L'offuscamento dell'indirizzo e-mail funziona davvero? [chiuso]


467

Il più delle volte quando vedo qualcuno pubblicare il proprio indirizzo e-mail online, specialmente se si tratta di un indirizzo personale, usano qualcosa del genere

me [at] esempio [punto] com

anziché l'indirizzo e-mail effettivo (me@esempio.com). Anche i membri più importanti di questa community usano stili simili nei loro profili:

jt.superuser [AT] gmail [dot] com

quixote punto su sopra laggiù vicino a quel posto di Gmail

La logica tipica è che questo tipo di offuscamento impedisce che l'indirizzo e-mail venga automaticamente riconosciuto e raccolto dagli spammer. In un'epoca in cui gli spammer possono battere tutti tranne i cattivi più diabolici, è davvero vero? E data l'efficacia dei moderni filtri antispam, importa davvero se il tuo indirizzo email viene raccolto?


10
La parola di Google su questo è che trasformare @ in qualsiasi forma rende più facile la ricerca su Google. Anche con un indirizzo hotmail di dieci anni, posso collegare quasi tutto il mio spam a volte in cui ho dato il mio indirizzo (nomi falsi, ecc.). Non ricevo molto spam dalla mia email trovabile pubblicamente.
tobylane,

Ecco un'alternativa: iconico.com/emailProtector
paradroid

@Saytha Sembra che anche Ivo lo abbia inviato . Probabilmente è meglio votare quello invece.
Kyle Cronin,

6
Dupe: è stato chiesto 1 anno fa su SO . La cosa interessante è che la risposta accettata era la stessa di questo post che collega lo stesso articolo
systempuntoout

Non è offuscamento, ma direi che questo è un buon posto per usare indirizzi e-mail usa e getta e ruotare periodicamente gli indirizzi (cioè automaticamente), con l'idea che i raccoglitori non useranno le informazioni con la stessa velocità dei corrispondenti legittimi.
Stephanie,

Risposte:


552

Qualche tempo fa mi sono imbattuto nel post di qualcuno che ha creato un honeypot e ha atteso il ritorno di indirizzi e-mail diversamente oscurati:

Nove modi per offuscare gli indirizzi e-mail rispetto

CSS Codedirection 0 MB di spam

<span style="unicode-bidi:bidi-override; direction: rtl;">
moc.elpmaxe@zyx
</span>

Display CSS: nessuno 0 MB

xyz<span style="display:none">foo</span>@example.com

Crittografia ROT13 0 MB

klm@rknzcyr.pbz

Utilizzo di AT e DOT 0,084 MB

xyz AT example DOT com

Creazione con Javascript 0.144 MB

var m = 'xyz';         // you can use any clever method of
m += '@';              // creating the string containing the email
m += 'example.com';    // and then add it to the DOM (eg, via
$('.email').append(m); // jquery)

Sostituzione di "@" e "." con Entità 1.6 MB

xyz&#64;example&#46;com

Suddivisione della posta elettronica con commenti 7,1 MB

xyz<!-- eat this spam -->@<!-- yeah! -->example<!-- shoo -->com     

Codice URL 7,9 MB

xyz%40example.com

Testo normale 21 MB

xyz@example.com

Questo è il grafico statistico originale realizzato da Silvan Mühlemann, tutto il merito va a lui:

Le statistiche come è stato fatto da Silvan Mühlemann

Quindi, per rispondere alla domanda: Sì, (in un certo senso) l'offuscamento dell'email funziona.


