¿Funciona realmente la ofuscación de la dirección de correo electrónico? [cerrado]

467

La mayoría de las veces cuando veo a alguien publicar su dirección de correo electrónico en línea, especialmente si es una dirección personal, usan algo como

yo [at] ejemplo [dot] com

en lugar de la dirección de correo electrónico real ([email protected]). Incluso los principales miembros de esta comunidad usan estilos similares en sus perfiles:

jt.superuser [AT] gmail [DOT] com

Quijote dot su sobre allá cerca de ese lugar de Gmail

La lógica típica es que este tipo de ofuscación evita que la dirección de correo electrónico sea reconocida y recolectada automáticamente por los spammers. En una era en la que los spammers pueden vencer a todos menos a los captchas más diabólicos, ¿es esto realmente cierto? Y dada la efectividad de los filtros modernos de spam, ¿realmente importa si se recolecta su dirección de correo electrónico?

Kyle Cronin
fuente
10
La palabra de Google sobre esto es que convertir @ en at de cualquier forma hace que sea más fácil encontrarlo en Google. Incluso con una dirección de hotmail de diez años, puedo vincular casi todo mi correo no deseado a veces que di mi dirección (nombres falsos, etc.). No recibo mucho spam de mi correo electrónico que se puede encontrar públicamente.
tobylane
Aquí hay una alternativa: iconico.com/emailProtector
paradroid
@Saytha Parece que Ivo también lo envió . Probablemente sea mejor votar ese.
Kyle Cronin
66
Dupe: se le preguntó hace 1 año en SO . Lo interesante es que la respuesta aceptada fue la misma de esta publicación que vincula el mismo artículo
systemmpuntoout
No es ofuscación, pero diría que este es un buen lugar para usar direcciones de correo electrónico desechables y rotar las direcciones periódicamente (es decir, automáticamente), con la idea de que los recolectores no usarán la información tan rápido como lo harán los corresponsales legítimos.
Stephanie

Respuestas:

552

Hace algún tiempo me topé con la publicación de alguien que creó un honeypot y esperó a que regresaran direcciones de correo electrónico diferentes:

Nueve formas de ofuscar las direcciones de correo electrónico comparadas

CSS Codedirection 0 MB spam

<span style="unicode-bidi:bidi-override; direction: rtl;">
moc.elpmaxe@zyx
</span>

Visualización de CSS: ninguno 0 MB

xyz<span style="display:none">foo</span>@example.com

Cifrado ROT13 0 MB

[email protected]

Uso de AT y DOT 0.084 MB

xyz AT example DOT com

Construyendo con Javascript 0.144 MB

var m = 'xyz';         // you can use any clever method of
m += '@';              // creating the string containing the email
m += 'example.com';    // and then add it to the DOM (eg, via
$('.email').append(m); // jquery)

Reemplazando '@' y '.' con entidades 1.6 MB

xyz&#64;example&#46;com

División de correo electrónico con comentarios 7.1 MB

xyz<!-- eat this spam -->@<!-- yeah! -->example<!-- shoo -->com     

Urlencode 7.9 MB

xyz%40example.com

Texto sin formato 21 MB

[email protected]

Este es el gráfico estadístico original hecho por Silvan Mühlemann, todo el crédito va hacia él:

Las estadísticas tal como fueron hechas por Silvan Mühlemann

Entonces, para responder la pregunta: Sí, (en cierto modo) la ofuscación de correo electrónico funciona.

