Cadastros de spam são um problema persistente em instâncias públicas do Mastodon. Bots automatizados e agentes maliciosos criam contas falsas para espalhar conteúdo indesejado, enviar spam por mensagem direta e poluir as timelines locais. Esse problema consome tempo dos moderadores e pode afastar usuários legítimos. Este artigo explica como configurar as ferramentas antispam nativas do Mastodon, definir bloqueios de domínios de e-mail e usar fluxos de moderação para impedir cadastros de spam antes que causem danos.
Principais Conclusões: Bloqueando Cadastros de Spam no Mastodon
- Configurações > Administração > Configurações do Servidor > Registros: Desative o registro aberto ou ative o modo de aprovação para filtrar novas contas manualmente.
- Configurações > Administração > Configurações do Servidor > Bloqueios de Domínio de E-mail: Bloqueie domínios de e-mail inteiros comumente usados por bots, como provedores de endereços descartáveis.
- Configurações > Administração > Moderação > Convites: Gere links de convite com uso limitado para controlar quem pode entrar na sua instância.
Por que os Cadastros de Spam Acontecem em Instâncias do Mastodon
Instâncias do Mastodon que permitem registro aberto são vulneráveis a scripts automatizados de cadastro. Bots escaneiam instâncias públicas em busca de endpoints de registro e enviam perfis falsos usando endereços de e-mail descartáveis. Uma vez dentro, essas contas podem seguir usuários locais, impulsionar posts de spam e enviar mensagens não solicitadas. A causa raiz é a combinação de registro aberto com a falta de um sistema CAPTCHA na configuração padrão do Mastodon.
O Mastodon possui um sistema antispam integrado chamado Spam Check API. Ele analisa o texto do perfil e o conteúdo das postagens em busca de padrões de spam. No entanto, essa verificação só é executada após a criação da conta. Ela não impede o cadastro inicial. Para bloquear o spam na porta de entrada, você deve usar controles de pré-registro: bloqueios de domínio de e-mail, limitação de taxa por IP e alterações no modo de registro.
Como Contas de Spam Geralmente se Registram
Scripts de cadastro de spam seguem um padrão. Eles geram nomes de usuário aleatórios, preenchem campos de perfil com texto de spam para SEO e usam endereços de e-mail de domínios como mailinator.com ou guerrillamail.com. Alguns scripts ignoram a verificação de e-mail se a instância permite contas não confirmadas. Outros usam um único endereço IP para criar centenas de contas em minutos. Entender esse padrão ajuda a escolher o método de bloqueio correto.
Passos para Bloquear Cadastros de Spam Usando as Configurações do Mastodon
Siga estes passos em ordem. Cada método adiciona uma camada de proteção. Comece com a configuração mais restritiva que se adequa aos objetivos da sua instância.
Método 1: Alterar o Modo de Registro para Aprovação Necessária
- Faça login como administrador
Use uma conta com a função de Administrador. Apenas administradores podem alterar as configurações do servidor. - Abra Configurações do Servidor
Clique no ícone de engrenagem no canto superior direito da interface web do Mastodon. Em seguida, selecione Administração no menu suspenso. - Navegue até Registros
Na barra lateral esquerda, clique em Configurações do Servidor. Depois, clique na aba Registros. - Defina o Modo de Registro
Em Modo de registro, selecione Aprovação necessária para cadastro. Essa opção permite que qualquer pessoa envie uma solicitação de registro, mas um administrador deve aprovar cada conta antes que ela possa fazer login e postar. - Salve a alteração
Clique no botão Salvar alterações na parte inferior da página.
Após ativar o modo de aprovação, verifique regularmente Configurações > Administração > Moderação > Contas pendentes. Aprove apenas usuários que forneçam um motivo genuíno para entrar. Rejeite solicitações suspeitas.
Método 2: Bloquear Domínios de E-mail Descartáveis
- Abra Bloqueios de Domínio de E-mail
Na barra lateral de Administração, clique em Configurações do Servidor. Depois, clique na aba Bloqueios de Domínio de E-mail. - Adicione um domínio de e-mail descartável
No campo de texto, digite um nome de domínio como mailinator.com. Não inclua o símbolo @ ou espaços. - Escolha a ação de bloqueio
Selecione Bloquear cadastros deste domínio no menu suspenso. Opcionalmente, marque Bloquear mídia deste domínio para impedir que contas existentes desse domínio enviem arquivos. - Salve o bloqueio
Clique no botão Adicionar Bloqueio de Domínio. Repita para outros domínios descartáveis conhecidos, como guerrillamail.com, 10minutemail.com e tempmail.com.
