L'obscurcissement d'adresse électronique fonctionne-t-il réellement? [fermé]


467

La plupart du temps, lorsque je vois quelqu'un poster son adresse électronique en ligne, en particulier s'il s'agit d'une adresse personnelle, il utilise quelque chose comme:

moi [à] exemple [dot] com

au lieu de l'adresse e-mail réelle (me@example.com). Même les meilleurs membres de cette communauté utilisent des styles similaires dans leurs profils:

jt.superuser [AT] gmail [DOT] com

quixote point su là-bas près de cet endroit gmail

La raison typique est que ce type d'obfuscation empêche l'adresse e-mail d'être automatiquement reconnue et récupérée par les spammeurs. À une époque où les spammeurs peuvent battre tous les captchas, à l'exception des plus diaboliques, est-ce vraiment le cas? Et compte tenu de l'efficacité des filtres anti-spam modernes, est-il vraiment important que votre adresse e-mail soit collectée?


10
La parole de Google à ce sujet est que transformer @ en n'importe quelle forme facilite la recherche sur Google. Même avec une adresse hotmail vieille de dix ans, je peux lier la quasi-totalité de mes spams à des moments où j'ai donné mon adresse (faux noms, etc.). Je ne reçois pas beaucoup de spam lorsque mon courrier est publiquement accessible.
tobylane

Voici une alternative: iconico.com/emailProtector
paradroid

@Saytha On dirait que Ivo l'a soumis aussi . Probablement préférable de voter celui-là à la place.
Kyle Cronin le

6
Dupe: cela a été demandé il y a 1 an sur SO . La chose intéressante est que la réponse acceptée était la même de cet article reliant le même article
systempuntoout

Ce n'est pas obscur, mais je dirais que c'est un bon endroit pour utiliser des adresses électroniques jetables et les faire alterner périodiquement (c'est-à-dire automatiquement), avec l'idée que les exploitants n'utiliseront pas les informations aussi rapidement que les correspondants légitimes.
Stephanie

Réponses:


552

Il y a quelque temps, je suis tombé sur le poste de quelqu'un qui a créé un pot de miel et a attendu que des adresses e-mail différemment obsolètes reviennent:

Neuf façons de masquer les adresses électroniques comparées

CSS Codedirection 0 MB spam

<span style="unicode-bidi:bidi-override; direction: rtl;">
moc.elpmaxe@zyx
</span>

Affichage CSS: aucun 0 Mo

xyz<span style="display:none">foo</span>@example.com

Chiffrement ROT13 0 Mo

klm@rknzcyr.pbz

Utiliser des AT et des DOT 0.084 MB

xyz AT example DOT com

Construire avec Javascript 0.144 MB

var m = 'xyz';         // you can use any clever method of
m += '@';              // creating the string containing the email
m += 'example.com';    // and then add it to the DOM (eg, via
$('.email').append(m); // jquery)

Remplacer "@" et "." avec des entités 1.6 MB

xyz&#64;example&#46;com

Fractionner un courrier électronique avec des commentaires 7.1 MB

xyz<!-- eat this spam -->@<!-- yeah! -->example<!-- shoo -->com     

Code Url 7.9 MB

xyz%40example.com

Texte brut 21 MB

xyz@example.com

Ceci est le graphique statistique original réalisé par Silvan Mühlemann, tout le mérite lui revient:

Les statistiques telles que faites par Silvan Mühlemann

Donc, pour répondre à la question: oui, (d’une certaine manière) l’obscurcissement de courrier électronique fonctionne.


