Работает ли обфускация адресов электронной почты на самом деле? [закрыто]

467

Большую часть времени, когда я вижу, как кто-то публикует свой адрес электронной почты в Интернете, особенно если это личный адрес, он использует что-то вроде

мне [на] примере [точка] ком

вместо фактического адреса электронной почты (me@example.com). Даже лучшие члены этого сообщества используют похожие стили в своих профилях:

jt.superuser [AT] Gmail [DOT] ком

Кихот точка су вон там возле этого GMAIL места

Типичное обоснование заключается в том, что этот вид запутывания предотвращает автоматическое распознавание и сбор адреса электронной почты спамерами. В эпоху, когда спаммеры могут побеждать всех, кроме самых дьявольских капч, действительно ли это так? И учитывая, насколько эффективны современные спам-фильтры, действительно ли имеет значение, если ваш адрес электронной почты собирается?

Кайл Кронин
источник
10
Google говорит об этом, что превращение @ в at любой формы облегчает поиск в Google. Даже с десятилетним горячим почтовым адресом я могу связать почти весь свой спам со временем, которое я выдал (поддельные имена и т. Д.). Я не получаю много спама от того, что моя электронная почта общедоступна.
tobylane
Вот альтернатива: iconico.com/emailProtector
paradroid
@Saytha Похоже, Иво тоже отправил . Вероятно, лучше проголосовать за это.
Кайл Кронин
6
Дупе: это спросили 1 год назад на SO . Интересно то, что принятый ответ был таким же, как и в этом посте, связывающем ту же статью
systempuntoout
Это не запутывание, но я бы сказал, что это хорошее место, чтобы использовать одноразовые адреса электронной почты и периодически поворачивать адреса (то есть автоматически), полагая, что харвестеры не будут использовать эту информацию так быстро, как это делают законные корреспонденты.
Стефани

Ответы:

552

Некоторое время назад я наткнулся на пост кого-то, кто создал honeypot и ждал возвращающихся по-другому запутанных адресов электронной почты:

Девять способов запутать адреса электронной почты по сравнению

CSS Codedirection 0 МБ спам

<span style="unicode-bidi:bidi-override; direction: rtl;">
moc.elpmaxe@zyx
</span>

CSS дисплей: нет 0 МБ

xyz<span style="display:none">foo</span>@example.com

ROT13 Шифрование 0 МБ

klm@rknzcyr.pbz

Использование AT и DOT 0,084 МБ

xyz AT example DOT com

Сборка с использованием Javascript 0.144 МБ

var m = 'xyz';         // you can use any clever method of
m += '@';              // creating the string containing the email
m += 'example.com';    // and then add it to the DOM (eg, via
$('.email').append(m); // jquery)

Замена '@' и '.' с сущностями 1,6 МБ

xyz&#64;example&#46;com

Разделение E-Mail с комментариями 7.1 МБ

xyz<!-- eat this spam -->@<!-- yeah! -->example<!-- shoo -->com     

Urlencode 7,9 МБ

xyz%40example.com

Простой текст 21 МБ

xyz@example.com

Это оригинальный статистический график, составленный Сильваном Мюлеманом, вся заслуга ему:

Stats как это было сделано Silvan Mühlemann

Итак, чтобы ответить на вопрос: Да, (в некотором роде) работает запутывание электронной почты.

Акира
источник
69
К сожалению, это не показывает количество реальных пользователей, которые избегали отправлять электронную почту, потому что адрес было трудно получить в различных форматах. Я уверен, что это число будет небольшим, но вряд ли оно будет равно нулю
Гарет
20
@Gareth: реальные адреса электронной почты хорошо видны с помощью методов 1, 2, 6, 7 и 8, с 2 и 5 они (пере) построены с помощью jscript и снова четко видны и даже работают с «mailto:» ( Потому что Jscript изменяет DOM, так что все выглядит хорошо). вы заметите, что наиболее эффективными являются те, которые приводят к тому, что «пользователь не должен ничего делать, чтобы читать / интерпретировать» почтовый адрес. «видимый» означает «вы можете просто скопировать N, вставить письмо из браузера»
akira
12
Мне бы хотелось, чтобы это исследование было переделано с помощью методов, которые создают mailto: ссылки, а не простые текстовые адреса электронной почты. Спамбот может реагировать по-разному, если он видит mailto: с обфусцированным адресом, независимо от того, выполняется ли обфускация с помощью JS или вмешательства человека - это сильный намек, что там есть почтовый адрес - но mailto: ссылки намного полезнее для читатели.
IJW
61
Когда я скопировал rtlпример на связанной странице (Chrome 8, Mac), он moc.etalllit@7raboofnavlisоказался в моем буфере обмена. Так что, может быть, это не так практично для реального использования.
s4y
3
Обидно, что идея RTL не совместима с простым копированием / вставкой, это было креативное решение.
wildpeaks
225

Мне всегда нравилось простое, элегантное и не говоря уже о стильном решении использования:

Липкий Тьюринг 0MB

xyzmy@pantsexample.com

To email me, first you have to remove my pants.

Используя этот метод, я не получаю спама. На самом деле я не получаю никаких писем.

Iain Holder
источник
8
@iain, example.comничего не терпит, но тестовый домен по дизайну, как example.netи некоторые другие. Нет обработчиков электронной почты, определенных для example.com.
Арджан
8
Если вы когда-либо читали RFC ( rfc-editor.org/rfc/rfc2606.txt ), вы бы знали, что «example.com» (и .net и .org) являются официально зарезервированными доменными именами. Но использование «поддельного» доменного имени, которое официально не зарезервировано, не подходит для правильного владельца домена (если таковой имеется). Там нет pantsexample.com в настоящее время зарегистрирован, но мог бы быть.
Thrillscience
1
может быть, лучше использовать xyzmy@mypantsexample.comвместо этого, просто чтобы было совершенно ясно, что это инструкция, а не просто нахальство.
Synetech
3
Как насчет xyz@"mypants."example.com... Чтобы написать мне, сначала вы должны удалить "my pants.". Я думаю, что это будет столь же эффективно, и reducesвероятность того, что невинный владелец доменного имени получит от него спам. (Кстати - я не использую ни один из этих методов).
Кевин Феган
3
Фактический LOL в "... любом письме"
EvilDr
49

Была интересная статья Кори Доктоего в последнее время на эту тему здесь , который утверждал , что электронная почта запутывания не служит много целей, и более оптимальный подход разумно управлять спамом вы получаете.

TL; версия DR:

  • Цель всего этого упражнения состоит не в том, чтобы уменьшить количество спама, которое вы получаете по электронной почте, а в том, чтобы спам вы вручную удаляли из своего почтового ящика.
  • Обфускация электронной почты - это постоянная битва за создание изощренной, защищающей от ботов, читаемой человеком кодировки, и это снижает производительность как создателя, так и корреспондента.
  • «Практически любой адрес электронной почты, который вы используете в течение любого промежутка времени, в конечном итоге становится достаточно широко известным, что вы должны предположить, что он есть у всех спамеров».
  • «Удобство стабильных, легко копируемых адресов электронной почты» побеждает, пытаясь спрятаться от спам-ботов.
AK86
источник
13
Это верно, если вы верите, что цена спама полностью связана с умственными усилиями по его обработке. Если вы считаете, что часть спама связана с пропускной способностью или поддержанием спам-фильтров, то предотвращение попадания спама в ваш почтовый ящик, в первую очередь, является достойной целью. Оба эти элемента имеют постоянную стоимость (параллельно с элементом «улучшение вашего обфускации» в обсуждении), просто такие службы, как Google, готовы предоставить его по цене возможности прочитать всю вашу личную переписку.
ijw
4
@ijw. Текущие затраты на то, чтобы группа из нескольких человек в Google поддерживала систему фильтрации спама, всегда будут меньше, чем заставлять их сотни миллионов клиентов что-либо делать вообще. Предполагая, что спам поддерживается на разумном уровне, пропускная способность, вероятно, не является большой проблемой.
Кевин Вермеер
9
Версия tldr длиннее.
Synetech
5
@Synetech: постер, вероятно, означал, что чтение связанной статьи было длинной версией.
Даниэль Андерссон
Если запутывание является достаточно сложным, спамерам понадобятся значительные ресурсы, чтобы получить адрес электронной почты (потому что по теореме Райс нет способа предсказать вывод данной программы без ее запуска). Допустим, на приличном компьютере требуется 3 секунды для расшифровки адреса электронной почты. Это было бы хорошо для людей. Не так для ботов, которые делают это в огромных масштабах. Короче говоря, это очень дорого для ботов, чтобы получить адреса электронной почты.
Каве
28

Поэтому многие люди до сих пор используют @и .прямо , что существует мало нужно для спамер придумать способ победить любого рода запутывания; не выполненная работа - это не затраченные деньги / время.

Игнасио Васкес-Абрамс
источник
12
Да, и спаммеры, вероятно, понимают, что люди, которые запутывают свой адрес электронной почты, не хотят и не будут склонны к спаму в любом случае, но, с другой стороны, есть некоторые харвестеры, которым платят за адрес, для которых было бы тривиально идентифицировать некоторые из основные шаблоны запутывания («gmail» на странице - это начало)
Кайл Кронин
5
Именно так. Не говоря уже о снижении производительности синтаксического анализатора при использовании такого шаблона при обработке такого большого количества данных.
Джон Т
4
Я не запутываю свою электронную почту, но я не вижу никакой разницы без запутывания. Даже если это произойдет, Gmail отлично справляется с ловлей спама, и даже если это не так, я просто нажимаю на кнопку Сообщить о спаме.
Сатьяджит Бхат
8
OTOH, если спамер увидит запутанный почтовый адрес, он может быть уверен, что это действительно используемый адрес электронной почты, иначе зачем его запутывать? Обратите внимание, что спамеру не важно, эффективен ли спам, но ему важно, сколько получателей фактически получит спам. Он продает спам-услуги, а не продукты.
Елазар Лейбович
25

Все , что сделано много людей будет побеждено, но если вы скрыть свой адрес электронной почты , таким образом , что не многие веб - сайты делают, то спамеры не будут вкладывать деньги в поиске его. (Они пытаются заработать деньги, поэтому вкладывают много только при высокой отдаче.)

Так что не используйте метод, который используют другие люди, придумайте свой собственный, это тот, который я только что придумал: (Не копируйте все, иначе он перестанет работать)

По электронной почте удалите все номера и используйте тот же домен, что и мой веб-сайт на i23an@notMyDomain.com

Ян Рингроз
источник
1
Спамеры зависят от «поставщиков спам-программ», которые заботятся о технических деталях, связанных с извлечением адресов электронной почты с веб-сайтов (и из других источников, таких как документы текстовых процессоров и электронные таблицы, иногда получаемые через SpyWare). Таким образом, вы будете в порядке, пока поставщик спам-программ не заметит, что вы делаете (и не сможет выяснить, как с этим бороться). +1, потому что в этом ответе используется логический аргумент, который обычно верен.
Рэндольф Ричардсон
@Randolf, никакие «поставщики спама» не сделают так, чтобы адрес электронной почты был менее чем на несколько сотен, поэтому любое «отличное» мнение - это просто работа для сайта большинства людей
Иан Рингроз
Я на самом деле согласен с вами (и я вижу ваш комментарий как дополнительную поддержку для моего), потому что поставщики спам-программного обеспечения будут рассматривать это как функцию, которая ставит их впереди их конкурентов (а именно, других поставщиков спам-программ) - ваша оценка менее чем нескольких 100 адресов электронной почты мне кажутся правильными (+1 для вашего комментария, за исключением того, что он не работает, так как появляется розовое поле, поэтому я попробую позже).
Рэндольф Ричардсон
2
> Все, что делается многими людьми, будет побеждено Согласовано, но заменит «побежденное» эксплуатируемым . Вот почему хакерам редко приходится писать вредоносные программы для Apple или Linux. Являются ли они «более безопасными, чем Windows», не имеет значения; эти цели просто не стоили времени. По крайней мере, так было раньше. В наши дни Apple имеет гораздо большую базу пользователей, что делает ее более привлекательной целью, а Linux используется на большем количестве бизнес-серверов. То же самое с мерами безопасности. Если взломать его мало, большинство не будет беспокоиться. Если взломать, это принесет вам мир, ну ...
Synetech
15

Спамеры не АНБ. Им не важно взломать ваше запутывание. Любые попытки скрыть ваш адрес электронной почты, вероятно, достаточно для этой задачи.

Более интересный вопрос: почему бы не использовать одноразовую учетную запись электронной почты в качестве отсечки для фильтрации ответов на открытых форумах? Таким образом, вам все равно, будет ли аккаунт получать спам, и после проверки законных ответов вы можете связаться со своими корреспондентами через обычный почтовый аккаунт.

Робусто
источник
+1 за решение, которое хорошо работает для краткосрочных нужд.
Рэндольф Ричардсон
11

Да, это верно в большинстве случаев, потому что вам нужен шаблон для сбора электронной почты, чем сложнее шаблон, тем дороже (время / деньги) спамерам работать над получением электронной почты. Конечно, ничто не мешает ручной уборке, но это очень мало. Обычно это делается не в кодировке JS, а отправляются обычные текстовые электронные письма (проверьте любой 1-2-летний веб-сайт, который не изменился, и я готов поспорить, что вы заплатите 20 долларов за его простое текстовое электронное письмо, и они получат тонны спама).

В моей компании все внешние письма обфусцированы с использованием ряда методов на стороне сервера и JS на стороне клиента.

Таким образом, электронная почта никогда не выглядит как электронная почта, и шаблон ВСЕГДА меняется. Вы будете удивлены тем, насколько хорошо работает этот метод, если некоторые методы скомпрометированы и легко нарушены, но более сложные методы обфускации электронной почты обычно делают сбор данных бессмысленным, так как само обнаружение шаблонов потребует большого количества вложенных ресурсов.

Грубая сила CAPTCHAS отличается, когда хакеры / спаммеры / харвестеры TARGET конкретный сайт. Это не относится к небольшим веб-сайтам для мам и поп, которые могут использовать множество методов запутывания, или к сайтам, на которых пользователи публикуют электронные письма в разных форматах различными способами (не используя .com или .net и т. Д.).

Большинство харвестеров не знают Javascript, то есть они не обрабатывают JS. Делать эти методы более дорогостоящими для комбайнов. Есть некоторые харвестеры, которые пытаются обработать JS, но, как я уже сказал, это очень дорого, когда вы запускаете миллионы писем в считанные минуты, вы не хотите снижаться до 10 или 100, если вы можете сделать 1000.

Мой метод случайного метода работает очень хорошо, я еще не получил спам на свой счет.

Якуб
источник
Идея использования JS для маскировки адреса электронной почты, но в большинстве случаев (например, в электронном письме, на этом сайте и т. Д.) Это на самом деле не вариант. Тем не менее, я согласен, что это должно быть стандартной практикой на сайтах, которые позволяют пользователям предоставлять свою электронную почту другим пользователям.
Кайл Кронин
11

У меня есть 2 метода запутывания, не упомянутых. Ни один из них не дает возможности быть кликабельной ссылкой или даже вырезать и вставить.

  • Используйте графический элемент вместо текста.

  • Выровняйте элементы вертикально, с колонками других элементов слева и / или справа:

email     dummy@
me at:    example.com
Марк Рэнсом
источник
2
Некоторые спамеры используют OCR для обхода графического элемента, но, насколько я знаю, это все еще довольно редко, поэтому он должен продолжать работать нормально, пока слепым пользователям не нужно с вами связываться. +1 для обмена некоторыми полезными идеями.
Рэндольф Ричардсон
Ну, это отличный способ испортить ваш UX. Не только для слепых, для всех.
Фабиан фон Эллертс
1
@FabianvonEllerts Я не отрицаю это. Это компромисс, который каждый должен сделать для себя.
Марк Рэнсом
8

Обфускация JS работает до определенного момента с простыми харвестерами на основе wget, но я предполагаю, что также используются экземпляры IE с поддержкой JS, и они могут читать то, что увидит веб-пользователь.

Когда адрес будет собран или украден из-за нарушения безопасности на одном из ваших любимых сайтов, как это в конечном итоге произойдет, он будет постоянно реплицироваться в списках спамеров.

Мой собственный адрес электронной почты настолько стар, что предшествует спаму, и поэтому виден во всей сети, поэтому я получаю тысячи попыток доставки в неделю ... принесите его! У меня было время разработать сложную систему, которая эффективно превращает ее в спам-ловушку, а автору с высокой оценкой автоматически сообщают спамкопу, чтобы помочь сообществу.

Спам однажды будет побежден, и я видел обнадеживающие признаки того, что он находится в упадке.

Энди Ли Робинсон
источник
6

Одна вещь, которая мне очень понравилась, - это использование ASP.NET для создания LinkButton. Затем эта кнопка ссылки имеет Response.Redirect("mailto:MailAddress");действие «onClick». Это приведет к тому, что LinkButton будет иметь javascript:DoPostBack(...)URL в качестве URL. В конце он делает запрос к серверу, который возвращает «перенаправление на почтовый адрес». Боты фермы никогда не получали это письмо.

