Pertanyaan Apakah alamat email obfuscation benar-benar berfungsi? [Tutup]


Sebagian besar waktu ketika saya melihat seseorang mengirim alamat email mereka secara online, terutama jika itu alamat pribadi, mereka menggunakan sesuatu seperti

saya [at] contoh [dot] com

bukan alamat email yang sebenarnya (me@example.com). Bahkan anggota teratas dari komunitas ini menggunakan gaya serupa di profil mereka:

jt.superuser [AT] gmail [DOT] com

quixote  dot  su  lebih dari dekat itu  gmail  tempat

Dasar pemikirannya adalah bahwa jenis obfuscation ini mencegah alamat email secara otomatis dikenali dan dipanen oleh spammer. Di zaman di mana para spammer bisa mengalahkan semua kapten yang paling kejam, apakah ini benar? Dan mengingat seberapa efektif filter spam modern, apakah itu penting jika alamat email Anda dipanen?


448
2018-01-21 04:39


asal


Kata Google dalam hal ini adalah bahwa mengubah @ menjadi dari bentuk apa pun membuatnya lebih mudah ditemukan di Google. Bahkan dengan alamat hotmail berusia sepuluh tahun, saya dapat menghubungkan hampir semua spam saya ke kali saya menyerahkan alamat saya (nama palsu, dll). Saya tidak mendapatkan banyak spam dari email saya yang dapat ditemukan secara publik. - tobylane
Berikut ini alternatifnya: iconico.com/emailProtector - paradroid
@Saytha Sepertinya Ivo mengirimkannya juga. Mungkin lebih baik memilih yang itu saja. - Kyle Cronin
Dupe: itu diminta 1 tahun yang lalu di SO. Hal yang menarik adalah bahwa jawaban yang diterima sama dengan posting yang menghubungkan artikel yang sama - systempuntoout
Ini bukan obfuscation, tapi saya akan mengatakan ini adalah tempat yang baik untuk menggunakan alamat email sekali pakai dan memutar alamat secara berkala (yaitu, secara otomatis), dengan ide bahwa pemanen tidak akan menggunakan informasi secepat koresponden yang sah akan. - Stephanie


Jawaban:


Beberapa waktu yang lalu saya menemukan postingan seseorang yang membuat honeypot dan menunggu email-email yang berbeda-beda dikaburkan kembali:

Sembilan cara untuk mengaburkan alamat e-mail dibandingkan

Codedirection CSS 0 MB spam

<span style="unicode-bidi:bidi-override; direction: rtl;">
moc.elpmaxe@zyx
</span>

Tampilan CSS: tidak ada 0 MB

xyz<span style="display:none">foo</span>@example.com

ROT13 Enkripsi 0 MB

klm@rknzcyr.pbz

Menggunakan AT dan DOT 0,084 MB

xyz AT example DOT com

Membangun dengan Javascript 0,144 MB

var m = 'xyz';         // you can use any clever method of
m += '@';              // creating the string containing the email
m += 'example.com';    // and then add it to the DOM (eg, via
$('.email').append(m); // jquery)

Mengganti '@' dan '.' dengan Entitas 1,6 MB

xyz&#64;example&#46;com

Memisahkan E-Mail dengan komentar 7,1 MB

xyz<!-- eat this spam -->@<!-- yeah! -->example<!-- shoo -->com     

Urlencode 7,9 MB

xyz%40example.com

Teks Biasa 21 MB

xyz@example.com

Ini adalah grafik statistik asli yang dibuat oleh Silvan Mühlemann, semua kredit berjalan ke arahnya:

The Stats as it was made by Silvan Mühlemann

Jadi, untuk menjawab pertanyaan: Ya, (dengan cara), obfuscation email berfungsi.


