powermailrecaptcha dla TYPO3

Powermail bez ochrony antyspamowej w ciągu tygodni zmienia się w wysypisko

Powermail to zdecydowanie najczęściej używane rozszerzenie formularzy dla TYPO3. Ponad 150 000 aktywnych instalacji (stan: TER, 2026) - od formularzy kontaktowych przez formularze rekrutacyjne po złożone wieloetapowe ścieżki zapytań. Problem: każdy publicznie dostępny formularz bez CAPTCHA prędzej czy później zostaje odnaleziony przez boty. Typowa konsekwencja: od 200 do 500 wpisów spamowych dziennie, przepełnione skrzynki pocztowe, zaszumione statystyki i formularze, które pracownicy w końcu ignorują - łącznie z prawdziwymi zapytaniami.

powermailrecaptcha to oficjalne uzupełnienie Powermail, które integruje Google reCAPTCHA v2 lub v3 z formularzami Powermail. Rozszerzenie jest utrzymywane przez in2code (twórcę Powermail), co gwarantuje krótkie cykle aktualizacji i wysoką kompatybilność.

Typowe scenariusze zastosowań

Formularze kontaktowe na stronach firmowych. Standardowy scenariusz: formularz z imieniem, e-mailem, wiadomością i przyciskiem wysyłania. Bez CAPTCHA codziennie wpada od 50 do 300 wiadomości spam, głównie z linkami do stron farmaceutycznych czy kasynowych. reCAPTCHA v3 (niewidoczne, oparte na score) jest tu idealne: brak dodatkowego kliknięcia dla użytkownika, boty są rozpoznawane w tle. Score poniżej 0,5 (na skali od 0 do 1) jest klasyfikowany jako bot i wysyłka jest blokowana.

Formularze aplikacyjne z uploadem plików. Strony karierowe, na których kandydaci przesyłają CV i list motywacyjny, są szczególnie podatne na spam, ponieważ boty rozpowszechniają malware przez funkcję uploadu. reCAPTCHA filtruje automatyczne zapytania. Dodatkowo powinna być aktywna serwerowa weryfikacja typu pliku (tylko PDF, DOCX) i ograniczenie rozmiaru (maks. 10 MB).

Wieloetapowe formularze z logiką warunkową. Powermail może budować formularze z warunkami: gdy wybrano “Branża = Nieruchomości”, pojawiają się dodatkowe pola. Przy takich formularzach wystarczy CAPTCHA na ostatniej stronie przed wysłaniem. powermailrecaptcha domyślnie wiąże sprawdzenie z przyciskiem Submit, więc działa również przy formularzach Multi-Step.

Architektura techniczna

powermailrecaptcha rozszerza Powermail przez TYPO3 Signal/Slot (v11) lub PSR-14 Event (v12+). Przy renderowaniu formularza jest dołączany JavaScript reCAPTCHA (z google.com/recaptcha/api.js). Przy wysyłaniu token reCAPTCHA jest walidowany po stronie serwera: TYPO3 wysyła żądanie POST do https://www.google.com/recaptcha/api/siteverify z tokenem i Secret Key. Google odpowiada score (v3) lub potwierdzeniem (v2).

Konfiguracja odbywa się przez stałe TypoScript: Site Key i Secret Key (z Google reCAPTCHA Admin Console), próg score dla v3 (domyślnie: 0,5), wersja reCAPTCHA (v2 Checkbox, v2 Invisible lub v3). Klucze są zarządzane w backendzie TYPO3 pod Constants, idealnie przez zmienne środowiskowe, aby nie trafiały do repozytorium Git.

Częste problemy i rozwiązania

Obawy dotyczące UODO/RODO z powodu połączenia z Google. reCAPTCHA ładuje JavaScript z serwerów Google i przesyła adres IP użytkownika do Google. Od wyroku Schrems II i coraz bardziej rygorystycznej interpretacji przez organy ochrony danych to realne ryzyko. Rozwiązanie: ładowanie reCAPTCHA tylko po zgodzie użytkownika przez baner cookie (integracja consent). Lub całkowite przejście na europejskie alternatywy: Friendly Captcha (serwery w UE, bez śledzenia), hCaptcha (bardziej zgodne z RODO niż reCAPTCHA, ale serwery w USA) lub czysta strategia honeypot bez zewnętrznych usług.

reCAPTCHA v3 blokuje prawdziwych użytkowników. Algorytm score to czarna skrzynka. Niektórzy prawdziwi użytkownicy (np. za VPN, z adblockerem, na starszych urządzeniach) otrzymują niskie score i są fałszywie blokowani. Rozwiązanie: ustawienie progu nie na 0,5, lecz na 0,3, i dodanie pola honeypot. Alternatywnie: przy niskim score wyświetlenie fallbacku na reCAPTCHA v2 Checkbox, zamiast bezpośredniego blokowania.

Konflikt rozszerzenia z Content Security Policy. Od TYPO3 v12 Core wspiera Content Security Policies (CSP). JavaScript reCAPTCHA z google.com musi być dozwolone w CSP, inaczej jest blokowane. Rozwiązanie: uzupełnienie w konfiguracji CSP script-src i frame-src o https://www.google.com/recaptcha/ i https://www.gstatic.com/recaptcha/.

Migracja i kompatybilność wersji

powermailrecaptcha wspiera TYPO3 v11, v12 i v13 (ostatnie od Q1 2026). Rozszerzenie podąża za cyklem wydań Powermail: gdy Powermail wspiera nową wersję TYPO3, powermailrecaptcha nadąża w ciągu kilku tygodni.

Dla projektów, które chcą przejść z reCAPTCHA na alternatywę przyjazną RODO/UODO, przebudowa jest przejrzysta. Friendly Captcha oferuje własny plugin Powermail (powermail_friendlycaptcha), który działa jako drop-in zamiennik: instalacja rozszerzenia, wpisanie kluczy, dezaktywacja powermailrecaptcha. Konfiguracja formularzy w Powermail pozostaje niezmieniona. Gosign zaleca Friendly Captcha jako standard dla nowych projektów.

Często pomijanym aspektem jest zapobieganie spamowi poza CAPTCHA. Powermail natywnie oferuje pole honeypot (niewidoczne pole formularza, które wypełniają tylko boty). W połączeniu ze sprawdzaniem czasu (formularz musi być otwarty przez co najmniej 3 sekundy przed wysłaniem) można odfiltrować większość automatycznego spamu bez zewnętrznych usług. Gosign stosuje w projektach, gdzie zgodność z RODO/UODO jest priorytetem, trzystopniową strategię: honeypot i sprawdzanie czasu jako pierwsza warstwa (0 zewnętrznych żądań), Friendly Captcha jako druga warstwa (serwery UE) i serwerowa analiza treści jako trzecia warstwa (gęstość linków, język, znane wzorce spamu). Ta kombinacja osiąga wskaźnik wykrywania spamu powyżej 99% bez usług Google.