¿Funciona realmente la ofuscación de la dirección de correo electrónico? [cerrado]

La mayoría de las veces cuando veo a alguien publicar su dirección de correo electrónico en línea, especialmente si es una dirección personal, usan algo como

yo [at] ejemplo [dot] com

en lugar de la dirección de correo electrónico real (me@ejemplo.com). Incluso los principales miembros de esta comunidad usan estilos similares en sus perfiles:

jt.superuser [AT] gmail [DOT] com

Quijote dot su sobre allá cerca de ese lugar de Gmail

La lógica típica es que este tipo de ofuscación evita que la dirección de correo electrónico sea reconocida y recolectada automáticamente por los spammers. En una era en la que los spammers pueden vencer a todos menos a los captchas más diabólicos, ¿es esto realmente cierto? Y dada la efectividad de los filtros modernos de spam, ¿realmente importa si se recolecta su dirección de correo electrónico?

Hace algún tiempo me topé con la publicación de alguien que creó un honeypot y esperó a que regresaran direcciones de correo electrónico diferentes:

Nueve formas de ofuscar las direcciones de correo electrónico comparadas

CSS Codedirection 0 MB spam

<span style="unicode-bidi:bidi-override; direction: rtl;">
moc.elpmaxe@zyx
</span>

Visualización de CSS: ninguno 0 MB

xyz<span style="display:none">foo</span>@example.com

Cifrado ROT13 0 MB

klm@rknzcyr.pbz

Uso de AT y DOT 0.084 MB

xyz AT example DOT com

Construyendo con Javascript 0.144 MB

var m = 'xyz';         // you can use any clever method of
m += '@';              // creating the string containing the email
m += 'example.com';    // and then add it to the DOM (eg, via
$('.email').append(m); // jquery)

Reemplazando '@' y '.' con entidades 1.6 MB

xyz@example.com

División de correo electrónico con comentarios 7.1 MB

xyz<!-- eat this spam -->@<!-- yeah! -->example<!-- shoo -->com     

Urlencode 7.9 MB

xyz%40example.com

Texto sin formato 21 MB

xyz@example.com

Este es el gráfico estadístico original hecho por Silvan Mühlemann, todo el crédito va hacia él:

Entonces, para responder la pregunta: Sí, (en cierto modo) la ofuscación de correo electrónico funciona.

Siempre me ha gustado la solución simple, elegante y sin mencionar con clase de usar:

Tacky Turing 0MB

xyzmy@pantsexample.com

To email me, first you have to remove my pants.

Usando este método no recibo ningún spam. De hecho, no recibo ningún correo electrónico.

Recientemente hubo un interesante artículo de Cory Doctorow sobre este tema en el que se argumentaba que la ofuscación del correo electrónico no tiene mucho propósito, y un enfoque más óptimo es administrar de manera inteligente el correo no deseado que recibe.

TL; versión DR:

• El objetivo de todo este ejercicio no es reducir la cantidad de spam que recibe en su correo electrónico, sino la cantidad de spam que debe eliminar manualmente de su bandeja de entrada.
• La ofuscación del correo electrónico es una batalla constante para encontrar una codificación siempre sofisticada a prueba de bots y legible por humanos, y es una carga para la productividad tanto del creador como del corresponsal.
• "Casi cualquier dirección de correo electrónico que use por un período de tiempo eventualmente se vuelve lo suficientemente conocida como para asumir que todos los spammers la tienen".
• "La conveniencia de direcciones de correo electrónico estables y fáciles de copiar" gana al tratar de esconderse de los robots de spam.

Tanta gente todavía lo usa @y es .evidente que hay poca necesidad de que un spammer encuentre una manera de derrotar cualquier tipo de ofuscación; el trabajo no realizado es dinero / tiempo no gastado.

