Бот-регистрации: как боты загрязняют email-базу

Бот-регистрации (bot signups) - это автоматическое заполнение форм подписки или регистрации программами-ботами. Бот вводит в форму email-адреса - случайные, украденные или специально подобранные - и отправляет тысячи заявок в минуту. В результате ваша база наполняется контактами, за которыми нет реальных людей.

Зачем ботам ваша форма подписки

Причин несколько. Первая - бомбинг подтверждениями. Бот регистрирует чужой email на сотнях сайтов. Жертва получает лавину писем с подтверждением подписки. Это форма harassment, и ваш сайт становится инструментом атаки.

Вторая причина - конкуренты или злоумышленники хотят испортить вашу email-репутацию. Если в базу попадут спам-ловушки и несуществующие адреса, следующая рассылка даст всплеск bounces и жалоб. Ваш домен попадет в черные списки.

Третья причина - ботнет тестирует украденные email-адреса. Он подставляет их в формы и смотрит, проходит ли проверка. Если форма не защищена, бот получает обратную связь: адрес принят, значит, формат корректный.

Четвертая причина - SEO-спам. Боты вводят URL в поля имени или комментария, надеясь, что данные попадут на публичную страницу и создадут обратную ссылку.

Как распознать бот-регистрации

Резкий рост подписчиков - первый сигнал. Если вчера у вас было 5 новых подписок в день, а сегодня 500, это почти наверняка бот. Проверьте IP-адреса: бот-регистрации часто идут с одного или нескольких IP в короткий период.

Паттерны в адресах. Если видите серии вроде test1234@random.com, asdf8765@another.org, user5555@domain.net с интервалом в секунды - это бот. Реальные люди не подписываются со скоростью 10 адресов в минуту.

Низкий процент подтверждений. Если вы используете double opt-in и видите, что 95% новых подписок не подтверждены - значит, адреса ввел бот. Реальные подписчики подтверждают в 60-80% случаев.

Высокий bounce rate после рассылки по новым адресам. Если из 1000 новых подписчиков 300 дают hard bounce - база заражена.

Что бывает, если не защищаться

Rрассылка по зараженной базе приводит к каскаду проблем. Hard bounces поднимают bounce rate выше порога провайдеров (обычно 2%). ESP может заблокировать аккаунт. Спам-ловушки в базе гарантируют попадание в DNSBL. Жалобы от людей, которых подписали без их ведома, добавляют complaint rate.

Восстановление репутации домена после такого инцидента занимает недели. Иногда проще переехать на новый домен, чем вытащить старый из черных списков.

Как защитить формы

Double opt-in - самая надежная защита. Бот может ввести email, но не может подтвердить подписку из чужого ящика. Пока подписка не подтверждена, адрес не попадает в рассылочную базу.

Honeypot-поля отсекают примитивных ботов. Скрытое поле формы, которое человек не видит, а бот заполняет. Если поле не пустое - заявка отклоняется.

Rate limiting на сервере. Ограничьте количество отправок с одного IP: не более 3-5 в минуту. Это не помешает людям, но замедлит ботов.

Проверка email в реальном времени. API-валидация на этапе ввода позволяет отклонить несуществующий адрес до того, как он попадет в базу. Это работает и против ботов, и против ошибок ввода.

CAPTCHA или reCAPTCHA - крайний вариант. Работает, но снижает конверсию. Имеет смысл подключать, если honeypot и rate limiting не справляются.