69
Sfortunatamente, ciò che non mostra è il numero di utenti reali che hanno evitato di inviare e-mail perché l'indirizzo era difficile da recuperare nei vari formati. Sono sicuro che quel numero sarebbe piccolo, ma è improbabile che sia zero
Gareth,

20
@Gareth: gli indirizzi di posta elettronica reali sono chiaramente visibili con i metodi 1, 2, 6, 7 e 8, con 2 e 5 sono (ri) costruiti da jscript e sono di nuovo chiaramente visibili e funzionano anche con "mailto:" ( perché il jscript modifica il dom in modo che appaia tutto bene). noterai che i metodi più efficaci sono quelli che danno come risultato "l'utente non deve fare nulla per leggere / interpretare" l'indirizzo di posta. "visibile" significa "puoi semplicemente copiare N incolla l'e-mail dal tuo browser.
Akira

12
Mi piacerebbe vedere questo studio rifatto con metodi che producono mailto: links piuttosto che semplici indirizzi e-mail di testo. Uno spambot potrebbe reagire diversamente se vede un mailto: con un indirizzo offuscato, se la de-offuscamento viene effettuata da JS o l'intervento umano - è un forte suggerimento che ci sia un indirizzo di posta lì - ma mailto: i link sono molto più utili per lettori.
IJW

61
Quando ho copiato l' rtlesempio sulla pagina collegata (Chrome 8, Mac), sono moc.etalllit@7raboofnavlisfinito negli appunti. Quindi, forse questo non è così pratico per l'uso nel mondo reale.
1111

3
È un peccato che l'idea RTL non sia compatibile con il semplice copia / incolla, era una soluzione creativa.
Wildpeaks

225

Mi è sempre piaciuta la soluzione semplice, elegante e per non parlare di classe dell'utilizzo:

Tacky Turing 0MB

xyzmy@pantsexample.com

To email me, first you have to remove my pants.

Usando questo metodo non ricevo spam. In effetti non ricevo nessuna email.


8
@iain, example.comnon soffre nulla, ma un dominio di prova in base alla progettazione, proprio come example.nete pochi altri. Non ci sono gestori email definiti per example.com.
Arjan,

8
Se hai mai letto la RFC ( rfc-editor.org/rfc/rfc2606.txt ) sapresti che "example.com" (e .net e .org) sono nomi di dominio riservati ufficialmente. Ma usare un nome di dominio "falso" che non è ufficialmente riservato non è gradito al proprietario del dominio (se presente). Non ci sono pantsexample.com attualmente registrati, ma potrebbero esserci stati.
thrillscience

1
potrebbe essere meglio usare xyzmy@mypantsexample.cominvece, solo così è più chiaro che è un'istruzione e non solo essere impertinente.
Synetech,

3
Che ne dici di xyz@"mypants."example.com... Per inviarmi un'e-mail, prima devi rimuovere "my pants.". Penso che sarebbe altrettanto efficace e reducesla possibilità che un innocente proprietario di un nome di dominio ne venga spammato. (A proposito: non uso nessuno di questi metodi).
Kevin Fegan,

3
LOL effettivo a "... any email"
EvilDr

49

Recentemente c'è stato un interessante articolo di Cory Doctorow su questo argomento , in cui si afferma che l'offuscamento della posta elettronica non serve molto allo scopo e un approccio più ottimale è la gestione intelligente dello spam che si ottiene.

TL; versione DR:

  • L'obiettivo di questo intero esercizio non è ridurre la quantità di spam che ricevi nella tua e-mail, ma la quantità di spam che devi rimuovere manualmente dalla tua casella di posta.
  • L'offuscamento delle e-mail è una battaglia costante per elaborare una codifica sempre sofisticata a prova di bot, leggibile dall'uomo, ed è un drenaggio per la produttività sia del creatore che del corrispondente.
  • "Quasi tutti gli indirizzi e-mail che usi per un certo periodo di tempo alla fine diventano abbastanza conosciuti che dovresti presumere che tutti gli spammer lo abbiano."
  • "La convenienza di indirizzi e-mail stabili e facilmente copiabili" conquista il tentativo di nascondersi dagli spambots.

