Sagt om 040

Captcha, honeypot och andra sätt att stoppa spam

Spam från webbformulär är inte bara irriterande – det kan också skapa belastning på servrar, försämra datakvalitet och i värsta fall bli en säkerhetsrisk. Som tur är finns det lösningar på problemet.

Automatiserade program, eller bots, kan enkelt läsa av formulär på webbsajter och skicka en stor mängd felaktiga och/eller skadliga meddelanden. Spam-mej kan inte bara fylla inboxarna med falska meddelanden och dra ner kvaliteten på datan du samlar in, de kan också användas för phishing och andra attacker.  Att ha effektiva motåtgärder är därför en självklarhet.

Not: Phising är när någon försöker lura sig till känslig och personlig information, som lösenord eller kortnummer, genom falska mejl eller webbplatser. Smishing är liknande phishing, men sker via SMS istället för mejl. Nu slipper du googla det.

illustration på robot med skylt att hen inte är en robot
Illustration skapad med hjälp av Gemini. Därför är texten på skylten extra rolig.

Server-side validering

Server-side validering innebär att din egen server kontrollerar data efter att ett formulär har skickats in – men innan det accepteras eller sparas.

Exempel på validering är om e-postadressen är korrekt formaterad, om obligatoriska fält är ifyllda, om texten är orimligt lång, om samma IP har skickat väldigt många formulär eller om formuläret skickades onormalt snabbt.

Ett formulär som brukar fyllas i på under en sekund är misstänkt snabbare än vad en människa normalt hinner fylla i. Om en formulärinlämning sker för snabbt kan det automatiskt blockeras som spam genom tidsbaserad filtrering. Fiffigt, inte sant?

Lösningen påverkar inte användaren alls, och fungerar förvånansvärt bra mot majoriteten av spam.

Captcha – den klassiska lösningen

Captcha står för "Completely Automated Public Turing test to tell Computers and Humans Apart". Captcha används alltså för att avgöra om det är en människa eller en bot som skickar in ett formulär. 

Det finns flera olika typer, och de skiljer sig åt både i hur effektiva de är – och hur mycket de påverkar användaren.

  • Klassisk captcha: (bokstäver och siffror i bild) 
    Exempel: “Ange tecknen du ser i bilden”
     
  • Checkbox-Captcha (“I’m not a robot” eller reCAPTCHA v2)
    Exempel: En kryssruta, ibland följt av bildval (“välj alla bilder med trafikljus”)
     
  • Osynlig captcha (reCAPTCHA v3)
    Systemet analyserar beteende i bakgrunden och är inget som användaren ser.

Lösningarna är tredjepartstjänster som verifierar mänskligt beteende (till skillnad från ett spamfilter som analyserar innehållet).

Här är det viktigt att välja rätt eftersom lösningen helst ska vara både effektiv och användarvänlig och även både mobilvänlig och tillgänglighetsanpassad – annars riskerar du att blockera riktiga användare.

I de flesta fall är captcha inte den bästa förstahandslösningen. Captcha kan vara motiverat när ett formulär är extra utsatt eller om det är stora problem med spam. Det kan också med fördel kombineras med andra skydd.

Honeypot – dold fälla för bots

En honeypot är ett osynligt fält som en mänsklig användare aldrig ser – men som bots ofta fyller i automatiskt. Genom att avvisa svar där detta fält är ifyllt, kan man enkelt automatiskt filtrera bort spam utan att användaren ser något av det. 

Även om det idag finns avancerade bots som är programmerade att ignorera dolda fält så är honeypots bra som första linjens försvar.

Bonus fakta: Ordet “spam” är inte bokstäver som står för något, utan ordet kommer ursprungligen från ett skämt i en Monty Python sketch där SPAM (konserverad skinka) nämns överdrivet mycket. Inom datorvärlden började man använda det på 1980-talet för oönskad, massutskickad e-post eller meddelanden.

E-postverifiering

För prenumerationsformulär kan en extra e-post verifiering (så kallad double opt-in) vara ett sätt att säkerställa att en faktisk användare står bakom adressen som skickats in.

Det ger oftast också bättre kvalitet på insamlad data.

Tredjepartsfilter och blacklists (externa spamfilter)

Detta är tjänster som analyserar själva innehållet eller mönster (IP-rykte, tidigare beteende och kända spam-signaturer) över tid, exempelvis Akismet eller Cloudflare Bot Management.

illustration botar med 0:or och1:or
Exakt så här ser internetbottar ut enligt vår webbdesigner.

Best practice

Server-side validering bör alltid finnas och för de flesta webbsajter räcker en kombination av server-side validering och honeypot.

Captcha och tredjepartsfilter används när hotbilden är högre.

Genom att kombinera tekniker kan du få ett robust skydd som både håller spam borta och ger en bra användarupplevelse.

Fler tips från webbyrån: 

  • Se till att Captcha-lösningar har tillgängliga alternativ (ljud, ARIA-taggar)
  • Undvik att göra formulär svårare än de behöver vara
  • Kommunicera tydligt varför användaren ombeds fylla i extra steg

Bra spam-skydd är alltså inte bara tekniskt – det handlar också om att respektera användarens tid och upplevelse.

Vill du veta mer? Behöver du hjälp med spam? Kontakta oss gärna.
#Säkerhet #Tips & inspiration

© 040 2026

Alla artiklar om webb

Relaterade artiklar:

#Tips & inspiration #Säkerhet

Varför det kan vara så krångligt att skicka mailformulär från sajter numera?

Du kanske har märkt det: formulär på sajter som plötsligt inte skickar mail som de ska, mail som hamnar i spam – eller ännu värre - aldrig dyker upp alls. Vi har i alla fall märkt av det, och det finns faktiskt flera goda (och tekniska) anledningar till att det blivit svårare än tidigare. Här är några av de viktigaste orsakerna – och vad man kan göra åt dem.

Läs mer

#Säkerhet

Cybersäkerhet - hur kan man skydda sin webbsajt

Cybersäkerhet är ett hett ämne nuförtiden, och det kommer ofta larmrapporter om att IT-system har attackerats, att webbsajter hackats och att användaruppgifter läckt ut. Vad kan man göra för att skydda sin webbsajt?

Fem konkreta tips

#Tips & inspiration

Testa din webbsajt regelbundet

Det görs hela tiden uppdateringar av operativsystem, webbläsare och annat som kan påverka din webbsajt. Därför bör man också testa igenom sin webbsajt med jämna mellanrum för att upptäcka om något bör justeras eller uppdateras där också.

Läs mer om hur man kan testa sin sajt

Upptäck våra ögonblick, på Instagram