Contact Form 7: Unsichere E-Mail-Konfiguration

Contact Form 7: Fix für „Unsichere E-Mail-Konfiguration“

Bei dem meisten WordPress-Instanzen setzen wir für Formulare das Plugin Contact Form 7 ein. Wenn man ein Formular erstellt hat, kann es aber schon mal sein, dass die Meldung „Unsichere E-Mail-Konfiguration wird ohne ausreichenden Schutz verwendet.“ erscheint. Womit das zusammenhängt und wie das behoben werden kann, beschreibe ich in dem folgenden Beitrag.

Hier ein Beispiel mit der Fehlermeldung im Backend:

Dieses Problem hängt mit der Vorlage des Autoresponders zusammen, wenn man diese Option als E-Mail2 verwenden möchte.

Die Empfehlung von Contact Form 7 zu diesem Thema basiert leider auf einer Lösung, die aus Datenschutzgründen nicht umgesetzt werden kann: Die Verwendung von reCAPTCHA und Akismet.

Ich muss gestehen, dass ich immer mal wieder überlegt und kurz recherchiert habe, wie ich das Problem datenschutzrechtlich korrekt lösen kann.

In der DNS einen Subrecord für DMARC erstellen

Zunächst muss man in den DNS-Einstellungen der Domain einen DMARC-Eintrag als TXT-Record hinterlegen. Automatisiert kann man das z. B. über den folgenden DMARC Generator machen.

Aber zunächst: Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) ist eine wichtige E-Mail-Sicherheitsmaßnahme, die hilft, Phishing und Spam zu verhindern. Es baut auf den Standards SPF und DKIM auf und gibt E-Mail-Servern Anweisungen, wie mit Nachrichten umgegangen werden soll, die diese Prüfungen nicht bestehen.

Wichtige DMARC-Einstellungen

Ein DMARC-Eintrag wird als TXT-Record in den DNS-Einstellungen der Domain hinterlegt. Die wichtigsten Bestandteile sind:

• „v=DMARC1“ → Gibt die DMARC-Version an (immer DMARC1).
• „p=none“ | „p=quarantine“ | „p=reject“ → Legt fest, wie E-Mails behandelt werden, die die Authentifizierungsprüfungen nicht bestehen:
  • none → Nur Berichte sammeln, keine Auswirkungen auf E-Mails.
  • quarantine → Verdächtige E-Mails in den Spam-Ordner verschieben.
  • reject → Nicht authentifizierte E-Mails werden komplett abgelehnt.
• „rua=mailto:report@domain.com“ → Gibt an, an welche E-Mail-Adresse Berichte über nicht authentifizierte E-Mails gesendet werden.
• „ruf=mailto:forensic@domain.com“ → (Optional) Erhält detaillierte Berichte über fehlgeschlagene Prüfungen.
• „pct=100“ → Legt fest, auf wie viele E-Mails die DMARC-Richtlinie angewendet wird (z. B. pct=50 für 50 %).

Beispiel für einen DMARC-Eintrag:
v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com; pct=100

Nachfolgend ein Beispiel mit einem Eintrag bei einem Hoster dazu (hier ist Webgo der Hoster):

Du kannst übrigens auch z. B. hier online testen, ob der DMARC-Eintrag korrekt konfiguriert ist. Evtl. wird dir auch dein Hoster dabei helfen. Einfach mal im Support des Hosters nachfragen.

Das Plugin „Honeypot for Contact Form 7“ schafft Abhilfe

Nachdem man den Subrecord für DMARC in der DNS beim Hoster erstellt hat, kommt nun der zweite Schritt: Zunächst wird dafür das Plugin Honeypot for Contact Form 7 benötigt. Das Plugin kann man wie üblich über das Backend und Plugins > Neues Plugin hinzufügen. Dazu wird „Honeypot“ im Suchfeld für Plugins eingegeben. Nachdem man das Plugin gefunden hat, wird das Plugin installiert. Nach der Aktivierung des Plugins Honeypot wählt man das gewünschte Formular und in der oberen Zeile findet man den Button „Honeypot“. Nachfolgend einige Infos zu dem Plugin:

Im Kontext des Spamschutzes für Kontaktformulare ist eine Honeypot-Falle ein verstecktes Feld in Ihrem Kontaktformular, das Spambots abfangen soll. Im Gegensatz zu Menschen füllen Bots automatisch jedes Feld in einem Formular aus, unabhängig davon, ob es sichtbar ist oder nicht. Wenn ein Bot das Honeypot-Feld ausfüllt, erkennt das Plugin dies als Spam und verwirft es.

