Pregunta ¿Funciona realmente la ofuscación de la dirección de correo electrónico? [cerrado]


La mayoría de las veces, cuando veo que alguien publica su dirección de correo electrónico en línea, especialmente si se trata de una dirección personal, utilizan algo así como

yo [at] ejemplo [punto] com

en lugar de la dirección de correo electrónico real (me@example.com). Incluso los mejores miembros de esta comunidad usan estilos similares en sus perfiles:

jt.superuser [AT] gmail [DOT] com

Quijote  punto  su  más allá cerca de eso  Gmail  lugar

La lógica habitual es que este tipo de ofuscación impide que los spammers reconozcan y recojan automáticamente la dirección de correo electrónico. En una época en la que los spammers pueden vencer a todos los captchas, excepto a los más diabólicos, ¿es esto cierto? Y dada la efectividad de los modernos filtros de spam, ¿realmente importa si su dirección de correo electrónico es recolectada?


448


origen


La palabra de Google sobre esto es que convertir @ en cualquier forma hace que sea más fácil encontrarlo en Google. Incluso con una dirección de hotmail de diez años, puedo vincular casi todo mi correo no deseado con las veces que regalé mi dirección (nombres falsos, etc.). No recibo mucho spam de mi correo electrónico que se puede encontrar públicamente. - tobylane
Aquí hay una alternativa: iconico.com/emailProtector - paradroid
@Saytha parece Ivo lo envió también. Probablemente sea mejor votar a ese en su lugar. - Kyle Cronin
Dupe: fue preguntado Hace 1 año en SO. Lo interesante es que la respuesta aceptada fue la misma de esta publicación que vincula el mismo artículo - systempuntoout
No es ofuscación, pero diría que es un buen lugar para usar direcciones de correo electrónico desechables y rotar las direcciones periódicamente (es decir, automáticamente), con la idea de que los recolectores no usarán la información tan rápido como lo harán los corresponsales legítimos. - Stephanie


Respuestas:


Hace algún tiempo me topé con la publicación de alguien que creó un honeypot y esperó a que volvieran direcciones de correo electrónico diferentes:

Nueve formas de confundir las direcciones de correo electrónico comparadas

Dirección codificada CSS 0 MB de spam

<span style="unicode-bidi:bidi-override; direction: rtl;">
moc.elpmaxe@zyx
</span>

Pantalla CSS: ninguna 0 MB

xyz<span style="display:none">foo</span>@example.com

ROT13 Cifrado 0 MB

klm@rknzcyr.pbz

Usar AT y DOT 0.084 MB

xyz AT example DOT com

Construyendo con Javascript 0.144 MB

var m = 'xyz';         // you can use any clever method of
m += '@';              // creating the string containing the email
m += 'example.com';    // and then add it to the DOM (eg, via
$('.email').append(m); // jquery)

Reemplazando '@' y '.' con entidades 1.6 MB

xyz&#64;example&#46;com

División de correo electrónico con comentarios 7.1 MB

xyz<!-- eat this spam -->@<!-- yeah! -->example<!-- shoo -->com     

Urlencode 7.9 MB

xyz%40example.com

Texto sin formato 21 MB

xyz@example.com

Este es el gráfico estadístico original hecho por Silvan Mühlemann, todo el crédito va hacia él:

The Stats as it was made by Silvan Mühlemann

Por lo tanto, para responder a la pregunta: Sí, (en cierto modo) la ofuscación del correo electrónico funciona.


