L'obscurcissement d'entrée électronique fonctionne-t-il vraiment?
La plupart du temps, lorsque je vois quelqu'un poster son adresse électronique en ligne, en particulier s'il s'agit d'une adresse personnelle, il utilise quelque chose comme:
moi [à] exemple [point] com
au lieu de l'adresse e-mail réelle ([email protected]). Même les meilleurs membres de cette communauté utilisent des styles similaires dans leurs profils:
La raison typique est que ce type d'obfuscation empêche l'adresse e-mail d'être automatiquement reconnue et récupérée par les spammeurs. À une époque où les spammeurs peuvent vaincre tous les captchas, à l'exception des plus diaboliques, est-ce vraiment le cas? Et compte tenu de l'efficacité des filtres anti-spam modernes, est-il vraiment important que votre adresse e-mail soit collectée?
Il y a quelque temps, je suis tombé sur le poste de quelqu'un qui a créé un pot de miel et a attendu que des adresses e-mail différemment obsolètes reviennent:
Neuf façons de masquer les adresses électroniques comparées
CSS Codedirection 0 MB spam
<span style="unicode-bidi:bidi-override; direction: rtl;">
moc.elpmaxe@zyx
</span>
Affichage CSS: aucun 0 Mo
xyz<span style="display:none">foo</span>@example.com
ROT13 Cryptage 0 Mo
[email protected]
Utilisation des AT et des DOT 0,084 Mo
xyz AT example DOT com
Construire en Javascript 0.144 MB
var m = 'xyz'; // you can use any clever method of
m += '@'; // creating the string containing the email
m += 'example.com'; // and then add it to the DOM (eg, via
$('.email').append(m); // jquery)
Remplacement de '@' et '.' avec des entités 1.6 MB
xyz@example.com
Division d'un courrier électronique avec des commentaires 7.1 Mo
xyz<!-- eat this spam -->@<!-- yeah! -->example<!-- shoo -->com
Code Url 7.9 MB
xyz%40example.com
Texte brut 21 Mo
[email protected]
Ceci est le graphique statistique original réalisé par Silvan Mühlemann, tout le mérite lui revient:
Donc, pour répondre à la question: oui, (d’une certaine manière) l’obscurcissement des e-mails fonctionne.
J'ai toujours aimé la solution simple, élégante et sans reproche d'utiliser:
Tacky Turing 0MB
[email protected]
To email me, first you have to remove my pants.
En utilisant cette méthode, je ne reçois aucun spam. En fait, je ne reçois pas any email.
Cory Doctorow a récemment publié un article intéressant à ce sujet ici qui affirmait que l’obscurcissement du courrier électronique ne sert à rien, et qu’une approche plus optimale consiste à gérer intelligemment le spam que vous recevez.
Version TL; DR:
- L’objectif de cet exercice n’est pas de réduire la quantité de spam que vous recevez dans votre courrier électronique, mais bien la quantité de spam que vous devez supprimer manuellement de votre boîte de réception.
- L'obscurcissement des e-mails est une lutte constante pour obtenir un encodage toujours sophistiqué, à la fois anti-bot et lisible par l'homme, et pèse lourdement sur la productivité du créateur et du correspondant.
- "Presque toutes les adresses e-mail que vous utilisez pendant un certain temps sont finalement assez connues pour que vous deviez en déduire que tous les spammeurs l'ont."
- "La commodité d'adresses e-mail stables et faciles à copier" permet de se cacher des spambots.
Tant de gens utilisent encore @ et . à proprement parler qu'il n'y ait que très peu de need pour qu'un spammeur trouve un moyen de vaincre toute sorte d'obfuscation; travail non accompli est argent/temps non dépensé.
N'importe quoi qui est fait par beaucoup de personnes seront vaincues, mais si vous cachez votre adresse électronique de manière à ce que peu de sites Web le fassent, les spammeurs n'investiront pas l'argent le trouver. (Ils essaient de gagner de l'argent, alors ils n'investiront beaucoup que lorsque les rendements seront élevés.)
