A ofuscação do endereço de email realmente funciona? [fechadas]

467

Na maioria das vezes, quando vejo alguém postar seu endereço de email on-line, especialmente se for um endereço pessoal, eles usam algo como

eu [no] exemplo [ponto] com

em vez do endereço de email real ([email protected]). Até os principais membros desta comunidade usam estilos semelhantes em seus perfis:

jt.superuser [AT] gmail [DOT] com

ponto quixote su além, perto daquele lugar do Gmail

A lógica típica é que esse tipo de ofuscação impede que o endereço de email seja automaticamente reconhecido e coletado pelos spammers. Em uma época em que os spammers podem derrotar todos, exceto os captchas mais diabólicos, isso é realmente verdade? E, considerando a eficácia dos modernos filtros de spam, realmente importa se o seu endereço de email é coletado?

email spam-prevention Kyle Cronin
fonte
10
A palavra do Google sobre isso é que transformar @ em qualquer formato facilita a localização no Google. Mesmo com um endereço hotmail de dez anos, posso vincular quase todo o meu spam às vezes em que dei o meu endereço (nomes falsos etc.). Não recebo muito spam do meu email sendo publicamente encontrado.
precisa saber é o seguinte
Aqui está uma alternativa: iconico.com/emailProtector
paradroid
@Saytha Parece que o Ivo também enviou . Provavelmente é melhor votar nessa.
precisa saber é o seguinte
6
Dupe: foi perguntado há 1 ano no SO . O interessante é que a resposta aceita foi a mesma deste post vinculando o mesmo artigo
systempuntoout
Não é ofuscação, mas eu diria que este é um bom lugar para usar endereços de email descartáveis ​​e alternar os endereços periodicamente (ou seja, automaticamente), com a ideia de que os coletores não usarão as informações tão rapidamente quanto os correspondentes legítimos.
28711 Stephanie

Respostas:

552

Há algum tempo, me deparei com o post de alguém que criou um honeypot e esperei que endereços de e-mail obsfucados diferentemente voltassem:

Nove maneiras de ofuscar endereços de email em comparação

Direção codificada em CSS 0 MB de spam

<span style="unicode-bidi:bidi-override; direction: rtl;">
moc.elpmaxe@zyx
</span>

Exibição CSS: nenhuma 0 MB

xyz<span style="display:none">foo</span>@example.com

Criptografia ROT13 0 MB

[email protected]

Usando ATs e DOTs 0,084 MB

xyz AT example DOT com

Construindo com Javascript 0.144 MB

var m = 'xyz';         // you can use any clever method of
m += '@';              // creating the string containing the email
m += 'example.com';    // and then add it to the DOM (eg, via
$('.email').append(m); // jquery)

Substituindo '@' e '.' com entidades 1,6 MB

xyz&#64;example&#46;com

Divisão de email com comentários 7,1 MB

xyz<!-- eat this spam -->@<!-- yeah! -->example<!-- shoo -->com

Código de URL 7,9 MB

xyz%40example.com

Plain Text 21 MB

[email protected]

Este é o gráfico estatístico original feito por Silvan Mühlemann, todo o crédito é para ele:

As estatísticas, como foi feito por Silvan Mühlemann

Portanto, para responder à pergunta: Sim, (de certa forma) a ofuscação do email funciona.

akira
fonte
69
Infelizmente, o que isso não mostra é o número de usuários reais que evitaram o envio de e-mails porque era difícil recuperar o endereço nos vários formatos. Tenho certeza de que esse número seria pequeno, mas é improvável que ser zero
Gareth
20
@Gareth: os endereços de email reais são claramente visíveis nos métodos 1, 2, 6, 7 e 8, com 2 e 5 são (re) construídos por jscript e são novamente claramente visíveis e até funcionam com "mailto:" ( porque o jscript modifica o dom para que tudo fique bem). você notará que os métodos mais eficazes são os que resultam em "o usuário não precisa fazer nada para ler / interpretar" o endereço de email. "visíveis" significa "você só pode copiar N cole o e-mail fora de seu browser.
akira
12
Eu gostaria de ver este estudo refeito com métodos que produzem links mailto: em vez de simples endereços de email de texto. Um spambot pode reagir de maneira diferente se vir um mailto: com um endereço ofuscado, se a desofuscação é feita por JS ou intervenção humana - é uma forte dica de que existe um endereço de email - mas mailto: os links são muito mais úteis para leitores.
ijw 21/01
61
Quando copiei o rtlexemplo na página vinculada (Chrome 8, Mac), moc.etalllit@7raboofnavlisacabei na minha área de transferência. Portanto, talvez isso não seja tão prático para uso no mundo real.
S4y
3
É uma pena que a ideia de rtl não seja compatível com a simples copiar / colar, foi uma solução criativa.
wildpeaks
225

Eu sempre gostei da solução simples, elegante e sem mencionar a elegante solução de usar:

Tacky Turing 0MB

[email protected]

To email me, first you have to remove my pants.