13
Questo è vero se ritieni che il costo dello spam sia interamente nello sforzo mentale di elaborarlo. Se ritieni che parte del costo dello spam sia dovuto alla larghezza di banda o al mantenimento dei filtri antispam, impedire innanzitutto che lo spam raggiunga la tua casella di posta è un obiettivo meritevole. Entrambi questi elementi hanno un costo in corso (un parallelo all'elemento "migliorare la tua offuscamento" nella discussione), è solo che servizi come Google sono disposti a fornirlo al prezzo di poter leggere tutta la tua corrispondenza privata.
ijw

4
@ijw - Il costo in corso di un team di poche persone in Google che gestiscono il sistema di filtro antispam sarà sempre inferiore a quello di fare in modo che centinaia di milioni di clienti facciano qualsiasi cosa. Supponendo che lo spam sia mantenuto a un importo ragionevole, la larghezza di banda probabilmente non è un grosso problema.
Kevin Vermeer,

9
La versione tldr è più lunga.
Synetech,

5
@Synetech: il poster probabilmente significava che leggere l'articolo collegato era la versione lunga.
Daniel Andersson,

Se l'offuscamento è abbastanza complicato, gli spammer impiegheranno considerevoli risorse per ottenere l'indirizzo e-mail (perché dal teorema di Rice non c'è modo di prevedere l'output di un determinato programma senza eseguirlo). Diciamo che ci vogliono 3 secondi su un computer decente per decrittografare l'indirizzo e-mail. Andrebbe bene per un essere umano. Non è così per i robot che lo fanno su vasta scala. In breve, per i robot è molto costoso ottenere gli indirizzi e-mail.
Kaveh,

28

Così tante persone usano ancora @e senza .mezzi termini che c'è poco bisogno che uno spammer trovi un modo per sconfiggere qualsiasi tipo di offuscamento; il lavoro non svolto è denaro / tempo non speso.


12
È vero, e gli spammer probabilmente si rendono conto che le persone che offuscano il loro indirizzo e-mail non vogliono e non si innamoreranno comunque dello spam, ma dall'altro lato ci sono alcuni raccoglitori che vengono pagati per indirizzo per i quali sarebbe banale identificare alcuni dei gli schemi di offuscamento di base (avere "gmail" sulla pagina è un inizio)
Kyle Cronin,

5
Esattamente. Per non parlare dell'hit di prestazioni su un parser per utilizzare un modello simile durante l'elaborazione di molti dati.
John T,

4
Non offuscare la mia e-mail, prima di allora non ho visto alcuna differenza w / & w / o offuscamento. Anche se lo fa, Gmail fa un ottimo lavoro nel catturare lo spam, e anche se non lo faccio, premo semplicemente il pulsante Segnala come spam.
Sathyajith Bhat

8
OTOH, se uno spammer vede un indirizzo di posta offuscato, può essere sicuro che si tratti di un indirizzo di posta elettronica realmente utilizzato, altrimenti perché offuscarlo ?. Si noti che lo spammer non si preoccupa se lo spamming è efficace, ma si preoccupa di quanti destinatari ricevono effettivamente lo spam. Vende servizi di spam, non prodotti.
Elazar Leibovich,

25

Tutto ciò che viene fatto da molte persone verrà sconfitto, ma se nascondi il tuo indirizzo e-mail in un modo in cui non fanno molti siti web, gli spammer non investiranno i soldi per trovarlo. (Stanno cercando di fare soldi, quindi investiranno molto quando i rendimenti sono alti.)

Quindi non usare un metodo usato da altre persone, inventati il ​​tuo, questo è quello che ho appena escogitato: (Non copiarlo tutti, o smetterà di funzionare)

Email rimuovere tutti i numeri e utilizzare lo stesso dominio del mio sito Web è su i23an@notMyDomain.com


1
Gli spammer dipendono dai "venditori di spamware" per occuparsi dei dettagli tecnici relativi all'estrazione degli indirizzi e-mail dai siti Web (e da altre fonti, come documenti di elaborazione testi e fogli di calcolo, a volte ottenuti tramite SpyWare). Quindi, starai bene fino a quando un fornitore di spamware non noterà cosa stai facendo (e può capire come contrastarlo). +1 perché questa risposta utilizza un argomento logico generalmente corretto.
Randolf Richardson,

