Zum Inhalt springen
Marketing Factory Digital GmbH
Kontakt

Intelligenter Spamschutz für TYPO3-Formulare ohne CAPTCHA - KI-basierte Lösung mit n8n

Zeige größere Version von: Neue Anfrage über die Website: Anrede Frau, Name uJSYvIHAIdYFUpgHiHIVAWoF, E-Mail ufiroqacuxe795@gmail.com, Rückrufnummer 5738878879, Nachricht ZwmBJAgQzdFszCRdVp, Aktuelle Seite Kontakt (ID: 9).
Typischer Formular-Spam. Inzwischen sind das häufig nur noch zufällige Zeichenketten statt echter Nachrichten.

Kennt ihr das? Kaum habt ihr ein neues Kontaktformular auf der Firmenwebsite veröffentlicht, schon machen sich Heerscharen von Bots darüber her und fluten eure Inbox mit automatisierten Anfragen. Früher war das zumindest noch halbwegs unterhaltsam. Da gab es die ein oder andere üppige Erbschaft eines nigerianischen Prinzen, die auf Auszahlung wartete. Oder ungefragte Angebote aus dem Bereich der Männergesundheit. 😉 Ich bin sicher, jeder von uns hat gerade die passende Spam-Mail aus eigener Erfahrung vor Augen. Inzwischen machen sich die Spammer aber nicht einmal mehr diese Mühe. Stattdessen erreichen uns mittlerweile sogar Formulareingaben mit zufällig gewürfelten Zeichenketten.

Was für uns als Fachleute aus den Agenturen in unseren eigenen Postfächern eher ein Achselzucken und den gelernten Dreiklang “gesehen, gelacht, gelöscht” hervorruft, kann bei unseren Kunden aber zum echten Problem werden. Denn - einmal abgesehen von diesen offensichtlichen Fällen - nicht jeder erkennt auf Anhieb, wann es sich um eine echte, valide Anfrage handelt und wann nicht. Sonst wären beispielsweise Phishing, Social-Engineering und CEO-Fraud längst nicht so erfolgreich. Insbesondere bei Touchpoints, die so stark exponiert sind wie die bereits erwähnten Formularstrecken, ist es also wichtig, die Spreu vom Weizen zu trennen und unerwünschte Anfragen möglichst abzuwehren.

Zeige größere Version von: Bild zeigt ein CAPTCHA mit verzerrtem Text. Der Text lautet 'specific' und 'itySTA'. Es gibt ein Eingabefeld mit der Aufforderung 'Geben Sie den angezeigten Text ein'.
Typisches CAPTCHA, hier über Google reCAPTCHA. CAPTCHAs sind prinzipbedingt schwer zu lesen und daher in der Regel nicht barrierefrei

Warum klassische Spam-Schutzmechanismen an ihre Grenzen stoßen

Das TYPO3-Form-Framework selbst bietet von Haus aus nur grundlegende Spam-Protection, etwa über Honeypot-Felder. Das konventionelle Gegenmittel für öffentliche Formulare sind daher CAPTCHAs (Computer automated public Turing test to tell computers and humans apart). Diese stellen jedoch für den erwünschten, menschlichen Nutzer eine erhebliche Hürde dar, weil die angezeigten Buchstabenfolgen auch für den Menschen oft wirklich schwer zu entziffern sind. Deswegen gab es im späteren Verlauf auch Systeme, die parallel eine gesprochene Version der Buchstabenfolge lieferten, die man dann abtippen konnte. Groteskerweise machten es diese Audio-CAPTCHAs es den Bots wiederum leichter, den Test ebenfalls zu bestehen. Offensichtlich ist es für die Maschine ebenfalls leichter, die Sprache zu verstehen, als das Bildmuster zu erkennen. Seit zudem die Forderung nach Barrierefreiheit hinzugekommen ist, werden CAPTCHAs zum echten Problem, weil sie praktisch nie barrierefrei zu realisieren sind.

