powermailrecaptcha für TYPO3

Powermail ohne Spam-Schutz wird innerhalb von Wochen zur Müllhalde

Powermail ist mit Abstand die meistgenutzte Formular-Extension für TYPO3. Über 150.000 aktive Installationen (Stand: TER, 2026), von Kontaktformularen über Bewerbungsformulare bis zu komplexen mehrstufigen Anfragestrecken. Das Problem: Jedes öffentlich erreichbare Formular ohne CAPTCHA wird früher oder später von Bots gefunden. Typische Folge: 200 bis 500 Spam-Einträge pro Tag, volle Postfächer, verrauschte Statistiken und Formulare, die Mitarbeitende irgendwann ignorieren, auch die echten Anfragen darin.

powermailrecaptcha ist die offizielle Ergänzung zu Powermail, die Google reCAPTCHA v2 oder v3 in Powermail-Formulare integriert. Die Extension wird von in2code (dem Powermail-Entwickler) selbst gepflegt, was kurze Update-Zyklen und hohe Kompatibilität garantiert.

Typische Einsatzszenarien

Kontaktformulare auf Unternehmenswebsites. Das Standard-Szenario: ein Formular mit Name, E-Mail, Nachricht und Absenden-Button. Ohne CAPTCHA kommen täglich 50 bis 300 Spam-Nachrichten rein, meist mit Links zu Pharma- oder Casino-Seiten. reCAPTCHA v3 (unsichtbar, Score-basiert) ist hier ideal: kein zusätzlicher Klick für den Nutzer, Bots werden im Hintergrund erkannt. Ein Score unter 0.5 (auf einer Skala von 0 bis 1) wird als Bot gewertet und die Absendung blockiert.

Bewerbungsformulare mit Dateiupload. Karriereseiten, auf denen Bewerber Lebenslauf und Anschreiben hochladen, sind besonders Spam-anfällig, weil Bots über die Upload-Funktion Malware verteilen. reCAPTCHA filtert die automatisierten Anfragen. Zusätzlich sollte eine serverseitige Dateityp-Prüfung (nur PDF, DOCX) und eine Grössenbeschränkung (max. 10 MB) aktiv sein.

Mehrstufige Formulare mit Conditional Logic. Powermail kann Formulare mit Bedingungen bauen: Wenn “Branche = Immobilien” gewählt wird, erscheinen zusätzliche Felder. Bei solchen Formularen reicht ein CAPTCHA auf der letzten Seite vor dem Absenden. powermailrecaptcha bindet den Check standardmässig an den Submit-Button, funktioniert also auch bei Multi-Step-Formularen.

Technische Architektur

powermailrecaptcha erweitert Powermail über ein TYPO3-Signal/Slot (v11) oder PSR-14 Event (v12+). Beim Rendern des Formulars wird das reCAPTCHA-JavaScript eingebunden (von google.com/recaptcha/api.js). Beim Absenden wird das reCAPTCHA-Token serverseitig validiert: TYPO3 sendet einen POST-Request an https://www.google.com/recaptcha/api/siteverify mit dem Token und dem Secret Key. Google antwortet mit einem Score (v3) oder einer Bestätigung (v2).

Die Konfiguration erfolgt über TypoScript-Konstanten: Site Key und Secret Key (aus der Google reCAPTCHA Admin Console), Threshold-Score für v3 (Standard: 0.5), reCAPTCHA-Version (v2 Checkbox, v2 Invisible oder v3). Die Keys werden im TYPO3-Backend unter Constants gepflegt, idealerweise über Environment-Variablen, damit sie nicht im Git-Repository landen.

Für v3 (unsichtbar) wird kein sichtbares Widget gerendert. Der Score wird im Hintergrund berechnet und in einem Hidden Field gespeichert. Für v2 Checkbox erscheint das bekannte “Ich bin kein Roboter”-Widget. Für v2 Invisible erscheint nichts, bis das System einen verdächtigen Nutzer erkennt und dann eine Challenge (Bildauswahl) anzeigt.