akira
fuente
69
Desafortunadamente, lo que esto no muestra es la cantidad de usuarios reales que evitaron enviar correos electrónicos porque la dirección era difícil de recuperar en varios formatos. Estoy seguro de que ese número sería pequeño, pero es poco probable que sea cero
Gareth
20
@Gareth: las direcciones de correo electrónico reales son claramente visibles con los métodos 1, 2, 6, 7 y 8, con 2 y 5 son (re) construidas por jscript y nuevamente son claramente visibles e incluso funcionan con "mailto:" ( porque el jscript modifica el dom para que todo se vea bien). notará que los métodos más efectivos son los que dan como resultado "que el usuario no tenga que hacer nada para leer / interpretar" la dirección de correo electrónico. "visible" significa "que sólo puede copiar N pegar el correo electrónico fuera de su navegador.
Akira
12
Me gustaría ver este estudio renovado con métodos que producen mailto: enlaces en lugar de simples direcciones de correo electrónico de texto. Un robot de spam podría reaccionar de manera diferente si ve un mailto: con una dirección ofuscada, ya sea que JS o la intervención humana lo desactiven; es una fuerte pista de que hay una dirección de correo allí, pero mailto: los enlaces son mucho más útiles para lectores
ijw
61
Cuando copié el rtlejemplo en la página vinculada (Chrome 8, Mac), moc.etalllit@7raboofnavlisterminé en mi portapapeles. Entonces, tal vez esto no sea tan práctico para el uso en el mundo real.
s4y
3
Es una pena que la idea rtl no sea compatible con copiar / pegar simple, fue una solución creativa.
wildpeaks
225

Siempre me ha gustado la solución simple, elegante y sin mencionar con clase de usar:

Tacky Turing 0MB

[email protected]

To email me, first you have to remove my pants.

Usando este método no recibo ningún spam. De hecho, no recibo ningún correo electrónico.

Iain Holder
fuente
8
@iain, example.comno está sufriendo nada, sino un dominio de prueba por diseño, al igual que example.nety algunos otros. No hay manejadores de correo electrónico definidos para example.com.
Arjan
8
Si alguna vez has leído el RFC ( rfc-editor.org/rfc/rfc2606.txt ) sabrás que "example.com" (y .net y .org) son nombres de dominio oficialmente reservados. Pero usar un nombre de dominio "falso" que no esté oficialmente reservado no es bueno para el titular del dominio adecuado (si lo hay). No hay pantsexample.com registrado actualmente, pero podría haber sido.
thrillscience
1
puede ser mejor usarlo [email protected], solo para que quede más claro que es una instrucción y no solo ser descarado.
Synetech
3
¿Qué tal xyz@"mypants."example.com... Para enviarme un correo electrónico, primero tienes que eliminar "my pants.". Creo que sería tan efectivo, y reducesla posibilidad de que un propietario de nombre de dominio inocente reciba correo no deseado. (Por cierto, no uso ninguno de estos métodos).
Kevin Fegan
3
LOL real en "... cualquier correo electrónico"
EvilDr
49

Recientemente hubo un interesante artículo de Cory Doctorow sobre este tema en el que se argumentaba que la ofuscación del correo electrónico no tiene mucho propósito, y un enfoque más óptimo es administrar de manera inteligente el correo no deseado que recibe.

TL; versión DR:

  • El objetivo de todo este ejercicio no es reducir la cantidad de spam que recibe en su correo electrónico, sino la cantidad de spam que debe eliminar manualmente de su bandeja de entrada.
  • La ofuscación del correo electrónico es una batalla constante para encontrar una codificación siempre sofisticada a prueba de bots y legible por humanos, y es una carga para la productividad tanto del creador como del corresponsal.
  • "Casi cualquier dirección de correo electrónico que use por un período de tiempo eventualmente se vuelve lo suficientemente conocida como para asumir que todos los spammers la tienen".
  • "La conveniencia de direcciones de correo electrónico estables y fáciles de copiar" gana al tratar de esconderse de los robots de spam.
ak86
fuente
13
Esto es cierto si cree que el costo del spam está totalmente en el esfuerzo mental de procesarlo. Si cree que parte del costo del correo no deseado está en el ancho de banda o en el mantenimiento de los filtros de correo no deseado, entonces evitar un correo no deseado en su bandeja de entrada es un objetivo digno. Ambos elementos tienen un costo continuo (un paralelismo con el elemento de 'mejorar su ofuscación' en la discusión), es solo que servicios como Google están dispuestos a proporcionarlo por el precio de poder leer toda su correspondencia privada.
ijw
44
@ijw: el costo continuo de un equipo de unas pocas personas en Google que mantiene el sistema de filtro de spam siempre será menor que hacer que sus cientos de millones de clientes hagan algo. Suponiendo que el spam se mantiene en una cantidad razonable, el ancho de banda probablemente tampoco sea un gran problema.
Kevin Vermeer
99
La versión tldr es más larga.
Synetech
55
@Synetech: el póster probablemente significaba que leer el artículo vinculado era la versión larga.
Daniel Andersson
Si la ofuscación es lo suficientemente complicada, los spammers necesitarán recursos considerables para obtener la dirección de correo electrónico (porque, según el teorema de Rice, no hay forma de predecir la salida de un programa determinado sin ejecutarlo). Digamos que lleva 3 segundos en una computadora decente descifrar la dirección de correo electrónico. Estaría bien para los humanos. No es así para los bots que lo están haciendo a gran escala. En resumen, hace que sea muy costoso para los bots obtener las direcciones de correo electrónico.
Kaveh
28

Tanta gente todavía lo usa @y es .evidente que hay poca necesidad de que un spammer encuentre una manera de derrotar cualquier tipo de ofuscación; el trabajo no realizado es dinero / tiempo no gastado.

Ignacio Vazquez-Abrams
fuente
12
Es cierto, y los spammers probablemente se dan cuenta de que las personas que ofuscan su dirección de correo electrónico no quieren y no caerán en el spam de todos modos, pero por otro lado, hay algunos recolectores a los que se les paga por dirección para quienes sería trivial identificar algunos de ellos. los patrones básicos de ofuscación (tener "gmail" en la página es un comienzo)
Kyle Cronin
55
Exactamente. Sin mencionar el rendimiento alcanzado en un analizador sintáctico para usar ese patrón al procesar esa cantidad de datos.
John T
44
No ofusco mi correo electrónico, pero no he visto ninguna diferencia con / sin ofuscación. Incluso si funciona, Gmail hace un buen trabajo en la captura de spam, e incluso si no lo hago, solo presiono el botón Informar de spam.
Sathyajith Bhat
8
OTOH, si un spammer ve una dirección de correo electrónico ofuscada, puede estar seguro de que esta es una dirección de correo electrónico realmente utilizada, de lo contrario, ¿por qué ofuscarla? Tenga en cuenta que al spammer no le importa si el spam es efectivo, pero le importa cuántos de los destinatarios realmente reciben el spam. Vende servicios de spam, no productos.
Elazar Leibovich
25

Cualquier cosa que hagan muchas personas será derrotada, pero si ocultas tu dirección de correo electrónico de una manera que no lo hacen muchos sitios web, los spammers no invertirán el dinero para encontrarla. (Están tratando de ganar dinero, por lo que solo invertirán mucho cuando los rendimientos sean altos).

Así que no use un método que otras personas usen, invente el suyo, este es uno que acabo de inventar: (No lo copie todo, o dejará de funcionar)

Correo electrónico eliminar todos los números y utilizar el mismo dominio que mi sitio web está en [email protected]