69
Malheureusement, cela ne montre pas le nombre d'utilisateurs réels qui ont évité d'envoyer des courriers électroniques car l'adresse était difficile à récupérer dans les différents formats. Je suis sûr que ce nombre serait petit, mais il est peu probable qu'il soit nul
Gareth le

20
@Gareth: les adresses e-mail réelles sont clairement visibles avec les méthodes 1, 2, 6, 7 et 8, avec les méthodes 2 et 5, elles sont (re) construites par jscript et sont à nouveau clairement visibles et fonctionnent même avec "mailto:" ( coz le jscript modifie le dom afin que tout soit beau). vous remarquerez que les méthodes les plus efficaces sont celles qui aboutissent à "l’utilisateur ne doit rien faire pour lire / interpréter" l’adresse mail. "visible" signifie "vous pouvez simplement copier N coller l'e-mail de votre navigateur.
akira

12
J'aimerais que cette étude soit reprise avec des méthodes qui produisent des liens mailto: plutôt que de simples adresses électroniques textuelles. Un spambot peut réagir différemment s’il voit un mailto: avec une adresse masquée, que la désobscurcissement soit effectuée par JS ou par intervention humaine - c’est un indice fort qu’il existe une adresse mail - mais les liens mailto: sont beaucoup plus utiles à lecteurs.
lundi

61
Lorsque j'ai copié l' rtlexemple sur la page liée (Chrome 8, Mac), cela moc.etalllit@7raboofnavliss'est retrouvé dans mon presse-papiers. Donc, peut-être que ce n'est pas si pratique pour une utilisation dans le monde réel.
S4y

3
C'est dommage que l'idée de RTL ne soit pas compatible avec le simple copier / coller, c'était une solution créative.
paroles sauvages

225

J'ai toujours aimé la solution simple, élégante et élégante:

Tacky Turing 0MB

xyzmy@pantsexample.com

To email me, first you have to remove my pants.

En utilisant cette méthode, je ne reçois aucun spam. En fait, je ne reçois aucun email.


8
@iain, example.comne souffre de rien, mais d'un domaine de test par sa conception, tout comme example.netquelques autres. Il n'y a pas de gestionnaire de messagerie défini pour example.com.
Arjan

8
Si vous avez déjà lu le RFC ( rfc-editor.org/rfc/rfc2606.txt ), vous sauriez que "exemple.com" (et .net et .org) sont des noms de domaine officiellement réservés. Mais utiliser un "faux" nom de domaine qui n'est pas officiellement réservé n'est pas agréable pour le détenteur du domaine approprié (le cas échéant). Il n'y a pas de pantsexample.com actuellement enregistré, mais il aurait pu l'être.
sensations fortes

1
il vaut peut-être mieux l'utiliser à la xyzmy@mypantsexample.complace, juste pour que ce soit bien plus clair que c'est une instruction et pas seulement d'être impertinent.
Synetech

3
Pourquoi pas xyz@"mypants."example.com... Pour m'envoyer un email, vous devez d'abord l'enlever "my pants.". Je pense que ce serait aussi efficace et que reducesle propriétaire d'un nom de domaine innocent en aurait la possibilité. (BTW - je n'utilise aucune de ces méthodes).
Kevin Fegan

3
Actual LOL à "... n'importe quel email"
EvilDr

49

Cory Doctorow a récemment publié un article intéressant sur ce sujet dans lequel il affirmait que l'obscurcissement du courrier électronique ne sert à rien, et qu'une approche plus optimale consiste à gérer intelligemment le spam que vous recevez.

Version TL; DR:

  • L'objectif de cet exercice n'est pas de réduire la quantité de spam que vous recevez dans votre courrier électronique, mais la quantité de spam que vous devez supprimer manuellement de votre boîte de réception.
  • L'obscurcissement des e-mails est une lutte constante pour obtenir un encodage toujours sophistiqué, à la fois anti-bot et lisible par l'homme, et pèse lourdement sur la productivité du créateur et du correspondant.
  • "Presque toutes les adresses e-mail que vous utilisez pendant un certain temps sont finalement suffisamment connues pour que vous puissiez supposer que tous les spammeurs l'ont."
  • "La commodité d'adresses e-mail stables et faciles à copier" permet de se cacher des spambots.