537



Lamentablemente, lo que no muestra es la cantidad de usuarios reales que evitaron enviar correos electrónicos porque la dirección era difícil de recuperar en los distintos formatos. Estoy seguro de que ese número sería pequeño, pero es poco probable que sea cero - Gareth
@Gareth: las direcciones de correo electrónico reales son claramente visibles con los métodos 1, 2, 6, 7 y 8, con 2 y 5 son (re) construidas por jscript y son nuevamente visibles e incluso funcionan con "mailto:" ( porque el jscript modifica el dom para que todo se vea bien). Notará que los métodos más efectivos son los que dan como resultado "el usuario no tiene que hacer nada para leer / interpretar" la dirección postal. "visible" significa "solo puede copiar N pegar el correo electrónico de su navegador". - akira
Me gustaría que este estudio se rehaga con métodos que produzcan mailto: enlaces en lugar de direcciones de correo electrónico simples. Un spambot podría reaccionar de manera diferente si ve un mailto: con una dirección ofuscada, si la ofuscación es realizada por JS o la intervención humana, es una fuerte pista de que hay una dirección de correo allí, pero mailto: los enlaces son mucho más útiles para lectores. - ijw
Cuando copié el rtl ejemplo en la página vinculada (Chrome 8, Mac), moc.etalllit@7raboofnavlis terminó en mi portapapeles Entonces, tal vez esto no sea tan práctico para el uso en el mundo real. - s4y
Es una pena que la idea rtl no sea compatible con copiar / pegar, fue una solución creativa. - wildpeaks


Siempre me ha gustado la solución elegante, simple y sin mencionar de usar:

Tacky Turing 0 MB

xyzmy@pantsexample.com

To email me, first you have to remove my pants.

Usando este método no recibo spam. De hecho, no entiendo alguna correo electrónico.


221



@iain, example.com no está sufriendo nada, sino un dominio de prueba por diseño, al igual que example.net y algunos otros No hay controladores de correo electrónico definidos para example.com. - Arjan
Si alguna vez leíste el RFC (rfc-editor.org/rfc/rfc2606.txt) sabrá que "example.com" (y .net y .org) son nombres de dominio reservados oficialmente. Pero usar un nombre de dominio "falso" que no está oficialmente reservado no es bueno para el titular del dominio adecuado (si lo hay). No hay pantsexample.com actualmente registrado, pero podría haberlo sido. - thrillscience
puede ser mejor usar xyzmy@mypantsexample.com en cambio, solo para que quede más claro que es una instrucción y no solo ser atrevido. - Synetech
Qué tal si xyz@"mypants."example.com ... Para enviarme un correo electrónico, primero debes eliminar "my pants.". Creo que sería tan efectivo, y reducesla posibilidad de que un propietario inocente de un nombre de dominio reciba spam de este. (Por cierto, no uso ninguno de estos métodos). - Kevin Fegan
LOL real en "... cualquier correo electrónico" - EvilDr


Hubo un interesante artículo de Cory Doctorow recientemente sobre este tema aquí que argumentó que la ofuscación del correo electrónico no sirve para nada, y un enfoque más óptimo es administrar inteligentemente el correo no deseado que recibe.

TL; DR versión:

  • El objetivo de todo este ejercicio no es reducir la cantidad de correo no deseado que recibe en su correo electrónico, sino la cantidad de correo basura que recibe. manualmente tiene que eliminar de su bandeja de entrada.
  • La ofuscación de correo electrónico es una batalla constante para crear una codificación sofisticada, humana y legible, y es una carga para la productividad tanto del creador como del corresponsal.
  • "Casi cualquier dirección de correo electrónico que utilice por un período de tiempo con el tiempo se vuelve suficientemente conocida como para que suponga que todos los spammers lo tienen".
  • "La comodidad de las direcciones de correo electrónico estables y fáciles de copiar" gana al tratar de esconderse de los spambots.

48



Esto es cierto si usted cree que el costo del correo basura se debe exclusivamente al esfuerzo mental de procesarlo. Si crees que parte del costo del correo no deseado es en ancho de banda o en el mantenimiento de filtros de correo no deseado, entonces evitar que el spam llegue a tu bandeja de entrada es un objetivo valioso. Ambos elementos tienen un costo continuo (un paralelo con el elemento "mejorar su obstrucción" en la discusión), es solo que los servicios como Google están dispuestos a proporcionarlo por el precio de poder leer toda su correspondencia privada. - ijw
@ijw - El costo constante de un equipo de unas pocas personas en Google manteniendo el sistema de filtro de correo no deseado siempre será menor que hacer que sus cientos de millones de clientes hagan cualquier cosa. Suponiendo que el spam se mantenga en una cantidad razonable, el ancho de banda probablemente tampoco sea un gran problema. - Kevin Vermeer
La versión de tldr es más larga. - Synetech
@Synetech: el póster probablemente significaba que la lectura del artículo vinculado era la versión larga. - Daniel Andersson
Si la ofuscación es lo suficientemente complicada, los spammers necesitarán recursos considerables para obtener la dirección de correo electrónico (porque según el teorema de Rice no hay forma de predecir el resultado de un programa dado sin ejecutarlo). Digamos que lleva 3 segundos en una computadora decente descifrar la dirección de correo electrónico. Estaría bien para los humanos. No ocurre lo mismo con los robots que lo hacen a gran escala. En resumen, hace que sea muy costoso para los robots obtener las direcciones de correo electrónico. - Kaveh


