Feature: Captcha im Newsletter

[Aybee]

Macht es Sinn für die Newsletter An- und Abmeldung ein Captcha anzubieten? Im Forum kommen schon mal öfters Anfragen diesbezüglich. https://community.contao.org/de/showthread.php?2952-Captcha-%28Sicherheitsfrage%29-bei-Newsletter-Bestellung

Wenn ja, dann wäre das hier ein Feature-Request.

[leofeyer]

Wozu? Die Newsletter-Anmeldung ist sowieso schon Double-Opt-In.

[markusthomas]

Ich würde das auch begrüssen, denn damit umgeht man auch die Problematik, dass sich Spam-bots eintragen können und durch nicht existierende Maiaddressen das Postfach des Administrators mit Rückläufern zumüllen...

... aktuell habe ich das Problem bei einer Installation ziemlich akut mit bis zu 200 Fakeanmeldungen täglich.

[leofeyer]

Wir können das ja mal auf Mumble diskutieren.

[frontendschlampe]

Wir haben da bei einem unserer Kunden auch "Beschwerden" - man ist halt mehr oder weniger stark mit dem Aufräumen der Empfängerliste beschäftigt ... ich fände also ein Captcha auch eine gute Idee

[leofeyer]

Wie am 21. Mai auf Mumble besprochen, ist das Problem, das Spam-Bot-Einträge trotzdem in die Datenbank geschrieben werden, auch wenn die Abonnements nicht bestätigt werden.

[pixelquadrat]

Ich halte ein Captcha ebenfalls für notwendig. Denn durch den double Opt-In Prozess werden ja auch Mails versendet. Und ich befürchte, dass man durch das massenhafte aussenden von Opt-In Mails durchaus auf eine Black-List als Spammer landen kann. Mein Newsletter Formular war gerade mal 1h online, da hatte ich bereits 20 Spam Einträge in der Datenbank und bekam laufend "Undelivered Mail Returned to Sender" E-Mails von nicht zustellbaren Opt-In Mails.

[asaage]

Ich nutze zwar die Newslettermodule nur selten und bin überhaupt kein Fan von Captcha's aber die Problematik mit dem double Opt-In Prozess ähnelt der hier beschriebenen: https://github.com/contao/core/issues/7992 Daher würde ich perspektivisch nochmal die implementierung einer Art Garbage Collection anregen, um das System von nicht-abgeschlossenen double Opt-In's zu bereinigen.

[tabcontao]

Die Befürchtung von pixelquadrat halte ich für realistisch. Leider muss man mittlerweile mit allen denkbaren "Angriffen" von Konkurrenten rechnen. Wenn ich nur zum Beispiel an den unsäglichen XoviBot denke, der ja wohl auch nur unterwegs ist, um für seine Kunden rauszufinden, wie man deren Seiten ändern muss, um im Google-Ranking bei bestimmten Suchbegriffen vor den Seiten der Konkurrenz zu sein. Da könnte man mit einem Bot auch den Newsletter der Konkurrenz mal eben auf Black-Lists bringen. Traurig, aber m.E. durchaus realistisch.

[leofeyer]

Implementiert in contao/newsletter-bundle@d145b7a6b4a035f55b0ef08b89f6adc916f661a7. Das CAPTCHA kann bei Bedarf in den Modul-Einstellungen deaktiviert werden.

[aschempp]

:+1: beim Update sollte es aber standardmässig deaktiviert werden, right? ;-)

[leofeyer]

Weiß ich nicht.

[leofeyer]

Ist ja ein Feature-Release.

[timgatzky]

Hi, ich greife dieses Thema nochmal auf, da es bei mir auf dem Schreibtisch aktuelles Thema geworden ist. Eine Webseite von uns wurde massiv über das Newsletter-Formular bombardiert, was an jede Psydo-E-Mail eine Bestätigungsmail gesendet hat. All-inkl, hier als Provider, hat daraufhin das SwiftMailer Script geblockt. Das Modul in der aktuellen Form erzeugt vielleicht am Menschen keinen Spam, aber am Server ist dies durchaus möglich.

[fritzmg]

In Contao 4.1.0 ist es ja bereits implementiert.

[timgatzky]

Ich sehe es nicht als "Feature", sondern als mandatory und inzwischen sogar kritsch an. Daher noch im LTS Zyklus für bestehende 3er Webseiten.

[Metis77]

+1 seit einigen Monaten vermehrt spam Anmeldungen gegen Contao Newsletter. Sollte auf jeden fall noch für Contao LTS erscheinen.