13
C’est vrai si vous pensez que le coût du spam dépend entièrement de l’effort mental de le traiter. Si vous croyez que le coût du spam dépend en partie de la bande passante ou de la maintenance des filtres anti-spam, il est utile d'empêcher le spam d'atteindre votre boîte de réception. Ces deux éléments ont un coût permanent (un parallèle avec l’élément «améliorer votre obsolescence» dans la discussion), c’est simplement que des services comme Google sont prêts à le fournir au prix de la lecture de toute votre correspondance privée.
mardi

4
@ijw - Le coût actuel d'une équipe de quelques personnes chez Google assurant la maintenance du système de filtrage du courrier indésirable sera toujours inférieur à ce que ses centaines de millions de clients fassent n'importe quoi. En supposant que le spam soit maintenu à une quantité raisonnable, la bande passante ne constitue probablement pas un problème non plus.
Kevin Vermeer

9
La version de tldr est plus longue.
Synetech

5
@ Synetech: l'affiche signifiait probablement que la lecture de l'article lié était la version longue.
Daniel Andersson

Si l'obfuscation est suffisamment compliquée, les spammeurs auront besoin de ressources considérables pour obtenir l'adresse e-mail (car, selon le théorème de Rice, il est impossible de prédire le résultat d'un programme donné sans l'exécuter). Disons qu'il faut 3 secondes sur un ordinateur décent pour déchiffrer l'adresse électronique. Ce serait bien pour un humain. Ce n'est pas le cas pour les robots qui le font à grande échelle. En bref, il est très coûteux pour les robots de recevoir les adresses électroniques.
Kaveh

28

Tant de gens utilisent encore @et .carrément qu’un spammeur n’a guère besoin de trouver un moyen de vaincre toute forme d’obscurcissement; travail non accompli est argent / temps non dépensé.


12
C'est vrai, et les spammeurs se rendent probablement compte que les personnes qui masquent leur adresse électronique ne veulent pas et ne craignent pas le spam de toute façon, mais d'un autre côté, il y a des pêcheurs qui sont payés pour chaque adresse pour lesquels il serait facile d'identifier certains les modèles d'obfuscation de base (avoir "gmail" sur la page est un début)
Kyle Cronin le

5
Exactement. Sans parler des performances d'un analyseur syntaxique d'utiliser un tel modèle pour traiter autant de données.
John T

4
Je ne dissimule pas mon courrier électronique, fwiw je n'ai vu aucune différence avec / ou sans obscurcissement. Même s’il est adopté, Gmail récupère assez bien le spam. Même si ce n’est pas le cas, je clique simplement sur le bouton Signaler le spam.
Sathyajith Bhat

8
OTOH, si un polluposteur voit une adresse mail obfusquée, il peut être sûr que c'est une adresse email vraiment utilisée, sinon pourquoi la masquer? Notez que le polluposteur ne se soucie pas de savoir si le spam est efficace, mais il se soucie du nombre de destinataires qui reçoivent réellement le spam. Il vend des services de spam, pas de produits.
Elazar Leibovich le

25

Tout ce qui est fait par beaucoup de gens sera vaincu, mais si vous cachez votre adresse e-mail de manière à ce que peu de sites Web le fassent, les spammeurs n'investiront pas l'argent pour le trouver. (Ils essaient de gagner de l'argent, alors ils n'investiront beaucoup que lorsque les rendements seront élevés.)

Donc, n'utilisez pas une méthode que d'autres personnes utilisent, inventez la vôtre, voici une méthode que je viens de vous proposer: (ne la copiez pas toutes, sinon elle cessera de fonctionner)

Email supprimer tous les numéros et utiliser le même domaine que mon site Web est sur i23an@notMyDomain.com


1
Les spammeurs dépendent des "fournisseurs de spam" pour prendre en charge les détails techniques nécessaires à l'extraction des adresses e-mail des sites Web (et d'autres sources, telles que des documents de traitement de texte et des tableurs, parfois obtenus via SpyWare). Ainsi, tout ira bien jusqu’à ce qu’un fournisseur de logiciel indésirable remarque ce que vous faites (et sachez comment le contrer). +1 car cette réponse utilise un argument logique généralement correct.
Randolf Richardson

@Randolf, pas de "fournisseurs de logiciels malveillants" fera moins de 100 adresses e-mail, donc tout ce qui est "différent" est lickly de travailler comme l'un des site Web de la plupart des gens
Ian Ringrose