Ian Ringrose
fuente
1
Los spammers dependen de los "proveedores de software no deseado" para encargarse de los detalles técnicos relacionados con la extracción de direcciones de correo electrónico de sitios web (y de otras fuentes, como documentos de procesador de textos y hojas de cálculo, a veces obtenidas a través de SpyWare). Por lo tanto, estará bien hasta que un proveedor de spam se dé cuenta de lo que está haciendo (y pueda descubrir cómo contrarrestarlo). +1 porque esta respuesta usa un argumento lógico que generalmente es correcto.
Randolf Richardson
@Randolf, ningún "vendedor de spam" hará el esfuerzo por menos de unas 100 direcciones de correo electrónico, por lo que cualquier cosa que sea "diferente" probablemente funcione como uno de los sitios web de la mayoría de las personas
Ian Ringrose,
De hecho, estoy de acuerdo con usted (y veo su comentario como un soporte adicional para el mío) porque los proveedores de spam lo verán como una característica que los coloca por delante de su competencia (es decir, otros proveedores de spam): su estimación de menos de unos pocos Ciento direcciones de correo electrónico me parecen correctas (+1 para su comentario, excepto que no funciona como aparece un cuadro rosa, así que lo intentaré más tarde).
Randolf Richardson
2
> Cualquier cosa que haga mucha gente será derrotada. De acuerdo, pero reemplaza "derrotado" por explotado . Es por eso que los hackers rara vez se han molestado en escribir malware para Apple o Linux. Si son o no "más seguros que Windows" es irrelevante; esos objetivos simplemente no valían la pena. Al menos, ese solía ser el caso. En estos días, Apple tiene una base de usuarios mucho más grande, lo que lo convierte en un objetivo más atractivo, y Linux se usa en más servidores empresariales. Es lo mismo con las medidas de seguridad. Si el agrietamiento le gana poco, la mayoría no se molestará. Si agrietar te gana el mundo, bueno ...
Synetech
15

Los spammers no son la NSA. No es importante para ellos descifrar su ofuscación. Cualquier esfuerzo realizado para disfrazar su dirección de correo electrónico probablemente sea suficiente para la tarea.

La pregunta más interesante es, ¿por qué no usar una cuenta de correo electrónico desechable como límite para filtrar las respuestas en los foros públicos? De esa forma, no le importa si la cuenta recibe correo no deseado, y después de examinar respuestas legítimas, puede contactar a sus corresponsales a través de su cuenta de correo electrónico habitual.

Robusto
fuente
+1 para una solución que funciona bien para necesidades a corto plazo.
Randolf Richardson
11

Sí, es cierto en la mayoría de los casos porque necesita un patrón para la recolección de correos electrónicos, cuanto más complejo es el patrón, más costoso (tiempo / dinero) es que los spammers trabajen para recibir correos electrónicos. Por supuesto, nada detiene la cosecha manual, pero eso es muy bajo. Lo que generalmente se hace es que no están codificados con JS, los correos electrónicos de texto sin formato se recolectan (revise cualquier sitio web de 1 a 2 años que no haya cambiado, y apuesto a que $ 20 dólares su correo electrónico de texto sin formato y reciben toneladas de spam).

En mi empresa, todos los correos electrónicos externos se ofuscan utilizando una serie de métodos del lado del servidor y del lado del cliente JS.

Por lo tanto, un correo electrónico realmente nunca se parece a un correo electrónico, y el patrón SIEMPRE cambia. Te sorprendería lo bien que funciona este método, seguro de que algunos métodos se ven comprometidos y se rompen fácilmente, pero los métodos más elaborados de ofuscación por correo electrónico generalmente hacen que la recolección no tenga sentido ya que la gran cantidad de detección de patrones requeriría una gran cantidad de recursos invertidos.

La fuerza bruta de CAPTCHAS es diferente, donde los hackers / spammers / cosechadores se dirigen a un sitio específico. Esto realmente no se aplica a los sitios web pequeños de mamá y pop que podrían usar una miríada de métodos de ofuscación, o sitios donde los usuarios publican correos electrónicos de diferentes formatos en una variedad de formas de ofuscación (omitiendo .com o .net, etc.).

La mayoría de los cosechadores no son conscientes de Javascript, es decir, no procesan JS. Hacer que esos métodos sean más costosos para los cosechadores. Hay algunos recolectores que intentan procesar JS, pero como dije, es muy costoso cuando ejecuta millones de correos electrónicos en cuestión de minutos, no desea bajar a 10 o 100 si puede hacer 1000.

