„`html
Es begann mit einem Montagmorgen, an dem der Posteingang eines Nextcloud-Admins nicht etwa von neuen Dateifreigaben oder Kalendereinladungen geflutet wurde, sondern von einem unaufhörlichen Strom an Spam-Kommentaren unter öffentlich geteilten Notizen. Zehntausend Meldungen innerhalb weniger Stunden. Kein Einzelfall, wie sich schnell herausstellt, sondern ein wachsendes Ärgernis für Betreiber selbstgehosteter Cloud-Umgebungen. Nextcloud, als eine der verbreitetsten Open-Source-Plattformen für Kollaboration und Dateisynchronisation, ist längst kein Nischenprodukt mehr. Und genau das macht sie für Spammer attraktiv.
Anders als bei E-Mail-Spam, wo ausgefeilte Filter seit Jahren das Schlimmste verhindern, steckt der Schutz in Kollaborationssystemen oft noch in den Kinderschuhen. Das liegt nicht an mangelnden Fähigkeiten der Entwickler, sondern an der schieren Vielfalt der Angriffspunkte. In Nextcloud können Spam-Nachrichten über die öffentliche Kommentarfunktion, über Talk-Nachrichten, über Kalender-Einladungen, über Dateikommentare und sogar über die Benutzerregistrierung eingeschleust werden. Jeder offene Endpunkt, der von außen erreichbar ist, wird zum Einfallstor. Und die Betreiber stehen vor der Frage: Wie schützt man eine Plattform, die per Design offen und kollaborativ sein soll, vor Missbrauch, ohne die Nutzererfahrung zu ruinieren?
Die Antwort der Nextcloud GmbH heißt „Nextcloud Spam Shield“. Eine Erweiterung, die seit Ende 2022 in den offiziellen App-Store aufgenommen wurde und die Lücke schließen soll. Allerdings – und das ist der Punkt, der in vielen Tech-Blogs untergeht – ist Spam Shield kein Allheilmittel. Es ist ein Werkzeug. Und wie jedes Werkzeug will es richtig eingesetzt sein. Bevor wir uns den Details dieser App widmen, lohnt ein Blick auf die Angriffsvektoren, die das Problem überhaupt erst definieren.
Die Anatomie des Spams in Nextcloud
Stellen Sie sich vor, Sie betreiben eine Nextcloud-Instanz mit 50 Mitarbeitern und öffnen die öffentliche Registrierung für externe Partner. Was passiert? Innerhalb weniger Minuten registrieren sich Bots mit wachsenden Benutzernamen – „user7853“, „user7854“ – und hinterlassen in öffentlich geteilten Ordnern Kommentare, die auf dubiose Online-Shops verweisen. Das klassische Szenario. Oder jemand legt einen Kalender an und verteilt über öffentliche Einladungen massenhaft Termine, deren Titel SEO-Links enthalten. Die Kollegen werden zugespammt, die Kalenderansicht unbrauchbar.
Eine besonders perfide Variante ist der Spam über Dateikommentare. Nextcloud erlaubt es, an jede Datei einen Kommentar zu hängen – praktisch für Feedback, aber ein Albtraum, wenn Bots automatisiert Tausende von Kommentaren in einer öffentlich geteilten PDF hinterlassen. Der Admin muss dann nicht nur die Kommentare löschen, sondern auch die Benutzeraccounts sperren. Und wehe, die Registrierung war offen – dann sind es nicht nur zehn Spammer, sondern Hunderte.
Das Tückische: Viele Nextcloud-Administratoren unterschätzen das Risiko, weil sie ihre Instanz hinter einem VPN oder einer Firewall wähnen. Aber sobald irgendein Dienst nach außen geöffnet ist – sei es für externe Kunden, für Partner oder für die Zusammenarbeit mit anderen Organisationen –, wird die Angriffsfläche riesig. Selbst wenn man kein öffentliches Registrierungsformular freigibt, können Spammer über geteilte Links mit Kommentarfunktion zuschlagen. Ein von außen sichtbarer Link reicht.
Nextcloud Spam Shield: Was steckt drin?