@Randolf, nessun "venditore di spamware" farà la differenza per meno di qualche centinaio di indirizzi e-mail, quindi qualsiasi pensiero "diverso" è leccare a funzionare come uno dei siti web della maggior parte delle persone
Ian Ringrose,

In realtà sono d'accordo con te (e vedo il tuo commento come ulteriore supporto per il mio) perché i venditori di spamware lo vedranno come una caratteristica che li pone in vantaggio rispetto alla concorrenza (vale a dire, altri fornitori di spamware) - la tua stima di meno di alcuni centinaia di indirizzi e-mail mi sembrano corretti (+1 per il tuo commento, tranne per il fatto che non funziona come appare una casella rosa, quindi riproverò più tardi).
Randolf Richardson,

2
> Tutto ciò che viene fatto da molte persone sarà sconfitto Concordato, ma sostituirà "sconfitto" con sfruttato . Ecco perché gli hacker si sono raramente preoccupati di scrivere malware per Apples o Linux. Che siano o meno "più sicuri di Windows" è irrilevante; quegli obiettivi semplicemente non valevano il tempo. Almeno, quello era il caso. Al giorno d'oggi, Apple ha una base di utenti molto più ampia, il che rende un target più attraente e Linux viene utilizzato su più server aziendali. È lo stesso con le misure di sicurezza. Se il crack ti fa guadagnare poco, la maggior parte non si preoccuperà. Se il crack ti fa guadagnare il mondo, beh ...
Synetech,

15

Gli spammer non sono la NSA. Non è importante per loro rompere la tua offuscamento. Qualsiasi sforzo fatto per mascherare il tuo indirizzo e-mail è probabilmente sufficiente per l'attività.

La domanda più interessante è: perché non usare un account di posta elettronica monouso come cutoff per filtrare le risposte sui forum pubblici? In questo modo non ti interessa se l'account riceve spam e dopo aver verificato le risposte legittime puoi contattare i tuoi corrispondenti tramite il tuo normale account di posta elettronica.


+1 per una soluzione che funziona bene per esigenze a breve termine.
Randolf Richardson,

11

Sì, è vero nella maggior parte dei casi perché è necessario un modello per la raccolta delle e-mail, più complesso è il modello, più costoso (tempo / denaro) è per gli spammer lavorare per ottenere e-mail. Naturalmente nulla ferma la raccolta manuale, ma è molto basso. La cosa che di solito viene fatta è non codificata JS, vengono raccolte e-mail in testo normale (controlla qualsiasi sito Web di 1-2 anni invariato, e scommetto che $ 20 dollari la sua e-mail in testo normale e ricevono tonnellate di spam).

Nella mia azienda tutte le e-mail rivolte verso l'esterno vengono offuscate utilizzando una serie di metodi lato server e lato client JS.

Quindi un'e-mail non assomiglia mai davvero a un'e-mail e il modello cambia SEMPRE. Rimarrai sorpreso dal modo in cui funziona questo metodo, certo che alcuni metodi sono compromessi e facilmente rompibili, ma i metodi più elaborati di offuscamento della posta elettronica di solito rendono inutile la raccolta poiché la semplice quantità di rilevamento dei modelli richiederebbe molte risorse investite.

La forza bruta di CAPTCHAS è diversa, in cui gli hacker / spammer / mietitori TARGETANO un sito specifico. Questo non si applica in realtà ai siti Web di piccole mamme e pop che potrebbero utilizzare una miriade di metodi di offuscamento o siti in cui gli utenti pubblicano e-mail di formato diverso in una varietà di modi di offuscamento delle e-mail (omettendo il .com o .net, ecc.).