En fait, je suis d’accord avec vous (et je vois votre commentaire comme un soutien supplémentaire pour le mien) car les éditeurs de logiciels anti-spam le considèrent comme une fonctionnalité qui les place en avance sur leurs concurrents (notamment les autres éditeurs de logiciels anti-spam) - votre estimation de moins de quelques-uns cent adresses e-mail me semblent correctes (+1 pour votre commentaire, sauf que cela ne fonctionne pas car une boîte rose apparaît alors je réessayerai plus tard).
Randolf Richardson

2
> Tout ce qui est fait par beaucoup de gens sera vaincu. Convenu, mais remplacez «vaincu» par « exploité» . C'est pourquoi les pirates informatiques se sont rarement souciés d'écrire des logiciels malveillants pour Apple ou Linux. Qu'elles soient ou non «plus sécurisées que Windows» est sans importance; ces cibles ne valaient tout simplement pas le temps. Au moins, c'était le cas auparavant. De nos jours, Apple a une base d'utilisateurs beaucoup plus importante, ce qui en fait une cible plus attrayante, et Linux est utilisé sur un plus grand nombre de serveurs professionnels. C'est la même chose avec les mesures de sécurité. Si la fissuration vous gagne peu, la plupart ne s'en donneront pas la peine. Si craquer vous gagne le monde, eh bien…
Synetech le

15

Les spammeurs ne sont pas la NSA. Il n'est pas important qu'ils craquent votre obfuscation. Tout effort fait pour dissimuler votre adresse e-mail est probablement suffisant pour la tâche.

La question la plus intéressante est: pourquoi ne pas simplement utiliser un compte de messagerie jetable comme seuil pour filtrer les réponses sur les forums publics? De cette façon, vous ne vous souciez pas de savoir si le compte reçoit du spam. Après avoir vérifié les réponses légitimes, vous pouvez contacter vos correspondants via votre compte de messagerie habituel.


+1 pour une solution qui fonctionne bien pour les besoins à court terme.
Randolf Richardson

11

Oui, c’est vrai dans la plupart des cas, car vous avez besoin d’un modèle pour la collecte des e-mails. Plus le modèle est complexe, plus le modèle coûte cher (temps / argent) aux spammeurs. Bien sûr, rien n’arrête la récolte manuelle, mais c’est très faible. La chose qui est généralement faite est non encodée en JS, les e-mails en texte brut sont récoltés (vérifiez tout site Web inchangé vieux de 1 à 2 ans, et je vous parie 20 $ que son e-mail en texte brut et qu'ils reçoivent une tonne de spam).

Dans mon entreprise, tous les courriels externes sont masqués à l’aide d’une série de méthodes côté serveur et côté client JS.

Ainsi, un email ne ressemble jamais vraiment à un email, et le modèle change TOUJOURS. Vous seriez surpris de voir à quel point cette méthode fonctionne, bien que certaines méthodes soient compromises et faciles à utiliser, mais des méthodes plus élaborées d’obscurcissement de la messagerie rendent généralement inutile la collecte, étant donné que la simple détection de modèles nécessite beaucoup de ressources investies.

La force brute de CAPTCHAS est différente, où les pirates / spammeurs / récolteurs ciblent un site spécifique. Cela ne s'applique pas vraiment aux petits sites Web maman-pop qui pourraient utiliser une myriade de méthodes d'obscurcissement, ou aux sites où les utilisateurs envoient des courriels de formats différents de différentes manières (en omettant le .com ou le .net, etc.).

La plupart des pêcheurs ne sont pas au courant de JavaScript, c’est-à-dire qu’ils ne traitent pas JS. Rendre ces méthodes plus coûteuses pour les pêcheurs. Certains collecteurs essaient de traiter les JS, mais comme je l'ai dit, cela coûte très cher de gérer des millions de courriers électroniques en quelques minutes. Vous ne voulez pas descendre à 10 ou 100 si vous pouvez en faire 1 000.