Das grundsätzliche Problem beim Einsatz von CAPTCHAs ist jedoch, dass das eigentlich nur Symptombekämpfung darstellt. Das Ausgangsproblem war ja, dass wir gerne wissen möchten, welche Anfragen seriös und welche offensichtlich Spam sind. Wie sich herausstellt, ist diese Frage durch die Verfügbarkeit von KI bzw. leistungsfähigen Sprachmodellen deutlich leichter zu beantworten geworden. Statt eines CAPTCHAs, das den Benutzer effektiv bei der Nutzung eines Formulars stört und dessen Conversion-Rate negativ beeinflusst, analysieren wir daher inzwischen die abgeschickten Formulardaten und lassen durch das LLM entscheiden, ob eine Anfrage weitergereicht oder verworfen wird.

KI-basierte Spam-Protection: Die moderne Alternative zum CAPTCHA

Die technische Basis für unsere Spam-Protection ist das Prozessautomatisierungssystem n8n. Als TYPO3-Agentur haben wir diese Lösung speziell für Enterprise-Kunden entwickelt, die sowohl höchste Sicherheitsstandards als auch optimale User Experience benötigen. n8n bietet die Möglichkeit, verschiedene Datenquellen ereignisgetrieben miteinander zu verknüpfen, Daten zu evaluieren, Entscheidungen zu treffen und daraufhin verschiedene Aktionen auszulösen. n8n lässt sich dabei als Docker-Container auf eigener Infrastruktur betreiben. Es kann für seine AI-bezogenen Aufgaben jedes beliebige OpenAI-kompatible LLM nutzen. Zusammen mit dem LLM-Hosting von mittwald entsteht somit eine vollständig datensouveräne Plattform, die in Deutschland betrieben wird und uns somit eine Vielzahl von Möglichkeiten bietet, auch personenbezogene Eingaben DSGVO-konform zu verarbeiten. Für Unternehmen, die sensible Kundendaten verarbeiten, ist dies ein entscheidender Vorteil gegenüber Cloud-basierter Lösungen amerikanischer Anbieter.

Zeige größere Version von: Ein Workflow-Diagramm zeigt einen Prozess zur Bearbeitung von Formular-Einreichungen. Es beginnt mit einem Webhook, gefolgt von einer Switch-Komponente, die zwischen Produktions- und Nicht-Produktionsanfragen unterscheidet. Ein Text-Klassifizierer filtert unerwünschte Einreichungen, während ein OpenAI-Chat-Modell Nachrichten verarbeitet. MJML konvertiert HTML, und eine E-Mail wird gesendet.
Ein einfacher Prozess zur Formularbearbeitung in n8n, visualisiert durch ein Flussdiagramm. Einlaufende Formulareingaben werden gefiltert, per KI klassifiziert und erwünschte Daten per E-Mail intern weitergeleitet.

TYPO3-Integration: Nahtlose Anbindung über Webhooks

n8n kann sowohl selbst zyklisch externe Systeme abfragen als auch von außen per HTTP-Webhook getriggert werden. Wir haben mit der Extension t3brightside/formwebhooksend das TYPO3-Form-Framework in die Lage versetzt, abgeschickte Formulardaten mit einem solchen Webhook an n8n zu übermitteln. Sobald ein Formular abgeschickt wird, ruft TYPO3 den von n8n bereitgestellten Webhook auf und übermittelt ein JSON-Objekt mit den Formulardaten. In diesem Objekt sind zusätzlich noch weitere Informationen enthalten, die sich in der Formularkonfiguration hinterlegen lassen. Damit lässt sich beispielsweise mitgeben, welches Formular genau von welcher Seite aus abgeschickt wurde oder wohin die klassifizierten Daten weitergereicht werden sollen. Zuletzt bekommen wir auch Informationen über den Application-Context von TYPO3 und können somit Requests von Testsystemen vorab ausleiten.

