Questão A ofuscação do endereço de e-mail realmente funciona? [fechadas]


Na maior parte do tempo, quando vejo alguém postando seu endereço de e-mail on-line, especialmente se for um endereço pessoal, eles usam algo como

me [at] exemplo [dot] com

em vez do endereço de e-mail real (me@example.com). Até os principais membros dessa comunidade usam estilos semelhantes em seus perfis:

jt.superuser [AT] gmail [DOT] com

Quixote  ponto  su  mais além perto disso  gmail  Lugar, colocar

O raciocínio típico é que esse tipo de ofuscação impede que o endereço de e-mail seja automaticamente reconhecido e capturado pelos remetentes de spam. Em uma época em que os spammers podem vencer todos, exceto os captchas mais diabólicos, isso é realmente verdade? E considerando a eficácia dos filtros de spam modernos, realmente importa se o seu endereço de e-mail foi coletado?


448


origem


A palavra do Google sobre isso é que transformar em @ de qualquer forma torna mais fácil encontrar no Google. Mesmo com um endereço de hotmail de dez anos, posso vincular quase todo o meu spam às vezes em que dei meu endereço (nomes falsos, etc). Eu não recebo muito spam do meu e-mail sendo publicamente localizável. - tobylane
Aqui está uma alternativa: iconico.com/emailProtector - paradroid
@Saytha parece com o Ivo também submeteu. Provavelmente é melhor votar em cima disso. - Kyle Cronin
Dupe: foi perguntado 1 ano atrás em SO. O interessante é que a resposta aceita foi a mesma deste post ligando o mesmo artigo - systempuntoout
Não é ofuscação, mas eu diria que este é um bom lugar para usar endereços de email descartáveis ​​e rodar os endereços periodicamente (ou seja, automaticamente), com a ideia de que os harvesters não usarão as informações tão rapidamente quanto os correspondentes legítimos. - Stephanie


Respostas:


Algum tempo atrás eu tropecei no post de alguém que criou um honeypot e esperei por endereços de e-mail diferentemente desviados voltando:

Nove maneiras de ofuscar endereços de e-mail em comparação

CSS Codedirection 0 MB de spam

<span style="unicode-bidi:bidi-override; direction: rtl;">
moc.elpmaxe@zyx
</span>

Exibição de CSS: nenhum 0 MB

xyz<span style="display:none">foo</span>@example.com

ROT13 Encriptação 0 MB

klm@rknzcyr.pbz

Usando ATs e DOTs 0,084 MB

xyz AT example DOT com

Construindo com Javascript 0,144 MB

var m = 'xyz';         // you can use any clever method of
m += '@';              // creating the string containing the email
m += 'example.com';    // and then add it to the DOM (eg, via
$('.email').append(m); // jquery)

Substituindo '@' e '.' com Entidades 1,6 MB

xyz&#64;example&#46;com

Dividindo E-Mail com Comentários 7,1 MB

xyz<!-- eat this spam -->@<!-- yeah! -->example<!-- shoo -->com     

Urlencode 7,9 MB

xyz%40example.com

Texto simples 21 MB

xyz@example.com

Este é o gráfico estatístico original feito por Silvan Mühlemann, todo o crédito vai para ele:

The Stats as it was made by Silvan Mühlemann

Então, para responder à pergunta: Sim, (de certa forma) a ofuscação de e-mails funciona.


537



Infelizmente, o que isso não mostra é o número de usuários reais que evitaram enviar e-mails porque o endereço era difícil de recuperar nos vários formatos. Tenho certeza de que esse número seria pequeno, mas é improvável que seja zero - Gareth
@ Gareth: os endereços de e-mail reais são claramente visíveis com os métodos 1, 2, 6, 7 e 8, com 2 e 5 eles são (re) construídos por jscript e são novamente claramente visíveis e até funcionam com "mailto:" ( porque o jscript modifica o dom para que tudo pareça bom). você notará que os métodos mais eficazes são aqueles que resultam em "o usuário não precisa fazer nada para ler / interpretar" o endereço de correio. "visível" significa "você pode simplesmente copiar" e colar o e-mail do seu navegador. - akira
Eu gostaria de ver este estudo refeito com métodos que produzem links mailto: em vez de simples endereços de email. Um spambot pode reagir de forma diferente se ele vê um mailto: com um endereço ofuscado, se a desofuscação é feita por JS ou intervenção humana - é uma forte dica que há um endereço de email lá - mas mailto: links são muito mais úteis leitores. - ijw
Quando copiei o rtl exemplo na página vinculada (Chrome 8, Mac), moc.etalllit@7raboofnavlis acabou na minha prancheta. Então, talvez isso não seja tão prático para uso no mundo real. - s4y
É uma pena que a idéia RTL não é compatível com simples copiar / colar, foi uma solução criativa. - wildpeaks


Eu sempre gostei da solução simples, elegante e para não mencionar elegante de usar:

Turing Tacky 0MB

xyzmy@pantsexample.com

To email me, first you have to remove my pants.

