Hallo liebe Internet-Marketer,

ein Kunde von mir hatte ein Gewinnspiel auf seiner Seite laufen. Recht erfolgreich - in der Datenbank landeten 250.000 Teilnehmer. Allerdings kamen vermutlich 98% dieser Teilnehmer über automatisierte Einträge zustande. Ich hatte versucht, automatisierten Eintragungen mit einer Rechenaufgabe im Formular entgegenzuwirken, das hat aber offenbar nur den wirklichen Spam verhindert, nicht automatisierte Einträge.

Top-Referer waren etwa http://www.gewinnspiele.com, http://gewinnspiele.super-illu.de, http://www.abcgewinnspiele.de, http://www.happy-spots.de, http://www.gewinnspiele.at,

Die 250.000 Addressen sind natürlich alles andere als ein qualifiziertes Zielpublikum. Wie verhindert Ihr diese vielen automatisierten Einträge? Wie machen die das technisch - würde ein visuelles Captcha die automatisierten Einträge verhindern? Man lernt ja nie aus!

Danke vorab!
Heinz-Günter Weber

Wie hast du denn die Rechenaufgabe programmiert? Ist die dynamisch oder statisch? Klingt nach einer interessanten Idee

Wirkungsvoller ist aber wohl trotzdem immernoch das gute alte Capcha.
Wichtig ist, dass du so viel wie möglich überprüfst (Syntax der Mailadresse etc.).

Captchas helfen nix, wenn die 'ausgeliehen' und bsp. auf einer Sexseite von Interessierten beantwortet werden.

Sieh dir an, was die Bots genau schicken.

Ich hatte vor längerer Zeit diese Beobachtungen gepostet, die eigentlich immer noch gelten. Auf server-daten spielt das weiterhin keine Rolle, obwohl es regelmäßig Versuche gibt.

1. Simpler Versuch (statische Lösung): Ergänze ein Hidden-Feld, belege das mit irgendeinem Wert, prüfe diesen ab.

2. Wenn das nicht reicht, belege das Feld bsp. mit einem Timestamp-Wert, prüfe, ob der zurückgesandte Wert auch wieder als Timestamp konvertierbar ist und ob er nicht zu alt ist (< 1 Minuten).

3. Bei server-daten beruht die Logik (unabhängig von Spambots) darauf, daß eine Seite mehrere Formulare und jedes Formular mehrere Buttons enthalten kann. Beim Klick wird per JavaScript ein Hidden-Feld mit dem Namen des Buttons belegt, das Hidden-Feld war davor leer. Nur wenn einer dieser Namen, die ansonsten bloß im Aufruf der JavaScript-Funktion vorkommen, in diesem Feld zurückgeschickt werden, wird überhaupt etwas gemacht.

Die Logik läßt sich durchaus 'klauen' und zur Reduktion solcher Dinge verwenden.

Und als kleine Ergänzungen solltest du natürlich auch an die IP-Sperre und Emailblacklist denken. Eintragsdienste verwenden meist eigene Emailadressen und diese lassen sich ja ganz bequem blockieren.

Danke für die bisherigen Vorschläge! Wir haben das neue Gewinnspiel mit einem Captcha ausgestattet.

Blacklists mit IP/Server-Adressen von Gewinnspiel-Eintragsdiensten habe ich bislang noch keine entdeckt, habt Ihr da Tipps dazu?

Danke auf jeden Fall!

Heinz-Günter Weber

Grade zur Antwort von Jürgen würde mich interessieren ob noch jemand aktuelle Zahelen dazu hat wie viele Surfer JS deaktiviert haben.

Ansonsten sind hier ein paar nette Gedankenansätze dabei.

Hallo TSc,

wir haben aktuell über etracker ermittelt 1,18% Nutzer, bei denen JavaScript nicht möglich war. Bezieht sich auf den Auftritt www.china-reisen.de und dessen Schwesterseiten. Cookies haben 2,88% nicht akzeptiert. Basis dazu sind ca. 10.000 Besucher.

Bei den Vorschlägen von Jürgen würde ich zunächst eher denken, dass die zwar gegen simpleres Roboter-Spamming helfen, aber nicht gegen automatisierte Forrmulareinträge der Gewinnspiel-Eintragsdienste. Die Formularverarbeitung ist in unserem Fall in ein anderes Dokument ausgelagert, man hätte evt. noch prüfen sollen, ob dies von der Gewinnspiel-Seite aus aufgerufen wurde oder nicht (es wurde nur die Domain überprüft, müsste aber auch gereicht haben...).

Der Vorschlag mit dem JavaScript-aktivierten hidden-Wert ist mir schon einleuchtender. Aber ich halte diese Eintragsdienste fast für so schlau, auch mit JavScript umgehern zu können. Die müssen nur den hidden-Wert herausfinden und rufen ab dann die Verarbeitungsseite mit diesem Parameter auf (Bin aber nicht der Server-Experte).

Das Captcha erfüllt zur Zeit offenbar seinen Zweck, oder die Eintragsdienste haben die Seite noch nicht entdeckt ...

Nachtrag 13.1.2008: Zwei Wochen hat es mit dem Captcha gehalten, dann brau cer Damm ... Captcha auf ransom(0,99999) umgestellt jetzt bremst es die bots wieder aus ...