Anfragen

Spam über Kontaktformulare: nervig und gefährlich

Wer und was hinter Spam steckt und was man dagegen tun kann
  • 10. April 2026
Inhalt

Was soll Spam überhaupt bewirken?

Eingrenzung: Wir reden hier rein über die Kontaktformulare, die auf Websites eingebaut sind. Spam-Mails, die du – vielleicht auch privat – über dein Mail-Programm erhältst, sind ein anderes Thema.

Der Fall ist folgender: Du hast eine Website und darauf irgendeine Art von Formular. Meistens dient es der Kontaktanbahnung, manchmal aber auch zur Reservierung, Buchung oder zum Kauf von Produkten und Dienstleistungen. Soweit, so alltäglich.

Nun stellst du aber über kurz oder lang fest, dass nicht nur ernst gemeinte Anfragen darüber reinkommen, sondern auch Spam. Das kann gelegentlich passieren, teilweise wird es aber auch zu einer regelrechten Flut mit Belästigungen mehrmals am Tag.

Entweder werden dir hanebüchene Dinge angeboten, die dich überhaupt nicht interessieren, oder, noch seltsamer: Es steht nicht mal wirklich was drin, eine Ansammlung an wirren Buchstaben. Keine Forderung, kein Angebot, nichts.

Welchen Sinn hat das? Um das zu verstehen, gehen wir einen Schritt zurück …

Wer schickt diesen Spam eigentlich ab?

Der Großteil kommt von automatisierten Programmen – sogenannten Bots. Die durchforsten das Internet nach Formularen, füllen einfach alle Felder aus, die sie finden, und schicken das Ganze ab. In Sekunden. Tausendfach. In Millisekunden.

Das erklärt auch, warum die Inhalte oft so wirr sind. Diese Programme „denken“ nicht. Sie schreiben nichts Sinnvolles. Sie testen nur: Kommt etwas durch? Reagiert das System? Wenn das klappt, ist deine Website für diese Systeme interessant.

Dann gibt es eine zweite Stufe: halb automatisiert, halb menschlich. Das sind Systeme, die bei einfachen Hürden nicht weiterkommen – zum Beispiel bei einem CAPTCHA (also das Lösen von Rätseln oder Rechenaufgaben). In solchen Fällen wird die Aufgabe an echte Menschen weitergereicht, die als Geringverdiener in sog. „Click-Farmen“ arbeiten, die diese Hürde lösen. Danach läuft wieder alles automatisch weiter. Selbst Schutzmaßnahmen, die eigentlich gut funktionieren sollten, werden damit bewusst umgangen.

Und dann gibt es noch die dritte Variante: echte Menschen. Ja, auch das kommt vor. Jemand setzt sich hin und füllt dein Formular ganz normal aus. Meist mit Werbung, manchmal auch mit dem Versuch, später nochmal nachzuhaken. Diese Form ist seltener, aber unangenehm, weil sie sich kaum technisch erkennen lässt.

Und was genau soll das Ganze bringen? Es ist ein Test!

Die meisten dieser Anfragen haben kein direktes Ziel. Es geht nicht darum, dir sofort etwas zu verkaufen oder dich konkret anzugreifen. Erstmal wird einfach nur das Formular getestet. Funktioniert es überhaupt?

Wenn ja, wird deine Website im Hintergrund als „nutzbar“ eingestuft. Sie landet auf Listen und wird später eventuell weiterverwendet. Das kann mehr Spam bedeuten, gezieltere Anfragen oder einfach wiederkehrende Tests.

Ein zweiter Punkt: Dein System arbeitet aktiv mit. Jede Formularanfrage löst etwas aus. Meist wird eine E-Mail an dich verschickt. In vielen Fällen zusätzlich eine automatische Bestätigung, die an den Absender zurückgeht.

Solange das nur gelegentlich passiert, ist das unproblematisch. Wenn viele Anfragen zusammenkommen, summiert sich das im Hintergrund: Dein System verarbeitet jede einzelne Anfrage und verschickt entsprechend viele Mails.