Usando este método, não recebo spam. Na verdade eu não entendo qualquer o email.


221



@iain, example.com não está sofrendo nada, mas um domínio de teste por projeto, assim como example.net e alguns outros. Não há manipuladores de email definidos para example.com. - Arjan
Se você já leu o RFC (rfc-editor.org/rfc/rfc2606.txt) você saberia que "example.com" (e .net e .org) são nomes de domínio oficialmente reservados. Mas usar um nome de domínio "falso" que não seja oficialmente reservado não é bom para o detentor do domínio adequado (se houver). Não há pantsexample.com atualmente registrado, mas poderia ter havido. - thrillscience
pode ser melhor usar xyzmy@mypantsexample.com em vez disso, apenas para que seja mais claro que é uma instrução e não apenas ser atrevida. - Synetech
E se xyz@"mypants."example.com ... Para me enviar e-mail, primeiro você tem que remover "my pants.". Eu acho que seria tão eficaz, e reduces a chance de um proprietário de nome de domínio inocente receber spam dele. (BTW - eu não uso nenhum desses métodos). - Kevin Fegan
LOL real em "... qualquer email" - EvilDr


Houve um artigo interessante por Cory Doctorow recentemente sobre este assunto Aqui que argumentou que a ofuscação de e-mail não serve a muitos propósitos e que uma abordagem mais otimizada é gerenciar de maneira inteligente o spam recebido.

TL; versão DR:

  • O objetivo de todo este exercício não é reduzir a quantidade de spam que você recebe em seu email, mas a quantidade de spam que você manualmente tem que remover da sua caixa de entrada.
  • A ofuscação de e-mails é uma batalha constante para criar uma codificação sempre sofisticada e legível, e é um dreno na produtividade do criador e do correspondente.
  • "Quase qualquer endereço de e-mail que você usa por qualquer período de tempo eventualmente se torna amplamente conhecido o suficiente para que você assuma que todos os spammers o têm."
  • "A conveniência de endereços de e-mail estáveis ​​e facilmente passíveis de cópia" vence tentando esconder-se dos spambots.

48



Isso é verdade se você acredita que o custo do spam está inteiramente no esforço mental de processá-lo. Se você acredita que parte do custo do spam está na largura de banda ou na manutenção de filtros de spam, evitar que o spam chegue à sua caixa de entrada é uma meta valiosa. Ambos os elementos têm um custo contínuo (um paralelo ao elemento "melhorar sua obsolescência" na discussão), é apenas que serviços como o Google estão dispostos a fornecê-lo pelo preço de poder ler toda a sua correspondência privada. - ijw
@ijw - O custo contínuo de uma equipe de algumas pessoas no Google manter o sistema de filtro de spam sempre será menor do que fazer com que centenas de milhões de clientes façam qualquer coisa. Assumindo que o spam é mantido em um valor razoável, a largura de banda provavelmente não é um grande problema. - Kevin Vermeer
A versão do tldr é mais longa. - Synetech
@Synetech: o pôster provavelmente significava que ler o artigo vinculado era a versão longa. - Daniel Andersson
Se a ofuscação for complicada o bastante, os spammers terão recursos consideráveis ​​para obter o endereço de e-mail (porque, pelo teorema de Rice, não há como prever a saída de um determinado programa sem executá-lo). Vamos dizer que leva 3 segundos em um computador decente para descriptografar o endereço de e-mail. Seria bom para um ser humano. Não é assim para bots que estão fazendo isso em grande escala. Em suma, torna muito caro para os bots obterem os endereços de e-mail. - Kaveh


Tantas pessoas ainda usam @ e . na verdade que há pouco necessidade para um spammer encontrar uma maneira de derrotar qualquer tipo de ofuscação; o trabalho não feito é dinheiro / tempo não gasto.


28



É verdade, e os spammers provavelmente perceberão que as pessoas que ofuscarem o endereço de e-mail não querem nem vão se apegar a spam, mas por outro lado existem alguns harvesters que são pagos por endereço para quem seria trivial identificar alguns os padrões básicos de ofuscação (ter o "gmail" na página é um começo) - Kyle Cronin
Exatamente. Sem mencionar o impacto no desempenho de um analisador para usar esse padrão ao processar tantos dados. - John T
Eu não ofuscar meu e-mail, fwiw eu não vi nenhuma diferença w / w of o ofuscação. Mesmo que isso aconteça, o Gmail faz um bom trabalho ao capturar spam, e mesmo que isso não aconteça, basta acessar o botão Denunciar spam. - Sathya♦
OTOH, se um spammer ver um endereço de e-mail ofuscado, ele pode ter certeza de que este é um endereço de e-mail realmente usado, e também por que ofuscar isso ?. Note que o spammer não se importa se o spam é efetivo, mas ele se importa com quantos destinatários recebem o spam. Ele vende serviços de spam, não produtos. - Elazar Leibovich


Qualquer coisa isso é feito por grande quantidade de pessoas serão derrotadas, mas se você esconder o seu endereço de e-mail de uma forma que muitos sites não fazem, então os spammers não investirão o dinheiro para encontrá-lo. (Eles estão tentando ganhar dinheiro, então só investirão muito quando os retornos forem altos.)