Mi método de hacer un método aleatorio cada vez funciona muy bien, todavía tengo que recibir spam en mi cuenta.

Jakub
fuente
Buena idea usando JS para ofuscar la dirección de correo electrónico, pero en la mayoría de los casos (como en un correo electrónico, en este sitio, etc.) esa no es realmente una opción. Sin embargo, estoy de acuerdo en que debería ser una práctica estándar en los sitios que permiten a los usuarios exponer su correo electrónico a otros usuarios.
Kyle Cronin
11

Tengo 2 métodos de ofuscación no mencionados. Ninguno de los dos ofrece el beneficio de ser un enlace en el que se puede hacer clic, o incluso cortar y pegar.

  • Use un elemento gráfico en lugar de texto.

  • Alinee los elementos verticalmente, con columnas de otras cosas a la izquierda y / o derecha:

email     dummy@
me at:    example.com
Mark Ransom
fuente
2
Algunos spammers usan OCR para sortear el elemento gráfico, pero que yo sepa, esto todavía es bastante raro, por lo que debería seguir funcionando bien para usted, siempre y cuando los usuarios ciegos no necesiten contactarlo. +1 por compartir algunas ideas útiles.
Randolf Richardson
Bueno, esta es una excelente manera de arruinar tu UX. No solo para personas ciegas, para todos.
Fabian von Ellerts
1
@FabianvonEllerts No lo niego. Esa es una compensación que todos deben hacer por sí mismos.
Mark Ransom
8

La ofuscación de JS funciona hasta cierto punto con recolectores basados ​​en wget simples, pero supongo que también se están empleando instancias de IE habilitadas para JS, y pueden leer lo que vería el usuario web.

Cuando la dirección se cosecha o se roba por una violación de la seguridad en uno de sus sitios favoritos como eventualmente lo hará, estará replicada en las listas de spammers para siempre.

Mi propia dirección de correo electrónico es tan antigua que es anterior al spam y, por lo tanto, es visible en toda la red, así que recibo miles de intentos por semana ... ¡adelante! He tenido tiempo de desarrollar un sistema sofisticado que lo convierta efectivamente en una trampa de correo no deseado, con cosas de alta puntuación que se informan automáticamente a spamcop para ayudar a la comunidad.

El spam será derrotado algún día, y vi signos alentadores de que está en declive.

Andy Lee Robinson
fuente
6

Una cosa que funcionó muy bien para mí es usar ASP.NET para crear un "LinkButton". Este botón de enlace tiene una Response.Redirect("mailto:MailAddress");acción como "onClick". Esto dará como resultado que LinkButton tenga javascript:DoPostBack(...)como URL. Al final, realiza una solicitud del servidor que devuelve un "redireccionamiento a la dirección de correo". Los robots de la granja nunca recibieron este correo electrónico.

sinni800
fuente
3
probablemente ningún usuario tuvo la oportunidad de quejarse de la imposibilidad de enviar comentarios también :)
Free Consulting
1
esto solo funcionará si muchas otras personas no comienzan a hacerlo.
Ian Ringrose
@Worm: Esto funcionó con todos los navegadores que lo probé. Si redirige a un mailto, funcionará. @ Ian: Sí, espero que siga así, o los bots comenzarán a escuchar redirecciones en las devoluciones de JS. Si coloca un ScriptManager allí, irá mucho más ... "ofuscado". Primero realizará una devolución de datos JS AJAX con y luego devolverá un comando para ir al mailto.
sinni800
1
Me gustaría ver el código generado por ella, ya que no tengo ni idea acerca de ASP.NET cosas
Libre Consulting
1
metalgearsonic.de/default.aspx Aquí tienes, WormRegards. Lado del servidor Y el código del cliente legible aquí.
sinni800
6

Puse mi dirección de correo electrónico clara en la web en todas partes, y en contra de la creencia popular, esto no parece tener ningún efecto en la cantidad de spam que recibo. Se ha mantenido estable en un promedio de 3 por día durante mucho tiempo. Entonces diría que la ofuscación es inútil.

