Mike: Wie geht das? - "typische" Bestätigungsmail nach dem Abschicken eines Formulars

Hallo Freunde,

ich nutze gerne WP. Ich binde nun auf die eine oder andere Weise ein Formular ein. Nachdem der Besucher das Formular ausfüllt und abschickt, soll er eine Email mit einem Link bekommen und diesen bestätigen. Erst jetzt soll sein Formular weiter verarbeitet werden, sprich (per Email) an den Admin der Seite gesendet werden.

Wie erreicht man das? Gibt es dafür ein Plugin?

  • Ich habe ein Plugin gefunden, welches Zahlen generiert, die man dann kopieren und auf der Seite eingeben muss - erst dann wird das Formular weiter verarbeitet: umständlich
  • Ich könnte auf einen externen Dienst setzen zum Beispiel Mailchimp: Dieser hat eine Verifizierungsfunktion

Gehts direkter? Einfacher?

Ich danke im Voraus!

akzeptierte Antworten

  1. Ich habe ein Plugin gefunden, welches Zahlen generiert, die man dann kopieren und auf der Seite eingeben muss - erst dann wird das Formular weiter verarbeitet: umständlich

    Wirklich umständlich, weil folgendes Szenario nicht funktioniert:

    Ein angeblicher Benutzer G. Utermann g.utermann@example.com (tatsächlich: Boesew Wicht boesew.icht@mail.ru gibt seine Mailadresse (die erste) in Dein schönes Formular ein.

    Dein Skript baut einen schönen Link:

    <a href="https://example.com/foo?code=Gewehr0815">Klickklack</a>
    

    packt den in ein Mail und verschickt das also an den Mailserver (MX) für die Domain example.com. Der wieder wird von aufmerksamen Admins betrieben, die erst mal jedes Mail annehmen - auch an einen nicht existierenden Benutzer (das bekommt dann halt jemand anderes). Aber bevor das Mail dem Benutzer hingeworfen wird geht es (wie alle anderen) durch den Spamerkenner und dann durch den Virenfilter.

    Der ist von Dr. Rus und schaut sich das Mail an, sagt sich „Ehem. Da kommt viel Mist per Mail. Bevor Benutzer diesen Link anklicken kuck ich lieber mal nach, was da kommt.“ und ruft die URL ab, um sich den Mist mit seinen Elektroaugen mal anzusehen.

    Dein System bekommt die Nachricht, dass G. Utermann g.utermann@example.com die Nachricht bestätigt hat und wird tätig - aber der Herr Müller von der Firma wirft das Mail weg, weil es niemanden zuzuordnen ist.

    Ich wünsche einen fröhlichen Rechtsstreit.

    1. Hallo Raketenwilli,

      ist eine solche Scan-Aktivität nicht der Tod jedes Bestätigungsverfahrens per Mail? Es gibt eine Menge Dienste, wo man eine Mail mit einem Bestätigungslink bekommt - der Dr. Rus Scanner, den Du postulierst, würde mit seinem Tun jeden Bestätigungslink automatisch aktivieren.

      Wenn das ein Problem wäre, müsste man doch schon deutlich mehr Stress mit haben. Oder habe ich von solchem Stress nur noch nichts gehört.

      Rolf

      --
      sumpsi - posui - obstruxi
      1. ist eine solche Scan-Aktivität nicht der Tod jedes Bestätigungsverfahrens per Mail?

        Nicht eines solchen, bei dem die Eingabe der PIN manuell erfolgen muss.

        der Dr. Rus Scanner, den Du postulierst, würde mit seinem Tun jeden Bestätigungslink automatisch aktivieren.

        Ja. So lange die anderen Mails dann halt echt sind und deshalb tatsächlich aktiviert werden tut sich auch kein Problem auf. Aber wissen ja: Wasser, Krug …

        Oder habe ich von solchem Stress nur noch nichts gehört.