Beispielsweise fügt das Plugin im Honeypot für Contact Form 7 Ihrem Contact Form 7-Formular ein unsichtbares Feld hinzu. Menschliche Benutzer sehen dieses Feld nie, Spambots jedoch schon. Versucht ein Bot, das Formular abzuschicken, füllt er dieses Feld unwissentlich aus und löst damit die Honeypot-Spamfalle aus. So filtert das Plugin effizient unerwünschten Spam heraus, ohne echte Benutzer zu belästigen.

Quelle: https://de.wordpress.org/plugins/contact-form-7-honeypot/

An beliebiger Stelle des Formulars bindet man das Feld für Honeypot ein. Standardmäßig wird eine Bezeichnung für den Feldnamen wie z. B. „honeypot-27“ vorgeschlagen. Hier empfehle ich aber eine Änderung wie z. B. „ht-27“. Spam-Bots können das Feld in dem Fall schwerer erkennen und umgehen, wenn man nicht die Bezeichnung Honeypot wählt. Wenn man anschließend rechts auf den Button „Speichern“ des Formulars klickt, verschwindet das rote Ausrufezeichen bei E-Mail.

Man kann auch durchaus mehrere Honeypot-Felder im Formular verwenden. Dadurch wird die Wahrscheinlichkeit erhöht, dass ein Bot in die Falle tappt. Allerdings sollte jedes Honeypot-Feld einen eindeutigen Namen haben.

Fazit

Ich gestehe, dass ich sehr lange gebraucht habe, bis ich die Lösung für den Fix der Fehlermeldung (Ausrufezeichen beim Button „E-Mail“) gefunden habe. Das Plugin Honeypot for Contact Form 7 habe ich zwar schon recht lange im Einsatz, aber erst im Zusammenspiel mit dem Subrecord DMARC in der DNS kann der Fehler bei Contact Form 7 behoben werden.

Links, Quellen und aktuelle Infos

• https://de.wordpress.org/plugins/contact-form-7/
• https://de.wordpress.org/plugins/contact-form-7-honeypot/
• https://wordpress.tv/2024/10/12/e-mail-zustellbarkeit-spf-dkim-dmarc-bimi-co/
• https://de.wordpress.org/support/topic/kontaktformular-zeigt-immer-fehler-an
• Was ist denn nun schon wieder dieses SPF, DKIM und DMARC?https://federkielandfriends.de/was-ist-denn-nun-schon-wieder-dieses-spf-und-dkim
• DMARC Generator
• DMARC-Eintrag erstellen & prüfen
• DMARC-Eintrag prüfen
• Google-Erklärung zu DMARC
• Allgemeine DMARC-Ressourcen
• Sehr interessantes Tool zum Testen: https://www.learndmarc.com/
• Überprüfung DMARC: https://mxtoolbox.com/DMARC.aspx
• https://www.mail-tester.com/spf-dkim-check
• https://torstenlandsiedel.de/2024/02/26/mailprobleme-bei-ionos-mit-subdomains/

Weitere Beiträge zum Thema (Block Neueste Beiträge)

• Contact Form 7: Unsichere E-Mail-Konfiguration
• Abfrage-Loop (Query-Loop) im Code-Editor anpassen
• WordPress-Bücher sind out?
• Verschiedene Schriftgrößen in Blöcken
• Block Patterns und die Farbpalette

Wir freuen uns über eine Kontaktaufnahme

Was hältst du davon?

Wir hoffen, dieser Beitrag hat dir gefallen und wir würden uns über einen Kommentar freuen. Auch über Erweiterungen, Korrekturen, Hinweise oder sonstige Anmerkungen freuen wir uns sehr.

Newsletter: Wenn du über unsere neuesten Beiträge und Neuigkeiten rund um WordPress informiert werden möchtest, kannst du dich gerne bei unserem kostenlosen Newsletter anmelden.

Blog: Auf der folgenden Seite findest du weitere interessante Beiträge sortiert nach Kategorien und Schlagwörtern.