Кто и как борется со спамом?

Я, например проверяю IP. Обратил внимание, что большинство запросов со спамом лезут из Европы. Потому чаще всего достаточно проверить страну отправителя. И если это не РФ (в моем случае Казахстан был) — то отклонять запрос.
Очень простенький хук на самом деле — и сильно спасает.
Не везде это конечно нужно, но в региональных магазинчиках сойдет
Вот пример кода для хука FormIT

$response = file_get_contents('https://ipwhois.app/json/?lang=ru&ip='.$_SERVER['REMOTE_ADDR']);
$response = json_decode($response, 1);
if(is_array($response)) {
    if($response['country_code'] === 'KZ') {
        return true;
    };
} 

return false;

Привет! Ещё вариант: обязательное скрытое поле, которое аппендом добавляется в форму при помощи js по событию ховера на кнопку сабмита.

На больших магазинах не тестил, но на средних работает хорошо. Во всяком случае, до установки этой ловушки спам падал по 20-50 писем в сутки, а после — как отрезало.

Есть минус у этого способа — не отправить форму через ctrl+enter.

Всем привет!

Я борюсь таким образом:
1. Проверяю в сниппете для FormIt с помощи регулярки на наличие ссылки типа site.com И email типа name@mail.com в поле текстового сообщения + в каждом поле такую проверку делаю (Имя, Телефон, Название фирмы, все поля чекаю). Если обнаружена ссылка, то возвращаю false и сообщение, что «Ссылки или электронные адреса в данном поле не разрешены. Вы можете приложить Word, Excel, PDF или текстовый файл с подробным описанием, ссылками и email.».
2. Использую сниппет csrfhelper:

<input type="hidden" name="csrf_token" value="[[!csrfhelper? &key=`contact-us`]]">

А в вызов FormIt добавляю хук csrfhelper_formit.
3. Разумеется, добавляю простейшую проверку на пустоту скрытое поле URL (можно назвать поле любым человекоподобным словом)

<input class="form-control visually-hidden" type="text" name="url" value="">

4. Добавляю таймер на страницу, который не разрешает отправлять форму, если ты менее 15 секунд на странице (обычно спам-боты отправляют спам моментально после загрузки страницы, менее чем за 1-5 секунд) и показываю пользователю сообщение об ошибке «Слишком быстро нажата кнопка Отправить. Подождите, пожалуйста, 15 секунд и отправьте еще раз.»
В форме Fenom-тэг с текущим временем в формате UNIX. Сравниваем его в антиспам-сниппете.

<input class="form-control visually-hidden" type="text" name="formtime" value="{time()}">

5. На всякий случай вырезаю все html-тэги из всех полей :stripTags
6. В доработке хук, который чекает прилагаемый файл через форму: только pdf, word, excel, txt, zip, png, jpg; не больше 25 мегабайт (вроде как стандартное ограничение всеми почтовиками). Если проверка не пройдена, то показываем вежливое сообщение, что мы принимаем только такие файлы и не больше 25 мб.
7. Не забываем про проверку на обязательность заполнения полей со стороны клиента с помощью тэга required. А также проставляем все необходимы типы данных в инпутах: type=«email», type=«number» или же type=«text» во всех полях!

Мое мнение — самое главное вернуть очень понятный человеку и вежливый ответ, что здесь ссылки не разрешены в целях борьбы со спамом, Вы можете приложить файл со всеми ссылками и адресами.

{$_modx->runSnippet('!FormIt', [

	'hooks' => 'antiSpam,spam,csrfhelper_formit,email',

	'spamCheckIp' => '1',
	'csrfKey' => 'contact-us',

	'validate' => 'name:stripTags:required,email:stripTags:required,message:stripTags:required,url:blank',

	'successMessage' => '<div class="alert alert-success mt-3" role="alert"><b>Спасибо!</b> Ваше сообщение было отправлено.</div>'

])}

Сам сниппет antiSpam:

<?php
$name = $hook->getValue('name');
$phone = $hook->getValue('phone');
$email = $hook->getValue('email');
$message = $hook->getValue('message');
$contact_attachment = $hook->getValue('contact_attachment');