Ma méthode de faire une méthode aléatoire chaque fois fonctionne très bien, je n'ai pas encore de spam sur mon compte.


Belle idée d'utiliser JS pour masquer l'adresse e-mail, mais dans la plupart des cas (comme dans un e-mail, sur ce site, etc.), ce n'est pas vraiment une option. Cependant, je conviens que cela devrait être une pratique courante sur les sites qui permettent aux utilisateurs d'exposer leur courrier électronique à d'autres utilisateurs.
Kyle Cronin le

11

J'ai 2 méthodes d'obscurcissement non mentionnées. Ni l'un ni l'autre ne présentent l'avantage d'être un lien cliquable, ni même de copier-coller.

  • Utilisez un élément graphique au lieu du texte.

  • Alignez les éléments verticalement, avec des colonnes d'autres éléments à gauche et / ou à droite:

email     dummy@
me at:    example.com

2
Certains spammeurs utilisent l'OCR pour contourner l'élément graphique, mais pour autant que je sache, ceci est encore assez rare et devrait donc continuer à fonctionner correctement tant que les utilisateurs aveugles n'ont pas besoin de vous contacter. +1 pour partager des idées utiles.
Randolf Richardson

C'est un excellent moyen de ruiner votre UX. Pas seulement pour les aveugles, pour tout le monde.
Fabian von Ellerts

1
@ FabianvonEllerts Je ne le nie pas. C'est un compromis que chacun doit faire pour lui-même.
Mark Ransom

8

JS obfuscation fonctionne jusqu'à un certain point avec des collecteurs simples basés sur wget, mais j'imagine que des instances d'IE activées pour JS sont également utilisées et qu'elles peuvent lire ce que l'utilisateur Web verrait.

Lorsque l'adresse est collectée ou volée via une faille de sécurité sur l'un de vos sites préférés, comme il le sera éventuellement, elle sera pour toujours reproduite sur les listes de spammeurs.

Ma propre adresse e-mail est si ancienne qu'elle est antérieure au spam et qu'elle est donc visible sur le net. Je reçois donc des milliers de tentatives de diffusion par semaine ... lancez-la! J'ai eu le temps de développer un système sophistiqué qui le transforme efficacement en spamtrap, avec des informations très utiles automatiquement rapportées à spamcop pour aider la communauté.

Le spam sera vaincu un jour et j'ai vu des signes encourageants indiquant qu'il est en déclin.


6

Une chose qui a très bien fonctionné pour moi est d’utiliser ASP.NET pour créer un "LinkButton". Ce linkbutton a alors une Response.Redirect("mailto:MailAddress");action "onClick". Cela entraînera le LinkButton ayant un javascript:DoPostBack(...)comme l'URL. En fin de compte, il fait une requête au serveur qui renvoie une "redirection vers l'adresse mail". Les robots de la ferme n'ont jamais reçu cet email.


3
probablement aucun utilisateur n’a eu la chance de se plaindre de l’impossibilité d’envoyer des commentaires aussi :)
Free Consulting

1
cela ne fonctionnera que si beaucoup d'autres personnes ne le font pas.
Ian Ringrose

@ Ver: Cela a fonctionné avec tous les navigateurs, je l'ai testé. Si vous redirigez vers un mailto, cela fonctionnera. @Ian: Oui, j'espère que cela restera comme ça, sinon les robots commenceront à écouter les redirections sur les publications JS. Si vous mettez un ScriptManager ici, cela ira beaucoup plus loin ... "obscurcir" cependant. Il fera d'abord une publication JS AJAX avec ensuite renvoie une commande pour aller à la mailto.
Sinni800

1
Je voudrais voir le code généré pour cela, car je n'ai aucune idée de ce qui se passe avec ASP.NET
Free Consulting

1
metalgearsonic.de/default.aspx Voilà, WormRegards. Côté serveur ET code client lisible ici.
Sinni800

6

J'ai mis mon adresse électronique en clair sur le Web, et contrairement à la croyance populaire, cela ne semble pas avoir d'effet sur la quantité de spam que je reçois. Il est stable à une moyenne de 3 par jour pendant une longue période. Donc, je dirais que l'obscurcissement est inutile.