Portanto, não use um método que outras pessoas usam, invente o seu próprio, este é o que eu acabei de inventar: (Não copie tudo, ou ele vai parar de funcionar)

E-mail remover todos os números e usar o   mesmo domínio que o meu site está em   i23an@notMyDomain.com


24



Os spammers dependem de "fornecedores de spamware" para cuidar dos detalhes técnicos envolvidos na extração de endereços de e-mail de sites da Web (e de outras fontes, como documentos de processador de texto e planilhas, às vezes obtidos via SpyWare). Então, você ficará bem até que um fornecedor de spamware perceba o que está fazendo (e possa descobrir como contê-lo). +1 porque esta resposta usa um argumento lógico geralmente correto. - Randolf Richardson
@ Rando, nenhum "fornecedor de spamware" fará o esforço por menos de 100 endereços de e-mail, então qualquer coisa que seja "diferente" é lickly funcionar como um dos sites da maioria das pessoas - Ian Ringrose
Eu realmente concordo com você (e vejo seu comentário como suporte adicional para o meu) porque os fornecedores de spamware verão isso como um recurso que os coloca à frente de seus concorrentes (ou seja, outros fornecedores de spamware) - sua estimativa de menos do que alguns 100 endereços de e-mail parecem corretos para mim (+1 para o seu comentário, exceto que não está funcionando como uma caixa rosa aparece, então tentarei novamente mais tarde). - Randolf Richardson
> Tudo o que é feito por muitas pessoas será derrotado Concordou, mas substitua "derrotado" por explorado. É por isso que os hackers raramente se preocupam em criar malware para o Apple ou o Linux. Se são ou não “mais seguros que o Windows” é irrelevante; esses alvos simplesmente não valem a pena. Pelo menos, esse costumava ser o caso. Atualmente, a Apple tem uma base de usuários muito maior, o que representa um alvo mais atraente, e o Linux é usado em mais servidores de negócios. É o mesmo com medidas de segurança. Se quebrar, você ganha pouco, a maioria não vai incomodar. Se quebrar, você ganha o mundo, bem ... - Synetech


Os spammers não são a NSA. Não é importante que eles quebrem sua ofuscação. Qualquer esforço feito para disfarçar seu endereço de e-mail provavelmente é suficiente para a tarefa.

A questão mais interessante é, por que não apenas usar uma conta de e-mail descartável como um corte para filtrar respostas em fóruns públicos? Dessa forma, você não se importa se a conta recebe spam e, depois de verificar as respostas legítimas, pode entrar em contato com seus correspondentes por meio de sua conta de e-mail normal.


15



+1 para uma solução que funcione bem para necessidades de curto prazo. - Randolf Richardson


Sim, é verdade, na maioria dos casos, porque você precisa de um padrão para coleta de e-mail, quanto mais complexo o padrão, mais caro (tempo / dinheiro) é para os spammers trabalharem na obtenção de e-mails. Claro que nada impede a colheita manual, mas isso é muito baixo. A única coisa que normalmente é feita é a codificação não JS, e-mails de texto simples são coletados (verifique qualquer website de 1-2 anos que esteja inalterado, e eu aposto US $ 20 por email e eles recebem toneladas de spam).

Na minha empresa, todos os e-mails externos são ofuscados usando uma série de métodos do lado do servidor e do cliente JS.

Portanto, um email nunca parece realmente um email, e o padrão SEMPRE muda. Você ficaria surpreso com o quão bem este método funciona, com certeza alguns métodos são comprometidos e facilmente quebrados, mas métodos mais elaborados de ofuscação de e-mail geralmente tornam a colheita inútil, já que a enorme quantidade de detecção de padrões exigiria muitos recursos investidos.

Força bruta de CAPTCHAS é diferente, onde os hackers / spammers / harvesters TARGET um site específico. Isso não se aplica realmente a sites que usem uma grande quantidade de métodos de ofuscação, ou sites onde os usuários postam e-mails de formatos diferentes em uma variedade de maneiras de ofuscação de e-mail (omitindo o .com ou .net, etc).