Die offizielle App, die von den Nextcloud-Entwicklern selbst angeboten wird, trägt den schlichten Namen „Spam Shield“. Ihr Konzept ist simpel: Sie analysiert eingehende Inhalte auf Spam-Muster und bewertet sie mit einem Score. Überschreitet dieser einen Schwellenwert, wird der Inhalt blockiert oder in Quarantäne verschoben. Der Clou: Die App lernt nicht nur aus globalen Mustern, sondern kann auch auf lokale Daten zugreifen – etwa auf eine Liste von IP-Adressen, die bereits aufgefallen sind, oder auf Textmuster, die in der eigenen Umgebung häufig vorkommen.
Interessant ist die Integration mit externen Diensten. Spam Shield kann auf den Akismet-Dienst zurückgreifen, der ursprünglich für WordPress entwickelt wurde und Millionen von Spam-Kommentaren filtert. Wer bereits einen Akismet-API-Key besitzt, kann ihn einfach eintragen. Das war’s. Für viele Administratoren ein willkommener Automatismus, aber es gibt einen Haken: Akismet ist ein fremder Dienst. Das bedeutet, dass Daten der Nextcloud-Instanz – zumindest die Inhalte der geprüften Kommentare – an einen Drittanbieter gesendet werden. Für Unternehmen mit strengen Datenschutzanforderungen (DSGVO, CCPA) kann das ein Problem darstellen. Nextcloud bietet daher auch eine rein lokale Analyseoption, die auf einfachen Regeln basiert, aber naturgemäß weniger treffsicher ist.
In der Praxis zeigt sich, dass Spam Shield gut funktioniert, solange man es in Kombination mit anderen Maßnahmen einsetzt. Im Alleingang ist es wie eine Regenjacke ohne Kapuze – es hilft, aber nicht bei richtigem Unwetter. Denn die App arbeitet reaktiv: Sie erkennt Spam erst, nachdem er erzeugt wurde. Die eigentliche Prävention, also das Verhindern von Bot-Registrierungen und Masseneingaben, bleibt anderen Tools überlassen.
Der Werkzeugkasten des Admins: Captchas, Rate-Limiting und Fail2ban
Wer eine Nextcloud-Instanz nachhaltig vor Spam schützen will, kommt an zusätzlichen Basissicherungen nicht vorbei. Das fängt beim Captcha an. Nextcloud unterstützt von Haus aus Google reCaptcha, aber auch hCaptcha und das datenschutzfreundliche Cloudflare Turnstile. Die Wahl des Captcha-Dienstes ist nicht trivial – reCaptcha ist bequem, übermittelt aber Daten an Google. Turnstile hingegen ist von Cloudflare und verspricht, ohne Cookie auszukommen. Ein interessanter Aspekt ist, dass selbst Captchas nicht mehr absolut sicher sind: Machine-Learning-Modelle lösen inzwischen viele visuelle Rätsel zuverlässig. Trotzdem: ein Captcha erhöht die Hürde für Massenangriffe enorm.
Rate-Limiting ist der zweite Hebel. Sowohl auf Webserver-Ebene (nginx, Apache) als auch innerhalb von Nextcloud selbst lassen sich Limits setzen. Wie viele Anfragen pro Sekunde darf ein nicht authentifizierter Benutzer stellen? Wie viele Registrierungen pro IP pro Stunde? Das Nextcloud-Konfigurationspanel bietet unter „Sicherheit“ einige Optionen an, aber wer tiefer einsteigt, modifiziert die .htaccess oder die Serverkonfiguration. Oder nutzt ein eigenes Modul, das Anfragen auf bestimmten Endpunkten drosselt.
Eine der effektivsten Maßnahmen ist Fail2ban. Das altbewährte Tool analysiert Logdateien und sperrt IP-Adressen nach mehreren fehlgeschlagenen Versuchen. Für Nextcloud gibt es vorgefertigte Filter, die Registrierungsversuche oder Kommentarspam erkennen. Der Nachteil: Fail2ban arbeitet IP-basiert und kann legitime Nutzer treffen, die sich hinter einem gemeinsamen Proxy befinden – oder im Fall von IPv6, wo die Adressen schnell wechseln, weniger effektiv sein. Trotzdem: In Kombination mit einem Captcha ist Fail2ban ein starkes Duo.
Doch all diese Maßnahmen haben eines gemeinsam: Sie sind reaktiv. Sie verhindern nicht den Spam selbst, sondern erschweren nur seine Verbreitung. Oder sie bestrafen den Spammer nach dem ersten Angriff. Für einen Administrator, der morgens vor 10.000 Spam-Kommentaren steht, ist das zu spät. Hier setzt die Überlegung an, auf KI-basierte Vorhersage zu setzen – etwas, das Nextcloud Spam Shield zwar ansatzweise tut, aber in der lokalen Variante zu rudimentär.