Donc, n'utilisez pas une méthode que d'autres personnes utilisent, inventez la vôtre, voici une méthode que je viens de vous proposer: (ne la copiez pas toutes, sinon elle cessera de fonctionner)
Email supprimer tous les numéros et utiliser le même domaine que mon site Web est sur [email protected]
Les spammeurs ne sont pas la NSA. Il n'est pas important qu'ils craquent votre obfuscation. Tout effort fait pour dissimuler votre adresse e-mail est probablement suffisant pour la tâche.
La question la plus intéressante est: pourquoi ne pas simplement utiliser un compte de messagerie jetable comme seuil pour filtrer les réponses sur les forums publics? De cette façon, vous ne vous souciez pas de savoir si le compte reçoit du spam. Après avoir vérifié les réponses légitimes, vous pouvez contacter vos correspondants via votre compte de messagerie habituel.
Oui, c’est vrai dans la plupart des cas, car vous avez besoin d’un modèle pour la collecte des e-mails. Plus le modèle est complexe, plus il est coûteux (temps/argent) de permettre aux spammeurs de s’efforcer d’obtenir des e-mails. Bien sûr, rien n’arrête la récolte manuelle, mais c’est très faible. La chose qui est généralement faite est non encodée en JS, les e-mails en texte brut sont récoltés (vérifiez tout site Web inchangé vieux de 1 à 2 ans, et je vous parie 20 $ que son e-mail en texte brut et qu'ils reçoivent une tonne de spam).
Dans mon entreprise, tous les e-mails externes sont masqués à l’aide d’une série de méthodes côté serveur et côté client JS.
Ainsi, un email ne ressemble jamais vraiment à un email, et le modèle change TOUJOURS. Vous seriez surpris de voir à quel point cette méthode fonctionne, bien que certaines méthodes soient compromises et faciles à utiliser, mais des méthodes plus élaborées d’obscurcissement de la messagerie rendent généralement inutile la collecte, étant donné que la simple détection de modèles nécessite beaucoup de ressources investies.
La force brute de CAPTCHAS est différente, où les pirates/spammeurs/récolteurs ciblent un site spécifique. Cela ne s'applique pas vraiment aux petits sites Web Mom & Pop qui pourraient utiliser une myriade de méthodes d'obfuscation, ou aux sites où les utilisateurs postent des emails de formats différents de différentes façons (en omettant le .com ou le .net, etc.).
La plupart des pêcheurs ne sont pas au courant de JavaScript, c’est-à-dire qu’ils ne traitent pas JS. Rendre ces méthodes plus coûteuses pour les pêcheurs. Certains collecteurs essaient de traiter les JS, mais comme je l'ai dit, cela coûte très cher de gérer des millions de courriers électroniques en quelques minutes. Vous ne voulez pas descendre à 10 ou 100 si vous pouvez en faire 1 000.
Ma méthode de faire une méthode aléatoire chaque fois fonctionne très bien, je n'ai pas encore de spam sur mon compte.
J'ai 2 méthodes d'obscurcissement non mentionnées. Ni l'un ni l'autre ne présentent l'avantage d'être un lien cliquable, ni même de copier-coller.
Utilisez un élément graphique au lieu du texte.
Alignez les éléments verticalement, avec des colonnes d'autres éléments à gauche et/ou à droite:
email dummy@ me at: example.com
JS obfuscation fonctionne jusqu’à un certain point avec de simples collecteurs basés sur wget, mais je suppose que des instances compatibles avec JS IE sont également utilisées et peuvent lire ce que l’utilisateur Web verrait.
Lorsque l'adresse est collectée ou volée via une faille de sécurité sur l'un de vos sites préférés, comme il le sera éventuellement, elle sera reproduite pour toujours sur les listes de spammeurs.
Ma propre adresse e-mail est si ancienne qu'elle est antérieure au spam et donc visible sur tout le réseau. Je reçois donc des milliers de tentatives de diffusion par semaine ... lancez-la! J'ai eu le temps de développer un système sophistiqué qui le transforme efficacement en spamtrap, avec des informations très utiles automatiquement rapportées à spamcop pour aider la communauté.