Die Konfiguration des Webhooks ist dabei sehr einfach:

finishers:
  -
    options:
      webhookUrl: '%env(WEBHOOK_CONTACT_FORM_SUBMISSION)%'
      apiToken: 'yourpassword'
      customValues: |
        recipientAddress: info@marketing-factory.de
        subject: Neue Anfrage über die Website
      fieldMappings: ''
    identifier: FormwebhooksendFinisher

In n8n lässt sich dann der Ablauf im graphischen Editor anlegen. n8n liefert für den Webhook-Trigger eine URL, die in der o.g. Konfiguration als webhookUrl eingetragen werden muss. So kann der Prozess dabei aussehen:

Zeige größere Version von: Ein Flussdiagramm zeigt einen automatisierten Prozess zur Bearbeitung von Formular-Einreichungen. Es beginnt mit einem Webhook, gefolgt von einer Textklassifizierung, um unerwünschte Einreichungen zu verwerfen. Gültige Einreichungen werden an ein OpenAI Chat-Modell weitergeleitet, um eine Antwort zu generieren. Die Antwort wird dann in HTML umgewandelt und per E-Mail gesendet.
Workflowausführungen lassen sich in n8n im Nachgang darstellen. n8n markiert dabei in Grün den Weg, den die Daten im Workflow genommen haben. Getroffene Entscheidungen lassen sich so leicht nachvollziehen.
Zeige größere Version von: Das Bild zeigt ein Webhook-Log mit Details zu einer erfolgreichen Ausführung. Es enthält Header-Informationen, Parameter, Abfrage, Body, Webhook-URL und Ausführungsmodus. Die Daten umfassen Benutzerinformationen wie Name, E-Mail, Telefonnummer und Nachricht. Der Webhook wurde in einem Produktionsmodus ausgeführt.
Zu jedem Schritt im Workflow lassen sich die bearbeiteten Daten prüfen. Besonders bei dem initialen Aufruf des Webhooks ist das interessant. Dort sind dann die ursprünglich an n8n übermittelten Ausgangsdaten ersichtlich. Neben einem z.B. im HTTP-Body empfangenen JSON-Objekt werden auch die eingehenden HTTP-Header dargestellt und können später genutzt werden.

Intelligente Klassifizierung: Wie KI Spam von echten Anfragen unterscheidet

Die einlaufenden Daten werden zunächst nach dem jeweiligen Context (Development, Production usw.) gefiltert. Nur Daten vom Produktivsystem werden weiterbearbeitet. Die JSON-Daten laufen danach in einen Text-Classifier. Dieser sendet sie zusammen mit einem entsprechenden Prompt an ein OpenAI-kompatibles Modell - in diesem Falle das gpt-oss-120b-Modell, das uns mittwald bereitstellt. Die Aufgabe ist sehr einfach: Alle Anfragen, die anstößige Formulierungen enthalten oder offensichtlich unerwünscht sind, weil sie z.B. die erwähnten Zufallszeichenketten enthalten, werden aussortiert. Was übrig bleibt, sind genau die Anfragen, die wir gerne behalten möchten und diese werden aktuell in Form einer E-Mail weitergeleitet. Diese KI-gestützte Spamerkennung erreicht eine Trefferquote von über 99% und eliminiert sowohl offensichtliche Zufallsstrings als auch aufwändigere Versuche, die herkömmliche Filter umgehen würden.

Der Einsatz von n8n bietet uns nicht zuletzt die Möglichkeit, ohne Änderungen an TYPO3 die Daten anstelle des E-Mailversands in ein CRM laufen zu lassen. Außerdem lassen sich die durchgeführten Workflows samt ihrer Daten und Entscheidungswege nachträglich sehr gut visualisieren und damit auf korrekte Funktion hin überprüfen. Das schafft auch in Kundenprojekten, in denen Daten an Drittsysteme übermittelt werden, sehr gute Einblicke und ermöglicht eine gezielte Fehleranalyse.

Für unsere Kunden bedeutet diese intelligente Spam-Protection konkrete Geschäftsvorteile: Keine verpassten echten Anfragen mehr durch überfüllte Postfächer, deutlich reduzierter Aufwand bei der manuellen Sichtung von Formulareingaben und eine höhere Conversion-Rate durch den Verzicht auf störende CAPTCHAs. Gleichzeitig gewährleistet die Lösung mit deutschem Hosting vollständige DSGVO-Konformität - ein entscheidender Vorteil für Unternehmen, die sensible Kundendaten verarbeiten. Als langjährige TYPO3-Experten implementieren wir solche Automatisierungslösungen nahtlos in bestehende Systeme und sorgen für eine kontinuierliche Optimierung der digitalen Touchpoints unserer Kunden.

Wir freuen uns, wenn Ihr diesen Beitrag teilt.

Kommentare

Keine Kommentare gefunden.