電子メールアドレスの難読化は実際に機能しますか?
私が誰かが自分の電子メールアドレスをオンラインで投稿しているのを見る時、特にそれが個人的なアドレスであるならば、彼らはのようなものを使う
私[at] example [ドット] com
実際のEメールアドレス([email protected])の代わりに。このコミュニティのトップメンバーでさえも、そのプロファイルで同じようなスタイルを使用しています。
一般的な理論的根拠は、この種の難読化は、電子メールアドレスがスパム送信者によって自動的に認識され、収集されるのを妨げることです。スパム発信者が最も悪魔的なキャプチャ以外のすべてを倒すことができる時代に、これは本当に本当ですか?そして、現代のスパムフィルタがどれほど効果的であるかを考えると、あなたのEメールアドレスが取得されたかどうかは本当に重要ですか?
少し前に、ハニーポットを作成し、さまざまな難読化された電子メールアドレスが戻ってくるのを待っていた誰かの投稿を見つけました。
CSSコード転送0 MBスパム
<span style="unicode-bidi:bidi-override; direction: rtl;">
moc.elpmaxe@zyx
</span>
CSS表示:なし0 MB
xyz<span style="display:none">foo</span>@example.com
ROT13 暗号化0 MB
[email protected]
ATとDOTを使う0.084 MB
xyz AT example DOT com
Javascriptを使用した構築0.144 MB
var m = 'xyz'; // you can use any clever method of
m += '@'; // creating the string containing the email
m += 'example.com'; // and then add it to the DOM (eg, via
$('.email').append(m); // jquery)
'@'と '。'を置き換えるエンティティ付き1.6 MB
xyz@example.com
コメント付きのEメールを分割する7.1 MB
xyz<!-- eat this spam -->@<!-- yeah! -->example<!-- shoo -->com
Urlencode7.9 MB
xyz%40example.com
プレーンテキスト21 MB
[email protected]
これはSilvanMühlemannによるオリジナルの統計グラフです。
それで、質問に答えるために:はい、(ある意味で)電子メール難読化は機能します。
私はいつもシンプルでエレガントなものを好んで使っていました。
タッキーチューリング0MB
[email protected]
To email me, first you have to remove my pants.
この方法を使用してもスパムは発生しません。実際、私はどんなEメールも受け取りません。
この件に関して最近Cory Doctorowによる興味深い記事がありました here これは、電子メールの難読化はあまり目的を果たさないと主張し、より最適なアプローチは、受信するスパムをインテリジェントに管理することです。
TL; DRバージョン:
- この演習全体の目的は、メールに含まれるスパムの量を減らすことではなく、受信トレイから手動で削除する必要のあるスパムの量を減らすことです
- 電子メールの難読化は、これまでにない高度なボットプルーフで人間が読み取れるエンコーディングを考案するための絶え間ない戦いであり、作成者と通信者の両方の生産性を損ないます。
- 「あなたが任意の期間使用するほとんどすべての電子メールアドレスは、最終的に十分に広く知られるようになり、すべてのスパマーがそれを持っていると想定する必要があります。」
- 「安定した、簡単にコピー&ペーストできる電子メールアドレスの利便性」は、スパムボットから隠れようとすることに勝ちます。
非常に多くの人がいまだに@と.をそのまま使っているため、スパマーが何らかの難読化を打ち破る方法を思いつくには、needはほとんどありません。行われていない仕事はお金/時間が費やされていません。
たくさん人によって行われる何でもは敗北するでしょう、しかしあなたがあまり多くのウェブサイトがそうでない方法であなたの電子メールアドレスを隠すならば、スパマーはお金を投資しないでしょうそれを見つけます。 (彼らはお金を稼ごうとしているので、収益が高いときにだけたくさん投資するでしょう。)
だから、他の人が使っている方法を使わないでください、あなた自身のものを思いついてください、これは私がちょうど思いついたものです:
私のウェブサイトが[email protected]にあるように電子メールはすべての数を取り除き、同じドメインを使う
スパマーはNSAではありません。彼らがあなたの難読化を解読することは重要ではありません。あなたのEメールアドレスを偽装するためのあらゆる努力は、おそらくタスクにとって十分です。
もっとおもしろい質問は、なぜ公共フォーラムでの応答をフィルタリングするためのカットオフとして使い捨ての電子メールアカウントを使わないのですか?そのようにすれば、アカウントがスパムを受けても気にする必要はなく、正当な回答を確認した後で、通常の電子メールアカウントを介してあなたの通信相手に連絡することができます。
はい。ほとんどの場合、電子メールを収集するためのパターンが必要です。パターンが複雑になればなるほど、スパマーが電子メールを入手するための作業にかかる費用(時間/費用)が高くなります。もちろん手動収穫を止めるものは何もありませんが、それは非常に低いです。通常行われているのは、JSでエンコードされていないプレーンテキストの電子メールです(変更されていない1〜2年前のWebサイトを確認してください)。
私の会社では、すべての外部向けの電子メールは、一連のサーバーサイドおよびJSクライアントサイドの方法を使用して難読化されています。
したがって、EメールがEメールのように見えることは決してなく、パターンは常に変化します。あなたはこの方法がどれほどうまく機能し、いくつかの方法が妥協されそして容易に壊されることを確かに驚かせるであろうが、大量のパターン検出が多くの投資資源を必要とするので通常もっと複雑な電子メール難読化方法は収穫を無意味にする。