Die KI-Hoffnung: Maschinelles Lernen gegen Textmüll
Ein vielversprechender Ansatz ist die Verwendung von Machine-Learning-Modellen, die auf den Inhalt der Nachrichten schauen – unabhängig von der Quelle. Statt auf Blacklists von IPs zu vertrauen, untersucht der Algorithmus den Text auf typische Spam-Merkmale: übermäßige Verwendung von Großbuchstaben, häufige Links, bestimmte Schlüsselwörter wie „kaufen“, „günstig“, „Jetzt klicken“ oder Phrasen, die selten in legitimen Cloud-Kommentaren vorkommen. Nextcloud selbst hat in den letzten Versionen eine rudimentäre Textanalyse eingebaut – aber die bleibt meist auf der Strecke, weil sie zu konservativ ist, um False Positives zu vermeiden.
Einige Community-Entwickler haben eigene Lösungen vorgestellt. Da gibt es eine App namens „Nextcloud Spam Detection“ eines Entwicklers aus Österreich, die ein TensorFlow Modell im Hintergrund nutzt. Das klingt nach Hightech, ist aber für den Durchschnittsadmin kaum wartbar: Das Modell muss trainiert werden, benötigt Rechenleistung und Speicher, und wenn die Trainingsdaten nicht den eigenen Fall abbilden, sinkt die Trefferquote. Zudem ist der Betrieb eines KI-Modells auf einem Kleinserver (etwa einer Raspberry Pi oder einem schmalen VPS) eine Herausforderung. Die Nextcloud-Instanz wird langsam, die CPU-Grenzen werden erreicht. Für große Installationen mit vielen Nutzern mag das machbar sein, aber für die übliche mittelständische Umgebung ist es oft zu aufwendig.
Interessant ist die Entwicklung von „Active Learning“: Der Admin oder die Nutzer markieren Spam-Fälle, das Modell lernt dazu. So könnte man theoretisch ein lernendes System aufbauen, das die Spam-Erkennung kontinuierlich verbessert. Aber die Umsetzung scheitert an der praktischen Integration in Nextcloud. Bisher gibt es keine offizielle API, die es ermöglicht, Benutzer-Feedback direkt an ein Modell zurückzuspeisen. Die Spam-Shield-App bietet immerhin die Möglichkeit, blockierte Inhalte manuell freizugeben – das wäre die Grundlage, aber der Lernprozess bleibt intransparent.
Betriebliche Fallstricke: Performance, False Positives und der Albtraum des Quarantäne-Managements
Ein Aspekt, der oft unter den Tisch fällt, ist der Einfluss auf die Systemperformance. Jeder eingehende Kommentar wird von Spam Shield einer Prüfung unterzogen. Bei einer kleinen Instanz mit wenigen Dutzend Kommentaren pro Tag spürt man nichts. Aber wehe, die Firma wächst und plötzlich gehen Hundertzende von Notifikationen ein – etwa durch einen externen Dienst, der automatisch Kommentare an ein bestimmtes Nextcloud-Verzeichnis schickt. Dann kann die Filterung zur Last werden. Die Datenbank wird mit Score-Einträgen geflutet, die Reaktionszeit beim Öffnen einer Datei steigt. Ein Admin berichtete im offiziellen Nextcloud-Forum, dass nach der Installation von Spam Shield die Antwortzeit beim Speichern von Kommentaren von 200 ms auf über 5 Sekunden anstieg – weil die App in der ersten Version den externen Akismet-Service jeden einzelnen Aufruf blockieren ließ. Ein Update hat das behoben, aber die Lektion bleibt: Nicht blindlings alle Spam-Schutz-Funktionen aktivieren.
False Positives sind das zweite große Problem. Stellen Sie sich vor, ein externer Kunde kommentiert eine freigegebene Datei mit einem legitimen Link zu einem Produktkatalog – der Algorithmus hält es für Spam und blockiert es. Der Kunde wundert sich, warum sein Kommentar nicht erscheint. Der Admin erfährt davon erst Tage später. Das Quarantäne-Management in Nextcloud ist bislang spartanisch: Man kann blockierte Inhalte in einem extra Verzeichnis sammeln, aber die Benutzer bekommen keine Hinweise. Für den Betrieb eines professionellen Kollaborationssystems ist das inakzeptabel. Ein echtes Spam-Filter-System müsste dem legitimen Nutzer eine Rückmeldung geben – „Ihr Beitrag wurde vorübergehend zurückgehalten und wird geprüft“ – und dem Admin eine übersichtliche Moderationsoberfläche bieten. Spam Shield enthält eine solche, aber sie ist versteckt und wenig intuitiv.