Mantenha uma lista atualizada de domínios de e-mail descartáveis. Serviços como disposable-email-domains fornecem uma lista de bloqueio atualizada. Você pode importar essa lista via API do Mastodon ou adicionar entradas manualmente.
Método 3: Usar Registro Apenas por Convite
- Feche o registro aberto
Em Configurações do Servidor > Registros, defina Modo de registro como Fechado para novas contas. Salve a alteração. - Gere um link de convite
Vá para Configurações > Administração > Moderação > Convites. Clique no botão Gerar link de convite. - Defina limites do convite
Configure o convite para expirar após um número definido de usos ou após uma data específica. Por exemplo, defina Usos máximos como 10 e Expira após como 7 dias. - Compartilhe o convite
Copie o link gerado e envie para usuários de confiança, que podem compartilhá-lo com seus contatos. Não publique o link de convite publicamente para evitar que bots de spam o capturem.
O modo apenas por convite interrompe todos os cadastros automatizados, pois não há formulário de registro público. Este método é melhor para comunidades pequenas e privadas.
Método 4: Configurar Limitação de Taxa por IP
- Acesse o shell do servidor
Conecte-se via SSH ao seu servidor Mastodon. Você precisa de acesso root ou sudo para modificar arquivos de configuração. - Edite o arquivo de ambiente
Abra o arquivo.env.productionem um editor de texto (por exemplo,nano .env.production). - Adicione variáveis de limite de taxa
Adicione estas linhas ao arquivo:MAX_ACCOUNT_CREATION_RATE=1MAX_ACCOUNT_CREATION_PERIOD=3600
Isso limita os cadastros a uma conta por endereço IP por hora. - Reinicie os serviços do Mastodon
Executesystemctl restart mastodon-webpara aplicar os novos limites.
A limitação de taxa impede a criação em massa de contas a partir de um único IP. Ajuste os valores de acordo com o crescimento esperado da sua instância. Um limite de 1 por hora é rigoroso. Um limite de 3 por hora é mais flexível.
Erros Comuns ao Bloquear Cadastros de Spam
Bloquear Domínios de E-mail Legítimos por Engano
Alguns administradores bloqueiam provedores de e-mail inteiros como Gmail ou Outlook porque alguns spammers os usam. Essa ação bloqueia usuários legítimos que dependem desses serviços. Em vez de bloquear grandes provedores, use o modo de aprovação necessária ou registro apenas por convite para filtrar manualmente.
Não Monitorar a Fila de Contas Pendentes
Se você ativar o modo de aprovação necessária, mas nunca verificar a lista de contas pendentes, nenhum novo usuário será admitido. Designe um moderador dedicado para revisar as solicitações diariamente. Use as configurações de notificação do Mastodon para receber um alerta quando uma nova solicitação de registro chegar.
Depender Apenas da Spam Check API
A Spam Check API é reativa, não preventiva. Ela sinaliza spam após a conta existir e pode já ter postado. Combine-a com bloqueios de pré-registro para melhor proteção. Para ativar a Spam Check API, vá para Configurações do Servidor > Retenção de Conteúdo e ative Verificação de spam.
Usar um Único Método de Bloqueio
Um spammer que usa um domínio de e-mail único e um endereço IP diferente pode contornar um único bloqueio. Use uma abordagem em camadas: bloqueios de domínio de e-mail mais modo de aprovação mais limitação de taxa. Essa combinação torna o cadastro automatizado muito mais difícil.
Comparação de Controles de Registro: Aberto vs Aprovação vs Apenas Convite
| Item | Registro Aberto | Aprovação Necessária | Apenas Convite |
|---|---|---|---|
| Nível de proteção contra spam | Nenhum | Médio | Alto |
| Carga de trabalho do moderador | Baixa | Média | Baixa |
| Atrito para cadastro de usuário | Nenhum | Baixo | Alto |
| Melhor para | Instâncias públicas grandes com moderação ativa | Comunidades de médio porte | Grupos privados ou pequenos |
O registro aberto é o mais vulnerável. O modo de aprovação necessária adiciona um gatekeeper humano. O modo apenas por convite é o mais seguro, mas limita o crescimento. Escolha o modo que corresponde ao propósito da sua instância e à capacidade de moderação.
Agora você tem um conjunto claro de ferramentas para bloquear cadastros de spam na sua instância do Mastodon. Comece alterando o modo de registro para aprovação necessária e bloqueando os 10 principais domínios de e-mail descartáveis. Em seguida, configure a limitação de taxa por IP para proteção extra. Para controle avançado, explore a API de moderação do Mastodon para automatizar atualizações da lista de bloqueio de domínios.