powermailrecaptcha para TYPO3

Powermail sem proteção contra spam vira depósito de lixo em semanas

Powermail é de longe a extensão de formulários mais utilizada para TYPO3. Mais de 150.000 instalações ativas (dados: TER, 2026), de formulários de contato a formulários de candidatura até fluxos complexos de múltiplas etapas. O problema: todo formulário publicamente acessível sem CAPTCHA é encontrado mais cedo ou mais tarde por bots. Consequência típica: 200 a 500 entradas de spam por dia, caixas de correio lotadas, estatísticas poluídas e formulários que funcionários acabam ignorando - incluindo as consultas reais.

powermailrecaptcha é o complemento oficial do Powermail que integra Google reCAPTCHA v2 ou v3 nos formulários Powermail. A extensão é mantida pela própria in2code (a desenvolvedora do Powermail), o que garante ciclos de atualização curtos e alta compatibilidade.

Cenários típicos de uso

Formulários de contato em sites corporativos. O cenário padrão: um formulário com nome, e-mail, mensagem e botão de envio. Sem CAPTCHA, chegam diariamente 50 a 300 mensagens de spam, majoritariamente com links para sites farmacêuticos ou de cassino. reCAPTCHA v3 (invisível, baseado em score) é ideal aqui: nenhum clique adicional para o usuário, bots são detectados em segundo plano.

Formulários de candidatura com upload de arquivo. Páginas de carreira onde candidatos enviam currículo e carta de apresentação são especialmente vulneráveis a spam, porque bots distribuem malware pela função de upload. reCAPTCHA filtra as solicitações automatizadas. Adicionalmente, deve haver verificação de tipo de arquivo no servidor (apenas PDF, DOCX) e limitação de tamanho (máx. 10 MB).

Formulários de múltiplas etapas com lógica condicional. Powermail pode construir formulários com condições: se “Setor = Imobiliário” é selecionado, campos adicionais aparecem. Nesses formulários, um CAPTCHA na última página antes do envio é suficiente. powermailrecaptcha vincula a verificação por padrão ao botão Submit, funcionando também em formulários multi-step.

Arquitetura técnica

powermailrecaptcha estende o Powermail via Signal/Slot TYPO3 (v11) ou PSR-14 Event (v12+). Ao renderizar o formulário, o JavaScript do reCAPTCHA é incluído (de google.com/recaptcha/api.js). No envio, o token reCAPTCHA é validado no servidor: TYPO3 envia um request POST para https://www.google.com/recaptcha/api/siteverify com o token e a Secret Key. O Google responde com um score (v3) ou uma confirmação (v2).

A configuração é feita via constantes TypoScript: Site Key e Secret Key (do console admin Google reCAPTCHA), score limite para v3 (padrão: 0.5), versão do reCAPTCHA (v2 Checkbox, v2 Invisible ou v3).

Problemas frequentes e soluções

Preocupações com LGPD pela conexão com Google. reCAPTCHA carrega JavaScript de servidores Google e transmite o endereço IP do usuário ao Google. Isso representa um risco real de proteção de dados. Solução: carregar reCAPTCHA apenas quando o usuário consentir via banner de cookies. Ou migrar completamente para alternativas: Friendly Captcha (servidores na UE, sem rastreamento), hCaptcha ou uma estratégia pura de honeypot sem serviços externos.

reCAPTCHA v3 bloqueia usuários reais. O algoritmo de score é uma caixa-preta. Alguns usuários reais (por exemplo, atrás de VPN, com adblocker, em dispositivos antigos) recebem scores baixos e são bloqueados por engano. Solução: definir o limite não em 0.5, mas em 0.3, e adicionar um campo honeypot. Alternativa: em score baixo, exibir fallback para reCAPTCHA v2 Checkbox em vez de bloquear diretamente.

Conflito de extensão com Content Security Policy. Desde TYPO3 v12, o Core suporta Content Security Policies (CSP). JavaScript do reCAPTCHA de google.com deve ser permitido na CSP, caso contrário é bloqueado. Solução: adicionar script-src e frame-src para https://www.google.com/recaptcha/ e https://www.gstatic.com/recaptcha/ na configuração CSP.

Migração e compatibilidade de versões

powermailrecaptcha suporta TYPO3 v11, v12 e v13 (este último desde Q1 2026). A extensão acompanha o ciclo de release do Powermail.

Para projetos que desejam migrar do reCAPTCHA para uma alternativa mais amigável à proteção de dados, a mudança é gerenciável. Friendly Captcha oferece um plugin Powermail próprio (powermail_friendlycaptcha), que funciona como substituto direto. A Gosign recomenda Friendly Captcha como padrão para novos projetos.

Um aspecto frequentemente negligenciado é a prevenção de spam além de CAPTCHAs. Powermail oferece nativamente um campo honeypot (um campo de formulário invisível que apenas bots preenchem). Em combinação com verificação de tempo (formulário deve estar aberto por pelo menos 3 segundos), é possível filtrar a maior parte do spam automatizado sem serviços externos. A Gosign aplica em projetos com prioridade em conformidade LGPD uma estratégia de três camadas: honeypot e verificação de tempo como primeira camada (0 requests externos), Friendly Captcha como segunda camada (servidores na UE) e análise de conteúdo no servidor como terceira camada (densidade de links, idioma, padrões de spam conhecidos). Essa combinação alcança taxa de detecção de spam acima de 99% sem serviços Google.

Para a migração de powermailrecaptcha para Friendly Captcha, a Gosign calcula 2 a 4 horas por site, incluindo instalação, configuração, teste de todos os formulários e desativação da extensão antiga.