XF2.2 Mittel und Wege Spam zu reduzieren?

otto

Die 5k-Labertasche
Lizenzinhaber
Registriert
11. Dez. 2010
Beiträge
5.256
Punkte
448
XF Version
  1. 2.2.15
XF Instanz
Hosting
PHP-Version
8.2.x
MySQL/MariaDB
10.3.x
Provider/Hoster
Strato/Hetzner
Da die Frage öfter kommt und einige hier und da mal Probleme mit Spam haben, hier mal meine 50 Cent zum Thema in der Hoffnung selbst Tipps zu bekommen und ggf. anderen Ideen zu liefern.

Vorweg - es wird niemals einen 100% Spam-Schutz geben können, solange man nicht allein für sich bleibt. ;)
Und ich bewerte hier nicht die Zulässigkeiten durch die DSGVO, ich versuche aber an problematische Stellen auf mögliche Konflikte hinzuweisen und erhoffe mir eine zielführende konstruktive Diskussion.



1. Xenforo Bordmittel nutzen:
  • admin.php?options/groups/spam/
    • Stop Forum Spam
      upload_2021-7-31_9-41-39.png
      Bis hierhin sollte es keine Probleme mit der DSGVO geben, etwas anders sieht es im folgenden aus:
      upload_2021-7-31_9-43-29.png
      Stellt man beide Einstellungen so ein, hat man recht sicher ein Problem in Sachen Einhaltung der DSGVO.
      Will oder muss man dies vermeiden, dann sollte man die Emails hashen lassen und KEINEN API-Schlüssel eingeben. Damit zieht man dem Anti-Spam-Tiger Stop-Forum-Spam aber eben auch einen Zahn... sprich reduziert dessen Wirksamkeit.

      Da wir uns an die DSGVO zu halten haben, bleibt uns innerhalb der EU aber nichts anderes übrig. ;)
      So sollte es also besser aussehen:
      upload_2021-7-31_9-47-10.png

    • DNS-BlockList oder kurz DNSBL
      Hierbei wird die IP-Adresse des Benutzers gegen IP-Adress Datenbanken, so genannte DNS Blacklists, abgeglichen und wenn eine IP in einem bestimmten Zeitraum in der Vergangenheit durch Spam auffällig wurde, landete diese in den Blacklisten und wird hier bei der Prüfung entdeckt und ggf. geblockt.
      Zum Thema Project Honeypot hier vielleicht zwei Links zum einlesen:
      Honey Pot Spam-Fallen - Benchmark Email
      Projekt Honey Pot » ADMIN-Magazin
      Beide nicht ganz frisch, aber dennoch gut beschrieben.
      upload_2021-7-31_9-50-35.png
      Und schon wartet die nächste DSGVO-Falle, wenn man es wie gezeigt komplett konfiguriert hat.
      Das übermitteln ungekürzter IP-Adressen ist wohl nicht zulässig, das übermitteln gekürzter IP-Adressen ist allerdings auch relativ sinnfrei.

      An dieser Stelle bin ich mir bez. DSGVO unsicher und bin auf eure Meinung gespannt.

      Nach meiner Recherche nutzen erstaunlich viele Webseiten im Deutschsprachigen Raum Project Honeypot um Spam auszufiltern. In deren Datenschutzerklärung finden sich dann auch solche oder ähnlich lautende Blöcke:
      Project Honeypot Blocklists
      Zur erweiterten Prüfung der IP Adressen, sind wir Mitglied bei „Projekt Honeypot“. Dieser Service prüft IP-Adressen schon direkt bei Zugriff auf unsere Webseite auf Spam und diese werden unter Hinzunahme von sogenannten Blacklists kontrolliert. Wir werden bei Verdacht auf Spam benachrichtigt und löschen den Domaineintrag, zeitnah aus unserer Datenbank.
      Project Honeypot speichert keine personenbezogenen Daten und keine IP-Adressen. Es werden lediglich unter Spamverdacht stehende IP-Adressen in einer Blacklist gespeichert – Datenschutzerklärung von Project Honey Pot Privacy Policy | Project Honey Pot
      Quelle: Gestra Dienstleistungs GmbH | Alles rund um Dienstleistung

      Reicht es aus darüber zu informieren um es zu nutzen? Zur Zeit entzieht sich das meiner Kenntnis.