Automatische Bestätigungsmails: praktisch, aber nicht ohne

Viele Formulare sind so eingestellt, dass nicht nur eine Antwort an dich rausgeht (das ist ja eigentlich der Sinn der Sache), sondern auch der Absender eine Rückmeldung bekommt. So was wie „Vielen Dank für Ihr Interesse an unserem Angebot! Wir melden uns umgehend bei Ihnen“ … Dazu noch dein E-Mail-Abbinder mit rechtlichem Disclaimer usw.

Das ist zwar professionell und nett gemeint, aber auch nicht ganz ungefährlich.

Zum einen verschickst du damit „ungefragt“ E-Mails an Adressen, die du nicht kennst. Wenn das zum Beispiel gestohlene / gehackte Mail-Adressen sind, belästigst du aus Versehen diese Menschen damit. Diese markieren deine Mail dann als Spam, was wiederum nicht gut für die Reputation deiner Mail-Adresse ist. Es kann sogar passieren, dass deine Mails dann generell als Spam eingestuft werden, wenn du ganz normal über dein Mail-Programm sendest.

Zum anderen ist der Inhalt dieser Mails möglicherweise problematisch. Dort wird ein Text verschickt, den du vor Urzeiten geschrieben und danach wieder vergessen hast. Das kann dazu führen, dass du veraltete Informationen verschickst, die vielleicht gar nicht mehr gesetzeskonform sind. Denn, du selbst bekommst diesen Text ja nie mehr zu Gesicht.

Tipp: Möchtest du mal sehen, was du da verschickst? Mach einfach mal den Test und schicke dir selbst dein Kontaktformular zu!

Weitere „Nebenwirkungen“ von Spam-Mails

Neben den klassischen Spam-Anfragen gibt es auch gezieltere und viel üblere Varianten:

  • Manche Bots versuchen, über Formularfelder ungewöhnliche Inhalte einzuschleusen, um Schwachstellen im System zu finden. Im Hintergrund geht es dann um Themen wie Injection oder den Zugriff auf Daten.
  • Andere nutzen Formulare indirekt, um Mails über fremde Systeme zu verschicken. Dabei wird eine fremde E-Mail-Adresse eingetragen und dein System verschickt die Nachricht.
  • Auch in Auswertungen kann Spam auftauchen. Manche Anfragen zielen darauf ab, in Statistiken sichtbar zu werden, damit du später auf bestimmte Links klickst.
  • Und in seltenen Fällen wird ein Formular so stark belastet, dass der Server an seine Grenzen kommt. Dann kann es dir im schlimmsten Falle sogar passieren, dass der Hoster deine Website komplett sperrt, bis du das Problem behoben hast.

Das sind keine typischen Alltagsszenarien, aber sie zeigen, was technisch möglich ist und welchen Gefahren so ein unschuldig wirkendes Formular ausgesetzt ist.

Was bedeutet das jetzt für dein Formular?

Zuerst musst du eine Sache begreifen: Ein Kontaktformular ist nicht ein normales statisches Element einer Website wie ein Text oder ein Bild, sondern eine Einladung zur Interaktion und damit immer ein offener Zugangspunkt.

Jeder kann es erreichen, jeder kann es ausfüllen – auch automatisiert. Das lässt sich nicht oder nur schwer verhindern. Was man machen kann: Die typischen Spam-Anfragen so weit reduzieren, dass sie kein echtes Problem werden.

Wie man Spam (halbwegs) in den Griff bekommt

Es gibt verschiedene Maßnahmen, die sich bewährt haben. Keine davon ist perfekt, aber in Kombination funktionieren sie gut.

Honeypots sind ein einfacher und effektiver Einstieg. Das sind unsichtbare Felder im Formular. Echte Nutzer sehen sie nicht, Bots füllen sie automatisch aus und können so erkannt werden.