537
2018-01-21 07:11



Sayangnya, hal ini tidak menunjukkan jumlah pengguna sebenarnya yang menghindari pengiriman email karena alamat tersebut sulit diambil dalam berbagai format. Saya yakin jumlah itu kecil, tetapi tidak mungkin nol - Gareth
@Gareth: alamat surel-email yang nyata terlihat jelas dengan metode 1, 2, 6, 7 dan 8, dengan 2 dan 5 mereka (kembali) dibangun oleh jscript dan sekali lagi terlihat jelas dan bahkan bekerja dengan "mailto:" ( karena jscript memodifikasi dom sehingga semuanya terlihat bagus). Anda akan melihat bahwa metode yang paling efektif adalah metode yang menghasilkan "pengguna harus tidak melakukan apa pun untuk membaca / menafsirkan" alamat email. "visible" berarti "Anda dapat menyalin N, paste email dari browser Anda. - akira
Saya ingin melihat studi ini diulangi dengan metode yang menghasilkan tautan mailto: alih-alih alamat email teks sederhana. Sebuah spambot mungkin bereaksi berbeda jika melihat mailto: dengan alamat yang tidak jelas di, apakah de-obfuscation dilakukan oleh JS atau campur tangan manusia - ini adalah petunjuk yang kuat ada alamat email di sana - tetapi tautan mailto: jauh lebih berguna untuk pembaca. - ijw
Ketika saya menyalin rtl contoh pada halaman yang ditautkan (Chrome 8, Mac), moc.etalllit@7raboofnavlis berakhir di clipboard saya. Jadi, mungkin ini tidak begitu praktis untuk penggunaan dunia nyata. - s4y
Sayang sekali bahwa ide rtl tidak kompatibel dengan copy / paste sederhana, itu adalah solusi kreatif. - wildpeaks


Saya selalu menyukai solusi sederhana, elegan, dan belum lagi berkelas menggunakan:

Tacky Turing 0MB

xyzmy@pantsexample.com

To email me, first you have to remove my pants.

Dengan menggunakan metode ini, saya tidak mendapatkan spam apa pun. Sebenarnya saya tidak mengerti apa saja e-mail.


221
2018-01-21 21:20



@iain, example.com tidak menderita apa pun, tetapi domain pengujian dengan desain, sama seperti example.net dan beberapa lainnya. Tidak ada penangan email yang ditentukan untuk example.com. - Arjan
Jika Anda pernah membaca RFC (rfc-editor.org/rfc/rfc2606.txt) Anda akan tahu bahwa "example.com" (dan .net dan .org) adalah nama domain yang secara resmi dilindungi undang-undang. Tetapi menggunakan nama domain "palsu" yang tidak secara resmi dilindungi tidak baik bagi pemegang domain yang tepat (jika ada). Tidak ada pantsexample.com saat ini terdaftar, tetapi bisa saja ada. - thrillscience
mungkin lebih baik digunakan xyzmy@mypantsexample.com sebagai gantinya, agar lebih jelas bahwa itu adalah instruksi dan bukan hanya lancang. - Synetech
Bagaimana tentang xyz@"mypants."example.com ... Untuk mengirim email kepada saya, pertama-tama Anda harus menghapus "my pants.". Saya pikir itu akan efektif, dan reduces kemungkinan bahwa pemilik nama domain yang tidak bersalah akan mendapatkan spam dari itu. (BTW - Saya tidak menggunakan salah satu dari metode ini). - Kevin Fegan
LOL aktual di "... email apa saja" - EvilDr


Ada artikel yang menarik oleh Cory Doctorow baru-baru ini tentang hal ini sini yang berpendapat bahwa obfuscation email tidak melayani banyak tujuan, dan pendekatan yang lebih optimal adalah mengelola spam yang Anda dapatkan dengan cerdas.

Versi TL; DR:

  • Tujuan dari seluruh latihan ini bukan untuk mengurangi jumlah spam yang Anda dapatkan di email Anda, tetapi jumlah spam Anda secara manual harus menghapus dari kotak masuk Anda.
  • Email obfuscation adalah pertempuran terus-menerus untuk muncul dengan pengkodean bot-proof, pengkodean manusia yang mudah dibaca, dan menguras produktivitas baik pencipta maupun koresponden.
  • "Hampir semua alamat email yang Anda gunakan untuk jangka waktu berapa lama akhirnya diketahui secara luas bahwa Anda harus menganggap semua spammer memilikinya."
  • "Kenyamanan alamat email yang stabil dan mudah di-copy" menang karena berusaha bersembunyi dari spambot.