    • Slow down ... Registrierungstimer
      upload_2021-7-31_10-13-28.png
      Ob dies heut wirklich noch Wirkung zeigt, schwer zu sagen. Ich denke es bremst bestenfalls Spamer etwas aus, aufhalten wird diese Einstellung keinen, oder bestenfalls schlecht programmierte Bots.


    • Text auf Spamer Phrasen prüfen
      upload_2021-7-31_10-16-25.png
      Eine durchaus praktikable und DSGVO konforme Funktion. Die Wirkung steht und fällt mit der Liste der Spam-Phrasen. Hier meine, relativ kurze.

      Wie schaut eure Spam-Phrasen Liste aus?


    • Akismet
      upload_2021-7-31_10-18-19.png
      Funktional ja - aber wohl bez. DSGVO nicht einsetzbar. Gegenläufige Meinungen?


    • generelle Spamfilter
      upload_2021-7-31_10-20-13.png
      Ich glaube, diese Einstellungen so schon seit Jahren zu nutzen - fragt mich nicht warum genau diese Werte eingetragen wurden. Was habt ihr hier eingesetzt?

      upload_2021-7-31_10-22-31.png


    • Test auf mehrfach verwendete IPs
      upload_2021-7-31_10-23-10.png
      Auch hier wieder - kürzt man IPs aus Datenschutzgründen, ist dieses hier fast wirkungslos. Auch hier bin ich mir bez. DSGVO unsicher.


    • Captcha
      upload_2021-7-31_10-27-44.png
      Ich denke auch hier lauern DSGVO Fallen, zumindest würde ich auf das verwendete CAPTCHA in der Datenschutz Seite hinweisen. Eure Erfahrungen dazu?

      In einem anderen Forum nutzen wir seit Jahren Frage/Antwort erfolgreich. Dies steht und fällt jedoch direkt mit den Fragen und Antworten, die weder zu leicht noch zu schwer, nicht zu eindeutig aber auch nicht zu vieldeutig sein sollten um Spamer zu bremsen und erwünschte Nutzer nicht zu vergraulen.

      Wie sind eure Einstellungen an der Stelle? Und warum?


    • Sonstige Einstellungen im Xenforo
      • Gäste-Gruppe einschränken
      • Sondergruppe für frisch registrierte: keine Signatur, kann keine Links posten, keine PNs schreiben, ... und automatische Beförderung in die nächste Gruppe nach Zeit x, Beiträgen x, Likes x oder was auch immer
      • Registrierte Gruppe: Beitrags Flood-Schutz einstellen, Anzahl Teilnehmer in Unterhaltungen begrenzen, Signaturen einschränken
    • Gibt sicher weiteres, was man tun kann, hier würden mich wieder eure Erfahrungen interessieren!



2. Addons gegen Spam
Keine Liste, aber ein Anfang möchte ich machen - gerne darf dies konstruktiv diskutiert werden!
  • Country registration check 1.5 von AndyB
    upload_2021-7-31_10-34-25.png
    Hier würde mich eine DSGVO Bewertung interessieren - erlaubt oder nicht? Ich weiß es noch nicht.
    Wirkungsvoll? Ja, denke schon:
    upload_2021-7-31_10-36-33.png
    Freilich am besten funktional, wenn man ausschließlich den Deutschsprachigen Raum erreichen möchte und auf alles andere verzichten kann. Ähnliches gibt es auch auf Server-Ebene bzw. über die .htaccess.
    Ich vermute mal, auch hier wird die DSGVO ein Problem sein, wegen der Übermittlung der IPs zur Geo-Referenzierung...
    Meinungen?


Soweit mal ein paar Sachen zur Spam-Bekämpfung von meiner Seite aus. Nichts komplettes, nichts perfektes, und vermutlich genug Probleme mit der DSGVO...

So oder so - wie löst ihr bei euch den Spam-Schutz im Detail?
 