Plausibilitätsprüfungen helfen zusätzlich. Zum Beispiel: Ist die E-Mail-Adresse korrekt aufgebaut? Besteht die Nachricht nicht nur aus Zufallszeichen? Passen die Eingaben grundsätzlich zusammen?

Begrenzung von Anfragen. Wenn innerhalb kurzer Zeit sehr viele Formulare abgesendet werden, kann das System diese blockieren. Das verhindert typische Spam-Wellen.

CAPTCHAs können unterstützen, sind aber kein Allheilmittel. Sie werden inzwischen umgangen und sind nicht besonders nutzerfreundlich. Außerdem gibt es datenschutzrechtliche Aspekte.

Spamfilter können bekannte Muster erkennen und Anfragen entsprechend bewerten.

Auch der Mailversand selbst spielt eine Rolle. Ist die Domain sauber eingerichtet (SPF, DKIM, DMARC), bleibt dein System vertrauenswürdig – unabhängig davon, ob Spam durchkommt oder nicht.

Wie bestimmte Formularfelder dich vor Spam schützen können

Formulare mit Freitextfeldern sind für Spam anfälliger, weil sie sich leicht automatisiert befüllen lassen. Genau deshalb tauchen dort oft diese wirren Zeichenketten und unseriöse Angebote auf. Die Spammer können sich hier quasi richtig austoben und ihren ganzen Müll ohne Einschränkung loswerden.

Begrenzte Formularfelder – zum Beispiel mit Checkboxen, klaren Optionen oder vorgegebenen Antworten – sind oft weniger interessant für Bots. Sie lassen sich kaum „sinnvoll“ ausfüllen und werden deshalb seltener automatisiert genutzt.

Das heißt nicht, dass man komplett auf Freitext verzichten sollte. Aber es lohnt sich, bewusst zu entscheiden, wo offene Eingaben wirklich notwendig sind – und wo strukturierte Abfragen die bessere Lösung wären.

Kontaktformular: ja oder nein?

Spam lässt sich nicht verhindern, nur einschränken. Selbst wenn man ständig hinterher ist, wird die kriminelle Energie immer siegen. Bots entwickeln sich weiter. Schutzmechanismen können immer irgendwie umgangen werden. Das gehört inzwischen einfach zum „normalen“ Online-Dasein dazu.

Ein Formular wird dadurch aber nicht automatisch zum „No Go“. Es ist und bleibt in vielen Fällen ein sinnvolles Werkzeug. Aber es ist kein passives Element, das man einfach vergessen kann, sondern ein aktiver Teil deiner Website. Es verarbeitet Daten, löst Aktionen aus und sollte entsprechend umgesetzt und dauerhaft gepflegt werden.

Daher solltest du dich auf jeden Fall fragen, ob ein Kontaktformular für deine Website tatsächlich notwendig ist oder ob andere Formen der Kontaktanbahnung nicht mindestens genauso gut oder sogar sinnvoller (weil weniger problematisch, weniger fehleranfällig, weniger spamanfällig) sind.

Wenn du dazu Tipps oder Lösungsansätze brauchst, bin ich gern für dich da! In der Zwischenzeit gibt der Artikel „Kontaktformulare auf Websites: Hopp oder top?“ weitere Antworten zu diesem Thema. Du kannst aber auch direkt die Entscheidungshilfe nutzen und für dich selbst herausfinden, was die sinnvollste Lösung ist.

Interessiert an einer Zusammenarbeit?

Ich freue mich auf deine Nachricht!

Zum Formular

Noch mehr aus dem Bereich?

Wie du deine Website für KI-Bots optimierst

Eine KI-lesbare Website entsteht nicht durch Klarheit, Struktur und Inhalte mit Substanz

SERIE: Bilder für deine Website richtig vorbereiten

Der strategische Leitfaden von der Bildidee bis zum finalen Einsatz im Web

Content der Zukunft

Warum schöne Websites allein nicht mehr reichen

Podcast & DSGVO

Wie du deinen Podcast rechtssicher auf deiner Website integrierst