電子メールアドレスの難読化は実際に機能しますか?[閉まっている]


468

ほとんどの場合、誰かが自分のメールアドレスをオンラインで投稿するのを見ると、特に個人アドレスの場合は、次のようなものを使用します。

me [at] example [dot] com

実際のメールアドレス(me@example.com)の代わりに。このコミュニティのトップメンバーでさえ、プロファイルで同様のスタイルを使用しています。

jt.superuser [AT] gmail [DOT] com

そのgmailの場所の近くのキホーテドット su

典型的な理論的根拠は、この種の難読化により、スパマーが電子メールアドレスを自動的に認識して収集するのを防ぐことです。スパマーが最も悪魔的なキャプチャを除いてすべてを打ち負かすことができる時代に、これは本当に本当ですか?そして、最新のスパムフィルターがどれほど効果的かを考えると、電子メールアドレスが収集されるかどうかは本当に重要ですか?


10
これに関するGoogleの言葉は、@を任意の形式で@にすると、Googleで見つけやすくなるということです。10年前のhotmailアドレスでも、ほとんどすべてのスパムを自分のアドレス(偽名など)を漏らした時間にリンクできます。私のメールが一般に見つけられるので、あまりスパムを受け取りません。
トビーレーン

代替手段は次のとおり
paradroid

@Saytha Ivo からも提出されたようです。代わりにそれを投票する方がおそらく良いでしょう。
カイルクローニン

6
Dupe:1年前にSOで尋ねられました。興味深いのは、受け入れ答えは同じ記事をリンクこの記事のと同じだったということです
systempuntoout

難読化ではありませんが、これは使い捨ての電子メールアドレスを使用し、定期的に(つまり、自動的に)アドレスをローテーションするのに適した場所だと思います。
ステファニー

回答:


553

しばらく前に、ハニーポットを作成し、さまざまな難読化された電子メールアドレスが戻ってくるのを待っている誰かの投稿を見つけました。

電子メールアドレスを難読化する9つの方法の比較

CSS Codedirection 0 MBスパム

<span style="unicode-bidi:bidi-override; direction: rtl;">
moc.elpmaxe@zyx
</span>

CSSディスプレイ:なし 0 MB

xyz<span style="display:none">foo</span>@example.com

ROT13暗号化 0 MB

klm@rknzcyr.pbz

ATとDOTの使用 0.084 MB

xyz AT example DOT com

Javascript 0.144 MBで構築

var m = 'xyz';         // you can use any clever method of
m += '@';              // creating the string containing the email
m += 'example.com';    // and then add it to the DOM (eg, via
$('.email').append(m); // jquery)

「@」と「。」の置き換え エンティティ 1.6 MB

xyz&#64;example&#46;com

コメント付きの電子メールの分割 7.1 MB

xyz<!-- eat this spam -->@<!-- yeah! -->example<!-- shoo -->com     

Urlencode 7.9 MB

xyz%40example.com

プレーンテキスト 21 MB

xyz@example.com

これは、SilvanMühlemannが作成した元の統計グラフです。

シルバン・ミューレマンが作成した統計

それで、質問に答えるために:はい、(ある意味では)電子メールの難読化は機能します。


69
残念ながら、これが表示されないのは、アドレスをさまざまな形式で取得するのが困難だったため、電子メールの送信を避けた実際のユーザーの数です。その数は少ないと思いますが、ゼロになることはまずありません。
ガレス

20
@Gareth:real-email-addresssは、メソッド1、2、6、7、および8で明確に表示され、2および5はjscriptによって(再)構築され、再び明確に表示され、「mailto:」でも動作します( coz jscriptはdomを変更するため、すべてが見栄えがよくなります 最も効果的な方法は、「ユーザーがメールアドレスを読む/解釈するために何もする必要がない」ことです。「目に見える」あなただけのNオフ、ブラウザの電子メールをコピー&ペーストすることができます」という意味。
アキラ

12
この調査は、単純なテキストメールアドレスではなく、mailto:リンクを生成するメソッドでやり直したいと考えています。スパムボットはmailtoを見ると異なる反応をする可能性があります:難読化されたアドレスを使用して、難読化がJSまたは人間の介入によって行われるかどうか-そこにメールアドレスがあるという強力なヒントがあります-しかし、mailto:リンクはより便利です読者。
ijw

61
rtlリンクされたページ(Chrome 8、Mac)に例をコピーmoc.etalllit@7raboofnavlisすると、クリップボードに表示されました。したがって、これは実際の使用にはあまり実用的ではないかもしれません。
-s4y

3
RTLのアイデアが単純なコピー/貼り付けと互換性がないことは残念ですが、それは創造的な解決策でした。
ワイルドピーク

225

私はいつもシンプルでエレガント、そして言うまでもなく使用する上品なソリューションが好きでした:

粘着性チューリング 0MB

xyzmy@pantsexample.com

To email me, first you have to remove my pants.