Country registration check 1.5 von AndyB
[...]
Hier würde mich eine DSGVO Bewertung interessieren - erlaubt oder nicht? Ich weiß es noch nicht.
Ich kenne das Add-on nicht und kann daher nur anhand des Screenshots urteilen:
Demnach sieht es so aus als würde ein 3rd Party Service für GeoIP genutzt, d.h. die vollständige IP-Adresse wird an Dritte weitergegeben.

Ob sich das nach Art. 6 Abs. 1 lit f DSGVO legitimieren ließe muss jeder selbst wissen bzw. sich fachlichen Rat einholen.

Nach Einschätzung unseres DSB geht das nicht, was somit prinzipiell auch die Nutzung der SfS-API (egal ob mit oder ohne Key), Akismet sowie der DNSBL ausschließt.

Generell ist GeoIP aber durchaus wirkungsvoll - Registrierungen aus Pakistan/Russland/China etc. sind in den allerseltensten Fällen von Menschen.

Wenn man das DSGVO-konform macht (z.B. mittels Download GeoLite2 von MaxMind), dann kann das schon recht wirkungsvoll sein.
 
Linkspam mit Bordmitteln verhindern:

admin.php?options/groups/spam/

Darüber die Anzahl der Nachrichten, die man braucht, um nicht mehr überprüft zu werden. Ich empfehle den Wert 7. Danke, Foren-Spammer: Marktplatz: Dienstleistungen - ABAKUS

Spam-Phrasen:

*@*
/\[url((?!deine-domain\.de).)*\/url\]/i
 
Frage-Antwort-Captchas nutze ich schon länger. Die anderen Captchas noch nie. Anfrage bei Registrierungen an StopForumSpam auch. IPs speichere ich nur kurz. Da die sich bei vielen Providern sowieso oft ändern, z.B. bei jeder Einwahl, einmal täglich und auch Spammer die oft verschleiern und wechseln, bringt es nichts IPs lange zu speichern, außer man hat Speicherplatz zu viel. Die kurze Speicherung und dass eine Anfrage an StopForumSpam geht, fällt für mich noch unter berechtigtes Interesse, denn auch meine Forenmitglieder haben ein Interesse, nicht mit Spam belästigt zu werden. Und ohne Überprüfungsmöglichkeiten geht es nicht. Wenn mir der Username komisch vorkommt, schaue ich mir über die IP und die E-Mailadresse an, ob es spam-verdächtig sein könnte oder nicht. Automatisch gesperrt wird ein neuer User auch nicht, sondern die Freigabe wird moderiert. Bis zur manuellen Freigabe gibt es nur die Rechte eines Gastes. Da mein Forum noch eine überschaubare Größe hat, ist das Spam-Problem noch nicht so groß wie in anderen Foren. Und sollte es mal zwischendurch ansteigen, setze ich die Registrierungen auf manuell Freigeben. Im Nachbarchiliforum gab es jetzt eine Spamwelle über PN mit sexuellen Inhalten.
 
StopForumSpam ist mega geil. Hat mich schon oft gewarnt.

Linkspam nutze ich was von AndyB
Nofollow manager

und Bilder und Links im Beitrag für Gäste raus.
XenConcept] Hide links / Medias / Images (BbCode) to guests
 
Im Nachbarchiliforum gab es jetzt eine Spamwelle über PN mit sexuellen Inhalten.
In einem meiner Foren trotz einiger Gegenmaßnahmen auch - dank guter Community aber schnell gemeldet und beseitigt - waren ausschließlich Ukrainische und Russische IPs beteiligt...

Ach ja - Gäste (unregistrierte) dürfen bei uns nirgends schreiben oder was hoch laden. Nur Liken dürfen diese...

Linkspam nutze ich was von AndyB
Nofollow manager
Nützt aber doch nur bez. SEO was - oder Steffen? Sehen tun deine Nutzer den Mist dann ja aber dennoch. Oder?
 
Du kannst nen einzelnen Beitrag nur liken oder eben nicht. Aber ja, 1.000 Spamer könnten theoretisch tun was du sagst. Nur wozu? Die Likes sind bei uns ansonsten praktisch unwichtig, ohne Einfluss.
 