Mucha gente todavía usa @ y . francamente que hay poco necesitar para que un spammer encuentre una manera de vencer cualquier tipo de ofuscación; el trabajo no hecho es dinero / tiempo no gastado.


28



Es cierto, y los spammers probablemente se den cuenta de que las personas que ofuscan su dirección de correo electrónico no quieren y no caerán en el spam de todos modos, pero por el otro lado hay algunos recolectores que cobran por dirección para quienes sería trivial identificar algunos de los patrones básicos de ofuscación (tener "gmail" en la página es un comienzo) - Kyle Cronin
Exactamente. Sin mencionar el golpe de rendimiento en un analizador para usar dicho patrón al procesar esa cantidad de datos. - John T
No ofusco mi correo electrónico, ya que no he visto ninguna diferencia con / sin ofuscación. Incluso si funciona, Gmail hace un muy buen trabajo para atrapar spam, y aunque no lo haga, solo presiono ese botón Reportar Spam. - Sathya♦
OTOH, si un spammer ve una dirección de correo ofuscada, puede estar seguro de que esta es una dirección de correo electrónico realmente usada, sino ¿por qué ofuscarla ?. Tenga en cuenta que al spammer no le importa si el correo basura es efectivo, pero le importa cuántos de los destinatarios realmente reciben el correo no deseado. Vende servicios de spam, no productos. - Elazar Leibovich


Cualquier cosa eso es hecho por un montón de personas serán derrotadas, pero si oculta su dirección de correo electrónico de una manera que no lo hacen muchos sitios web, entonces los spammers no invertirán el dinero para encontrarla. (Están tratando de ganar dinero, por lo que solo invertirán mucho cuando los rendimientos sean altos).

Así que no utilices un método que otras personas usen, crea el tuyo, este es uno que acabo de presentar: (No todos lo copian, o dejará de funcionar)

Correo electrónico eliminar todos los números y utilizar el   mismo dominio que mi sitio web está en   i23an@notMyDomain.com


24



Los spammers dependen de los "vendedores de spam" para que se encarguen de los detalles técnicos relacionados con la extracción de direcciones de correo electrónico de sitios web (y de otras fuentes, como documentos de procesador de textos y hojas de cálculo, a veces obtenidas a través de SpyWare). Por lo tanto, estará bien hasta que un proveedor de spam advierta lo que está haciendo (y pueda averiguar cómo contrarrestarlo). +1 porque esta respuesta usa un argumento lógico que generalmente es correcto. - Randolf Richardson
@Randolf, ningún "vendedor de spam" hará el esfuerzo por menos de unas 100 direcciones de correo electrónico, por lo que cualquier cosa que sea "diferente" es lickly para funcionar como uno de los sitios web de la mayoría de las personas - Ian Ringrose
De hecho, estoy de acuerdo contigo (y veo tu comentario como un apoyo adicional para el mío) porque los vendedores de spam verán eso como una característica que los pone por delante de sus competidores (es decir, otros vendedores de spam): tu estimación de menos de unos pocos cientos de direcciones de correo electrónico me parecen correctas (+1 para su comentario, excepto que no está funcionando ya que aparece un cuadro rosa, así que lo intentaré de nuevo más adelante). - Randolf Richardson
> Cualquier cosa que sea hecha por mucha gente será derrotada De acuerdo, pero reemplace "derrotado" con explotado. Es por eso que los hackers rara vez se han molestado en escribir malware para Apple o Linux. Si son o no "más seguros que Windows" es irrelevante; esos objetivos simplemente no valían la pena el tiempo. Al menos, ese solía ser el caso. En estos días, Apple tiene una base de usuarios mucho más grande, lo que lo convierte en un objetivo más atractivo, y Linux se utiliza en más servidores comerciales. Es lo mismo con las medidas de seguridad. Si el craqueo le gana poco, la mayoría no se molestará. Si cracking te gana el mundo, bueno ... - Synetech