        Die Tochter der Sybille fragt in ihrer Muttersprache: „Hört jeder alles? Wird über alles überall gesprochen? In allen Sprachen? Und wer merkt sich alles?“

  2. Lieber Mike,

    Du fragtest „wie geht das?“ - und ich schaue mal, was ich Dir erklären oder raten kann.

    ich nutze gerne WP. Ich binde nun auf die eine oder andere Weise ein Formular ein.

    Diese „Weise“ ist wesentlich. Ein Formular ist nichts anderes, als eine Datensammelanleitung. Viel spannender als das Formular selbst, ist die serverseitige Auswertung. Denn wenn eine Mail automatisch an jemanden rausgehen soll, dann muss da ein Versender sein, also eine Art Mailprogramm, womit die Mail tatsächlich auf die Reise geschickt wird.

    Nachdem der Besucher das Formular ausfüllt und abschickt, soll er eine Email mit einem Link bekommen und diesen bestätigen. Erst jetzt soll sein Formular weiter verarbeitet werden, sprich (per Email) an den Admin der Seite gesendet werden.

    Gemäß der Frage wie das „geht“, sollten wir von zwei getrennten Vorgängen reden:

    1. User verursacht die Zustellung einer Mail (an sich selbst).
    2. Server bietet nach Eingabe eines Geheimnisses ein Formular an.

    Dazu sollte man wissen, was Dein WordPress mittels welchem Plugin tut, um das Formular zu erstellen und mit einer Mailfunktion auszurüsten. Mein Verdacht: Es gibt noch keine Mailfunktion... und deshalb bist Du hier.

    • Ich habe ein Plugin gefunden, welches Zahlen generiert, die man dann kopieren und auf der Seite eingeben muss - erst dann wird das Formular weiter verarbeitet: umständlich

    Ohne Umstand wird es nicht gelingen. Das hat Raketenwilli bereits ausführlich beschrieben: Je weniger Umstand, desto gehackt.

    • Ich könnte auf einen externen Dienst setzen zum Beispiel Mailchimp: Dieser hat eine Verifizierungsfunktion

    Dann nutze doch diesen! Beachte aber, dass eine Mailadresse ein personenbezogenes Datum ist und den Auflagen der DSGVO unterliegt.

    Gehts direkter? Einfacher?

    Jein. Direkter, ja, einfacher, nein.

    Als Nicht-WP-User sind mir keine passenden WP-Plugins bekannt, die Dir diese Arbeit abnehmen würden. Solltest Du also keines finden, dann bleibt nur noch eine Eigenentwicklung. Dazu solltest Du Dich mit der serverseitigen Scriptsprache PHP auskennen, da WordPress in PHP geschrieben ist und auch Plugins damit entwickelt werden. Du müsstest Dir also Deinen eigenen Plugin für WordPress schreiben... oder etwas ähnliches.

    Welche Kenntnisse hast Du denn?

    Liebe Grüße

    Felix Riesterer

    1. Lieber Felix,

      ein Mailversand ist kein Problem. Sogar eine Bestätigungsmail ist vorgesehen - wahrscheinlich zum Beispiel mit der Kopie der Nachricht des Users.

      Leider habe ich aber kein Plugin gefunden, welches eben "Den Link" generiert und diese Email einfügt, welcher erst die Weiterverarbeitung anstößt.

      Ich bin wirklich kein PHP Crack aber ich denke, ich kann mich da durchwühlen. Ich frage mich, wie es erstmal generell funktioniert. Ich dachte, so bekomme ich eventuell Inspiration es entweder manuell umzusetzen, wenn es nicht zu komplex ist oder nach einem geeigneterem Plugin zu suchen.

      Die Rechtsbedenken wegen eines Bestätigungslinks finde ich eher unrealistisch.

      Die Rechtsbedenken wegen Drittanbieter finde ich berechtigt, denke aber, dass man dies mit der Datenschutzerklärung lösen kann, dem der User vor dem Absenden zwingend zustimmen muss. Der Drittanbieter wird Mailchimp sein.