Me doy cuenta de que los nombres de usuario muy cortos (por ejemplo, [email protected]) generan más spam. Aparentemente, las direcciones de correo electrónico utilizadas por los spammers se generan simplemente probando todas las combinaciones posibles de letras cortas y utilizando listas de nombres.

wcoenen
fuente
Los spammers utilizan muchas conjeturas, ataques de diccionario y otras técnicas. Además, se supone que las direcciones comunes como info @ y sales @ son casi siempre válidas (y a menudo lo son para muchos dominios). También hay un retraso de tiempo en el que el spam aumenta para una dirección cuanto más tiempo sepan los spammers porque se venden listas entre ellos. Opero varias trampas de spam y he notado que el spam generalmente aumenta con el tiempo a pesar del bloqueo basado en una combinación de listas negras y filtros basados ​​en DNS.
Randolf Richardson
4

No creo que ayude mucho usar el estándar [AT]y [DOT], pero usando palabras que significan cosas o se puede entender que significan en punto y punto ... o incluso _A((T>>o cualquier otra cosa que sea razonablemente aleatoria ... solo mis pensamientos sobre el importar.

RobotHumanos
fuente
4

Si intenta buscar direcciones de correo electrónico con google, descubrirá que es realmente difícil, y por alguna razón google no tiene muchas de ellas en la forma "[email protected]", tal vez una restricción automática ?

Si busco "maier [at] berlin.de", encuentro más resultados, que si busco "[email protected]", y la @ parece funcionar como un signo de comodín. Los éxitos no son realmente mailadresses.

Y, por otro lado, desea que sus clientes (si los tiene, y los contactan en la web) utilicen un cómodo enlace de correo electrónico, sin perder el tiempo y quitándose los pantalones elegantes.

Entonces, si aún no confía en google, bing, bong y zong (¿tal vez venden mailadresses por separado?), Puede componer su dirección de correo electrónico con un poco de Javascript :

"mailto" + ":" + "wagner" + "." + "stefan" + "@" + "paris" + "." + "de" 

Supongo que la mayoría de los webcrawlers no interpretan Javascript, y tendrán dificultades para encontrar su dirección en un proceso grande, automatizado y barato.

usuario desconocido
fuente
3

¡Desde mi experiencia con el Sblam! servicio anti-spam hay muchos spammers técnicamente incompetentes, que sin embargo siguen intentándolo, probablemente porque hay muchos correos electrónicos no protegidos para recolectar (y sitios no protegidos para spam), por lo que incluso la simple ofuscación podría detener a algunos recolectores.

OTOH actualizar la expresión regular en un recolector para buscar (@| AT )no es ciencia espacial y probablemente muchos spammers ya lo hayan hecho.


Los acertijos que molestan a los humanos no valen la pena. He ideado una ofuscación compatible con los estándares que codifica los correos electrónicos con entidades, codifica urlen y agrega construcciones inusuales a la URL y HTML ( código fuente ):

http://hcard.geekhood.net/encode/[email protected]

Esto proporciona un enlace que es legible y totalmente funcional para usuarios reales, pero que solo pueden recolectar spammers que se esfuerzan por analizar HTML y URL correctamente (¡podría evitar algún spam, o al menos promueve estándares web entre los escritores de recolectores!)

Kornel
fuente
1
echa un vistazo a Sblam! requisitos :-)
Consultoría gratuita el
Bastante genial excepto por esto .
Michael
2

Como las listas de correo electrónico se venden, una compañía puede descubrir la fácil y luego otras pueden usarla. De esa manera es similar a cualquier DRM.

Brian Carlton
fuente
2
¿Qué quiere decir con "una empresa puede resolver la fácil"?
Andrew Grimm