$regExpGSM = '/(\d{3})(?:(?:-*|\s*|\.*|\)*|\)\s*))(\d{3})(?:(?:-*|\s*|\.*|\)*))(\d{3})/';
$regExpURL = '/[-a-zA-Z0-9@:%._\+~#=]{2,256}\.[a-z]{2,6}\b[-a-zA-Z0-9@:%_\+.~#?&=]*/i';
$regExpEmail = '/(?<=\b)\w([\w\.\-_0-9])*(@| at )[\w0-9][\w\-_0-9]*((\.| DOT )[\w\-_0-9]+)+(?=\b)/';
$regExpExt = '/^([A-Za-z0-9-_.])+\.(png|jpe?g|gif|bmp)$/';

/*Check regExp email*/
if (preg_match($regExpEmail, $name)) {
    $hook->addError('emailInName', 'Email-адреса не разрешены в поле Имя. Вы можете приложить Word, Excel, PDF или текстовый файл с подробным описанием, ссылками и электронной почтой.');
    return false;
} elseif (preg_match($regExpEmail, $message)) {
    $hook->addError('emailInMessage', 'Email-адреса не разрешены в поле Сообщения. Вы можете приложить Word, Excel, PDF или текстовый файл с подробным описанием, ссылками и электронной почтой.');
    return false;

    /*Check regExp URL's*/
} elseif (preg_match($regExpURL, $name)) {
    $hook->addError('linkInName', 'Ссылки на сайты не разрешены в поле Имя. Вы можете приложить Word, Excel, PDF или текстовый файл с подробным описанием, ссылками и электронной почтой.');
    return false;
} elseif (preg_match($regExpURL, $message)) {
    $hook->addError('linkInMessage', 'Ссылки на сайты не разрешены в поле Сообщения. Вы можете приложить Word, Excel, PDF или текстовый файл с подробным описанием, ссылками и электронной почтой.');
    return false;
	
/*И так далее по всем полям чекаю регулярками выше*/

/*Проверяем, что не слишком быстро нажимается кнопка "Отправить"*/
} elseif ($_POST['formtime'] > time() - 15) {
    $hook->addError('fastSending', 'Слишком быстро нажата кнопка Отправить. Подождите, пожалуйста, 15 секунд и отправьте еще раз.');
    return false;

} else {
    return true;
}

В самой форме плейсхолдеры для вывода человекопонятных ошибок:

[[!+fi.error.csrf_token:notempty=`
<div class="alert alert-warning mt-3 mb-2">[[!+fi.error.csrf_token]]</div>
`]]
[[!+fi.error.fastSending:notempty=`
<div class="alert alert-warning mt-3 mb-2">[[!+fi.error.fastSending]]</div>
`]]

[[+fi.statusMessage]]
[[+fi.successMessage]]

<input type="text" class="form-control"
       placeholder="Ваше имя *"
       name="name"
       value="[[!+fi.name]]"
       required>
<span class="error_name">[[+fi.error.name]]</span>

До этого у меня была всего-лишь одна проверка regExp на наличие ссылки и email в поле Сообщения (message). Спама почти не было, но стал приходить спам типа Buy our viagra on usa-pharma.shop, пропускались такие ссылки. Более длинная регулярка уже иногда блочила любой текст, если юзер пишет сообщение и после точки сразу пишет слово нового предложения.

Добавил проверку на 15 секундное ожидание (человеку просто не реально раньше 15й секунды заполнить все поля и отправить форму). Можно поставить 5 секунд.

После этого стали приходить сообщение только от человеков, никакого спама.

Не отловленные ошибки надо бы логгировать (у меня был этот кусок кода для логгирования не отправленных форм через FormIt, но не могу найти, он в старых хуках был).

Ну и можно по IP блочить вдобавок, как выше уже предложено.

Я не очень силен в PHP, как смог так и написал, поэтому большая просьба помочь хорошо доработать данный сниппет/хук и поделиться им здесь.

А если не секрет, из каких соображений вы используете slim? Вы, как я понял, развиваете и поддерживаете множество сайтов на разных платформах. И в каких случаях вы принимаете решение вместо традиционных CMS с админ. панелью использовать микрофреймворк?

Я добавляю вот этим js кодом в каждую форму скрытое поле nobot сразу после загрузки любой страницы

$('form').prepend('<input type="hidden" name="nobot" value="1">');

И в formit его проверяю как обязательное, автоспама вроде нету и только ручной попадается иногда