CAPTCHASのブルートフォースは異なります。ハッカー/スパマー/ハーベスタが特定のサイトをターゲットにしている場合です。これは、無数の難読化方法を使用する可能性がある小さなママとポップのWebサイト、またはユーザーがさまざまな形式のEメールをさまざまな電子メールの難読化方法で投稿するサイト(.comまたは.netなどを除く)には当てはまりません。
ほとんどのハーベスタはJavascriptに対応していません。つまり、それらはJSを処理しません。これらの方法を収穫者にとってより高価なものにする。 JSを処理しようとするハーベスタがいくつかありますが、数分で数百万通の電子メールを処理している場合は非常にコストがかかると言われているように、1000秒できるのであれば10秒または100秒にしたくありません。
毎回ランダムな方法を実行する私の方法は非常にうまくいきます、私は私のアカウントでまだスパムを得ていません。
言及されていない2つの難読化方法があります。どちらもクリック可能なリンク、あるいはカットアンドペーストであるという利点もありません。
テキストの代わりにグラフィック要素を使用してください。
要素を縦に並べ、他の要素の列を左右に配置します。
email dummy@ me at: example.com
JS難読化は単純なwgetベースのハーベスタを使ってある程度までうまくいきますが、JS対応のIEインスタンスも採用されていると思いますし、それらはWebユーザが見るものを読むことができます。
アドレスが収集されるか、または最終的にはお気に入りのサイトの1つでセキュリティ侵害を介して盗まれると、スパマーのリストに永久に複製されてしまうことになります。
私自身のEメールアドレスは非常に古く、それはスパムに先んじているので、ネットワーク全体に目に見えるので、私は毎週何千もの配信を試みています…それを持ってきてください!私はそれをスパムトラップに効果的に変える洗練されたシステムを開発する時間がありました、そして、高得点のものがコミュニティを助けるためにspamcopに自動で報告されました。
スパムはいつか敗北するでしょう、そして私はそれが減少しているという有望な兆候を見ました。
私にとって非常にうまくいったことの一つは、 "LinkButton"を作成するためにASP.NETを使うことです。このリンクボタンは "onClick"アクションとしてResponse.Redirect("mailto:MailAddress");を持ちます。これにより、LinkButtonはURLとしてjavascript:DoPostBack(...)を持ちます。最後に、「メールアドレスへのリダイレクト」を返すサーバーリクエストを作成します。農場のボットはこのEメールを受け取ったことがありません。
私は自分の電子メールアドレスをいたるところでウェブ上に平文で掲載していますが、一般的な考えに反してこれが私が受け取るスパムの量に影響を与えることはないようです。長い間一日平均3で安定しています。そのため、難読化は役に立ちません。
非常に短いユーザー名(例:[email protected])では、スパムが増えます。どうやらスパマーが使用する電子メールアドレスは、すべての可能な短い文字の組み合わせを試すことによって、そして名前リストを使用することによって単純に生成されます。
あなたがグーグルで電子メールアドレスを検索しようとするならば、あなたはそれが本当に難しいこと、そして何らかの理由でグーグルが "[email protected]"の形でそれらの多くを持っていないことを知るでしょう - 多分自己制限?
"maier [at] berlin.de"を検索した場合、 "[email protected]"を検索した場合よりもヒット数が多く、@はジョーカーのサインとして機能するようです。ヒットは本当にメイドドレスではありません。
そして反対に、あなたが(あなたがそのようなものを持っていて、そしてウェブで彼らに連絡するならば)あなたの顧客がいじっていて気まぐれなズボンを取り除くことなく、快適なmailto-linkを使うことを望む。
それで、もしあなたがそれでもグーグル、ビング、ボング、ゾンを信用しないのであれば(おそらく彼らは別々にメイドのドレスを販売している?)、あなたはJavascriptであなたのメールアドレスを作成できる。
"mailto" + ":" + "wagner" + "." + "stefan" + "@" + "paris" + "." + "de"
ほとんどのWebクローラーはJavascriptを解釈しないため、大きな自動化された安価なプロセスであなたのアドレスを見つけるのに苦労するでしょう。
標準の[AT]と[DOT]を使っても大した助けになるとは思いませんが、物事を意味する単語、またはatとdotを意味すると実現できる単語、あるいは_A((T>>またはそれ以外に合理的にランダムなものを使用します。問題についての考え。
Sblamでの私の経験から!スパム対策サービスたくさんの技術的に無能なスパム発信者がいるが、それでもやはり試してみる(そして保護されていないサイトがスパムする)、単純な難読化でさえもいくつかの収穫者を阻止するかもしれません。
OTOHが(@| AT )を探すためにハーベスタの正規表現を更新することはロケット科学ではなく、おそらく多くのスパマーがすでにそれを行っています。
人間をいらいらさせるパズルは価値がありません。私はエンティティでメールをエンコードし、urlencodingし、URLとHTMLに珍しい構成を追加する標準準拠の難読化を考案しました( ソースコード )。
http://hcard.geekhood.net/encode/[email protected]
これは、実際のユーザーにとっては読みやすく完全に機能的なリンクを提供しますが、HTMLとURLを正しく解析しようと努力するスパマーだけが拾うことができます(少なくともスパムを避けるか、少なくともハーベスタ作家の間でWeb標準を推進します)。
メーリングリストは販売されているので、ある会社が簡単なものを見つけ出し、他の会社がそれを使うことができます。そのようにそれはあらゆるDRMに似ています。