この方法を使用すると、スパムは受信しません。実際、私は得ることはありません任意の電子メールを。


8
@iain example.comは何にも苦しんでいませんが、設計上のテストドメインexample.netです。に定義されたメールハンドラはありませんexample.com
アルジャン

8
あなたはRFC(読んだ場合はrfc-editor.org/rfc/rfc2606.txtを)あなたは、正式に予約されたドメイン名である「example.com」(および.NETおよび.ORG)ことを知っていると思います。しかし、正式に予約されていない「偽の」ドメイン名を使用することは、適切なドメイン所有者(存在する場合)にとって好ましくありません。現在登録されているpantsexample.comはありませんが、登録されている可能性があります。
スリルサイエンス

1
xyzmy@mypantsexample.com単に生意気であるだけでなく、命令であることをさらに明確にするために、代わりに使用する方が良いかもしれません。
Synetech

3
方法xyz@"mypants."example.com...メールを送信するには、まずを削除する必要があります"my pants."。私はそれが同じくらい効果的だと思うreducesし、無実のドメイン名所有者がそこからスパムされる可能性がある。(ところで-これらの方法のどちらも使用しません)。
ケビンフェガン

3
「... any email」
EvilDr

49

Cory Doctorowによる最近の興味深い記事で、ここでメールの難読化はあまり目的を果たさず、より最適なアプローチは、受信したスパムをインテリジェントに管理することあると主張しました。

TL; DRバージョン:

  • この演習全体の目的は、メールに含まれるスパムの量を減らすことではなく、受信トレイから手動で削除する必要があるスパムの量を減らすことです
  • 電子メールの難読化は、常に洗練されたボットプルーフで人間が読み取れるエンコーディングを考案するための絶え間ない戦いであり、作成者と通信者の両方の生産性を損ないます。
  • 「あなたが任意の期間使用するほとんどすべての電子メールアドレスは、最終的に十分に広く知られるようになり、すべてのスパマーがそれを持っていると想定する必要があります。」
  • 「簡単にコピー&ペーストできる安定した電子メールアドレスの利便性」は、スパムボットから隠れようとすることに勝ります。

13
これは、スパムのコストが完全にそれを処理する精神的な努力にあると信じている場合にのみ当てはまります。スパムのコストの一部が帯域幅、またはスパムフィルターの維持にあると考えている場合は、そもそも受信トレイにスパムが届かないようにすることが価値のある目標です。これらの要素には両方とも継続的なコストがあります(議論の「難読化の改善」要素と同様)、Googleのようなサービスがあなたのすべてのプライベートな通信を読むことができる代価でそれを提供してくれるだけです。
-ijw

4
@ijw-スパムフィルターシステムを維持するGoogleの数人のチームの継続的なコストは、何億人もの顧客に何もさせないよりも常に低くなります。スパムが合理的な量に保たれていると仮定すると、帯域幅もおそらくそれほど問題ではありません。
ケビンフェルメール

9
tldrバージョンはより長いです。
Synetech

5
@Synetech:ポスターは、おそらくリンクされた記事を読むことが長いバージョンであることを意味していました。
ダニエルアンダーソン

難読化が非常に複雑な場合、スパマーがメールアドレスを取得するのにかなりのリソースが必要になります(ライスの定理により、特定のプログラムを実行せずに出力を予測する方法はありません)。まともなコンピューターでメールアドレスを解読するのに3秒かかるとしましょう。人間にとっては問題ないでしょう。大規模にそれをしているボットにはそうではありません。つまり、ボットが電子メールアドレスを取得するのに非常にコストがかかります。
Kaveh

28

非常に多くの人がまだ使用@.ているため、スパマーが何らかの難読化を打ち破る方法を考え出す必要はほとんどありません。行われていない作業はお金/時間を費やしていないことです。