Usando esse método, não recebo spam. Na verdade, não recebo nenhum email.

Iain Holder
fonte
8
@iain, example.comnão está sofrendo nada, mas um domínio de teste por design, assim como example.netalguns outros. Não há manipuladores de email definidos para example.com.
Arjan 23/01
8
Se você já leu o RFC ( rfc-editor.org/rfc/rfc2606.txt ), saberia que "example.com" (e .net e .org) são nomes de domínio reservados oficialmente. Mas usar um nome de domínio "falso" que não esteja oficialmente reservado não é bom para o proprietário do domínio adequado (se houver). Não há pantsexample.com registrado atualmente, mas poderia ter havido.
thrillscience
1
pode ser melhor usá-lo [email protected], apenas para ficar mais claro que é uma instrução e não apenas ser atrevida.
precisa saber é o seguinte
3
Que tal xyz@"mypants."example.com... Para me enviar um e-mail, primeiro você precisa remover "my pants.". Eu acho que seria tão eficaz, e reducesa chance de um proprietário de nome de domínio inocente receber spam dele. (BTW - eu não uso nenhum desses métodos).
precisa
3
LOL real em "... any email"
EvilDr 21/08/18
49

Havia um artigo interessante por Cory Doctorow recentemente sobre este assunto aqui que argumentou que o email ofuscação não serve muito propósito, e uma abordagem mais ideal é inteligentemente gerenciar o spam que você recebe.

Versão TL; DR:

  • O objetivo de todo este exercício não é reduzir a quantidade de spam que você recebe no seu email, mas a quantidade de spam que você precisa remover manualmente da sua caixa de entrada.
  • A ofuscação de e-mail é uma batalha constante para criar uma codificação cada vez mais sofisticada, legível por humanos e à prova de bots, e é um dreno na produtividade do criador e do correspondente.
  • "Quase todo endereço de e-mail que você usa por um período de tempo acaba se tornando bastante conhecido, e você deve assumir que todos os spammers o possuem".
  • "A conveniência de endereços de e-mail estáveis ​​e fáceis de copiar" supera a tentativa de se esconder dos spambots.
ak86
fonte
13
Isso é verdade se você acredita que o custo do spam está inteiramente no esforço mental de processá-lo. Se você acredita que parte do custo do spam está relacionado à largura de banda ou à manutenção de filtros de spam, impedir um spam é chegar à sua caixa de entrada em primeiro lugar. Ambos os elementos têm um custo contínuo (paralelo ao elemento 'melhorando a sua ofuscação' na discussão), apenas que serviços como o Google estão dispostos a fornecer o preço pelo preço de poder ler toda a sua correspondência privada.
IJW
4
@ijw - O custo contínuo de uma equipe de poucas pessoas no Google que mantém o sistema de filtro de spam sempre será menor do que fazer com que centenas de milhões de clientes façam qualquer coisa. Supondo que o spam seja mantido em uma quantidade razoável, a largura de banda provavelmente também não é um problema.
Kevin Vermeer
9
A versão tldr é mais longa.
21312 Synetech
5
@ Synetech: o pôster provavelmente significava que a leitura do artigo vinculado era a versão longa.
Daniel Andersson
Se a ofuscação for complicada o suficiente, serão necessários recursos consideráveis ​​para que os spammers obtenham o endereço de email (porque, pelo teorema de Rice, não há como prever a saída de um determinado programa sem executá-lo). Digamos que leva 3 segundos em um computador decente para descriptografar o endereço de email. Seria bom para humanos. Não é o caso dos bots que estão fazendo isso em grande escala. Em resumo, torna muito caro os bots obterem os endereços de e-mail.
Kaveh
28

Então, muitas pessoas ainda usam @e .abertamente que há pouca necessidade para um spammer para chegar a uma maneira de derrotar qualquer tipo de ofuscamento; trabalho não realizado é dinheiro / tempo não gasto.