      Vielen Dank für die Reaktionen

      Liebe Grüße

      1. Sogar eine Bestätigungsmail ist vorgesehen - wahrscheinlich zum Beispiel mit der Kopie der Nachricht des Users.

        • Und 2 Tage später … kommt eine Abmahnung mit einer Kostenrechnung über 1200 Euro vom Anwalt einer um ihr Postfach höchst und teuer besorgten Person, welche sich das Mail nach eigenem Behaupten (und auch dem Anschein nach) nicht selbst zugeschickt hat.
        • Bei Uneinsichtigkeit folgt binnen 2 Jahren ein Urteil. Anwalts- und Gerichtskosten bis dahin ~ etwas mehr als 5000 €. Über die theoretisch mögliche Berufung freut sich der gegnerische Anwalt: Es ist schließlich sein Einkommen welches durch diese ohne viel Arbeit erhöht wird.
        • Oder: Wladimir Putins Bluthund rückt an und bewirft Deine Firma mit Bomben, weil die mir sehr gefallende ihn aber sehr wütend machende Nachricht an ihn gerichtet war und praktischerweise auch seine Mailadresse angegeben werden konnte.

        1. Merksatz für Mailformulare:

        Der Benutzer bestimmt ENTWEDER auch nur einen der Empfänger ODER den Inhalt oder einen Teil des Inhalts des Emails.

        Da es hier offensichtlich

        1. um eine Firma (und also Geld) geht und
        2. Grundlagenwissen fehlt, weshalb
        3. höchst bedenkliche und die Firma gefährdende Planungsfehler gemacht werden

        würde ich die Konsultation einer fachlich geeigneten Person als unumgänglich bezeichnen. Man kann der nach eigenen Behaupten geeigneten Person obiges Ansinnen vortragen - und, wenn oder falls diese das so machen will, gleich wieder heimschicken - weil ebenjenehöchstselbst dann offensichtlich falsch vormacht, geeignet zu sein.

        1. Danke für den Tipp! Er ist auf jeden Fall generell hilfreich, auch wenn wir das nicht vorhatten: die Möglichkeit ≠ Umsetzung

          die Konsultation einer fachlich geeigneten Person

          Würde ich auch annehmen. Konkret in Bezug auf? Wie man rechtssicher ein Kontaktformualr gestaltet oder was meinst du?

          Du machst viele Spekulationen auf deren Basis du dann beleidigend bis ausfallend wirst. Das spricht nicht für dich. Lass uns bitte sachlich bleiben. Man kann ja alles äußern aber es muss nicht gleich großkotzig sein.

          Meine Meinung ändert nichts an der Sache, aber für mich bleibt es ein Rätsel, wieso das deutsche Recht eine Abmahnmafia zulässt. Das sollte doch mal vor Jahren geändert werden, meine ich - aber wahrscheinlich nicht konsequent genug.

          1. Du machst viele Spekulationen auf deren Basis du dann beleidigend bis ausfallend wirst.

            Nein, ich stelle nur drastisch dar, was an Deinem Ansinnen wie falsch ist und versuche Dich durch eine eindringliche Warnung vor Schaden zu bewahren.

            Klar: Derartige Kritik gefällt längst nicht jedem. Macht man es aber so, dass diese jedem gefällt, dann kommt die Nachricht nicht an, weil sie sich ja nicht so schlimm anhört.

          2. Hallo,

            Du machst viele Spekulationen auf deren Basis du dann beleidigend bis ausfallend wirst.

            Bitte zeig mal, wo Willi beleidigend war, ich hab es nicht finden können. Kritik und Dramatik sind keine Beleidigungen. Ich nehme an, du solltest deine Interpretationsroutinen, die auf Beleidigungen angeschlagen haben, neu justieren.

            Wenn Willi wirklich beleidigend war, muss natürlich moderierend eingegriffen werden.

