Estes são bots tentando enviar spam para você, ou pior, tentando explorar seu formulário de contato para enviar spam para outras pessoas.
Por exemplo, há várias explorações bem conhecidas para o comando PHP mail()
comumente usado pelos formulários de contato que podem fazer com que o endereço TO que você colocou em seu código seja sobrescrito pelos dados POST, se você não for cuidadoso você lida com os dados que chegam do seu formulário.
Algumas formas de evitar isso:
-
Use um captcha. Para um site de baixo tráfego, até mesmo um captcha estático (uma imagem que tenha sempre o mesmo texto sempre) funcionará muito bem.
-
Verifique o HTTP
referrer
para garantir que o POST está vindo do seu formulário de contato. Muitos bots vão falsificar isso, então não é muito útil. -
Use campos de formulário ocultos para tentar enganar os bots. Por exemplo, crie um campo chamado
phone_number
em seu formulário e oculte-o com CSS na sua folha de estilo (display: none). Normalmente, um bot preencherá esse campo (eles normalmente preenchem todos os campos para evitar possíveis erros de validação de campo obrigatório), mas um usuário não o faria, pois está oculto. Portanto, no POST, você verifica um valor nesse campo e SILENCIAMENTE falha ao enviar a mensagem, se houver um valor nela. Eu acho que esse método sozinho é altamente eficaz.