48
2018-01-21 16:50



Ini benar jika Anda percaya bahwa biaya spam sepenuhnya dalam upaya mental untuk memprosesnya. Jika Anda yakin bahwa beberapa biaya spam dalam bandwidth, atau dalam mempertahankan filter spam, maka mencegah spam mencapai kotak masuk Anda di tempat pertama adalah tujuan yang layak. Kedua elemen ini memiliki biaya berkelanjutan (sejajar dengan elemen 'perbaiki obsfuscation' Anda dalam diskusi), hanya saja layanan seperti Google bersedia menyediakannya untuk harga yang mampu membaca semua korespondensi pribadi Anda. - ijw
@ijw - Biaya berkelanjutan tim yang terdiri dari beberapa orang di Google yang mempertahankan sistem filter spam akan selalu kurang dari membuat ratusan juta pelanggan melakukan apa pun. Dengan asumsi bahwa spam disimpan dalam jumlah yang wajar, bandwidth mungkin tidak terlalu menjadi masalah. - Kevin Vermeer
Versi tldr lebih panjang. - Synetech
@Synetech: poster mungkin berarti membaca artikel terkait adalah versi panjang. - Daniel Andersson
Jika obfuscation cukup rumit maka akan membutuhkan spammer sumber daya yang cukup untuk mendapatkan alamat email (karena menurut teorema Rice tidak ada cara memprediksi output dari program yang diberikan tanpa menjalankannya). Katakanlah dibutuhkan 3 detik pada komputer yang layak untuk mendekripsi alamat email. Itu baik bagi manusia. Tidak demikian halnya dengan bot yang melakukannya dalam skala besar. Singkatnya, itu membuat sangat mahal bagi bot untuk mendapatkan alamat email. - Kaveh


Begitu banyak orang masih menggunakannya @ dan . seketika itu ada sedikit perlu bagi seorang spammer untuk menemukan cara untuk mengalahkan segala macam kebingungan; pekerjaan yang tidak dilakukan adalah uang / waktu tidak dihabiskan.


28
2018-01-21 04:52



Benar, dan spammer mungkin menyadari bahwa orang-orang yang mengaburkan alamat email mereka tidak ingin dan tidak akan jatuh untuk spam, tetapi di sisi lain ada beberapa pemanen yang dibayar per alamat untuk siapa itu akan sepele untuk mengidentifikasi beberapa pola obfuskasi dasar (memiliki "gmail" di halaman adalah permulaan) - Kyle Cronin
Persis. Belum lagi hit performa pada parser untuk menggunakan pola seperti itu ketika memproses banyak data. - John T
Saya tidak mengaburkan email saya, fwiw saya tidak melihat ada perbedaan dengan obfuscation. Bahkan jika itu berhasil, Gmail melakukan pekerjaan yang cukup baik dalam menangkap spam, dan bahkan jika itu tidak saya cukup tekan tombol Spam Laporan itu. - Sathya♦
OTOH, jika seorang spammer melihat alamat email yang dikaburkan, dia dapat yakin bahwa ini adalah alamat email yang benar-benar digunakan, jika tidak mengapa mengaburkannya ?. Perhatikan bahwa spammer tidak peduli apakah spamming efektif, tetapi dia peduli berapa banyak penerima yang benar-benar mendapatkan spam. Dia menjual layanan spam, bukan produk. - Elazar Leibovich


Apa pun yang dilakukan oleh banyak orang akan dikalahkan, tetapi jika Anda menyembunyikan alamat email Anda dengan cara yang tidak banyak situs web lakukan, maka spammer tidak akan menginvestasikan uang untuk menemukannya. (Mereka mencoba menghasilkan uang sehingga hanya akan berinvestasi banyak ketika hasilnya tinggi.)

Jadi jangan gunakan metode yang digunakan orang lain, datang dengan metode Anda sendiri, ini adalah salah satu yang baru saja saya temukan: (Jangan semuanya menyalinnya, atau berhenti bekerja)

Email hapus semua nomor dan gunakan   domain yang sama dengan situs web saya aktif   i23an@notMyDomain.com