Los spammers no son la NSA. No es importante que rompan tu ofuscación. Cualquier esfuerzo realizado para disfrazar su dirección de correo electrónico es probablemente suficiente para la tarea.

La pregunta más interesante es, ¿por qué no utilizar una cuenta de correo electrónico desechable como límite para filtrar las respuestas en los foros públicos? De esta forma, no importa si la cuenta recibe correo no deseado, y después de verificar las respuestas legítimas, puede ponerse en contacto con sus correspondientes a través de su cuenta de correo electrónico habitual.


15



+1 para una solución que funciona bien para las necesidades a corto plazo. - Randolf Richardson


Sí, es cierto en la mayoría de los casos porque necesita un patrón para la recolección de correo electrónico, mientras más complejo sea el patrón, más caro (tiempo / dinero) es para que los spammers trabajen en la obtención de correos electrónicos. Por supuesto, nada detiene la cosecha manual, pero eso es muy bajo. Lo que normalmente se hace es no codificar JS, se recogen correos electrónicos de texto sin formato (consultar cualquier sitio web de 1-2 años que no haya cambiado, y apuesto a que $ 20 dólares su correo electrónico de texto plano y reciben toneladas de correo no deseado).

En mi empresa, todos los correos electrónicos externos se ofuscan usando una serie de métodos del lado del servidor y del lado del cliente JS.

Entonces, un correo electrónico nunca parece un correo electrónico, y el patrón SIEMPRE cambia. Se sorprendería de lo bien que funciona este método, seguro de que algunos métodos están comprometidos y se rompen fácilmente, pero los métodos más elaborados de ofuscación de correo electrónico generalmente hacen que la recolección sea inútil ya que la gran cantidad de detección de patrones requeriría una gran cantidad de recursos invertidos.

La fuerza bruta de CAPTCHAS es diferente, donde los hackers / spammers / harvesters se dirigen a un sitio específico. Esto realmente no se aplica a los sitios web pequeños de mamá y papá que podrían usar una miríada de métodos de ofuscación, o sitios donde los usuarios publican correos electrónicos de diferentes formatos en una variedad de formas de ofuscación de correo electrónico (omitiendo .com o .net, etc.).

La mayoría de los recolectores no conocen Javascript, es decir, no procesan JS. Hacer esos métodos más costosos para los cosechadores. Hay algunos recolectores que intentan procesar JS, pero como dije es muy costoso cuando se ejecutan millones de correos electrónicos en cuestión de minutos, no se quiere bajar a 10 o 100 si se pueden hacer 1000.

Mi método para hacer un método aleatorio cada vez funciona muy bien, todavía no he recibido ningún correo no deseado en mi cuenta.


11



Una idea clara al usar JS para ofuscar la dirección de correo electrónico, pero en la mayoría de los casos (como en un correo electrónico, en este sitio, etc.) eso no es realmente una opción. Sin embargo, acepto que debería ser una práctica estándar en sitios que permiten a los usuarios exponer sus correos electrónicos a otros usuarios. - Kyle Cronin


Tengo 2 métodos de ofuscación no mencionados. Ninguno ofrece el beneficio de ser un enlace seleccionable, o incluso cortar y pegar.

  • Use un elemento gráfico en lugar de texto.

  • Alinee los elementos verticalmente, con columnas de otras cosas a la izquierda y / o a la derecha:

email     dummy@
me at:    example.com

11



Algunos spammers están usando OCR para sortear el elemento gráfico, pero hasta donde sé, esto todavía es bastante raro, por lo que debería seguir funcionando bien para usted, siempre y cuando los usuarios ciegos no necesiten ponerse en contacto con usted. +1 para compartir algunas ideas útiles. - Randolf Richardson