Как правильно защитить форму от спама?

Question

[Андрей Пчелкин]

У меня имеется сайт с формой для связи, где пользователь вводит своё имя, E-Mail и пишет своё сообщение. Далее он должен заполнить капчу (ReCaptcha v2) и отправить запрос.
После заполнения данные из формы подставляются в библиотеку PHPMailer и она отправляет мне это сообщение на E-Mail.

Функция работает, но после популяризации сайта, через форму начал приходить спам (причём через заданный промежуток времени). Как правильно защитить форму от спама и на каком именно уровне? Есть мысли, что необходимо создать проверку отправленных данных через DNS (для того, чтобы перед отправкой формы быть уверенным, что они были отправлены именно из моей формы), или проблема с капчей (что робот может обойти её), или проблема вовсе в уязвимости библиотеки PHPMailer. Пробовал разные версии ReCaptcha (v2 и v3). В статистике Google показывает рейтинг пользователей только 0.7 и 0.9 (то есть довольно высокий.). Я на 100% уверен, в статистике отображаются спамеры, так как несколько дней мониторил статистику Google и отправленные мне сообщения.

HTML-форма отправки:

<form action="newform.php" id="feedBackForm" method="POST">
            <label>
                <input class="form" type="text" pattern="^[a-zA-Z-А-Яа-яЁё\s]+$" name="name" id="name" placeholder="Ваше имя" maxlength="20" required oninvalid="this.setCustomValidity('Введите Ваше имя')" oninput="setCustomValidity('')" />
            </label>
            <label>
                <input class="form" type="email" name="email" placeholder="E-Mail" maxlength="50" required oninvalid="this.setCustomValidity('Введите Ваш E-Mail')" oninput="setCustomValidity('')" />
            </label>
            <label>
                <textarea class="form" name="message" placeholder="Сообщение" cols="30" rows="10" style="height:25vh" maxlength="300" required oninvalid="this.setCustomValidity('Напишите сообщение')" oninput="setCustomValidity('')"></textarea>
            </label>
            <label>
                <input id="check" name="check" type="hidden" value="" />
            </label>

            <div class="g-recaptcha" data-sitekey="KeyReCaptcha"></div>
            <div class="text-danger" id="recaptchaError"></div>

            <button onclick="document.getElementById('check').value = 'bread';">Отправить</button>
        </form>

JavaScript-код ReCaptcha:

<script>
            $(document).ready(function () {

                $("#feedBackForm").on("submit", function (event) {
                    event.preventDefault()

                    let captcha = grecaptcha.getResponse();

                    if (!captcha.length) {
                        $('#recaptchaError').text('* Вы не заполнили капчу!');
                    } else {
                        $('#recaptchaError').text('');

                        let dataForm = $(this).serialize()

                        $.ajax({
                            url: 'newform.php',
                            method: 'post',
                            dataType: 'html',
                            data: dataForm,
                            success: function (data) {
                                grecaptcha.reset();
                            }
                        });
                    }
                })
            })
</script>

Причём есть небольшая проверка на стороне сервера:

if ($_POST['check'] != 'bread')
    exit('Spam detected!');
else {
//Отправка сообщения, если не спам
}

В интернете я не нашёл решения этой проблемы, хотя люди с ней сталкиваются.

Comments

[Kentavr16]

Интересный вопрос. Прикрутить авторизацию через гугл? Правда неизвестно как пользователи оценят

[mayton2019]

Капча раздражает обычных пользователей IMHO.

Вообще надо делегировать задачу установления личности третьим сервисам на базе OpenId. Какие из этих есть - я не помню. Возможно фейсбуки, гуглы и вконтакты поддерживают этот стандарт.

К вам в форму должен приходить уже определённый пользователь с JWT-токеном.

[Андрей Пчелкин]

Kentavr16, Авторизация для пользователей вообще не нужна. Мне нужно, чтобы пользователь прочитав информацию на сайте сразу имел возможность быстро связаться со мной, а это лишнее звено, которое может отпугнуть клиента.

Такие методы используются на некоторых сайтах; не думаю что они терпят спам. Да и в принципе, формы ведь нужно защищать от спама, вопрос только в том как это сделать правильно.

Я так понимаю, нужно какую-то проверку на стороне сервера сделать, но какую именно?

[Андрей Пчелкин]

mayton2019, С первым согласен, поэтому я изначально вообще прикрутил ReCaptcha v3, где человек вовсе не должен проходить проверку капчей. Но как оказалось, ни одна версия этой капчи не защищают мою форму.

За OpenId спасибо, я почитаю что это такое.

[mayton2019]

MultiGramen, я тоже считал капчу идеальной защитой. Но потом узнал что угадывание капчи делегируется ... просто другим людям. Которые к примеру очень хотят зайти на порносайт. Вот такая вот ерунда получается.

Радикально в последнее время Microsoft решил. Хотят вообще убрать пароль с входа в Windows. Как будут аутентифицировать ХЗ. Наверное биометрия. И многофакторка. Без смартфона хрен зайдешь в десктоп.