Wie viele andere Open-Source-Projekte leidet auch Nextcloud unter der Erwartungshaltung, dass Sicherheit „einfach so“ funktionieren muss, ohne dass der Admin eingreift. Das ist unrealistisch. Wer keine Zeit in die Konfiguration von Captchas, Rate-Limiting und Fail2ban investiert, wird mit Spam zu kämpfen haben – egal, ob Spam Shield installiert ist oder nicht. Die App kann die Symptome mildern, aber die Ursache des Problems – offene Angriffspunkte – bleibt bestehen.
Die Rolle der Community: Drittanbieter-Apps und Eigenbau
Neben der offiziellen App gibt es eine Handvoll Community-Entwicklungen, die sich an das Thema wagen. Die bekannteste ist „Nextcloud Spam Detection“ von Sascha Dörfler, die auf einer einfachen Blacklist und einer Regex-Analyse basiert. Sie ist leichtgewichtig, aber auch leicht zu umgehen. Ein anderer Ansatz kommt von einem französischen Entwickler, der eine Bridge zu SpamAssassin einrichtet – dem Open-Source-Klassiker aus der E-Mail-Welt. Das ist clever, denn SpamAssassin hat jahrzehntelange Erfahrung mit Textmustern und Rule Sets. Die Integration funktioniert über einen internen API-Proxy. Aber wer will schon eine zusätzliche Middleware betreiben, die ständig synchronisiert werden muss? Zudem ist SpamAssassin nicht auf Kommentare optimiert, sondern auf E-Mails – viele Regeln treffen nicht zu, andere sind irrelevant.
In den Nextcloud-Foren und auf Reddit gibt es immer wieder Threads, in denen Admins ihre eigenen Bash-Skripte posten, die regelmäßig die Datenbank nach Spam-Einträgen durchsuchen und löschen. Das ist nicht nur unbequem, sondern auch riskant: Mit einem falschen SQL-Befehl kann man schnell die ganze Kommentartabelle leeren. Man liest von Fällen, in denen nachts Cronjobs liefen, die alle Kommentare eines bestimmten Musters löschten – aber auch legitime Beiträge entfernten. Eine Notlösung, aber keine Strategie.
Interessant ist die Beobachtung, dass Nextcloud als Unternehmen selbst zögerlich reagiert hat. Lange Zeit gab es gar keine offizielle Spam-Lösung. Die Argumentation war: „Nextcloud ist eine Plattform für vertrauenswürdige Benutzer, wenn Sie offene Registrierung haben, müssen Sie selbst für Sicherheit sorgen.“ Ein Standpunkt, der in der Open-Source-Welt durchaus verbreitet ist, aber den Admin mit dem Problem allein lässt. Erst nach massiven Beschwerden aus der Community – insbesondere von Anbietern, die Nextcloud als Public-Cloud-Dienst einsetzen – entstand Spam Shield. Es bleibt abzuwarten, ob die Entwicklung weitergeht oder ob es bei der Grundfunktion bleibt.
Datenschutz und Compliance: Der Spagat zwischen Lokalität und Cloud-Diensten
Ein zentrales Spannungsfeld ist der Datenschutz. Nextcloud hat sich als datenschutzfreundliche Alternative zu Google Drive & Co. positioniert. Das Versprechen: Alle Daten bleiben auf Ihrem Server. Spam Shield bricht dieses Versprechen teilweise, wenn man den Akismet-Dienst nutzt. Die Inhalte der Kommentare werden an Akismet gesendet, um sie mit der globalen Spam-Datenbank abzugleichen. Zwar betont die Dokumentation, dass nur die Textinhalte übermittelt werden, keine Metadaten wie IP-Adressen oder Benutzernamen – aber das ist ein schwacher Trost. In vielen Unternehmen ist das Senden von Daten an einen US-amerikanischen Dienst ein No-Go, besonders wenn es sich um interne Diskussionen, geheime Unternehmensdokumente oder Kundendaten handelt.