Le spam sera vaincu un jour et j'ai vu des signes encourageants indiquant qu'il est en déclin.
Une chose qui a très bien fonctionné pour moi est d’utiliser ASP.NET pour créer un "LinkButton". Ce linklink a alors une Response.Redirect("mailto:MailAddress"); comme action "onClick". Cela entraînera le LinkButton ayant une javascript:DoPostBack(...) comme URL. En fin de compte, il fait une requête au serveur qui renvoie une "redirection vers l'adresse mail". Les robots de la ferme n'ont jamais reçu cet email.
J'ai mis mon adresse électronique en clair sur le Web, et contrairement à la croyance populaire, cela ne semble pas avoir d'incidence sur la quantité de spam que je reçois. Il est stable à une moyenne de 3 par jour pendant une longue période. Donc, je dirais que l'obscurcissement est inutile.
Je remarque que les noms d'utilisateurs très courts (par exemple, [email protected]) génèrent davantage de spam. Apparemment, les adresses électroniques utilisées par les spammeurs sont simplement générées en essayant toutes les combinaisons de lettres courtes possibles et en utilisant des listes de noms.
Si vous essayez de rechercher des adresses e-mail avec Google, vous découvrirez que c'est vraiment difficile et que, pour une raison quelconque, Google n'en a pas beaucoup sous la forme "[email protected]" - peut-être une restriction de soi. ?
Si je recherche "maier [at]] berlin.de", je trouve plus de résultats que si je cherche "[email protected]", et le @ semble fonctionner comme un signe de joker. Les hits ne sont pas vraiment des adresses mail.
Et de l’autre côté, vous voulez que vos clients (si vous en avez un et que vous les contactiez sur le Web) utilisent un lien mailto confortable, sans manipuler ni retirer les pantalons de fantaisie.
Donc, si vous ne faites toujours pas confiance à Google, Bing, Bong et Zong (peut-être qu'ils vendent des adresses mail séparément?), Vous pouvez composer votre adresse email avec un peu de Javascript :
"mailto" + ":" + "wagner" + "." + "stefan" + "@" + "paris" + "." + "de"
J'imagine que la plupart des webcrawlers n'interprètent pas le langage Javascript et auront du mal à trouver votre adresse de manière automatisée.
Je ne pense pas que cela aide beaucoup en utilisant les [AT] et [DOT] standards, mais en utilisant soit des mots qui veulent dire des choses ou peuvent être compris comme signifiant un point et ... ou même un _A((T>> ou toute autre chose qui est raisonnablement aléatoire ... juste mon réflexions sur le sujet.
De mon expérience avec le Sblam! service anti-spam il y a beaucoup de spammeurs techniquement incompétents, qui continuent néanmoins d'essayer, probablement parce qu'il y a beaucoup d'e-mails non protégés à récolter (et de sites non protégés contre le spam), de sorte qu'une simple obfuscation peut en arrêter certains récolteurs.
OTOH met à jour l'expression régulière dans une unité de récolte pour rechercher (@| AT ) n'est pas sorcier et probablement de nombreux spammeurs l'ont déjà fait.
Les énigmes qui dérangent les humains n'en valent pas la peine. J'ai conçu une obfuscation conforme aux normes qui code les courriers avec des entités, le codage d'url et ajoute des constructions inhabituelles à l'URL et au HTML ( code source ):
http://hcard.geekhood.net/encode/[email protected]
Cela donne un lien qui est lisible et entièrement fonctionnel pour de vrais utilisateurs, mais qui ne peut être récolté que par les spammeurs qui s’efforcent d’analyser correctement le HTML et les URL (cela pourrait éviter certains spams, ou au moins promouvoir les standards Web chez les rédacteurs!)
Étant donné que les listes de courrier électronique sont vendues, une entreprise peut trouver la plus facile, puis d'autres peuvent l'utiliser. De cette façon, il ressemble à n'importe quel DRM.