12
確かに、スパマーはおそらく、電子メールアドレスを難読化する人はスパムを望まず、迷わないことを知っていますが、反対に、アドレスごとに支払いを受けるハーベスターがいます。基本的な難読化パターン(ページに「gmail」が含まれていることが始まりです)
カイルクロニン

5
まさに。そのようなデータを処理するときに、このようなパターンを使用するパーサーのパフォーマンスヒットは言うまでもありません。
ジョンT

4
メールの難読化は行っていませんが、難読化の違いはありません。たとえそれが通過したとしても、Gmailはスパムを捕まえるのにかなり良い仕事をします。そして、たとえそれが私がその[スパムを報告]ボタンを押すだけでなくても。
サティアジスバート

8
OTOH、スパマーが難読化されたメールアドレスを見つけた場合、これは実際に使用されているメールアドレスであると確信できます。スパマーは、スパミングが効果的であるかどうかは気にしませんが、実際にスパムを受信する受信者の数は気にすることに注意してください。彼は製品ではなくスパムサービスを販売しています。
エラザールレイボヴィッチ

25

何もすることによって行われ、多くの人々のが解除されますが、あなたがいない多くのWebサイトが行うような方法であなたの電子メールアドレスを非表示にした場合、その後、スパマーはそれを見つけることにお金を投資しません。(彼らはお金を稼ごうとしているので、リターンが高いときだけたくさん投資するでしょう。)

だから、他の人が使用している方法を使用しないで、あなた自身のものを考え出してください、これは私がちょうど思いついたものです:

電子メールはすべての番号を削除し、私のウェブサイトがi23an@notMyDomain.comにあるのと同じドメインを使用します


1
スパマーは「スパムウェアベンダー」に依存して、Webサイト(およびSpyWare経由で取得されることがあるワードプロセッサドキュメントやスプレッドシートなどの他のソース)からの電子メールアドレスの抽出に関連する技術的詳細を処理します。そのため、スパムウェアベンダーが自分のやっていることに気付くまで(そしてそれに対処する方法を見つけられるまで)大丈夫です。+1は、この答えが一般的に正しい論理的引数を使用しているためです。
ランドルフリチャードソン

@Randolf、ノー「スパムウェアベンダーは」数百個のメールアドレス少ないしためEFORTを行いますので、「異なる」ですanythinkはほとんどの人々のためのウェブサイトの一つとして動作するようにlicklyある
イアンRingrose

私は実際にあなたに同意します(そして、私はあなたのコメントを私のさらなるサポートと考えています)なぜなら、スパムウェアベンダーはそれを競合他社よりも先んじる機能(つまり、他のスパムウェアベンダー)と見なすからです-あなたの見積り数百のメールアドレスが私には正しいようです(ピンク色のボックスが表示されるので機能していませんが、後で再試行しますが、コメントに対して+1します)。
ランドルフリチャードソン

2
>多くの人々によって行われたものはすべて合意に打ち勝ちますが、「打ち負かされた」を搾取されたものに置き換えます。それが、ハッカーがAppleやLinux向けのマルウェアの作成に煩わされることがほとんどない理由です。「Windowsより安全」であるかどうかは関係ありません。それらの目標は、時間の価値がまったくありませんでした。少なくとも、以前はそうでした。最近では、Appleのユーザーベースははるかに大きくなり、より魅力的なターゲットになり、Linuxはより多くのビジネスサーバーで使用されています。セキュリティ対策についても同じです。クラッキングしてもほとんど効果がない場合、ほとんどは気にしません。それをクラックすることで世界が得られるなら、それは…
Synetech

15

スパマーはNSAではありません。難読化をクラックすることは重要ではありません。メールアドレスを偽装する努力は、おそらくタスクに十分です。

さらに興味深い質問は、使い捨てのメールアカウントをカットオフとして使用して、公開フォーラムでの応答をフィルタリングしないのはなぜですか。そうすれば、アカウントがスパムになっても気にせず、正当な回答を精査した後、通常のメールアカウント経由で通信員に連絡できます。