Je remarque que les noms d'utilisateurs très courts (par exemple, wim@example.com) génèrent davantage de spam. Apparemment, les adresses électroniques utilisées par les spammeurs sont simplement générées en essayant toutes les combinaisons de lettres courtes possibles et en utilisant des listes de noms.


Il y a beaucoup de devinettes, d'attaques par dictionnaire, et diverses autres techniques utilisées par les spammeurs. De plus, les adresses communes telles que info @ et sales @ sont supposées être toujours valables (et le sont souvent pour de nombreux domaines). Il existe également un délai dans lequel le spam augmente pour une adresse, plus les spammeurs le savent depuis longtemps, car ils se vendent des listes. J'exploite un certain nombre de pièges de spam et j'ai constaté que le spam augmente généralement avec le temps, malgré le blocage basé sur une combinaison de listes noires et de filtres basés sur DNS.
Randolf Richardson

4

Je ne pense pas que cela aide beaucoup d'utiliser standard [AT]et [DOT], mais utiliser des mots qui signifient des choses ou qui peuvent être compris comme signifiant un point et ... ou même _A((T>>tout ce qui est raisonnablement aléatoire ... juste mes pensées sur le matière.


4

Si vous essayez de rechercher des adresses e-mail avec Google, vous découvrirez que c'est vraiment difficile et que, pour une raison quelconque, Google n'en a pas beaucoup sous la forme "common.name@wellknown.domain" - peut-être une restriction de soi. ?

Si je recherche "maier [at]] berlin.de", je trouve plus de résultats que si je cherche "maier@berlin.de", et le @ semble fonctionner comme un signe de joker. Les hits ne sont pas vraiment des adresses mail.

Et de l’autre côté, vous voulez que vos clients (si vous en avez un et que vous les contactiez sur le Web) utilisent un lien mailto confortable, sans manipuler ni retirer les pantalons de fantaisie.

Donc, si vous ne faites toujours pas confiance à Google, Bing, Bong et Zong (peut-être qu'ils vendent des adresses mail séparément?), Vous pouvez composer votre adresse email avec un peu de Javascript :

"mailto" + ":" + "wagner" + "." + "stefan" + "@" + "paris" + "." + "de" 

J'imagine que la plupart des webcrawlers n'interprètent pas le Javascript et auront du mal à trouver votre adresse dans un processus complexe, automatisé et peu coûteux.


3

De mon expérience avec le Sblam! service anti-spam il y a beaucoup de spammeurs techniquement incompétents, qui continuent néanmoins à essayer, probablement parce qu'il y a beaucoup d'e-mails non protégés à récupérer (et des sites non protégés à spam), de sorte qu'une simple obfuscation peut arrêter certains pêcheurs.

OTOH met à jour les expressions régulières dans une récolteuse à rechercher (@| AT )n'est pas sorcier et probablement de nombreux spammeurs l'ont déjà fait.


Les énigmes qui dérangent les humains n'en valent pas la peine. J'ai conçu une obfuscation conforme aux normes qui code les courriers avec des entités, le codage d'url et ajoute des constructions inhabituelles à l'URL et au HTML ( code source ):

http://hcard.geekhood.net/encode/?addr=test@example.com

Cela donne un lien qui est lisible et entièrement fonctionnel pour de vrais utilisateurs, mais qui ne peut être exploité que par les spammeurs qui s’efforcent d’analyser correctement le HTML et les URL (cela pourrait éviter certains spams, ou au moins promouvoir les standards Web chez les rédacteurs!)


1
Découvrez Sblam! exigences :-)
Consultation gratuite le

Plutôt cool sauf pour ça .
Michael

2

Étant donné que les listes de courrier électronique sont vendues, une entreprise peut trouver la plus facile, puis d'autres peuvent l'utiliser. De cette façon, il ressemble à n'importe quel DRM.


2
Qu'entendez-vous par "une entreprise peut comprendre la plus facile"?
Andrew Grimm le
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.