Zum Inhalt springen

Kontaktformular-Spam verhindern: der komplette Leitfaden

Von Leon Weinmann ·

Spam über das Kontaktformular kommt fast immer von Bots. Ein einzelnes Gegenmittel reicht selten — wirksam wird der Schutz erst durch mehrere Schichten, die zusammenarbeiten: ein Honeypot-Feld, eine Zeitprüfung, serverseitige Validierung, Rate-Limiting und, wo nötig, ein datenschutzfreundliches CAPTCHA. Der Trick ist, echte Nutzer dabei nicht auszusperren.

Warum Kontaktformulare Spam anziehen

Bots durchsuchen das Web automatisiert nach Formularen und schicken sie massenhaft ab — für Werbung, Phishing-Links oder schlicht, um Ihre Postfächer zu fluten. Das Formular muss dafür nicht aus Navigation oder Startseite verlinkt sein — Bots finden Formulare über automatisiertes Scannen, nicht nur über sichtbare Links. Genau deshalb lohnt sich Schutz auch bei kleinen Websites.

Die Schutzschichten im Einzelnen

Honeypot-Feld

Ein verstecktes Formularfeld, das echte Nutzer nicht sehen und daher leer lassen. Viele einfache Bots füllen es trotzdem aus — wird es befüllt, verwerfen Sie die Anfrage. Kostenlos, datenschonend, in wenigen Minuten umgesetzt. Gegen gezielte Angriffe hilft es allein aber nicht.

Zeitprüfung

Menschen brauchen einige Sekunden, um ein Formular auszufüllen. Wird es praktisch sofort nach dem Laden abgeschickt, spricht das für Automatisierung. Ein Zeitstempel beim Anzeigen und eine Mindestdauer bis zum Absenden filtern viele Bots heraus.

Serverseitige Validierung

Prüfen Sie jede Eingabe auf dem Server — Pflichtfelder, plausible Formate, verdächtige Muster wie viele Links im Nachrichtentext. Clientseitige Prüfungen allein lassen sich umgehen, weil Bots das Formular gar nicht erst im Browser öffnen.

Rate-Limiting

Begrenzen Sie, wie oft von einer IP-Adresse in einem Zeitraum abgeschickt werden darf. Das bremst massenhaftes Absenden aus einer Quelle. Gegen verteilte Angriffe über viele IP-Adressen wirkt es nur begrenzt — deshalb steht es hier als eine Schicht von mehreren.

Ein datenschutzfreundliches CAPTCHA

Bleibt trotz der Basisschichten Spam übrig oder ist das Formular ein beliebtes Ziel, ergänzt ein CAPTCHA die Erkennung — idealerweise eines ohne Bilderrätsel und ohne Datenabfluss an Dritte. Wie Sie eines richtig einbinden, steht unter CAPTCHA DSGVO-konform einbinden; Google-freie Ansätze finden Sie unter CAPTCHA ohne Google.

Was weniger sinnvoll ist

  • Reine Rechen- oder Bilderrätsel, die Nutzer nerven und moderne Bots teils automatisch lösen.
  • Google reCAPTCHA ohne Einwilligung — aus Datenschutzsicht heikel (siehe Ist Google reCAPTCHA DSGVO-konform?).
  • E-Mail-Adressen offen im Klartext statt eines Formulars — eine Einladung für Adresssammler.

ByeBot als CAPTCHA-Schicht

ByeBot lässt sich als CAPTCHA-Schicht vor Ihr Formular setzen: mehrschichtige Bot-Erkennung aus Proof-of-Work, Time-to-Pass und Verhaltensanalyse, gehostet ausschließlich in Deutschland, ohne Tracking-Cookies. So kombinieren Sie die Basisschichten oben mit einer dedizierten Erkennung. Mehr auf der Startseite.

Dieser Beitrag dient der allgemeinen Information. Setzen Sie mehrere Schichten kombiniert ein — kein einzelnes Verfahren stoppt jeden Bot. Stand: Juli 2026.

DSGVO-konformes CAPTCHA aus Deutschland

ByeBot schützt Ihre Website vor Bots — ohne Google, ohne Cookies und ohne Datenabfluss in die USA. Gehostet ausschließlich in Deutschland.

ByeBot ansehen →