Die lokale Analyseoption in Spam Shield ist dagegen harmlos, aber wie gesagt: weniger effektiv. Sie stützt sich auf eine statische Regeldatei, die regelmäßig aktualisiert werden muss. Einige Community-Mitglieder haben eigene Regeldateien entwickelt, die auf Erfahrungen aus großen Nextcloud-Instanzen basieren. Aber auch hier bleibt das Problem der False Positives. Ein interessanter Ansatz wäre, eine lokale KI mit bloßem Text-Training zu betreiben, ohne dass Daten das System verlassen. Das wäre ein echter Meilenstein für datenschutzorientierte Betreiber.
Die Nextcloud GmbH hat in diesem Bereich wenig Bewegung gezeigt. Vermutlich, weil die Entwicklung einer lokalen KI zeit- und kostenintensiv ist und der Markt für eine solche Funktion noch nicht als dringend genug wahrgenommen wird. Aber die Diskussion um Datenschutz und DSGVO nimmt weiter zu. Spätestens wenn ein deutscher Mittelständler wegen eines Datenlecks durch Spam-Filter verklagt wird, könnte sich das ändern.
Admin-Praxis: Eine Strategie für den Alltag
Was also tun? Aus der Erfahrung vieler Administratoren hat sich eine mehrschichtige Absicherung bewährt. Der erste Schritt ist die Reduktion der Angriffsfläche: Öffentliche Registrierung nur dann aktivieren, wenn unbedingt nötig, und dann mit Bestätigungs-E-Mail und Captcha. Kein Kommentar ohne Authentifizierung – das sollte die Grundregel sein. Wer externe Zusammenarbeit ermöglicht, setzt auf geteilte Links ohne Kommentarfunktion oder begrenzt die Kommentare auf registrierte Nutzer.
Der zweite Schritt ist die Implementierung von Spam Shield in der lokalen Variante, ergänzt um ein Captcha auf den öffentlichen Endpunkten (etwa beim Teilen von Notizen oder Dateien). Ja, das bedeutet doppelte Prüfung, aber die Spam-Effizienz steigt deutlich. Außerdem sollte man ein Fail2ban einrichten, das auf die Benutzerregistrierung abzielt. Die Standardkonfiguration von Fail2ban für Nextcloud ist meist zu lasch – man sollte die Anzahl der erlaubten Fehlversuche auf drei pro Stunde setzen, was für Bot-Angriffe eine Hürde ist.
Ein Punkt, der oft übersehen wird, ist das Monitoring. Wer Spam in seiner Nextcloud-Instanz frühzeitig erkennt, kann gegensteuern. Ein einfaches Logging der Kommentaraktivität – etwa über einen Syslog-Eintrag pro Kommentar – ermöglicht es, Ausreißer zu erkennen. Oder man aktiviert die Benachrichtigungen für Admins bei jedem neuen Kommentar? Das wäre bei einer kleinen Instanz machbar, aber bei vielen Kommentaren unbrauchbar. Besser: Ein Skript, das stündlich die Anzahl der Kommentare pro IP auswertet und ab eine kritische Schwelle eine Alarmierung auslöst. Das kann man mit Bordmitteln (Cron, Bash, SQL) realisieren oder mit einem Überwachungstool wie Prometheus.
Nicht zuletzt: Die Update-Politik. Nextcloud entwickelt Spam Shield kontinuierlich weiter. Mit jeder neuen Version kommen bessere Regeln und mehr Optionen hinzu. Es ist essenziell, die App auf dem aktuellen Stand zu halten – sonst nützt auch der beste Algorithmus nichts, wenn die Regeln veraltet sind und die Spammer längst einen neuen Weg gefunden haben. Leider scheitert das in der Praxis oft am mangelnden Update-Management in vielen Unternehmen. Spam-Shield-Updates werden als unwichtig abgetan, weil sie nicht die Kernfunktionalität betreffen. Ein fataler Fehler.
Ausblick: Wohin steuert Nextcloud beim Spam-Schutz?
Es wäre unfair, Nextcloud zu unterstellen, sie würde das Problem ignorieren. Die Aufnahme von Spam Shield in den offiziellen App-Katalog war ein wichtiger Schritt. Doch die Entwicklung stagniert. Auf der Nextcloud-Konferenz 2023 wurde das Thema Spam nur am Rande behandelt; der Fokus lag auf KI-Assistenten und Performance-Verbesserungen. Dabei ist die Spam-Problematik eine der größten Frustrationsquellen für Admins. Ein separates Security-Add-on wäre wünschenswert, das über die Grundfunktionen hinausgeht: etwa eine Integration von DNSBL (DNS Blacklist), die Echtzeit-IP-Reputation abfragt, oder eine Schnittstelle zu bekannten Threat-Intelligence-Plattformen.
