La mayoría de las veces cuando veo a alguien publicar su dirección de correo electrónico en línea, especialmente si es una dirección personal, usan algo como
yo [at] ejemplo [dot] com
en lugar de la dirección de correo electrónico real ([email protected]). Incluso los principales miembros de esta comunidad usan estilos similares en sus perfiles:
La lógica típica es que este tipo de ofuscación evita que la dirección de correo electrónico sea reconocida y recolectada automáticamente por los spammers. En una era en la que los spammers pueden vencer a todos menos a los captchas más diabólicos, ¿es esto realmente cierto? Y dada la efectividad de los filtros modernos de spam, ¿realmente importa si se recolecta su dirección de correo electrónico?
email
spam-prevention
Kyle Cronin
fuente
fuente
Respuestas:
Hace algún tiempo me topé con la publicación de alguien que creó un honeypot y esperó a que regresaran direcciones de correo electrónico diferentes:
Nueve formas de ofuscar las direcciones de correo electrónico comparadas
CSS Codedirection 0 MB spam
Visualización de CSS: ninguno 0 MB
Cifrado ROT13 0 MB
Uso de AT y DOT 0.084 MB
Construyendo con Javascript 0.144 MB
Reemplazando '@' y '.' con entidades 1.6 MB
División de correo electrónico con comentarios 7.1 MB
Urlencode 7.9 MB
Texto sin formato 21 MB
Este es el gráfico estadístico original hecho por Silvan Mühlemann, todo el crédito va hacia él:
Entonces, para responder la pregunta: Sí, (en cierto modo) la ofuscación de correo electrónico funciona.
fuente
rtl
ejemplo en la página vinculada (Chrome 8, Mac),moc.etalllit@7raboofnavlis
terminé en mi portapapeles. Entonces, tal vez esto no sea tan práctico para el uso en el mundo real.Siempre me ha gustado la solución simple, elegante y sin mencionar con clase de usar:
Tacky Turing 0MB
Usando este método no recibo ningún spam. De hecho, no recibo ningún correo electrónico.
fuente
example.com
no está sufriendo nada, sino un dominio de prueba por diseño, al igual queexample.net
y algunos otros. No hay manejadores de correo electrónico definidos paraexample.com
.[email protected]
, solo para que quede más claro que es una instrucción y no solo ser descarado.xyz@"mypants."example.com
... Para enviarme un correo electrónico, primero tienes que eliminar"my pants."
. Creo que sería tan efectivo, yreduces
la posibilidad de que un propietario de nombre de dominio inocente reciba correo no deseado. (Por cierto, no uso ninguno de estos métodos).Recientemente hubo un interesante artículo de Cory Doctorow sobre este tema en el que se argumentaba que la ofuscación del correo electrónico no tiene mucho propósito, y un enfoque más óptimo es administrar de manera inteligente el correo no deseado que recibe.
TL; versión DR:
fuente
Tanta gente todavía lo usa
@
y es.
evidente que hay poca necesidad de que un spammer encuentre una manera de derrotar cualquier tipo de ofuscación; el trabajo no realizado es dinero / tiempo no gastado.fuente
Cualquier cosa que hagan muchas personas será derrotada, pero si ocultas tu dirección de correo electrónico de una manera que no lo hacen muchos sitios web, los spammers no invertirán el dinero para encontrarla. (Están tratando de ganar dinero, por lo que solo invertirán mucho cuando los rendimientos sean altos).
Así que no use un método que otras personas usen, invente el suyo, este es uno que acabo de inventar: (No lo copie todo, o dejará de funcionar)
fuente
Los spammers no son la NSA. No es importante para ellos descifrar su ofuscación. Cualquier esfuerzo realizado para disfrazar su dirección de correo electrónico probablemente sea suficiente para la tarea.
La pregunta más interesante es, ¿por qué no usar una cuenta de correo electrónico desechable como límite para filtrar las respuestas en los foros públicos? De esa forma, no le importa si la cuenta recibe correo no deseado, y después de examinar respuestas legítimas, puede contactar a sus corresponsales a través de su cuenta de correo electrónico habitual.
fuente
Sí, es cierto en la mayoría de los casos porque necesita un patrón para la recolección de correos electrónicos, cuanto más complejo es el patrón, más costoso (tiempo / dinero) es que los spammers trabajen para recibir correos electrónicos. Por supuesto, nada detiene la cosecha manual, pero eso es muy bajo. Lo que generalmente se hace es que no están codificados con JS, los correos electrónicos de texto sin formato se recolectan (revise cualquier sitio web de 1 a 2 años que no haya cambiado, y apuesto a que $ 20 dólares su correo electrónico de texto sin formato y reciben toneladas de spam).
En mi empresa, todos los correos electrónicos externos se ofuscan utilizando una serie de métodos del lado del servidor y del lado del cliente JS.
Por lo tanto, un correo electrónico realmente nunca se parece a un correo electrónico, y el patrón SIEMPRE cambia. Te sorprendería lo bien que funciona este método, seguro de que algunos métodos se ven comprometidos y se rompen fácilmente, pero los métodos más elaborados de ofuscación por correo electrónico generalmente hacen que la recolección no tenga sentido ya que la gran cantidad de detección de patrones requeriría una gran cantidad de recursos invertidos.