Ignacio Vazquez-Abrams
fonte
12
É verdade que os spammers provavelmente percebem que as pessoas que ofuscam seu endereço de e-mail não querem e não se interessam por spam de qualquer maneira, mas por outro lado, existem alguns coletores que são pagos por endereço, para os quais seria trivial identificar alguns dos os padrões básicos de ofuscação (ter "gmail" na página é um começo)
Kyle Cronin
5
Exatamente. Sem mencionar o desempenho atingido em um analisador para usar esse padrão ao processar tantos dados.
John T
4
Não ofusco meu e-mail, fwiw, não vi nenhuma diferença sem ofuscar. Mesmo que isso aconteça, o Gmail faz um bom trabalho ao capturar spam e, mesmo que não aconteça, apenas clico no botão Denunciar spam.
Sathyajith Bhat
8
OTOH, se um remetente de spam vê um endereço de e-mail ofuscado, pode ter certeza de que esse é um endereço de e-mail realmente usado; caso contrário, por que ofuscá-lo ?. Observe que o remetente de spam não se importa se o envio de spam é eficaz, mas ele se importa com quantos destinatários realmente recebem o spam. Ele vende serviços de spam, não produtos.
Elazar Leibovich
25

Tudo o que for feito por muitas pessoas será derrotado, mas se você ocultar seu endereço de e-mail de uma maneira que muitos sites não fazem, os spammers não investirão o dinheiro para encontrá-lo. (Eles estão tentando ganhar dinheiro, só investem muito quando os retornos são altos.)

Portanto, não use um método que outras pessoas usem, crie o seu, este é o que acabei de criar: (nem todos copiam, ou ele deixará de funcionar)

O email remove todos os números e usa o mesmo domínio do meu site em [email protected]

Ian Ringrose
fonte
1
Os spammers dependem de "fornecedores de spam" para cuidar dos detalhes técnicos envolvidos na extração de endereços de email de sites (e de outras fontes, como documentos e planilhas de processador de textos, às vezes obtidos pelo SpyWare). Portanto, você ficará bem até que um fornecedor de spam perceba o que está fazendo (e possa descobrir como combatê-lo). +1 porque esta resposta usa um argumento lógico geralmente correto.
Randolf Richardson
@ Randolf, nenhum "fornecedor de spam" fará o esforço por menos de 100 endereços de e-mail, então qualquer coisa que seja "diferente" dificilmente funcionará como um dos sites da maioria das pessoas
Ian Ringrose
Na verdade, eu concordo com você (e vejo seu comentário como um suporte adicional ao meu), porque os fornecedores de spamware verão isso como um recurso que os coloca à frente da concorrência (ou seja, outros fornecedores de spam) - sua estimativa de menos de alguns cem endereços de e-mail me parecem corretos (+1 no seu comentário, exceto que ele não está funcionando, pois aparece uma caixa rosa, então tentarei novamente mais tarde).
Randolf Richardson 12/08
2
> Tudo o que for feito por muitas pessoas será derrotado. Acordado, mas substitua "derrotado" por explorado . É por isso que os hackers raramente se preocupam em escrever malware para a Apple ou Linux. Se eles são "mais seguros que o Windows" ou não é irrelevante; esses alvos simplesmente não valiam o tempo. Pelo menos, esse costumava ser o caso. Hoje em dia, a Apple tem uma base de usuários muito maior, criando um alvo mais atraente, e o Linux é usado em mais servidores de negócios. É o mesmo com medidas de segurança. Se quebrar, você ganha pouco, a maioria não vai se incomodar. Se rachar você ganha o mundo, bem ...
Synetech
15

Spammers não são da NSA. Não é importante para eles quebrar sua ofuscação. Qualquer esforço feito para disfarçar seu endereço de e-mail é provavelmente suficiente para a tarefa.

A questão mais interessante é: por que não usar apenas uma conta de e-mail descartável como limite para filtrar respostas em fóruns públicos? Dessa forma, você não se importa se a conta recebe spam e, após verificar respostas legítimas, pode entrar em contato com seus correspondentes por meio de sua conta de e-mail comum.

Robusto
fonte
+1 para uma solução que funciona bem para necessidades de curto prazo.
Randolf Richardson 12/08
11

Sim, é verdade na maioria dos casos, porque você precisa de um padrão para a coleta de emails, quanto mais complexo o padrão, mais caro (tempo / dinheiro) é para os remetentes de spam trabalharem na obtenção de emails. É claro que nada interrompe a colheita manual, mas isso é muito baixo. O que geralmente é feito é não codificado em JS, e-mails em texto sem formatação são coletados (verifique qualquer site de 1 a 2 anos inalterado, e aposto que você paga US $ 20 por e-mail em texto sem formatação e eles recebem toneladas de spam).

