Spamfilter – allerdings sind die nicht immer unproblematisch. Im aktuellen TechTalk präsentierte Sascha Zander, Senior Software Developer, deshalb mit mosparo eine selbstgehostete Open-Source-Alternative, die viele Schwierigkeiten mit Kommentar-Spam beseitigen kann – ohne mit lästigen Captchas zu arbeiten.
Herausforderungen von Captchas und die bessere Alternative mosparo
Das Problem: Die allgegenwärtigen Captchas in Kommentarfeldern schützen zwar recht zuverlässig vor Spam, haben aber gleich mehrere Nachteile: Einerseits werden sie in aller Regel von Cloud-Betreibern wie Google oder Cloudflare betrieben, was den Betrieb in Sachen Datenschutzgesetzgebung zumindest problematisch macht. Und andererseits sind sie oft nicht barrierefrei und hindern auch nicht eingeschränkte Menschen nicht selten daran, eine Anfrage überhaupt abzuschicken, sei es aus zeitlichen Gründen oder weil sie das Captcha nicht lösen können. Ein großer denkwerk Kunde wünschte sich daher eine andere Lösung.
Bestehende Anbieter greifen entweder auf Captchas und/oder auf Clouddienste zurück, selbstgehostete Open-Source-Lösungen bringen laut Sascha aber oft nicht die gewünschte Leistungsfähigkeit, insbesondere im Hinblick auf Barrierefreiheit und Implementierungsaufwand. Bei seiner Suche stieß er auf mosparo, eine Antispam-Lösung für Webserver, die in Formulare eingebunden werden kann.
mosparo vereint Barrierefreiheit und Datenschutz
mosparo erfüllt das Anforderungsprofil, ist barrierefrei nach WCAG-Standard, ist einfach zu implementieren und zu bedienen und durch die nur 14-tägige, anonymisierte Speicherung der Userdaten sowie das Self-Hosting DSGVO-konform.
Die relativ neue Software – Version 1 erschien erst im Sommer 2023 – arbeitet ähnlich den Filtersystemen in Mailservern nach einem Ratingssystem für Spam: Bestimmte Begriffe werden mit einer Wertung versehen, daraus errechnet das Tool die Spam-Wahrscheinlichkeit. Zusätzlich fließen Informationen wie Ursprungs-Domains, IP-Adressen, Benutzeragent und eingegebene URLs in die Bewertung des Inhalts Inhalts einer Nachricht ein.
Bot-Erkennung und Filtern mit mosparo
Allerdings besitzt mosparo zwei praktische Funktionen, um Bots, also automatisierte Spam-Postings, zu erkennen: Zum einen gibt es ein Honeypot-Feld, das für menschliche User nicht sichtbar ist, für Bots hingegen schon: Wird es ausgefüllt, ist klar: Hier war ein Automatismus am Werk und die Anfrage ist mit hoher Sicherheit Spam. Zum anderen prüft mosparo aber auch die Zeit, die User für das Ausfüllen des Formulars benötigen: Wird das Formular zu schnell ausgefüllt und abgeschickt, spricht auch hier viel für einen Spam-Eintrag.
Praktisch an mosparo ist laut Sascha zudem, dass das Tool mit einem sogenannten Ruleset arbeitet: Dabei handelt es sich um eine JSON-Datei, die die vom Betreiber des Servers erstellten Spam-Regeln enthält. Dieses Ruleset ist nicht nur übertragbar, sondern kann sogar per URL von einem anderen Server übernommen werden – ideal, um etwa eine zentrale Antispam-Datei auf denkwerk Servern anzubieten.
Unser Fazit
Natürlich ist auch mosparo nicht frei von Kritik: Die Erkennungsqualität der Software steht und fällt mit der Qualität des Rulesets. Sascha nannte hier ein Beispiel, in dem eine Nutzerin immer wieder gefiltert wurde, weil ein Bestandteil ihres Namens als Spam gewertet wurde. Dementsprechend muss das Ruleset im Zweifel nach und nach an die tatsächlichen Bedürfnisse einer Website oder eines Online-Dienstes angepasst werden.
Umgekehrt können auch „lästige“ Kontaktformular-Anfragen, die kein klassischer Spam sind – etwa Kontaktaufnahmen durch Influencer – auf diese Weise sehr einfach gefiltert werden. Rulesets müssen allerdings noch selbst definiert werden, einen vorgefertigte Listen für den deutschen Sprachraum gibt es bei mosparo (noch) nicht: „Deutschsprachige Spam-Words müssen derzeit leider noch händisch zusammengesucht und eingepflegt werden“, so Sascha.
Ihr möchtet mehr über denkwerk und unsere Projekte erfahren - meldet euch einfach zu unserem Newsletter an:
