A ofuscação do endereço de e-mail realmente funciona? [fechadas]

453

Na maioria das vezes, quando vejo alguém postando seu endereço de e-mail on-line, especialmente se for um endereço pessoal, eles usam algo como

me [at] example [dot] com

em vez do endereço de e-mail real ([email protected]). Até os principais membros dessa comunidade usam estilos semelhantes em seus perfis:

jt.superuser[AT]gmail[DOT]com

quixote dot su over yonder near that gmail place

O raciocínio típico é que esse tipo de ofuscação impede que o endereço de e-mail seja automaticamente reconhecido e capturado pelos remetentes de spam. Em uma época em que os spammers podem vencer todos, exceto os captchas mais diabólicos, isso é realmente verdade? E considerando a eficácia dos filtros de spam modernos, realmente importa se o seu endereço de e-mail foi coletado?

    
por Kyle Cronin 21.01.2011 / 05:39

15 respostas

540

Algum tempo atrás, tropecei no post de alguém que criou um honeypot e esperou que endereços de e-mail diferentes voltassem atrás:

Nove maneiras de ofuscar endereços de e-mail comparado

Codedirection CSS 0 MB de spam

<span style="unicode-bidi:bidi-override; direction: rtl;">
moc.elpmaxe@zyx
</span>

Exibição de CSS: nenhuma 0 MB

xyz<span style="display:none">foo</span>@example.com

ROT13 Criptografia 0 MB

[email protected]

Usando ATs e DOTs 0,084 MB

xyz AT example DOT com

Construindo com Javascript 0.144 MB

var m = 'xyz';         // you can use any clever method of
m += '@';              // creating the string containing the email
m += 'example.com';    // and then add it to the DOM (eg, via
$('.email').append(m); // jquery)

Substituindo '@' e '.' com Entidades 1,6 MB

xyz&#64;example&#46;com

Divisão de e-mail com comentários 7,1 MB

xyz<!-- eat this spam -->@<!-- yeah! -->example<!-- shoo -->com     

Urlencode 7,9 MB

xyz%40example.com

Texto sem formatação 21 MB

[email protected]

Este é o gráfico estatístico original feito por Silvan Mühlemann, todo o crédito vai para ele:

Então, para responder à pergunta: Sim, (de certa forma) a ofuscação de e-mails funciona.

    
por 21.01.2011 / 08:11
222

Eu sempre gostei da solução simples, elegante e sem mencionar o uso elegante:

Tacky Turing 0MB

[email protected]

To email me, first you have to remove my pants.

Usando esse método, não recebo spam. Na verdade, não recebo nenhum email

.     
por 21.01.2011 / 22:20
48

Havia um interessante artigo de Cory Doctorow recentemente sobre este assunto aqui , que argumentou que a ofuscação de e-mail não serve a muitos propósitos, e uma abordagem mais otimizada é gerenciar de maneira inteligente o spam que você recebe.

Versão TL; DR:

  • O objetivo de todo esse exercício não é reduzir a quantidade de spam que você recebe em seu e-mail, mas a quantidade de spam que você precisa remover manualmente da sua caixa de entrada.
  • A ofuscação de e-mails é uma batalha constante para criar uma codificação sempre sofisticada e legível, e é um dreno na produtividade do criador e do correspondente.
  • "Quase qualquer endereço de e-mail que você usa por qualquer período de tempo eventualmente se torna amplamente conhecido o suficiente para você assumir que todos os spammers o têm."
  • "A conveniência de endereços de e-mail estáveis e fáceis de copiar para pastéis" ganha ao tentar se esconder dos spambots.
por 21.01.2011 / 17:50
28

Tantas pessoas ainda usam @ e . definitivas de que há pouca necessidade para um spammer encontrar uma maneira de derrotar qualquer tipo de ofuscação; o trabalho não feito é dinheiro / tempo não gasto.

    
por 21.01.2011 / 05:52
24

Qualquer coisa que seja feita por lotes de pessoas será derrotado, mas se você ocultar o seu endereço de e-mail de uma forma que muitos sites não fazem, os spammers Não invista dinheiro para encontrá-lo. (Eles estão tentando ganhar dinheiro, então só investem muito quando os retornos são altos.)

Portanto, não use um método que outras pessoas usam, crie o seu próprio, este é o que eu acabei de inventar: (Não copie tudo, ou ele vai parar de funcionar)

Email remove all numbers and use the same domain as my web site is on [email protected]

    
por 21.01.2011 / 17:54
15

Os spammers não são a NSA. Não é importante que eles quebrem sua ofuscação. Qualquer esforço feito para disfarçar seu endereço de e-mail provavelmente é suficiente para a tarefa.

A questão mais interessante é: por que não usar apenas uma conta de e-mail descartável como filtro para filtrar respostas em fóruns públicos? Dessa forma, você não se importa se a conta recebe spam e, depois de verificar as respostas legítimas, pode entrar em contato com seus correspondentes por meio de sua conta de e-mail normal.

    
por 21.01.2011 / 17:23
11

Sim, na maioria dos casos, porque você precisa de um padrão para coleta de e-mail, quanto mais complexo for o padrão, mais caro (tempo / dinheiro) é para os spammers trabalharem na obtenção de e-mails. Claro que nada impede a colheita manual, mas isso é muito baixo. A única coisa que normalmente é feita é que os e-mails de texto simples não codificados em JS são coletados (verifique qualquer website de 1 a 2 anos que esteja inalterado e eu aposto US $ 20 por email e eles receberão muito spam).

Na minha empresa, todos os e-mails externos são ofuscados usando uma série de server side & Métodos do lado do cliente JS.

Portanto, um email nunca parece realmente um email, e o padrão SEMPRE muda. Você ficaria surpreso com o quão bem este método funciona, com certeza alguns métodos são comprometidos e facilmente quebrados, mas métodos mais elaborados de ofuscação de e-mail geralmente tornam a colheita inútil, já que a enorme quantidade de detecção de padrões exigiria muitos recursos investidos.

A força bruta do CAPTCHAS é diferente, onde os hackers / spammers / harvesters TARGET um site específico. Isso não se aplica realmente à pequena mãe & sites pop que podem usar uma infinidade de métodos de ofuscação, ou sites em que os usuários postam e-mails de formatos diferentes em uma variedade de maneiras de ofuscação de e-mail (omitindo o .com ou .net, etc).

A maioria dos harvesters não está ciente do JavaScript, ou seja, eles não processam JS. Tornar esses métodos mais caros para os harvesters. Existem alguns harvesters que tentam processar JS, mas como eu disse, é muito caro quando você está executando milhões de e-mails em questão de minutos, você não quer descer para 10s ou 100s se conseguir fazer 1000s.

Meu método de fazer cada vez um método aleatório funciona muito bem, eu ainda não recebi nenhum spam na minha conta.

    
por 21.01.2011 / 05:57
11

Eu tenho dois métodos de ofuscação não mencionados. Nenhum deles oferece o benefício de ser um link clicável ou até mesmo recortar e colar.

  • Use um elemento gráfico em vez de um texto.

  • Alinhe os elementos verticalmente, com colunas de outras coisas à esquerda e / ou à direita:

email     dummy@
me at:    example.com
    
por 03.05.2011 / 00:01
8

A ofuscação de JS funciona até certo ponto com simples harvesters baseados em wget, mas eu acho que as instâncias do IE habilitadas para JS também estão sendo empregadas, e elas podem ler o que o webuser veria.

Quando o endereço for coletado ou roubado por meio de uma violação de segurança em um de seus sites favoritos, isso será reproduzido para sempre nas listas de remetentes de spam.