Na minha empresa, todos os emails externos são ofuscados usando uma série de métodos do lado do servidor e do JS.

Portanto, um email nunca se parece realmente com um email, e o padrão SEMPRE muda. Você ficaria surpreso com o quão bem esse método funciona, com certeza alguns métodos são comprometidos e facilmente quebrados, mas métodos mais elaborados de ofuscação de email geralmente tornam a colheita inútil, pois a grande quantidade de detecção de padrões exigiria muitos recursos investidos.

A força bruta do CAPTCHAS é diferente, onde os hackers / spammers / harvesters segmentam um site específico. Isso realmente não se aplica a sites pequenos para mães e pop que podem usar uma infinidade de métodos de ofuscação ou sites em que os usuários postam e-mails de formatos diferentes de várias maneiras (ofusca o .com ou .net, etc.).

A maioria dos harvesters não tem conhecimento de Javascript, ou seja, eles não processam JS. Tornando esses métodos mais caros para as colheitadeiras. Existem alguns harvesters que tentam processar o JS, mas como eu disse, é muito caro quando você está executando milhões de emails em questão de minutos, não quer diminuir para 10s ou 100s se puder fazer 1000s.

Meu método de executar um método aleatório sempre que funciona muito bem, ainda não recebi nenhum spam na minha conta.

Jakub
fonte
Boa idéia usando JS para ofuscar o endereço de email, mas na maioria dos casos (como em um email, neste site etc.) isso não é realmente uma opção. No entanto, concordo que deve ser uma prática padrão em sites que permitam aos usuários expor seus emails a outros usuários.
precisa saber é o seguinte
11

Eu tenho 2 métodos de ofuscação não mencionados. Nenhum dos dois oferece o benefício de ser um link clicável ou até mesmo recortar e colar.

  • Use um elemento gráfico em vez de texto.

  • Alinhe os elementos verticalmente, com colunas de outras coisas à esquerda e / ou à direita:

email     dummy@
me at:    example.com
Mark Ransom
fonte
2
Alguns spammers estão usando o OCR para contornar o elemento gráfico, mas, até onde eu sei, isso ainda é bastante raro, portanto continuará funcionando bem para você, desde que usuários cegos não precisem entrar em contato com você. +1 por compartilhar algumas idéias úteis.
Randolf Richardson
Bem, essa é uma ótima maneira de arruinar seu UX. Não apenas para pessoas cegas, para todos.
Fabian von Ellerts
1
@FabianvonEllerts Eu não nego. Essa é uma troca que todos devem fazer por si mesmos.
Mark Ransom
8

A ofuscação de JS funciona até certo ponto com coletores simples baseados em wget, mas acho que instâncias do IE habilitadas para JS também estão sendo empregadas e eles podem ler o que o usuário da web veria.

Quando o endereço é coletado ou roubado por uma violação de segurança em um dos seus sites favoritos, ele acabará sendo replicado nas listas de spammers para sempre.

Meu endereço de e-mail é tão antigo que antecede o spam e, portanto, visível em toda a rede, então recebo milhares de tentativas para entregar por semana ... vamos lá! Tive tempo para desenvolver um sistema sofisticado que o transforma efetivamente em uma armadilha de spam, com itens de alta pontuação reportados automaticamente ao spamcop para ajudar a comunidade.

O spam será derrotado um dia e vi sinais encorajadores de que está em declínio.

Andy Lee Robinson
fonte
6

Uma coisa que funcionou muito bem para mim é usar o ASP.NET para criar um "LinkButton". Esse botão de link possui Response.Redirect("mailto:MailAddress");a ação "onClick". Isso resultará no LinkButton tendo javascript:DoPostBack(...)como URL. No final, ele faz uma solicitação ao servidor que retorna um "redirecionamento para o endereço de email". Os robôs da fazenda nunca receberam esse email.