sinni800
источник
3
вероятно, ни у одного пользователя не было возможности пожаловаться на невозможность отправить какой-либо отзыв :)
Free Consulting
1
это будет работать только в том случае, если многие другие люди не начнут это делать.
Ян Рингроз
@Worm: Это работало с каждым браузером, который я тестировал. Если вы перенаправите на mailto, он будет работать. @Ian: Да, я надеюсь, что это так и останется, иначе боты начнут прослушивать редиректы на обратных передачах JS. Если вы поместите ScriptManager туда, он пойдет намного дальше ... хотя и "запутывает". Сначала он выполняет обратную передачу JS AJAX, а затем возвращает команду для перехода к mailto.
sinni800
1
Я хотел бы видеть сгенерированный код для него, так как я понятия не имею о вещах ASP.NET
Free Consulting
1
metalgearsonic.de/default.aspx Вот, пожалуйста, WormRegards. Серверная часть И код клиента читается здесь.
sinni800
6

Я везде размещаю свой адрес электронной почты в открытом виде в Интернете, и, вопреки распространенному мнению, это никак не влияет на количество получаемого мной спама. Это было стабильно в среднем 3 в день в течение длительного времени. Так что я бы сказал, что запутывание бесполезно.

Я заметил, что очень короткие имена пользователей (например, wim@example.com) приводят к большему количеству спама. Очевидно, что адреса электронной почты, используемые спамерами, просто генерируются путем использования всех возможных комбинаций коротких букв и списков имен.

wcoenen
источник
Спамеры используют множество догадок, атак по словарю и других методов. Кроме того, общие адреса, такие как info @ и sales @, как полагают, всегда действительны (и часто используются для многих доменов). Также существует задержка, при которой спам увеличивается для адреса, чем дольше спамеры знают об этом, потому что они продают списки друг другу. Я использую несколько спам-ловушек и заметил, что спам, как правило, увеличивается со временем, несмотря на блокировку, основанную на комбинации черных списков и фильтров на основе DNS.
Рэндольф Ричардсон
4

Я не думаю, что это очень помогает, используя стандартные [AT]и [DOT], но используя либо слова, которые означают вещи, либо могут быть поняты как означающие точку и точку ... или даже _A((T>>или что-то еще, что является достаточно случайным ... только мои мысли о дело.

RobotHumans
источник
4

Если вы попытаетесь найти адреса электронной почты с помощью Google, вы обнаружите, что это действительно сложно, и у Google по некоторым причинам их не так много в форме "common.name@wellknown.domain" - возможно, самоограничение ?

Если я ищу «maier [at] berlin.de», я нахожу больше хитов, чем если я ищу «maier@berlin.de», и @, кажется, работает как знак шутника. Хиты на самом деле не почтовые адреса.

А с другой стороны, вы хотите, чтобы ваши клиенты (если они у вас есть и связывались с ними в Интернете) использовали удобную ссылку на почту, не возясь с ней и не снимая модные брюки.

Поэтому, если вы все еще не доверяете Google, Bing, Bong и Zong (может, они продают почтовые адреса отдельно?), Вы можете составить свой адрес электронной почты с небольшим количеством Javascript :

"mailto" + ":" + "wagner" + "." + "stefan" + "@" + "paris" + "." + "de" 

Я предполагаю, что большинство веб-сканеров не интерпретируют Javascript, и им будет сложно найти ваш адрес в большом, автоматизированном и дешевом процессе.

неизвестный пользователь
источник
3

Из моего опыта со сблам! В антиспам-сервисе есть много технически некомпетентных спамеров, которые, тем не менее, продолжают пытаться, вероятно, потому, что существует много незащищенных электронных писем для сбора (и незащищенных сайтов для спама), поэтому даже простое запутывание может остановить некоторые харвестеры.

OTOH обновление регулярного выражения в харвестере для поиска (@| AT )- это не ракетостроение, и, вероятно, многие спамеры уже сделали это.


Загадки, которые раздражают людей, не стоят того. Я разработал совместимое со стандартами запутывание, которое кодирует письма с сущностями, urlencoding и добавляет необычные конструкции в URL и HTML ( исходный код ):

http://hcard.geekhood.net/encode/?addr=test@example.com

Это дает ссылку, которая является читаемой и полностью функциональной для реальных пользователей, но может быть получена только спаммерами, которые предпринимают усилия для правильного анализа HTML и URL (это может избежать спама или, по крайней мере, продвигать веб-стандарты среди авторов харвестеров!;)

Корнель
источник
1
проверить Sblam! требования :-)
Бесплатная консультация
Довольно круто, кроме этого .
Майкл
2

Поскольку списки адресов электронной почты продаются, одна компания может выяснить простую, а затем другие могут ее использовать. Таким образом, он похож на любой DRM.

Брайан Карлтон
источник
2
Что вы подразумеваете под "одна компания может определить легкую"?
Эндрю Гримм