Meu próprio endereço de e-mail é tão antigo que antecede o spam e, portanto, é visível em toda a rede, por isso recebo milhares de tentativas por semana ... exibi-lo! Tive tempo para desenvolver um sistema sofisticado que efetivamente o transformaria em spamtrap, com reportagens automáticas de alta pontuação para o spamcop para ajudar a comunidade.

O spam será derrotado um dia, e eu vi sinais encorajadores de que ele está em declínio.

    
por 28.07.2011 / 02:48
5

Uma coisa que funcionou muito bem para mim é usar o ASP.NET para criar um "LinkButton". Este linkbutton então tem um Response.Redirect("mailto:MailAddress"); como a ação "onClick". Isso resultará no LinkButton tendo um javascript:DoPostBack(...) como o URL. No final, faz uma solicitação do servidor que retorna um "redirecionamento para o endereço de email". Os bots do farm nunca receberam este e-mail.

    
por 21.01.2011 / 16:30
5

Eu coloco meu endereço de e-mail na web em toda parte e, ao contrário da crença popular, isso não parece afetar a quantidade de spam que recebo. Tem sido estável em uma média de 3 por dia por um longo tempo. Então eu diria que a ofuscação é inútil.

Eu noto que nomes de usuários muito curtos (por exemplo, [email protected]) resultam em mais spam. Aparentemente, os endereços de e-mail usados pelos spammers são simplesmente gerados tentando todas as possíveis combinações de letras curtas e usando listas de nomes.

    
por 21.01.2011 / 23:46
4

Eu não acho que ajude muito usando o padrão [AT] e [DOT] , mas usando palavras que significam coisas ou que podem ser entendidas como significando ponto e ponto ... ou mesmo _A((T>> ou qualquer outra coisa isso é razoavelmente aleatório ... apenas meus pensamentos sobre o assunto.

    
por 21.01.2011 / 05:54
4

Se você tentar procurar endereços de e-mail com o google, descobrirá que é realmente difícil, e o google por algum motivo não tem muitos deles na forma "[email protected]" - talvez uma auto-restrição?

Se eu procurar por "maier [at] berlin.de", eu encontrarei mais ocorrências, do que se eu pesquisar por "[email protected]", e o @ parecer funcionar como um sinal de joker. Os sucessos não são realmente correspondências.

E, por outro lado, você deseja que seus clientes (se você os possui e os contate na Web) usem um link de correspondência confortável, sem mexer e remover as calças elegantes.

Então, se você ainda não confia no google, bing, bong e zong (talvez eles vendam correspondências separadamente), você pode compor seu endereço de e-mail com um pouco de Javascript :

"mailto" + ":" + "wagner" + "." + "stefan" + "@" + "paris" + "." + "de" 

Acho que a maioria dos webcrawlers não interpreta o Javascript e terá dificuldade em encontrar seu endereço em um processo grande, automatizado e barato.

    
por 12.08.2011 / 02:24
3

Da minha experiência com o Sblam! serviço anti-spam há muito spammers tecnicamente incompetentes, que continuam tentando, provavelmente porque há muitos e-mails desprotegidos para coletar (e sites desprotegidos para spam), então mesmo simples ofuscação pode parar alguns harvesters.

OTOH atualizando a expressão regular em um harvester para procurar (@| AT ) não é ciência de foguetes e provavelmente muitos spammers já fizeram isso.

Quebra-cabeças que incomodam os humanos não valem a pena. Eu criei uma ofuscação compatível com os padrões que codifica e-mails com entidades, codificando e adiciona construções incomuns à URL e ao HTML ( código-fonte ):

link

Isso fornece um link que é legível e totalmente funcional para usuários reais, mas pode ser coletado apenas por spammers que se esforçam para analisar HTML e URL corretamente (pode evitar spam ou, pelo menos, promover padrões da Web entre escritores de harvester !;)

    
por 21.01.2011 / 22:18
2

Como as listas de e-mail são vendidas, uma empresa pode descobrir a fácil e outras podem usá-la. Dessa forma, é semelhante a qualquer DRM.

    
por 21.01.2011 / 19:42