Ein weiteres Zukunftsthema ist die Differenzierung zwischen Spam und legitimen Beiträgen durch Kontextanalyse. Ein Kommentar, der einen Link enthält, ist nicht per se Spam – wenn der Kommentar in einem Projektordner zum Thema „Einkauf von Büromaterial“ auftaucht, könnte er legitim sein. Der Algorithmus müsste also den Kontext verstehen. Machine Learning mit semantischem Verständnis wäre notwendig, aber der Aufwand ist enorm. Dennoch: Unternehmen, die Nextcloud als zentrale Kollaborationsplattform nutzen, erwarten eine nahtlose Erfahrung. Sie wollen nicht ständig über Spam nachdenken müssen.
Vielleicht wird die Antwort in einer Kombination von dezentralem Lernen und lokaler Ausführung liegen. Open-Source-Projekte wie SpamAssassin zeigen, dass regelbasierte Filter mit lokalen Modifikationen sehr effektiv sein können, wenn die Community sie pflegt. Warum nicht ein Nextcloud-spezifisches Rule-Set, das von der globalen Community unterhalten wird? Ansätze gibt es: Auf GitHub existiert ein Repository mit Nextcloud-Spam-Regeln, das auf den Mustern aus vielen Instanzen basiert. Allerdings fehlt ein automatischer Update-Mechanismus in der App.
Der Blick zur Konkurrenz zeigt, dass andere Kollaborationsplattformen ähnlich kämpfen. OwnCloud, der frühere Zwilling von Nextcloud, hat bislang keine vergleichbare Spam-Filter-App. Seafile setzt auf simple IP-Blacklist und hat die gleichen Probleme. Nur kommerzielle Dienste wie Google Workspace oder Microsoft 365 können mit Cloud-basierter KI und riesigen Datenpools eine hohe Trefferquote erreichen – aber zu Lasten der Datensouveränität. Nextcloud liegt hier genau im Spannungsfeld: Es will datenschutzfreundlich sein, aber die technischen Mittel, um Spam lokal wirkungsvoll zu bekämpfen, sind noch nicht ausgereift.
Fazit: Kein Allheilmittel, aber viele Stellschrauben
Wer nach der Lektüre dieses Artikels erwartet, eine einzige Lösung präsentiert zu bekommen, wird enttäuscht. Nextcloud-Spam-Schutz ist kein Produkt, das man einmal installiert und dann vergisst. Es ist ein Prozess, der regelmäßige Aufmerksamkeit erfordert. Die Kombination aus Captcha, Rate-Limiting, Fail2ban, Spam Shield (in lokaler oder Akismet-Variante) sowie manuellem Monitoring bildet das Grundgerüst. Darüber hinaus müssen Admins bereit sein, auf dem Laufenden zu bleiben – neue Spam-Methoden tauchen ständig auf, und die Abwehrmaßnahmen müssen entsprechend nachjustiert werden.
Ein kleiner Trost: Nextcloud ist nicht allein. Die Community arbeitet an Lösungen, und die offizielle App wird weiterentwickelt. Vielleicht erscheint in zwei Jahren ein „Spam Shield 2.0“ mit lokaler KI, die auf dem eigenen Server läuft und kein Datenleck verursacht. Bis dahin gilt: Wer Spam in Nextcloud vermeiden will, muss selbst aktiv werden. Und ja, das ist lästig. Aber es ist immer noch besser als die Alternative: zehntausend Spam-Kommentare an einem Montagmorgen.
Ich kenne einen Admin, der nach einem solchen Erlebnis eine ganze Nacht damit verbracht hat, die Datenbank per Hand zu säubern. Er hatte kein Fail2ban, kein Captcha – und die Spam-Shield-App war zwar installiert, aber in der Standardeinstellung, die kaum etwas filtert. Er hat daraus gelernt. Inzwischen betreibt er eine Kombination aus Turnstile, einem eigenen Rate-Limit-Script und der Spam Shield App mit Akismet (trotz Bedenken). Seit drei Monaten: null Spam. Es geht also. Man muss es nur wollen und umsetzen.
„`