Откуда берётся спам в заявках
Вы запустили сайт — и в CRM посыпались «заявки»: реклама сомнительных услуг, случайный набор символов, тексты на других языках. Это боты: они автоматически ищут формы по всему интернету и заполняют их. Проблема не косметическая — спам забивает CRM, отвлекает менеджеров, искажает статистику и портит доставляемость ваших писем. Значит, формы надо защищать.
Баланс: защита против конверсии
Ключевой принцип: защита не должна мешать живым клиентам. Злая капча, где надо десять раз выбирать светофоры, отпугивает реальных людей и режет конверсию сильнее, чем помогает. Хорошая защита незаметна для человека и непроходима для бота. Идём от самых мягких методов к более жёстким.
Невидимые методы (не мешают вообще)
- Honeypot («ловушка»). В форму добавляется скрытое поле, невидимое человеку, но видимое боту. Человек его не заполнит, а бот заполнит — и такая заявка отсекается. Просто, бесплатно, незаметно.
- Проверка времени заполнения. Человек тратит на форму секунды-минуты, бот отправляет мгновенно. Слишком быстрая отправка — отклоняется.
- Лимиты отправок с одного адреса: сто заявок в минуту — явно бот.
Эти три метода отсекают большую часть примитивных ботов и вообще не касаются живых пользователей.
Умная (невидимая) капча
Когда ботов много и они хитрее, помогает капча нового поколения, которая в большинстве случаев не требует от человека действий — она анализирует поведение в фоне:
- Яндекс SmartCaptcha — российское решение, хорошо подходит для рунета и требований к данным.
- Google reCAPTCHA v3 — работает в фоне, оценивает «человечность» без картинок.
- hCaptcha — альтернатива с упором на приватность.
Живой человек чаще всего проходит незаметно, подозрительному показывается проверка. Это золотая середина между защитой и удобством.
Классическая капча — крайняя мера
Картинки «выберите все автобусы» и ввод искажённого текста — последний рубеж. Ставьте её, только если более мягкие методы не справились, потому что она заметно снижает конверсию и раздражает. Часто разумнее показывать её не всем, а только при признаках подозрительной активности.
Дополнительные приёмы
- Подтверждение через мессенджер/СМС для критичных форм — отсекает ботов и заодно верифицирует контакт.
- Модерация первых обращений при небольшом потоке — глазами быстро видно спам.
- Фильтры по содержимому: ссылки в имени, кириллица вперемешку с иероглифами — маркеры спама.
Не забудьте про безопасность в целом
Защита форм — часть общей гигиены сайта наравне с HTTPS, обновлениями и разграничением доступов, о которых мы писали в чек-листе безопасности. Спам через формы редко опасен сам по себе, но он часто соседствует с попытками найти уязвимости, так что закрывать его стоит вместе с остальными дырами.
Похожие материалы
Заключение
Спам в формах лечится по нарастающей: сначала невидимые honeypot и проверка времени, затем умная капча (SmartCaptcha, reCAPTCHA v3), и лишь в крайнем случае — классические картинки. Главное правило — защита не должна мешать живым клиентам. Настроим защиту форм без вреда для конверсии — обращайтесь.