            Gruß
            Kalk

            1. Bitte zeig mal, wo Willi beleidigend war,

              Ich buche das unter „entschuldigt“, weil meine Kritik wirklich hart formuliert ist. Daraus folgt das „Empfinden einer Beleidigung“.

          3. Vorwort:

            Die allermeisten Rechtsanwälte sind ehrlich, machen gute Arbeit und leiden wegen falscher Unterstellungen. Auch der ehemaligen Mandanten.

            Ich bin kein Rechtsanwalt, Richter oder Jurist - habe auf dem Gebiet aber viel erlebt. Zu viel um unvoreingenommen sein zu können. Aber ich bin auch kein Spinner oder Querulant - denn ich habe den allergrößten Teil meiner Verfahren - teils gegen erheblichen und erkennbar rechtswidrigen Widerstand der erstinstanzlich befassten Richter(innen) von Landgerichten - gewonnen. Ausnahme war z.B. Günter Freiherr von Gravenreuth der „rechtzeitig“ Selbstmord beging.

            aber für mich bleibt es ein Rätsel, wieso das deutsche Recht eine Abmahnmafia zulässt.

            Punkt 1:

            Der Gesetzgeber hat sich entschlossen, ganze Gruppen von Rechtsverstößen nicht durch die Exekutive und Judikative sondern Private und ggf. Judikative verfolgen zu lassen.

            Das Ergebnis sind dann die Abmahnungen an sich.

            Es gibt hier aber andere Modelle. Frankreich wäre ein Beispiel. Dort gibt es für jeden Mist eine Behörde (Exekutive) … die allerdings auch zugleich Judikative ist, also weitgehend unkontrolliert Strafen bestimmt - womit längst nicht jeder glücklich ist.

            In Frankreich gehen übrigens Zivilstreitigkeiten eher nicht vor den Richter, da einigen sich die Anwälte der Parteien untereinander. Dort muss auch der die Gerichtskosten zahlen, der klagt - und die Anwaltskosten zahlt unabhängig vom Urteil jeder selbst. (Was nicht jeden begeistert.) Aber das - auch deshalb seltener angerufene - Gericht kann, wenn die Rechtsfrage eigentlich eindeutig durch das Gesetz bestimmt ist, der unterlegenen Partei eine kostendeckende Missbrauchsgebühr auch zu Gunsten der obsiegenden Partei auferlegen, wovon rege Gebrauch wird.

            Punkt 2:

            Der Gesetzgeber hat sich entschlossen, die Bezahlung von Anwälten einerseits sehr eng, andererseits aber großzügig zu regeln.

            Es sind Juristen, welche das Einkommen von Juristen bestimmen. Schau einfach mal nach den Berufen der Bundestagsabgeordneten. Und die denken nicht nur an die lieben Kollegen, sondern auch an sich. Was ja sonst keiner macht.

            Punkt 3:

            Ein hohes Einkommen für wenig Arbeit von zu Hause aus wird immer Bösewichte locken.

            Punkt 4:

            Es gibt der deutschen Justiz eine wundersame Abscheu davor, zu Gunsten von Nichtjuristen Rechtsmissbrauchern den Rechtsmissbrauch und Betrügern den Betrug zu bescheinigen. Jedenfalls dann, wenn die Missbraucher, Lügner und Betrüger Juristen sind.

            Punkt 5:

            Nach Ansicht breiter Kreise in der deutschen Justiz sind „Rechtsanwälte“ stets also auch dann wenn deren Lügen offenkundig und deren Straftaten längst erwiesen sind, die ehrlichsten, ehrbarsten und ehrenwertesten Personen auf der ganzen Welt. Gleich nach den Richtern selbst. Offenbar wird in den Studiengängen neben der Jurisprudenz auch viel ArrJurisoganz vermittelt und auf Jurisdemenz, verbunden mit einem Maximum an willkürlicher Tatsachenresilienz viel Wert gelegt.