La fuerza bruta de CAPTCHAS es diferente, donde los hackers / spammers / cosechadores se dirigen a un sitio específico. Esto realmente no se aplica a los sitios web pequeños de mamá y pop que podrían usar una miríada de métodos de ofuscación, o sitios donde los usuarios publican correos electrónicos de diferentes formatos en una variedad de formas de ofuscación (omitiendo .com o .net, etc.).
La mayoría de los cosechadores no son conscientes de Javascript, es decir, no procesan JS. Hacer que esos métodos sean más costosos para los cosechadores. Hay algunos recolectores que intentan procesar JS, pero como dije, es muy costoso cuando ejecuta millones de correos electrónicos en cuestión de minutos, no desea bajar a 10 o 100 si puede hacer 1000.
Mi método de hacer un método aleatorio cada vez funciona muy bien, todavía tengo que recibir spam en mi cuenta.
fuente
Tengo 2 métodos de ofuscación no mencionados. Ninguno de los dos ofrece el beneficio de ser un enlace en el que se puede hacer clic, o incluso cortar y pegar.
Use un elemento gráfico en lugar de texto.
Alinee los elementos verticalmente, con columnas de otras cosas a la izquierda y / o derecha:
fuente
La ofuscación de JS funciona hasta cierto punto con recolectores basados en wget simples, pero supongo que también se están empleando instancias de IE habilitadas para JS, y pueden leer lo que vería el usuario web.
Cuando la dirección se cosecha o se roba por una violación de la seguridad en uno de sus sitios favoritos como eventualmente lo hará, estará replicada en las listas de spammers para siempre.
Mi propia dirección de correo electrónico es tan antigua que es anterior al spam y, por lo tanto, es visible en toda la red, así que recibo miles de intentos por semana ... ¡adelante! He tenido tiempo de desarrollar un sistema sofisticado que lo convierta efectivamente en una trampa de correo no deseado, con cosas de alta puntuación que se informan automáticamente a spamcop para ayudar a la comunidad.
El spam será derrotado algún día, y vi signos alentadores de que está en declive.
fuente
Una cosa que funcionó muy bien para mí es usar ASP.NET para crear un "LinkButton". Este botón de enlace tiene una
Response.Redirect("mailto:MailAddress");
acción como "onClick". Esto dará como resultado que LinkButton tengajavascript:DoPostBack(...)
como URL. Al final, realiza una solicitud del servidor que devuelve un "redireccionamiento a la dirección de correo". Los robots de la granja nunca recibieron este correo electrónico.fuente
Puse mi dirección de correo electrónico clara en la web en todas partes, y en contra de la creencia popular, esto no parece tener ningún efecto en la cantidad de spam que recibo. Se ha mantenido estable en un promedio de 3 por día durante mucho tiempo. Entonces diría que la ofuscación es inútil.
Me doy cuenta de que los nombres de usuario muy cortos (por ejemplo, [email protected]) generan más spam. Aparentemente, las direcciones de correo electrónico utilizadas por los spammers se generan simplemente probando todas las combinaciones posibles de letras cortas y utilizando listas de nombres.
fuente
No creo que ayude mucho usar el estándar
[AT]
y[DOT]
, pero usando palabras que significan cosas o se puede entender que significan en punto y punto ... o incluso_A((T>>
o cualquier otra cosa que sea razonablemente aleatoria ... solo mis pensamientos sobre el importar.fuente
Si intenta buscar direcciones de correo electrónico con google, descubrirá que es realmente difícil, y por alguna razón google no tiene muchas de ellas en la forma "[email protected]", tal vez una restricción automática ?
Si busco "maier [at] berlin.de", encuentro más resultados, que si busco "[email protected]", y la @ parece funcionar como un signo de comodín. Los éxitos no son realmente mailadresses.
Y, por otro lado, desea que sus clientes (si los tiene, y los contactan en la web) utilicen un cómodo enlace de correo electrónico, sin perder el tiempo y quitándose los pantalones elegantes.
Entonces, si aún no confía en google, bing, bong y zong (¿tal vez venden mailadresses por separado?), Puede componer su dirección de correo electrónico con un poco de Javascript :
Supongo que la mayoría de los webcrawlers no interpretan Javascript, y tendrán dificultades para encontrar su dirección en un proceso grande, automatizado y barato.
fuente
¡Desde mi experiencia con el Sblam! servicio anti-spam hay muchos spammers técnicamente incompetentes, que sin embargo siguen intentándolo, probablemente porque hay muchos correos electrónicos no protegidos para recolectar (y sitios no protegidos para spam), por lo que incluso la simple ofuscación podría detener a algunos recolectores.
OTOH actualizar la expresión regular en un recolector para buscar
(@| AT )
no es ciencia espacial y probablemente muchos spammers ya lo hayan hecho.Los acertijos que molestan a los humanos no valen la pena. He ideado una ofuscación compatible con los estándares que codifica los correos electrónicos con entidades, codifica urlen y agrega construcciones inusuales a la URL y HTML ( código fuente ):
http://hcard.geekhood.net/encode/[email protected]
Esto proporciona un enlace que es legible y totalmente funcional para usuarios reales, pero que solo pueden recolectar spammers que se esfuerzan por analizar HTML y URL correctamente (¡podría evitar algún spam, o al menos promueve estándares web entre los escritores de recolectores!)
fuente
Como las listas de correo electrónico se venden, una compañía puede descubrir la fácil y luego otras pueden usarla. De esa manera es similar a cualquier DRM.
fuente