Cualquier cosa que hagan muchas personas será derrotada, pero si ocultas tu dirección de correo electrónico de una manera que no lo hacen muchos sitios web, los spammers no invertirán el dinero para encontrarla. (Están tratando de ganar dinero, por lo que solo invertirán mucho cuando los rendimientos sean altos).

Así que no use un método que otras personas usen, invente el suyo, este es uno que acabo de inventar: (No lo copie todo, o dejará de funcionar)

Correo electrónico eliminar todos los números y utilizar el mismo dominio que mi sitio web está en i23an@notMyDomain.com

Los spammers no son la NSA. No es importante para ellos descifrar su ofuscación. Cualquier esfuerzo realizado para disfrazar su dirección de correo electrónico probablemente sea suficiente para la tarea.

La pregunta más interesante es, ¿por qué no usar una cuenta de correo electrónico desechable como límite para filtrar las respuestas en los foros públicos? De esa forma, no le importa si la cuenta recibe correo no deseado, y después de examinar respuestas legítimas, puede contactar a sus corresponsales a través de su cuenta de correo electrónico habitual.

Sí, es cierto en la mayoría de los casos porque necesita un patrón para la recolección de correos electrónicos, cuanto más complejo es el patrón, más costoso (tiempo / dinero) es que los spammers trabajen para recibir correos electrónicos. Por supuesto, nada detiene la cosecha manual, pero eso es muy bajo. Lo que generalmente se hace es que no están codificados con JS, los correos electrónicos de texto sin formato se recolectan (revise cualquier sitio web de 1 a 2 años que no haya cambiado, y apuesto a que $ 20 dólares su correo electrónico de texto sin formato y reciben toneladas de spam).

En mi empresa, todos los correos electrónicos externos se ofuscan utilizando una serie de métodos del lado del servidor y del lado del cliente JS.

Por lo tanto, un correo electrónico realmente nunca se parece a un correo electrónico, y el patrón SIEMPRE cambia. Te sorprendería lo bien que funciona este método, seguro de que algunos métodos se ven comprometidos y se rompen fácilmente, pero los métodos más elaborados de ofuscación por correo electrónico generalmente hacen que la recolección no tenga sentido ya que la gran cantidad de detección de patrones requeriría una gran cantidad de recursos invertidos.

La fuerza bruta de CAPTCHAS es diferente, donde los hackers / spammers / cosechadores se dirigen a un sitio específico. Esto realmente no se aplica a los sitios web pequeños de mamá y pop que podrían usar una miríada de métodos de ofuscación, o sitios donde los usuarios publican correos electrónicos de diferentes formatos en una variedad de formas de ofuscación (omitiendo .com o .net, etc.).

La mayoría de los cosechadores no son conscientes de Javascript, es decir, no procesan JS. Hacer que esos métodos sean más costosos para los cosechadores. Hay algunos recolectores que intentan procesar JS, pero como dije, es muy costoso cuando ejecuta millones de correos electrónicos en cuestión de minutos, no desea bajar a 10 o 100 si puede hacer 1000.

Mi método de hacer un método aleatorio cada vez funciona muy bien, todavía tengo que recibir spam en mi cuenta.

Tengo 2 métodos de ofuscación no mencionados. Ninguno de los dos ofrece el beneficio de ser un enlace en el que se puede hacer clic, o incluso cortar y pegar.

• Use un elemento gráfico en lugar de texto.

• Alinee los elementos verticalmente, con columnas de otras cosas a la izquierda y / o derecha:

email     dummy@
me at:    example.com

La ofuscación de JS funciona hasta cierto punto con recolectores basados ​​en wget simples, pero supongo que también se están empleando instancias de IE habilitadas para JS, y pueden leer lo que vería el usuario web.

Cuando la dirección se cosecha o se roba por una violación de la seguridad en uno de sus sitios favoritos como eventualmente lo hará, estará replicada en las listas de spammers para siempre.