            Ich weiß, wovon ich schreibe. Ich würde so machen Jurist gerne mit dem Verdacht des Gotteswahns zum Psychodoktor schicken.

      2. Die Rechtsbedenken wegen eines Bestätigungslinks finde ich eher unrealistisch.

        1. Schau doch mal in die Werbung von Anbietern diverser Antviruslösungen für Mailserver…
        2. Überlege mal was Du vortragen würdest, wenn Du das Zustandekommen eines Vertrages bestreiten wölltest... Ein, einem Link automatisch folgender Virenscanner ist ein Programm, also keine Person und schließt keine Verträge. Jeder (hinreichend brauchbare) Richter oder jede (hinreichend brauchbare) Richterin wird Dir sagen, dass es Deine Sache ist, Deine „Webmechanik“ so bauen, dass der Vertragsschluss a) wirksam (hier durch Handeln einer Person) und b) beweisbar (das Handeln einer Person) zu Stande kommt.
        1. Ich verstehe. a) Wenn wir eine Bot Verifizierung vor dem Abschicken der Mail machen? - damit hat man einen Bot ausgeschlossen. b) Ist die Kontaktdatenübermittlung schon derart problematisch - es wird nichts bezahlt etc. Es sollen nur die Daten aufgenommen werden um anschließend die Person zu kontaktieren.

          1. Bot Verifizierung

            Der beschriebene Bot ist ein Agent eines Virenscanners. Die Antwort ist also:

            Was wird stattfinden?

            A) Damit Du (und also ein Angreifer „Boserw Icht“) den Request erkennt weißt der Bot sich brav als „Dr. Rus Virenscanner-Bot (curl 2.3.4, Linux, Windows, IOS)“ aus.

            oder doch vielmehr

            B) Der „Dr. Rus Virenscanner-Bot (curl 2.3.4, Linux, Windows, IOS)“ wird alles tun um nicht erkannt zu werden, mithin wie ein normaler Browser eines ganz normalen Benutzers zu erscheinen?

            Es sollen nur die Daten aufgenommen werden um anschließend die Person zu kontaktieren.

            Du nimmst also Daten auf und bevor Du die Person kontaktierst, kontaktierst Du diese um sie zu fragen ob sie wirklich kontaktiert werden will?

            Spaß beiseite. Ist schon richtig, muss auch so gemacht werden - aber mach es - wegen der Rechtssicherheit für Dich oder Deine Firma selbst - mit der Eingabe der Nummern.

            • UID erzeugen
            • PIN-Code erzeugen
            • Werbefreies(!) Mail mit URL (in dieser die UID als Parameter) und PIN (als Text) erzeugen.
            • Hinweis darin, dass ein Empfänger NICHTS tun muss, wenn er sich nicht angemeldet hat und dass die Daten dann gelöscht werden.
            • Hinweis darin, dass und wie er seine Adresse sperren lassen kann. (Das muss auch gehen - und zwar so, dass nicht etwa seine Mailadresse, sondern ein Hash derselben gespeichert wird.)
            • Webseite aufrufen und PIN eingeben lassen
            • PIN mit UID abgleichen, wenn positiv → „Feuer frei“, wenn nicht → nochmal nach der PIN fragen.
            • Cronjob, der alle UID/PIN-Paare nebst den zugehörigen Daten(!) aus dem System löscht, die älter als 1 Werktag sind. Länger kannst Du nicht behaupten, die Daten zu brauchen, weil es unwahrscheinlich ist, dass noch später jemand diese Eraubnis gibt.

            Zu Deiner Frage:

            ist eine Kontaktaufnahme schon ein Vertrag?

            Tatsächlich geht es hier schon um einen Vertrag. Es gibt nämlich weit mehr Vertragsformen als einen „Kaufvertrag“. Du machst konkret das Angebot, den Interessenten zu kontaktieren und der gibt die Willenserklärung ab, von Dir kontaktiert zu werden. Damit ist vorliegend ein „Gestattungsvertrag“ geschlossen, der Dir erlaubt, was Du sonst nicht darfst, nämlich Deinen Kram beim Gestatter zu bewerben.