Häufige Probleme und Lösungen

DSGVO-Bedenken wegen Google-Verbindung. reCAPTCHA lädt JavaScript von Google-Servern und überträgt die IP-Adresse des Nutzers an Google. Seit dem Schrems-II-Urteil und der zunehmend strengen Auslegung durch Datenschutzbehörden ist das ein reales Risiko. Lösung: reCAPTCHA nur laden, wenn der Nutzer per Cookie-Banner zugestimmt hat (Consent-Integration). Oder komplett auf europäische Alternativen umsteigen: Friendly Captcha (Server in der EU, kein Tracking), hCaptcha (DSGVO-konformer als reCAPTCHA, aber Server in den USA) oder eine reine Honeypot-Strategie ohne externe Dienste.

reCAPTCHA v3 blockiert echte Nutzer. Der Score-Algorithmus ist eine Blackbox. Manche echte Nutzer (z.B. hinter VPN, mit Adblocker, auf älteren Geräten) erhalten niedrige Scores und werden fälschlich blockiert. Lösung: Den Threshold nicht auf 0.5 setzen, sondern auf 0.3, und zusätzlich ein Honeypot-Feld einbauen. Alternativ: Bei niedrigem Score ein Fallback auf reCAPTCHA v2 Checkbox anzeigen, statt direkt zu blockieren.

Extension-Konflikt mit Content Security Policy. Seit TYPO3 v12 unterstützt der Core Content Security Policies (CSP). reCAPTCHA-JavaScript von google.com muss in der CSP erlaubt werden, sonst wird es blockiert. Lösung: In der CSP-Konfiguration script-src und frame-src für https://www.google.com/recaptcha/ und https://www.gstatic.com/recaptcha/ ergänzen.

Migration und Versions-Kompatibilität

powermailrecaptcha unterstützt TYPO3 v11, v12 und v13 (letzteres seit Q1 2026). Die Extension folgt dem Release-Zyklus von Powermail: wenn Powermail eine neue TYPO3-Version unterstützt, zieht powermailrecaptcha innerhalb weniger Wochen nach.

Für Projekte, die von reCAPTCHA auf eine DSGVO-freundlichere Alternative wechseln wollen, ist der Umbau überschaubar. Friendly Captcha bietet ein eigenes Powermail-Plugin (powermail_friendlycaptcha), das als Drop-in-Ersatz funktioniert: Extension installieren, Keys eintragen, powermailrecaptcha deaktivieren. Die Formular-Konfiguration in Powermail selbst bleibt unverändert. Gosign empfiehlt Friendly Captcha als Standard für neue Projekte und bietet die Umstellung bestehender Formulare als Pauschalleistung an.

Ein oft übersehener Aspekt ist die Spam-Prävention jenseits von CAPTCHAs. Powermail bietet nativ ein Honeypot-Feld (ein unsichtbares Formularfeld, das nur Bots ausfüllen). In Kombination mit einer Zeitprüfung (Formular muss mindestens 3 Sekunden geöffnet sein, bevor es abgesendet werden kann) lässt sich ein Grossteil des automatisierten Spams ohne externe Dienste filtern. Gosign setzt in Projekten, bei denen DSGVO-Konformität Priorität hat, eine dreistufige Strategie ein: Honeypot und Zeitprüfung als erste Schicht (0 externe Requests), Friendly Captcha als zweite Schicht (EU-Server) und serverseitige Inhaltsanalyse als dritte Schicht (Link-Dichte, Sprache, bekannte Spam-Muster). Diese Kombination erreicht eine Spam-Erkennungsrate von über 99 % ohne Google-Dienste.

Für den Umstieg von powermailrecaptcha auf Friendly Captcha rechnet Gosign mit 2 bis 4 Stunden pro Website, inklusive Installation, Konfiguration, Test aller Formulare und Deaktivierung der alten Extension.