短期的なニーズに適したソリューションの場合は+1。
ランドルフリチャードソン

11

はい。ほとんどの場合、電子メール収集のパターンが必要です。パターンが複雑になるほど、スパマーが電子メールを取得するために費用がかかる(時間/お金)ためです。もちろん、手動での収穫を止めるものはありませんが、それは非常に低いものです。通常行われるのは非JSエンコードで、プレーンテキストの電子メールが収集されます(変更されていない1〜2年前のWebサイトを確認してください。プレーンテキストの電子メールを20ドル支払うと、大量のスパムが届きます)

私の会社では、一連のサーバー側およびJSクライアント側の方法を使用して、すべての外部向け電子メールが難読化されています。

そのため、電子メールは実際には電子メールのようには見えず、パターンは常に変化します。この方法がうまく機能し、いくつかの方法が危険にさらされ、簡単に破られることは確かですが、電子メールの難読化のより精巧な方法は、通常、大量のパターン検出が多くの投資リソースを必要とするため、収穫を無意味にします。

ハッカー/スパマー/ハーベスタが特定のサイトをターゲットにする場合、CAPTCHASのブルートフォースは異なります。これは、無数の難読化方法を使用する可能性のある小さなママ&ポップウェブサイト、またはユーザーがさまざまな形式のメールをさまざまなメール難読化方法(.comや.netなどを省略)で投稿するサイトには当てはまりません。

ほとんどのハーベスタはJavaScriptを認識しません。つまり、JSを処理しません。これらの方法を収穫者にとってより高価にします。JSを処理しようとするハーベスターがいくつかありますが、数分で数百万のメールを実行している場合は非常にコストがかかると言いましたが、1000を実行できる場合は10から100に下がることは望ましくありません。

毎回ランダムな方法を実行する私の方法は非常にうまく機能しますが、アカウントでスパムを受信することはありません。


JSを使用してメールアドレスを難読化するきちんとしたアイデアですが、ほとんどの場合(メール、このサイトなど)、実際にはオプションではありません。ただし、ユーザーが自分のメールを他のユーザーに公開できるサイトでは、これが標準的な慣行であることに同意します。
カイルクローニン

11

言及されていない2つの難読化方法があります。クリック可能なリンクであるという利点も、カットアンドペーストすることもできません。

  • テキストの代わりにグラフィック要素を使用します。

  • 要素を垂直に並べ、他のものの列を左または右に並べます:

email     dummy@
me at:    example.com

2
一部のスパマーはグラフィック要素を回避するためにOCRを使用していますが、私が知る限りこれはまだ非常にまれであるため、盲目のユーザーがあなたに連絡する必要がない限り、それはあなたのためにうまく機能し続けるはずです。有用なアイデアを共有するための+1。
ランドルフリチャードソン

まあこれはあなたのUXを台無しにする素晴らしい方法です。視覚障害者だけでなく、すべての人のために。
ファビアン・フォン・エラーツ

1
@FabianvonEllerts否定しません。それは、誰もが自分でやらなければならないトレードオフです。
マークランサム

8

JSの難読化は、単純なwgetベースのハーベスターである程度動作しますが、JS対応のIEインスタンスも採用されており、ウェブユーザーが見るものを読むことができると思います。

アドレスが収集されるか、最終的にお気に入りのサイトの1つでセキュリティ侵害によって盗まれた場合、スパム送信者リストに永久に複製されます。

私のメールアドレスは古くてスパムよりも古いため、ネット全体に表示されるため、毎週何千回も配信を試行しています... 私は、コミュニティを支援するために高得点のものをspamcopに自動的に報告して、それを効果的にスパムトラップに変える洗練されたシステムを開発する時間がありました。

スパムはいつか敗北するでしょう。そして、私はそれが減少しているという有望な兆候を見ました。


6

私にとって非常にうまくいったことの1つは、ASP.NETを使用して「LinkBut​​ton」を作成することです。このリンクボタンにはResponse.Redirect("mailto:MailAddress");、「onClick」アクションとしてあります。これにより、LinkBut​​ton javascript:DoPostBack(...)のURLがになります。最後に、「メールアドレスへのリダイレクト」を返すサーバーリクエストを作成します。ファームボットはこのメールを受け取りませんでした。