A maioria dos harvesters não está ciente do JavaScript, ou seja, eles não processam JS. Tornar esses métodos mais caros para os harvesters. Existem alguns harvesters que tentam processar JS, mas como eu disse, é muito caro quando você está executando milhões de e-mails em questão de minutos, você não quer descer para 10s ou 100s se conseguir fazer 1000s.

Meu método de fazer um método aleatório de cada vez funciona muito bem, eu ainda não recebi nenhum spam na minha conta.


11



Boa idéia de usar o JS para ofuscar o endereço de e-mail, mas na maioria dos casos (como em um e-mail, neste site, etc) isso não é realmente uma opção. No entanto, concordo que deve ser uma prática padrão em sites que permitem que os usuários exponham seus e-mails a outros usuários. - Kyle Cronin


Eu tenho dois métodos de ofuscação não mencionados. Nenhum dos dois oferece o benefício de ser um link clicável, ou mesmo de recortar e colar.

  • Use um elemento gráfico em vez de texto.

  • Alinhe os elementos verticalmente, com colunas de outras coisas à esquerda e / ou à direita:

email     dummy@
me at:    example.com

11



Alguns spammers estão usando o OCR para contornar o elemento gráfico, mas, até onde eu sei, isso ainda é bastante raro, então, isso deve continuar a funcionar bem para você, contanto que os usuários cegos não precisem entrar em contato com você. +1 para compartilhar algumas ideias úteis. - Randolf Richardson


A obfuscação do JS funciona até certo ponto com simples harvesters baseados em wget, mas eu acho que as instâncias do IE habilitadas para JS também estão sendo empregadas, e elas podem ler o que o webuser veria.

Quando o endereço é coletado ou roubado por meio de uma violação de segurança em um dos seus sites favoritos, o que acontecerá, será reproduzido para sempre nas listas de remetentes de spam.

Meu próprio endereço de e-mail é tão antigo que antecede o spam e, portanto, visível em toda a rede, por isso recebo milhares de tentativas por semana ... exibi-lo! Tive tempo para desenvolver um sistema sofisticado que efetivamente o transformaria em spamtrap, com reportagens automáticas de alta pontuação reportadas ao spamcop para ajudar a comunidade.

O spam será derrotado um dia, e eu vi sinais encorajadores de que está em declínio.


8





Uma coisa que funcionou muito bem para mim é usar o ASP.NET para criar um "LinkButton". Este linkbutton então tem um Response.Redirect("mailto:MailAddress"); como a ação "onClick". Isso fará com que o LinkButton tenha um javascript:DoPostBack(...) como o URL. No final, faz uma solicitação do servidor que retorna um "redirecionamento para o endereço de email". Os bots do farm nunca receberam este email.


5



Provavelmente nenhum usuário teve a chance de reclamar sobre a incapacidade de enviar qualquer feedback também :) - Free Consulting
isso só funcionará se muitas outras pessoas não começarem a fazê-lo. - Ian Ringrose
@Worm: Isso funcionou com todos os navegadores que eu testei. Se você redirecionar para um mailto, ele funcionará. @Ian: Sim, espero que continue assim, ou os bots começarão a ouvir redirecionamentos nos postbacks do JS. Se você colocar um ScriptManager lá, ele irá muito mais ... "ofuscar". Primeiro, ele fará um postback JS AJAX e, em seguida, retornará um comando para ir ao mailto. - sinni800
Eu gostaria de ver código gerado para ele, como eu não tenho idéia sobre coisas do ASP.NET - Free Consulting
metalgearsonic.de/default.aspx Aqui está, WormRegards. Lado do servidor E código do cliente legível aqui. - sinni800


Eu coloquei o meu endereço de e-mail na web em todos os lugares e, ao contrário da crença popular, isso não parece ter nenhum efeito sobre a quantidade de spam que recebo. Tem sido estável em uma média de 3 por dia por um longo tempo. Então eu diria que a ofuscação é inútil.

Eu noto que nomes de usuários muito curtos (por exemplo, wim@example.com) resultam em mais spam. Aparentemente, os endereços de e-mail usados ​​pelos spammers são simplesmente gerados tentando todas as possíveis combinações de letras curtas e usando listas de nomes.


5



Há muitas adivinhações, ataques de dicionário e várias outras técnicas sendo usadas por spammers. Além disso, endereços comuns como info @ e sales @ são considerados como válidos (e geralmente são válidos para muitos domínios). Há também um atraso no tempo em que o spam aumenta para um endereço, quanto mais tempo os spammers sabem, porque eles vendem listas entre si. Eu opero uma série de armadilhas de spam e tenho notado que o spam geralmente aumenta com o tempo, apesar do bloqueio baseado em uma combinação de listas negras e filtros baseados em DNS. - Randolf Richardson