            1. Hallo Raketenwilli,

              mach es mit der Eingabe der Nummern.

              Checkbox und Submit reicht nicht, um Dr. Rus am Auto-bestätigen zu hindern?

              Wenn tatsächlich nicht, würde das ja voraussetzen, dass solche Bots vorsätzlich versuchen, Forms abzuschicken, um zu gucken, was danach folgt. DAS würde ich nicht mehr als Job eines Virenscanners betrachten, und ein regulärer Mailwurmscanner sollte das nicht tun. Tut das einer?

              Wenn man sich gegen solche Scanner verteidigen will, müsste man ja die PIN vor einer texterkennenden AI abschirmen (Captcha, Rätselaufgabe, etc). Das kann es nun wirklich nicht mehr sein.

              Rolf

              --
              sumpsi - posui - obstruxi
              1. Hallo Raketenwilli,

                mach es mit der Eingabe der Nummern.

                Checkbox und Submit reicht nicht, um Dr. Rus am Auto-bestätigen zu hindern?

                Geht auch. Aber hier geht es um Rechtssicherheit. Ist es eine individuelle Nummer (Einmal-PIN) wird ein Gericht eher glauben, dass das wirklich eine Person war als bei einer identischen Checkbox und Submit.

                Wenn tatsächlich nicht, würde das ja voraussetzen, dass solche Bots vorsätzlich versuchen, Forms abzuschicken, um zu gucken, was danach folgt.

                Ich würde es, vor allem für die Zukunft, nicht ganz ausschließen.

                DAS würde ich nicht mehr als Job eines Virenscanners betrachten, und ein regulärer Mailwurmscanner sollte das nicht tun. Tut das einer?

                Tja. In der Werbung der von mir gefundenen Virenscanner für Mailserver steht leider nur, dass diese auch Links untersuchen. Wie ich das sehe müssen die Links (z.B. wegen der ständig verfügbaren, sich ständig erneuernden Horde von abertausenden verseuchten Wordpress-Installationen) dazu auch tatsächlich abgerufen werden - denn sonst bliebe das ohne echte technische Funktion.

      3. Hallo Mike,

        Die Rechtsbedenken wegen eines Bestätigungslinks finde ich eher unrealistisch.

        Wenn es tatsächlich Software in der Mailtransportkette gibt, die Links automatisch abruft, dann ist das schon sehr bedenklich. Dein Server kann ja nicht erkennen (oder an Hand der eingehenden Header bestenfalls raten), ob der Link von einem Mailprogramm oder einem Scanbot abgerufen wurde.

        Deswegen würde ich solche Scanbots für die beste Idee seit der Erfindung der Zahnschmerzen halten - aber wenn Raketenwilli meint, es gäbe sie, wer bin ich dann, das zu bestreiten.

        Ein Bestätigungslink alleine reicht deshalb nicht. Die damit erreichte Seite muss einen weiteren Link anbieten, den der Anwender aktiv zu klicken hat. Und falls ein Scanbot wirklich neugierig ist und einem Link über mehrere Stufen folgen will - dann sollte die erreichte Seite ein Form mit einer nicht vorausgewählte Checkbox "Ja, ich will wirklich" enthalten und einen Submitbutton, der das Form dann POSTet.

        Das allerwichtigste ist dabei: keine Werbung. Nicht die geringste. Keine Liste von Produkten/Dienstleistungen, keine Mailsignatur, kein Bild mit dem Firmenlogo. Denn FALLS jemand Schabernack treibt und für fremde Mailadressen Bestätigungsmails auslöst, darf diese Mail beim Empfänger keinesfalls nach unverlangter Werbung aussehen. Nur dann ist man vor Abmahnungen sicher. Die Frage, was Werbung ist, wird im Sinne der Spambekämpfung von den Gerichten extrem großzügig ausgelegt. Und von Abmahngeiern sowieso.