3
おそらく、フィードバックを送信できないことについて不満を言うユーザーはいませんでした:)
無料コンサルティング

1
これは、他の多くの人がそれを始めない場合にのみ機能します。
イアンリングローズ

@Worm:これは、テストしたすべてのブラウザーで機能しました。mailtoにリダイレクトすると、機能します。@Ian:ええ、それがそのままであるか、ボットがJSポストバックでリダイレクトをリッスンし始めることを望みます。ScriptManagerをそこに配置すると、さらに多くのことが行われます...「難読化」。最初にJS AJAXポストバックを作成してから、mailtoに移動するコマンドを返します。
sinni800

1
私は、ASP.NETのものについては考えているように私は、それのために生成されたコードを見てみたいと思います
無料コンサルティング

1
metalgearsonic.de/default.aspx、あなたが行くここWormRegardsを。ここで読み取り可能なサーバー側とクライアントコード。
sinni800

6

私は自分のメールアドレスをどこでもウェブ上で公開しています。一般的な考えに反して、これは受信するスパムの量に影響を与えないようです。長い間、1日平均3で安定しています。ですから、難読化は無意味だと思います。

非常に短いユーザー名(wim@example.comなど)により多くのスパムが発生することに気付きました。どうやら、スパマーが使用するメールアドレスは、考えられるすべての短い文字の組み合わせを試し、名前リストを使用することで簡単に生成されます。


多くの推測、辞書攻撃、およびスパマーが使用している他のさまざまなテクニックがあります。また、info @やsales @などの一般的なアドレスは、ほとんど常に有効であると見なされます(多くの場合、多くのドメイン用です)。また、アドレスのスパムが増加する時間遅延もあります。これは、スパマーがリストを相互に販売しているため、スパマーがそのアドレスを長く知っているほどです。私は多くのスパムトラップを運用しており、DNSベースのブラックリストとフィルターの組み合わせに基づいてブロックしているにもかかわらず、スパムは一般的に時間とともに増加することに気付きました。
ランドルフリチャードソン

4

私はそれが標準[AT]とを使用して大いに役立つとは思わないが、[DOT]物事を意味するか、またはドットとドットを意味するように実現できる単語を使用するか、_A((T>>または合理的にランダムな何かを使用する...案件。


4

グーグルでメールアドレスを検索しようとすると、それは本当に難しいことがわかります。そして、グーグルは何らかの理由で「common.name@wellknown.domain」という形式ではそれらをあまり持っていません-おそらく自己制限?

「maier [at] berlin.de」を検索すると、「maier@berlin.de」を検索した場合よりもヒット数が多くなり、@はジョーカー記号として機能するようです。ヒットは実際にはメールアドレスではありません。

反対に、顧客は(もしそうなら、Webで顧客に連絡して)快適なmailto-linkを使いたいと思うでしょう。

したがって、Google、BING、BONG、およびZONG(メールアドレスを別々に販売している可能性がありますか?)をまだ信用していない場合は、少しのJavaScriptでメールアドレスを作成できます。

"mailto" + ":" + "wagner" + "." + "stefan" + "@" + "paris" + "." + "de" 

ほとんどのウェブクローラーはJavascriptを解釈せず、大きな自動化された安価なプロセスでアドレスを見つけるのに苦労するでしょう。


3

Sblamでの経験からスパム対策サービスには、技術的に無能なスパマーがたくさんいますが、それでも試行を続けています。おそらく、保護されていない電子メールがたくさんあり(そして保護されていないサイトがスパムになっている)

ハーベスタの正規表現を探すために更新するOTOH (@| AT )はロケット科学ではなく、おそらく多くのスパマーがすでにそれを行っています。


人間を困らせるパズルは価値がありません。メールをエンティティでエンコードし、urlencodingを使用してURLとHTML(ソースコード)に異常な構成要素を追加する、標準に準拠した難読化を考案しました。

http://hcard.geekhood.net/encode/?addr=test@example.com

これにより、実際のユーザーにとって読みやすく完全に機能するリンクが得られますが、HTMLとURLを正しく解析するために努力するスパマーのみが収集できます(一部のスパムを回避するか、少なくともハーベスタライターの間でWeb標準を促進します!;)


1
Sblamをご覧ください!要件:-)
無料コンサルティング

かなりクールこれを除きます
マイケル

2

メーリングリストは販売されているため、ある会社は簡単な会社を見つけて、他の会社はそれを使用できます。その方法では、DRMに似ています。


2
「ある会社が簡単な会社を見つけられる」とはどういう意味ですか?
アンドリューグリム
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.