sinni800
fonte
3
provavelmente nenhum usuário teve a chance de reclamar unability para enviar qualquer feedback também :)
Livre Consulting
1
isso só funcionará se muitas outras pessoas não começarem a fazê-lo.
21811 Ian Ringrose
@Worm: Isso funcionou com todos os navegadores que eu testei. Se você redirecionar para um mailto, ele funcionará. @Ian: Sim, espero que continue assim, ou os bots começarão a ouvir redirecionamentos nas postagens do JS. Se você colocar um ScriptManager lá, ele será muito mais ... "ofuscado". Primeiro, ele cria um postback JS AJAX com, em seguida, retorna um comando para ir para o mailto.
precisa saber é o seguinte
1
Gostaria de ver o código gerado para ele, pois não tenho idéia do material do ASP.NET
Free Consulting
1
metalgearsonic.de/default.aspx Aqui está, WormRegards. Lado do servidor E código do cliente legível aqui.
precisa saber é o seguinte
6

Eu coloco meu endereço de e-mail claro na web em todos os lugares e, contrariamente à crença popular, isso não parece ter efeito na quantidade de spam que recebo. Tem sido estável a uma média de 3 por dia por um longo tempo. Então, eu diria que a ofuscação é inútil.

Percebo que nomes de usuário muito curtos (por exemplo, [email protected]) resultam em mais spam. Aparentemente, os endereços de email usados ​​pelos remetentes de spam são simplesmente gerados tentando todas as combinações possíveis de letras curtas e usando listas de nomes.

wcoenen
fonte
Há muitas adivinhações, ataques de dicionário e várias outras técnicas sendo usadas pelos remetentes de spam. Além disso, presume-se que endereços comuns como info @ e sales @ sejam sempre praticamente válidos (e geralmente são para muitos domínios). Há também um atraso no tempo em que o spam aumenta para um endereço quanto mais tempo os spammers souberem, porque eles vendem listas um para o outro. Eu opero várias armadilhas de spam e notei que o spam geralmente aumenta com o tempo, apesar do bloqueio com base em uma combinação de listas negras e filtros baseados em DNS.
Randolf Richardson 12/08
4

Eu não acho que isso ajude muito usando o padrão [AT]e [DOT], mas usando palavras que significam coisas ou podem ser percebidas como significando ponto e ponto ... ou mesmo _A((T>>ou qualquer outra coisa razoavelmente aleatória ... apenas meus pensamentos sobre o assunto. importam.

RobotHumans
fonte
4

Se você tentar procurar por endereços de e-mail com o Google, descobrirá que é realmente difícil, e por algum motivo o Google não possui muitos deles no formato "[email protected]" - talvez uma restrição própria ?

Se eu procurar por "maier [at] berlin.de", encontro mais ocorrências do que se procurar por "[email protected]", e o @ parece funcionar como um sinal de brincalhão. Os hits não são realmente mailadresses.

Por outro lado, você deseja que seus clientes (se você o tiver e os contate na web) usem um confortável mailto-link, sem mexer e remover calças elegantes.

Portanto, se você ainda não confia no google, bing, bong e zong (talvez eles vendam mailadresses separadamente?), Você pode compor seu endereço de e-mail com um pouco de Javascript :

"mailto" + ":" + "wagner" + "." + "stefan" + "@" + "paris" + "." + "de"

Eu acho que a maioria dos webcrawlers não interpreta Javascript e terá dificuldade em encontrar seu endereço em um processo grande, automatizado e barato.

Usuário desconhecido
fonte
3

Da minha experiência com o Sblam! serviço anti-spam, existem muitos spammers tecnicamente incompetentes, que continuam tentando, provavelmente porque há muitos e-mails desprotegidos para coletar (e sites não protegidos para spam); portanto, mesmo uma ofuscação simples pode impedir alguns colhedores.

A OTOH que atualiza a expressão regular em um harvester para procurar (@| AT )não é ciência do foguete e provavelmente muitos spammers já o fizeram.

Enigmas que incomodam os humanos não valem a pena. Eu desenvolvi uma ofuscação compatível com os padrões que codifica e-mails com entidades, codificação de URL e adiciona construções incomuns ao URL e HTML ( código fonte ):

http://hcard.geekhood.net/encode/[email protected]

Isso fornece um link legível e totalmente funcional para usuários reais, mas só pode ser coletado por remetentes de spam que se esforçam para analisar corretamente o HTML e o URL (isso pode evitar alguns spams ou, pelo menos, promover os padrões da web entre os autores de harvester!;)

Kornel
fonte
1
confira Sblam! requisitos :-)
Consultoria gratuita
Muito legal, exceto por isso .
Michael
2

Como as listas de e-mail são vendidas, uma empresa pode descobrir a mais fácil e outras podem usá-la. Dessa forma, é semelhante a qualquer DRM.

Brian Carlton
fonte
2
O que você quer dizer com "uma empresa pode descobrir a mais fácil"?
Andrew Grimm