La maggior parte dei raccoglitori non è a conoscenza di Javascript, ovvero non elabora JS. Rendere questi metodi più costosi per le mietitrici. Ci sono alcuni raccoglitori che tentano di elaborare JS, ma come ho detto è molto costoso quando si eseguono milioni di e-mail in pochi minuti, non si può scendere a 10 o 100 se si può fare 1000.

Il mio metodo di fare ogni volta un metodo casuale funziona molto bene, devo ancora ricevere spam sul mio account.


Ottima idea di usare JS per offuscare l'indirizzo e-mail, ma nella maggior parte dei casi (come in un'e-mail, su questo sito, ecc.) Questa non è davvero un'opzione. Tuttavia, sono d'accordo che dovrebbe essere una pratica standard sui siti che consente agli utenti di esporre la propria e-mail ad altri utenti.
Kyle Cronin,

11

Ho 2 metodi di offuscamento non menzionati. Né offre il vantaggio di essere un link cliccabile, o addirittura di taglia e incolla.

  • Usa un elemento grafico invece del testo.

  • Allinea gli elementi verticalmente, con colonne di altre cose a sinistra e / o destra:

email     dummy@
me at:    example.com

2
Alcuni spammer utilizzano l'OCR per aggirare l'elemento grafico, ma per quanto ne so questo è ancora abbastanza raro, quindi dovrebbe continuare a funzionare bene per te finché gli utenti non vedenti non devono contattarti. +1 per condividere alcune idee utili.
Randolf Richardson,

Bene, questo è un ottimo modo per rovinare la tua UX. Non solo per i non vedenti, per tutti.
Fabian von Ellerts,

1
@FabianvonEllerts Non lo nego. Questo è un compromesso che tutti devono fare per se stessi.
Mark Ransom,

8

L'offuscamento di JS funziona fino a un certo punto con semplici raccoglitori basati su wget, ma immagino che anche le istanze di IE abilitate a JS vengano utilizzate e possano leggere cosa vedrebbe l'utente web.

Quando l'indirizzo viene raccolto o rubato tramite una violazione della sicurezza su uno dei tuoi siti preferiti come alla fine, sarà lì fuori replicato sugli elenchi di spammer per sempre.

Il mio indirizzo e-mail è così vecchio che precede lo spam e quindi visibile in tutta la rete, quindi ricevo migliaia di tentativi di consegna alla settimana ... attivalo! Ho avuto il tempo di sviluppare un sistema sofisticato che lo trasforma efficacemente in uno spamtrap, con materiale ad alto punteggio segnalato automaticamente a spamcop per aiutare la comunità.

Lo spam verrà sconfitto un giorno e ho visto segnali incoraggianti che è in declino.


6

Una cosa che ha funzionato molto bene per me è usare ASP.NET per creare un "LinkButton". Questo pulsante di collegamento ha quindi un'azione Response.Redirect("mailto:MailAddress");"onClick". Ciò comporterà il LinkButton con un javascript:DoPostBack(...)come URL. Alla fine invia una richiesta del server che restituisce un "reindirizzamento all'indirizzo di posta". I robot della fattoria non hanno mai ricevuto questa email.


3
probabilmente nessun utente ha avuto la possibilità di lamentarsi dell'incapacità di inviare anche feedback :)
Consulenza gratuita

1
questo funzionerà solo se molte altre persone non iniziano a farlo.
Ian Ringrose,

@Worm: ha funzionato con tutti i browser che ho provato. Se reindirizzi a un mailto, funzionerà. @Ian: Sì, spero che rimanga così, o i robot inizieranno ad ascoltare i reindirizzamenti sui postback di JS. Se metti uno ScriptManager lì andrà molto di più ... "offuscato" però. Prima eseguirà un postback JS AJAX con quindi restituisce un comando per passare al mailto.
sinni800,

1
Mi piacerebbe vedere il codice generato per questo, poiché non ho idea delle cose ASP.NET
Consulenza gratuita

1
metalgearsonic.de/default.aspx Ecco qua, WormRegards. Codice lato server AND client leggibile qui.
sinni800,

6

Ho messo il mio indirizzo e-mail in chiaro sul Web ovunque e, contrariamente alla credenza popolare, questo non sembra avere alcun effetto sulla quantità di spam che ricevo. È rimasto stabile a una media di 3 al giorno per molto tempo. Quindi direi che l'offuscamento è inutile.

