Какие есть эффективные способы защиты формы от ручного спама?

Question

[Aljo]

Здравствуйте!

С сайта раньше приходило более 20 спам сообщений в сутки.
Потом добавили текстовое поле и добавили ему стили position: absolute; opaicyt: 0 и делали проверку на пустоту этого поля.
Спама стало меньше, но он все равно не пропал. Сейчас с сайта приходит примерно по 5-10 спам-писем в сутки. И на вид похожи на ручной спам.

Так вот, подскажите пожалуйста, хорошие способы защиты от ручного спама.
p.s на сайте стоит recaptcha v3

Comments

[Danny Arty]

Если все поля заполняются не по шаблону и не похожи на тупой набор символов, то вряд ли получится избавиться от спама на все 100%

Answer 1

[DevMan]

от ручного ввода может помочь только обученный спам-фильтр на сервере.
например, spamassassin, если сообщения валятся на мыло.

Comments

[Александр Фалалеев]

Как я понял вопрос - нужно не уже отправленные спам-письма отфильтровывать - а форму доработать чтобы такие письма вообще не отправлялись.

[Aljo]

Александр Фалалеев, верно

[DevMan]

Александр Фалалеев, анриал.

[Александр Фалалеев]

DevMan, согласен - я так и ответил :)

Answer 2

[Александр Фалалеев]

Прошу прощения, но 5-10 спам-писем в сутки это повод радоваться что Вы всё правильно уже сделали !

Ну теоретически можно прикрутить проверку текста введённого в форму на "стоп" фразы, но геморройно да и против ручного спама слабо поможет.

В целом - забейте ибо итак всё хорошо.

Comments

[Aljo]

Для заказчика, если хоть одно спам-письмо есть - этого достаточно, чтобы беситься. Вот пытаюсь отсечь вообще до нуля.
Спасибо, думал насчет стоп фраз. но тут такое не получится сделать имхо. Текста - это рандомные статьи с вики.

[ThunderCat]

Для заказчика, если хоть одно спам-письмо есть - этого достаточно, чтобы беситься. Вот пытаюсь отсечь вообще до нуля.

Неадекват однозначно. Спам не есть признак плохого софта, спам есть признак популярности ресурса. Пусть радуется, а не бесится.

[Sanes]

Можно перестараться и вы не получите важные письма. Как он на это смотрит?

Answer 3

[Сергей Соколов]

Может, запретить вставку из clipboard и разрешить только набор текста клавишами, по одному символу?

Comments

[Дядька Серёжа]

На сайте МВД такая хрень вроде, помню раза 3 перенабирал заявление, голова болела знатно)

[wisgest]

Я очень часто набираю сообщения отдельно в текстовом редакторе.

Answer 4

[Alex]

А ваша форма как отправляется?
Важно настроить строгую проверку, чтобы гарантировать что данные на сервер приходят именно с этой формы.
Далее, можно в JS поставить проверку Event.isTrusted
Разного рода капчи. В этом смысле хорош reCaptcha -- она может заставить пользователя пройти проверку 3-4 раза, даже если он всё правильно вводит.

Полностью защитится от ручного спама на клиенте скорее всего никак. Но можно его значительно усложнить. Злые капчи, стоп слова и прочее. Достаточно добиться чтобы спамить вас стало не выгодно (по затратам времени/денег).

Comments

[Aljo]

Спасибо. Форма отправляется через ajax. Recpatcha v3 стоит на сайте, есть скрытое стилями поле, но все равно спам проходит. Еще интересно то, что проходит pattern

Answer 5

[Дядька Серёжа]

Добавить необходимость указания корпоративной почты, отправлять на ящик проверочный код, высылать код через 2 минуты, чтобы максимально бесить спамеров. Короче реализовать еще один этап.
Отслеживать useragrnt, ip, иные параметры отправителя (разрешение экрана, и много чего), у нас точность 80-90%. Соответственно кто-то похожий на злоумышленника, отправлять ему одноразовый пароль или просить обратиться позже. В конце концов ему надоест.

Comments

[Aljo]

Благодарю, спамерам то надоест, но и часть клиентов так потеряем 100%

[Дядька Серёжа]

Aljo, значит анализируйте параметры окружения браузера, и если повторяется текст либо странные параметры окружения, то пускай обратится позже

[wisgest]

Дядька Серёжа, что значит «странные параметры окружения»?

[Дядька Серёжа]

wisgest, нереальные параметры экрана, странное значение юзер агента. Вот пример правила у одной из систем.