Een contactformulier is voor veel kleine bedrijven het belangrijkste kanaal voor nieuwe klanten. Het is dan ook vervelend als je inbox volloopt met onzin: nepberichten over goedkope leningen, vage aanbiedingen en wartaal in gebroken Nederlands. Die spam verdrinkt niet alleen je echte aanvragen, hij kost je ook tijd en aandacht. Gelukkig kun je het overgrote deel ervan tegenhouden met eenvoudige, onzichtbare maatregelen die je bezoekers helemaal niet merken. In deze gids loop ik door hoe formulierspam ontstaat, welke technieken werken en hoe je voorkomt dat je per ongeluk ook echte aanvragen blokkeert.
Hoe ontstaat formulierspam?
Het grootste deel van de spam in formulieren komt niet van mensen, maar van geautomatiseerde programma's. Die robots speuren het web af naar formulieren en proberen ze massaal in te vullen. Het kost ze niets, dus ook al reageert maar een fractie, het loont voor de afzender. Je wordt dus niet persoonlijk uitgekozen, je site is gewoon een van de duizenden die langskomen.
Dat inzicht is belangrijk, want het bepaalt je aanpak. Omdat het robots zijn en geen mensen, hoef je geen muren op te trekken die echte bezoekers tegenhouden. Je hoeft alleen het automatische verkeer te onderscheiden van het menselijke. En daar zijn een paar slimme, onzichtbare trucs voor.
De honeypot: je beste eerste verdediging
De meest effectieve en tegelijk meest vriendelijke methode is een honeypot. Dat is een extra invoerveld dat met opzet wordt verstopt voor mensen, bijvoorbeeld met een stukje opmaak dat het buiten beeld zet. Een gewone bezoeker ziet het veld nooit en laat het dus leeg. Een robot vult klakkeloos alles in, ook dat verborgen veld.
Komt er een inzending binnen waarbij het honeypot-veld is ingevuld, dan weet je vrijwel zeker dat het automatisch verkeer is en gooi je hem weg. Het mooie is dat dit niets kost, niets vraagt van je bezoekers en geen extra klik oplevert. Voor de meeste kleine bedrijfssites vangt een goed geplaatste honeypot al het leeuwendeel van de spam af. Hoe je een formulier verder netjes opbouwt staat in een contactformulier dat werkt.
Tijdsdrempel en simpele controles
Naast de honeypot helpt het om naar het gedrag te kijken. Een robot vult een formulier vaak in milliseconden in, terwijl een mens daar tientallen seconden over doet. Door bij te houden hoe lang een bezoeker over het formulier doet, kun je inzendingen die verdacht snel binnenkomen apart zetten.
Een paar andere eenvoudige controles werken ook goed:
- Weiger berichten met te veel links erin, want echte aanvragen bevatten zelden meerdere webadressen.
- Controleer of het e-mailadres een geldige opbouw heeft.
- Blokkeer inzendingen met bekende spamwoorden in onverwachte velden.
- Sta maar een beperkt aantal inzendingen per minuut toe vanaf hetzelfde adres.
Elk van deze controles is op zichzelf klein, maar samen vormen ze een fijnmazig net dat het automatische verkeer eruit zeeft zonder dat een mens er last van heeft.
Wanneer een captcha wel zin heeft
Een captcha, de bekende test waarbij je verkeerslichten moet aanklikken of een vinkje zet, is de meest zichtbare maatregel. Het werkt, maar het voegt een drempel toe en kost soms echte aanvragen. Mensen haken af bij een test die niet meteen lukt, en juist die afhakers had je graag als klant gehad.
Mijn advies is daarom om een captcha pas in te zetten als de onzichtbare maatregelen onvoldoende blijken. Houd je na honeypot en tijdsdrempel nog steeds veel spam over, dan is een lichte, moderne verificatie die meestal automatisch op de achtergrond werkt een goede tussenstap. Een zware, hinderlijke captcha bewaar je voor het uiterste geval.
De beste spambeveiliging is die je bezoekers niet merken. Begin onzichtbaar en voeg pas drempels toe als het echt nodig is.
Filters aan de serverkant
Tot nu toe ging het vooral over maatregelen in het formulier zelf. Daarnaast kun je achter de schermen filteren, op de plek waar de berichten verwerkt en verstuurd worden. Daar kun je inzendingen tegenhouden op basis van het land van herkomst, bekende spambronnen of patronen die telkens terugkomen.
Een handige extra is om het ontvangende e-mailadres niet zichtbaar in de code van je site te zetten. Robots schrapen sites af op zoek naar adressen, dus een adres dat alleen aan de serverkant bekend is, krijgt simpelweg minder rommel. Wil je weten waarom een eigen, verzorgd adres sowieso belangrijk is, lees dan ook een e-mailadres op je eigen domein instellen. En hoe je veilig met de gegevens uit je formulier omgaat staat in privacy en AVG voor een kleine site.
Zelf doen of uitbesteden?
Een honeypot en een paar simpele controles zijn voor een handige ondernemer met een eenvoudig formulier prima zelf te regelen. Het wordt lastiger zodra je met serverinstellingen, filters en verificatiediensten aan de slag moet, want dan komt er techniek bij kijken die je formulier juist kapot kan maken als het verkeerd staat.
Bij onze sites zit een goede spambeveiliging standaard ingebouwd, zodat je formulier vanaf dag één rustig blijft. Wil je dat liever uit handen geven of een bestaand formulier laten opschonen, kijk dan bij onderhoud en hosting of bekijk hoe we een nieuwe bedrijfswebsite opzetten. Twijfel je over de beste aanpak voor jouw situatie? Stuur kort wat er aan de hand is en je krijgt een eerlijk advies, zonder verkooppraat.
Veelgestelde vragen
Heb ik een captcha nodig om spam tegen te houden?
Meestal niet. Een onzichtbaar honeypot-veld vangt de meeste robots al op zonder dat je bezoekers iets merken. Een captcha voegt drempels toe en kost soms echte aanvragen. Pas als je veel doorglippende spam houdt, is een lichte verificatie een logische volgende stap.
Wat is een honeypot precies?
Een honeypot is een verborgen veld dat een mens nooit ziet of invult, maar een robot wel. Wordt dat veld toch ingevuld, dan weet je dat de inzending automatisch is en gooi je hem weg. Het is gratis, onzichtbaar en stoort echte bezoekers niet.
Mijn formulier krijgt opeens veel spam, wat nu?
Voeg eerst een honeypot en een tijdsdrempel toe en controleer of het e-mailadres voor de meldingen niet openlijk op de site staat. Houdt het aan, dan helpt een serverfilter of een lichte verificatie. Een goede aanpak combineert een paar maatregelen in plaats van een enkele.
Houdt een spamfilter ook echte aanvragen tegen?
Dat risico bestaat als je te streng filtert. Daarom is de volgorde belangrijk: begin met maatregelen die robots raken maar mensen met rust laten, en zet strenge filters alleen in als het echt nodig is. Test na elke aanpassing of je eigen inzendingen nog gewoon doorkomen.
Verder in de kennisbank: Een offerteformulier dat goede aanvragen geeft · Een e-mailadres op je eigen domein instellen · Een contactformulier dat werkt