        Auf der Seite, die man nach Anklicken des Bestätigungslinks erreicht, darf man - denke ich ohne Kenntnis der Rechtslage - zumindest klar sagen, welches Unternehmen hier welches Anliegen bestätigt haben möchte. Was es auf einer solchen Seite aber nicht geben sollte, sind die Standardunsitten der heutigen kommerziellen Webseiten:

        • einen nervigen Cookie-Erlaubnisdialog (sprich: keine Cookies nutzen, keine Analysetools einbinden)
        • die sofortige Frage, ob man Push-Nachrichten schicken darf
        • Werbebanner
        • Ein Panik-Popup "Aber geh doch noch nicht!", sobald die Maus den oberen Fensterrand erreicht
        • die Installation eines Serviceworkers
        • mehrere Gigabytes an visuellen Medien

        Rolf

        --
        sumpsi - posui - obstruxi
        1. Vielen Dank! Deine Antwort ist klar strukturiert und gut verständlich.

          Ich verstehe es. Super kompliziert und nicht gerade "benutzerfreundlich". Genauso wie das ganze "Cookie-Generve", als ob man damit Jemandem einen Gefallen getan hätte. Auch irgendwo typisch bürokratisch, deutsch, kompliziert.

          Jetzt rücken wir von der Mail (fast komplett) ab und werden vielleicht die Rufnummer benutzen. Mal schauen…

          1. Hallo Mike,

            Super kompliziert und nicht gerade "benutzerfreundlich"

            Nö, DAS ist es nicht. Es ist für den User so kompliziert wie nötig, aber nicht mehr.

            • Mail erhalten
            • Aufmachen
            • Feststellen, dass da jemand meine Adresse mistbraucht hat und sie löschen ODER
            • Klick auf Link
            • Klick auf Checkbox
            • Klick auf Submit

            Für Dich als Bestätigungsempfänger bedeutet es, die Bestätigungsseite als Form auszulegen, zwischen GET und POST zu unterscheiden und die Checkbox abzufragen. Das sollte machbar sein, gelle? Es sei denn, das ist in WP nicht so einfach - keine Ahnung.

            Jedenfalls immer noch besser als die Eingabe einer Bestätigungsnummer (die Du dann ebenfalls im WP validieren müsstest). Oder eine Bestätigung von einem Scanbot gefälscht zu bekommen.

            Du schriebst an Raketenwilli

            Wenn wir eine Bot Verifizierung vor dem Abschicken der Mail machen? -

            Das ist sicherlich nützlich, aber ein anderes Problem. Ein „Spaß“-User besucht via TOR Netz eure Homepage und trägt in ein Auftragsformular beliebige Kontaktdaten ein, mit einer beliebigen Mailadresse. Er ist kein Bot und besteht locker die entsprechende Prüfung. Der Auftrag wird abgeschickt, die Bestätigungsanfrage wird als Mail von euch versendet. Sie gelangt auf einen Mailserver, der Mails überprüft und - wie von Raketenwilli beschrieben - die enthaltenen Links auf boshaften Inhalt überprüft. Diese Überprüfung ruft die Bestätigungsseite auf, und wenn allein dieser Abruf zur Bestätigung genügt, ist das Unheil geschehen. In etwa so, als würde man Filme für analoge Kameras mit einer Taschenlampe qualitätsprüfen.

            Deswegen meine Hinweise darauf,

            • dass die Bestätigung etwas komplizierter laufen muss, damit der Scanbot sie nicht irrtümlich auslöst.
            • dass die Bestätigungsmail komplett neutral und werbefrei sein muss, um keinesfalls als Spam gewertet werden zu können.

            Und dann ist alles genau so umständlich wie nötig und nicht umständlicher.

            Rolf

            --
            sumpsi - posui - obstruxi