[ksnk]

Прямо сейчас обойти именно эту "проверку" не составляет никакого труда. Нужно проверять правильно

Я так понимаю, нужно какую-то проверку на стороне сервера сделать, но какую именно?

почитать документацию по recapcha v2 ?
Если поискать по словам `google recaptcha v2 php`, то примеров будет вагон. Например что-то такое

[Александр]

Я в приведенном коде не увидел чтоб проверка капчи была на сервере. Когда капча заполнена то генерируется специальный токен, этот токен нужно отослать на сервер вместе с другой информацией и потом на сервере нужно сходить в сервисы рекапчи и проверить этот токен.
То, что вы добавили рекапчу на клиенте абсолютно не дает вам никакой защиты. Посмотрите комментарий выше там есть отличные примеры

Answer 1

[Danny Arty]

Hidden-инпуты для защиты от спама - это фигня. Больше половины ботов раскусят.
Я на многих сайтах ставлю довольно простую защиту, которая отлично работает.
Добавь в форму какой-нибудь текстовый инпут и скрой его стилями, но НЕ ЮЗАЙ display: none;, visibility:hidden;, opacity:0;, так как многие боты и это раскусят.

Например input с name="copyemail":

<form action="">
	<input type="text" name="copyemail" placeholder="Email для копии">
	<input type="text" name="name" placeholder="Имя">
	<input type="email" name="email">
	<button type="submit">Отправить</button>
</form>

и стили для него:

input[name="copyemail"] {
    display: block;
    width: 2px;
    height: 2px;
    margin-bottom: -2px;
    border: none;
    padding: 0;
    opacity: 0.01;
}

И дальше уже на сервере проверяешь:

if ($_POST['copyemail']) {    
    //Это спам! Делаем вид, что сообщение отправлено.
    die('Ваше сообщение отправлено');
} else {
     //Все норм. Метро Люблино, работаем
}

Comments

[Adamos]

Конкретно в этой форме фокус клавиатуры при открытии где окажется? Не в первом ли инпуте? Пользователь ткнет в клавишу, увидит, что ничего не набирается, переключится - а инпут уже заполнен, и сообщение свалится в спам.

[Danny Arty]

Adamos, легко решается с помощью js. Я как пример автору написал, а не полностью решение расписывал тут со всеми вытекающими

[Андрей Пчелкин]

Спасибо. Я с капчами ранее не работал, поэтому опыта с этим не имел. В интернете вроде есть материалы как повесить защиту, однако не очень подробно про них рассказывают.

В общем сейчас повесил Google ReCaptcha v3 с проверкой токена на серверах Google примерно по вашему совету и спам отсекается, а сообщения реальных людей доходят. Да и статистика спама совершенно изменилась.

Думаю, Ваш совет поможет и другим людям разобраться с вопросом.

Answer 2

[Vfreelance]

а если написать свою капчу (несложную)? вряд ли кто-то будет писать бота именно под ваш сайт. и еще: когда-то делали hidden поле в форме. если оно было заполнено, то спам.

Comments

[Андрей Пчелкин]

Мне кажется, я уже догадываюсь в чём моя ошибка. ksnk навёл меня на эту мысль.

На данный момент форма заполняется клиентом и сразу же, без проверок на сервере, отправляется на обработку для библиотеки PHPMailer. Необходимо сделать ещё одну проверку, где в случае если капча не заполнена, сам СЕРВЕР не отправлял письмо, а на данный момент капча прикручена только на стороне КЛИЕНТА (в примере кода понятно, что капча — это скрипт, а выполнение скриптов можно отключить на стороне пользователя и таким образом вовсе убрать проверку капчи).

Мне конечно не очень понятно сейчас, как в таком случае обновляется статистика в Google, если робот не проходит капчу, но я попробую реализовать идею.

Большое спасибо за Ваши варианты! Если решения не найду, то буду реализовывать их! :)

[maksam07]

Vfreelance есть сервисы для распознавания капчи. Там без разницы кто разработчик капчи, если есть картинка - можно разгадать.

Answer 3

[Владимир Коротенко]

Хм. Попросите войти через соцсеть. Отсеит практически всех. Даже многих валидных.

Answer 4

[Александр Маджугин]

Убрать форму из страницы. Генерировать ее js'ом только когда пользователь ткнул в кнопку.

Comments

[Андрей Пчелкин]

Во-первых, это костыль, который будет нервировать пользователей, во-вторых, вопрос уже решён. :)
Но спасибо за ответ.

[Александр Маджугин]

MultiGramen, в смысле костыль? Т.е. скрытая форма которая не нужна - это не костыль? И что будет пользователя нервировать-то? Для него ведь ничего не изменится.

Answer 5

[Adamos]

Вне зависимости от капч и прочих технических средств определения живого пользователя - стоит подумать головой, чем отличается то, что вам реально может написать клиент, от того, что пришлет спам-бот.
Например, если в тексте клиента крайне маловероятен фрагмент "http" - можно обойтись и вовсе без капчи... а боты пусть радостно шлют свой шлак в /dev/null.

Answer 6

[Fubu_By]

Можно воспользоваться сторонними сервисами, которые предоставляют API для распознания спама (типо как у google, kolas.ai), но все что хорошее будет взымать плату