Ho notato che nomi utente molto brevi (ad es. Wim@example.com) generano più spam. Apparentemente gli indirizzi e-mail utilizzati dagli spammer vengono semplicemente generati provando tutte le possibili combinazioni di lettere brevi e usando gli elenchi di nomi.


Ci sono molte ipotesi, attacchi con dizionario e varie altre tecniche utilizzate dagli spammer. Inoltre, si presume che indirizzi comuni come info @ e sales @ siano quasi sempre validi (e spesso lo sono per molti domini). C'è anche un ritardo in cui lo spam aumenta per un indirizzo più a lungo gli spammer lo conoscono perché si vendono le liste. Opero una serie di trappole di spam e ho notato che lo spam generalmente aumenta nel tempo nonostante il blocco basato su una combinazione di liste nere e filtri basati su DNS.
Randolf Richardson,

4

Non penso che aiuti molto usando lo standard [AT]e [DOT], ma usando entrambe le parole che significano cose o possono essere realizzate per significare e punto ... o anche _A((T>>o qualsiasi altra cosa ragionevolmente casuale ... solo i miei pensieri sul importa.


4

Se provi a cercare indirizzi e-mail con google, scoprirai che è davvero difficile e google per qualche motivo non ne ha molti nel formato "common.name@wellknown.domain" - forse un autocritico ?

Se cerco "maier [at] berlin.de", trovo più risultati che se cerco "maier@berlin.de" e @ sembra funzionare come un segno jolly. I successi non sono davvero indirizzi di posta.

E dall'altra parte, vuoi che i tuoi clienti (se ne hai, e contattali nel web) utilizzino un comodo mailto-link, senza armeggiare e rimuovere pantaloni eleganti.

Quindi se ancora non ti fidi di google, bing, bong e zong (forse vendono indirizzi di posta separatamente?), Puoi comporre il tuo indirizzo e-mail con un po 'di Javascript :

"mailto" + ":" + "wagner" + "." + "stefan" + "@" + "paris" + "." + "de" 

Immagino che la maggior parte dei webcrawler non interpretano Javascript e avranno difficoltà a trovare il tuo indirizzo in un processo grande, automatizzato ed economico.


3

Dalla mia esperienza con lo Sblam! servizio anti-spam ci sono molti spammer tecnicamente incompetenti, che continuano comunque a provare, probabilmente perché ci sono molte e-mail non protette da raccogliere (e siti non protetti da spam), quindi anche la semplice offuscamento potrebbe bloccare alcuni mietitori.

L'aggiornamento di OTOH all'espressione regolare in una mietitrice da cercare (@| AT )non è scienza missilistica e probabilmente molti spammer lo hanno già fatto.


I puzzle che infastidiscono gli umani non ne valgono la pena. Ho ideato un offuscamento conforme agli standard che codifica le e-mail con entità, codifica url e aggiunge costrutti insoliti all'URL e all'HTML ( codice sorgente ):

http://hcard.geekhood.net/encode/?addr=test@example.com

Questo fornisce un link che è leggibile e perfettamente funzionante per gli utenti reali, ma può essere raccolto solo dagli spammer che si sforzano di analizzare correttamente HTML e URL (potrebbe evitare un po 'di spam o almeno promuovere standard web tra gli autori di Harvester!;)


1
controlla Sblam! requisiti :-)
Consulenza gratuita il

Abbastanza bello tranne questo .
Michael,

2

Poiché le liste di e-mail vengono vendute, una società può capire quella facile e altre possono usarla. In questo modo è simile a qualsiasi DRM.


2
Che cosa intendi con "un'azienda in grado di capire quella facile"?
Andrew Grimm,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.