Mi propia dirección de correo electrónico es tan antigua que es anterior al spam y, por lo tanto, es visible en toda la red, así que recibo miles de intentos por semana ... ¡adelante! He tenido tiempo de desarrollar un sistema sofisticado que lo convierta efectivamente en una trampa de correo no deseado, con cosas de alta puntuación que se informan automáticamente a spamcop para ayudar a la comunidad.

El spam será derrotado algún día, y vi signos alentadores de que está en declive.

Una cosa que funcionó muy bien para mí es usar ASP.NET para crear un "LinkButton". Este botón de enlace tiene una Response.Redirect("mailto:MailAddress");acción como "onClick". Esto dará como resultado que LinkButton tenga javascript:DoPostBack(...)como URL. Al final, realiza una solicitud del servidor que devuelve un "redireccionamiento a la dirección de correo". Los robots de la granja nunca recibieron este correo electrónico.

Puse mi dirección de correo electrónico clara en la web en todas partes, y en contra de la creencia popular, esto no parece tener ningún efecto en la cantidad de spam que recibo. Se ha mantenido estable en un promedio de 3 por día durante mucho tiempo. Entonces diría que la ofuscación es inútil.

Me doy cuenta de que los nombres de usuario muy cortos (por ejemplo, wim@ejemplo.com) generan más spam. Aparentemente, las direcciones de correo electrónico utilizadas por los spammers se generan simplemente probando todas las combinaciones posibles de letras cortas y utilizando listas de nombres.

No creo que ayude mucho usar el estándar [AT]y [DOT], pero usando palabras que significan cosas o se puede entender que significan en punto y punto ... o incluso _A((T>>o cualquier otra cosa que sea razonablemente aleatoria ... solo mis pensamientos sobre el importar.

Si intenta buscar direcciones de correo electrónico con google, descubrirá que es realmente difícil, y por alguna razón google no tiene muchas de ellas en la forma "common.name@wellknown.domain", tal vez una restricción automática ?

Si busco "maier [at] berlin.de", encuentro más resultados, que si busco "maier@berlin.de", y la @ parece funcionar como un signo de comodín. Los éxitos no son realmente mailadresses.

Y, por otro lado, desea que sus clientes (si los tiene, y los contactan en la web) utilicen un cómodo enlace de correo electrónico, sin perder el tiempo y quitándose los pantalones elegantes.

Entonces, si aún no confía en google, bing, bong y zong (¿tal vez venden mailadresses por separado?), Puede componer su dirección de correo electrónico con un poco de Javascript :

"mailto" + ":" + "wagner" + "." + "stefan" + "@" + "paris" + "." + "de" 

Supongo que la mayoría de los webcrawlers no interpretan Javascript, y tendrán dificultades para encontrar su dirección en un proceso grande, automatizado y barato.

¡Desde mi experiencia con el Sblam! servicio anti-spam hay muchos spammers técnicamente incompetentes, que sin embargo siguen intentándolo, probablemente porque hay muchos correos electrónicos no protegidos para recolectar (y sitios no protegidos para spam), por lo que incluso la simple ofuscación podría detener a algunos recolectores.

OTOH actualizar la expresión regular en un recolector para buscar (@| AT )no es ciencia espacial y probablemente muchos spammers ya lo hayan hecho.

Los acertijos que molestan a los humanos no valen la pena. He ideado una ofuscación compatible con los estándares que codifica los correos electrónicos con entidades, codifica urlen y agrega construcciones inusuales a la URL y HTML ( código fuente ):

http://hcard.geekhood.net/encode/?addr=test@example.com

Esto proporciona un enlace que es legible y totalmente funcional para usuarios reales, pero que solo pueden recolectar spammers que se esfuerzan por analizar HTML y URL correctamente (¡podría evitar algún spam, o al menos promueve estándares web entre los escritores de recolectores!)

Como las listas de correo electrónico se venden, una compañía puede descubrir la fácil y luego otras pueden usarla. De esa manera es similar a cualquier DRM.