24
2018-01-21 16:54



Spammer bergantung pada "vendor spam" untuk mengurus detail teknis yang terkait dengan pengekstrakan alamat email dari situs web (dan dari sumber lain, seperti dokumen pengolah kata dan spreadsheet, terkadang diperoleh melalui SpyWare). Jadi, Anda akan baik-baik saja sampai vendor spam mengetahui apa yang Anda lakukan (dan dapat mengetahui cara mengatasinya). +1 karena jawaban ini menggunakan argumen logis yang umumnya benar. - Randolf Richardson
@Randolf, tidak ada "vendor spam" yang akan melakukan upaya kurang dari 100 alamat email, jadi apa pun yang "berbeda" adalah menjilati untuk berfungsi sebagai salah satu situs web kebanyakan orang - Ian Ringrose
Saya benar-benar setuju dengan Anda (dan saya melihat komentar Anda sebagai dukungan lebih lanjut untuk saya) karena vendor spamware akan melihat itu sebagai fitur yang menempatkan mereka di depan persaingan mereka (yaitu, vendor spamware lainnya) - perkiraan Anda kurang dari beberapa ratusan alamat eMail tampaknya benar untuk saya (+1 untuk komentar Anda, kecuali itu tidak berfungsi sebagai kotak merah muda muncul jadi saya akan coba lagi nanti). - Randolf Richardson
> Apa pun yang dilakukan oleh banyak orang akan dikalahkan Setuju, tetapi ganti "dikalahkan" dengan dieksploitasi. Itu sebabnya peretas jarang terganggu dengan menulis malware untuk Apples atau Linux. Apakah atau tidak mereka "lebih aman daripada Windows" tidak relevan; target itu tidak sebanding dengan waktu. Setidaknya, itu dulu kasusnya. Hari-hari ini, Apple memiliki basis pengguna yang jauh lebih besar, membuat target yang lebih menarik, dan Linux digunakan di lebih banyak server bisnis. Sama halnya dengan tindakan keamanan. Jika retak itu membuat Anda sedikit, kebanyakan tidak akan mengganggu. Jika retak, itu akan membuatmu mendapatkan dunia, yah ... - Synetech


Spammer bukan NSA. Tidak penting bagi mereka untuk memecahkan obfuskasi Anda. Segala upaya yang dilakukan untuk menyamarkan alamat email Anda mungkin cukup untuk tugas itu.

Pertanyaan yang lebih menarik adalah, mengapa tidak menggunakan akun email sekali pakai sebagai cutoff untuk memfilter tanggapan di forum publik? Dengan cara itu Anda tidak peduli jika akun tersebut mendapatkan spam, dan setelah memeriksa tanggapan yang sah Anda dapat menghubungi koresponden Anda melalui akun email biasa Anda.


15
2018-01-21 16:23



+1 untuk solusi yang berfungsi dengan baik untuk kebutuhan jangka pendek. - Randolf Richardson


Ya memang benar dalam banyak kasus karena Anda membutuhkan pola untuk pemanenan email, semakin kompleks pola semakin mahal (waktu / uang) itu bagi spammer untuk bekerja mendapatkan email. Tentu saja tidak ada yang menghentikan pemanenan manual, tetapi itu sangat rendah. Hal yang biasanya dilakukan adalah non-JS yang dikodekan, email teks biasa dipanen (periksa setiap situs web 1-2 tahun yang tidak berubah, dan saya bertaruh $ 20 dolar email teks biasa dan mereka mendapatkan banyak spam).

Di perusahaan saya semua email yang menghadap eksternal dikaburkan menggunakan serangkaian sisi server & metode sisi klien JS.

Jadi email tidak pernah benar-benar terlihat seperti email, dan pola SELALU berubah. Anda akan terkejut seberapa baik metode ini bekerja, yakin beberapa metode dikompromikan dan mudah rusak, tetapi metode yang lebih rumit dari obfuscation email biasanya membuat panen sia-sia karena banyaknya pola deteksi akan membutuhkan banyak sumber daya yang diinvestasikan.

Kekuatan brutal CAPTCHAS berbeda, di mana para peretas / spammer / pemanen TARGET situs tertentu. Ini tidak benar-benar berlaku untuk situs web kecil mom & pop yang mungkin menggunakan banyak metode obfuscation, atau situs di mana pengguna memposting berbagai format email dalam berbagai cara obfuscasi email (menghilangkan .com atau .net, dll).

Kebanyakan pemanen tidak sadar Javascript, yaitu mereka tidak memproses JS. Membuat metode-metode itu lebih mahal bagi para pemanen. Ada beberapa pemanen yang mencoba untuk memproses JS, tetapi seperti yang saya katakan itu sangat mahal ketika Anda menjalankan jutaan email dalam hitungan menit, Anda tidak ingin turun ke 10 atau 100 jika Anda dapat melakukan 1000-an.

Metode saya melakukan metode acak setiap kali bekerja sangat baik, saya belum mendapatkan spam di akun saya.


11
2018-01-21 04:57



Ide yang rapi menggunakan JS untuk mengaburkan alamat email, tetapi dalam banyak kasus (seperti di email, di situs ini, dll) itu tidak benar-benar pilihan. Namun, saya setuju bahwa itu harus menjadi praktik standar di situs yang memungkinkan pengguna untuk mengekspos email mereka ke pengguna lain. - Kyle Cronin