In einem meiner Foren trotz einiger Gegenmaßnahmen auch - dank guter Community aber schnell gemeldet und beseitigt - waren ausschließlich Ukrainische und Russische IPs beteiligt...

Ach ja - Gäste (unregistrierte) dürfen bei uns nirgends schreiben oder was hoch laden. Nur Liken dürfen diese...


Nützt aber doch nur bez. SEO was - oder Steffen? Sehen tun deine Nutzer den Mist dann ja aber dennoch. Oder?

Na ja ich könnte es auch deinstallieren. Ich nutze es damals wo alle Links sichtbar waren.
Ich konnte aber einstellen welche Seiten ich in der Blackliste haben will. (Diese werden nicht indexiert)
Nun kann ich das auch einstellen. Ich trage einfach ein welche Links sichtbar sein sollen für Suchmaschinen.
]XenConcept] Hide links / Medias / Images (BbCode) to guests macht das möglich.
Die Links, die nicht für Gäste bestimmt sind, bleiben daher versteckt. Spamer melden sich ja an in der Hoffnung
ihre Liebespillen zu verkaufen. Da aber ein Gast / Suchmaschine seinen Link nicht sehen kann, lohnt sich für ihm der Spam nicht.
Das Teil vom AndyB lasse ich dennoch mitlaufen. Wer weiß wie lange XenConcept noch schützt.
Mir war besonders wichtig das auch der Wohnort (bezogen auf mein Schatzsucher Forum) versteckt wird.
Bin eigentlich zufrieden, ich hatte schon länger keiner Spamer mehr.
 
Wenn ich mich nicht irre würde einmal Cookie löschen bei XF ausreichen
Oder so - nur... wozu? Bei uns gibts keine Orden/Tänge zu verdienen, kein Voting für Ruhm und Ehre... Die Likes sind komplette Nebensache und sollte es wirklich mal dazu kommen ... ja mei, denn sterben wir auch nicht davon. :) ;)

Na ja ich könnte es auch deinstallieren. Ich nutze es damals wo alle Links sichtbar waren.
Ich konnte aber einstellen welche Seiten ich in der Blackliste haben will. (Diese werden nicht indexiert)
Nun kann ich das auch einstellen. Ich trage einfach ein welche Links sichtbar sein sollen für Suchmaschinen.
]XenConcept] Hide links / Medias / Images (BbCode) to guests macht das möglich.
Die Links, die nicht für Gäste bestimmt sind, bleiben daher versteckt. Spamer melden sich ja an in der Hoffnung
ihre Liebespillen zu verkaufen. Da aber ein Gast / Suchmaschine seinen Link nicht sehen kann, lohnt sich für ihm der Spam nicht.
Das Teil vom AndyB lasse ich dennoch mitlaufen. Wer weiß wie lange XenConcept noch schützt.
Mir war besonders wichtig das auch der Wohnort (bezogen auf mein Schatzsucher Forum) versteckt wird.
Bin eigentlich zufrieden, ich hatte schon länger keiner Spamer mehr.
Wäre es nicht besser, Spamer/Gäste gar nicht erst Links setzen zu lassen?
Deshalb können Gäste bei uns nicht schreiben, und auch Frischlinge erstmal keine Links setzen und keine PNs verfassen.
 
Jaein.

Ja für frisch registrierte und Gäste,
aber nein für die welche bereits in die nächste Stufe befördert wurden (2 Tage, mind. 2 Beiträge) und das reicht, da Spamer möglichst nen Link los werden wollen, was sie so erstmal nicht können. Und wer als Spamer 2 nonsens Beiträge raus haut, fällt bei uns eh auf und wird "behandelt". ;)
 
Sagt mal, Männers...wie und wo kann ich es einstellen, dass neue Mitglieder erst ab einer bestimmten Beitragsanzahl private Unterhaltungen führen können? Hat das schon jemand herausgefunden?
 
2 Gruppen, die erste kann keine PNs schreiben, die 2. kanns und dann über Kriterien von der ersten automatisch in die 2 befördern lassen. Steht hier aber auch schon so drin, weiter oben. Ich mach das seit Jahren so.
 
  • Like
Reaktionen: mph
Zurück
Oben