View previous topic :: View next topic |
Author |
Message |
STiGMaTa_ch Veteran
Joined: 28 Dec 2004 Posts: 1686 Location: Rüti ZH / Schweiz
|
Posted: Thu Aug 31, 2006 12:22 pm Post subject: Mach mit! Spamme mit! [Knacknuss] |
|
|
Bevor ihr jetzt bei den MOD's Alarm schlagt...
in Ruhe weiterlesen
Da meine armen Hirnwindungen mittlerweile vollkommen ausgelastet sind, will ich über diesen Weg mal den Gentoo-Brain-Cluster (TM) aktivieren
Es geht um folgendes Problem:
Man nehme eine Website, schreibe irgend einen blah, blah rein und irgendwo postiere man einige Mailadressen darin:
Code: | <HTML>
...
<A HREF="mailto:mickey.mouse@entenhausen.eh">mickey.mouse@enthenhausen.eh</A><BR>
<A HREF="mailto:donald.duck@entenhausen.eh">donald.duck@enthenhausen.eh</A><BR>
...
</HTML> |
Wenn nun ein "pöser Spammer (TM)" die Seite z.B. mit wget herunterlädt kann er mit einigen simplen RegEx's die Mailadressen zu seinem "pösen Spammer Mailpool (TM)" hinzufügen. Das will unsereins natürlich verhindern, möchte dem User aber die Flexibilität eines solchen Links nicht nehmen.
Das bedeutet:
- Ersetzen der Mailadresse durch ein Bild ist doof da gerade bei langen & komplizierten Mails alles mühsam abgetippt werden muss.
- Verschandeln der Mailadresse (z.B. mickey [dot] mouse [at] entenhausen [dot] eh) ist doof weil links dann nicht mehr direkt anklickbar sind.
- Verwendung von Javascript oder Cookies um die Mailadresse(n) einzupflanzen ist doof weil heutzutage mit all den voreiligen PersonallFirewall's und Virensuites irgendwer sicherlich KEINE Mailadresse angezeigt bekommt.
Die bisher beste Lösung die ich für dieses Problem gefunden habe ist folgende:
Jeder Buchstabe der Mailadresse wird entweder als normales Zeichen (Möglichkeit 1), als HTML Hex Code (Möglichkeit 2) oder als URL encoded (Möglichkeit 3) Zeichen dargestellt. Die Verwendung der einzelnen Möglichkeiten erfolgt (mehr oder weniger) willkürlich. Für mickey mouse würde das Resultat dann z.b. so aussehen:
Code: | <HTML>
...
<a href="mailto:%6d%69c%6bey.%6douse@e%6e%74en%68a%75sen%2ee%68">mickey.mouse@entenhausen.eh</a>
...
</HTML> |
Achtung! Die Adresse zwischen <a> und </a> wird hier direkt als korrekter TEXT dargestellt. Schaut den Source dieser Seite an um zu sehen, dass dieser eigentlich aus einem Gemisch aus HTML Hex Codes und normalen Zeichen besteht<
Zum Test könnt Ihr euch den Code einfach mal in ein leeres html pasten und ausprobieren. Der Vorteil vom ganzen ist der, dass die Mailadresse anklickbar bleibt, dem Mailclient normal übergeben werden kann und trotzdem vor RegEx'es versteckt bleiben kann.
Die Frage die sich mir nun stellt:
Ist das ganze wirklich vor RegEx's sicher? Kann man damit ein Scan Programm wirklich täuschen oder ist es mit einem simplen Script ganz einfach möglich die Mails aus dem Source zu extrahieren?
Hier also der Aufruf:
Wer hat Lust anhand einer Beispiel Website die Mailadressen mittels Script herauszuholen? Oder kann jemand sachdienliche Hinweise liefern, welche aufzeigen, dass das ganze nicht funktionieren kann?
P.s. Die Beispiel Website ist ebenfalls ein schönes Beispiel, weil Lycos einfach VOR und NACH meinem HTML Text noch Werbemüll und Scripts knallt.
P.s.2. ich selber werde mich am Weekend ebenfalls dem Problem widmen (Man soll mir nicht nachsagen, ich lasse andere für mich arbeiten ).
Lieber Gruss
STiGMaTa _________________ Ich bin Schuldknappe. Das bedeutet ich bin immer an allem Schuld. Und das nicht zu knapp! | Der alltägliche Familienwahnsinn auf meinem BLOG |
|
Back to top |
|
|
Hilefoks l33t
Joined: 29 Jan 2003 Posts: 849 Location: Emden / Deutschland
|
Posted: Thu Aug 31, 2006 1:00 pm Post subject: Re: Mach mit! Spamme mit! [Knacknuss] |
|
|
STiGMaTa_ch wrote: | Die Frage die sich mir nun stellt:
Ist das ganze wirklich vor RegEx's sicher? Kann man damit ein Scan Programm wirklich täuschen oder ist es mit einem simplen Script ganz einfach möglich die Mails aus dem Source zu extrahieren? |
Das ist ja nur "Security through Obscurity". Es kann durchaus sein das im Moment eine solche Adresse weniger Spammer finden, aber es sollte ein leichtes sein sein Script an diese gegebenheit anzupassen. Als Spammer würde ich obendrein eh alle <a href="mailto:foo">bar</a> catchen. Ist mir als Spammer doch egal ob ich dann die ein oder andere ungültige Adresse erhalte.
MfG Hilefoks |
|
Back to top |
|
|
STiGMaTa_ch Veteran
Joined: 28 Dec 2004 Posts: 1686 Location: Rüti ZH / Schweiz
|
Posted: Thu Aug 31, 2006 2:14 pm Post subject: Re: Mach mit! Spamme mit! [Knacknuss] |
|
|
Hilefoks wrote: | STiGMaTa_ch wrote: | Die Frage die sich mir nun stellt:
Ist das ganze wirklich vor RegEx's sicher? Kann man damit ein Scan Programm wirklich täuschen oder ist es mit einem simplen Script ganz einfach möglich die Mails aus dem Source zu extrahieren? |
Das ist ja nur "Security through Obscurity". Es kann durchaus sein das im Moment eine solche Adresse weniger Spammer finden, aber es sollte ein leichtes sein sein Script an diese gegebenheit anzupassen. Als Spammer würde ich obendrein eh alle <a href="mailto:foo">bar</a> catchen. Ist mir als Spammer doch egal ob ich dann die ein oder andere ungültige Adresse erhalte.
MfG Hilefoks |
Dann scanne doch mal meine Beispielseite nach <a href="mailto:foo">bar</a> ich denke, da wirst du schonmal keine Freude daran haben
Und ob es wirklich "einfach" ist die Adresse rauszufischen möchte ich ja gerade mit diesem Experiment herausfinden. Die paar Gedankenspiele dich ich bisher getrieben haben, konnten dem ganzen standhalten (aber was soll das schon heissen). Am Weekend nehme ich mir die Zeit selber mal ein wenig mit grep, awk und co rumzuspielen.
Vielleicht hat hier aber ja schon jemand die Thematik beleuchtet und kann sagen... "Ist die Mühe nicht Wert..., so und so und so kommt man an deine Adressen". Dann hätte ich wenigstens Gewissheit, dass es nicht wirklich taugt.
Lieber Gruss
STiGMaTa _________________ Ich bin Schuldknappe. Das bedeutet ich bin immer an allem Schuld. Und das nicht zu knapp! | Der alltägliche Familienwahnsinn auf meinem BLOG |
|
Back to top |
|
|
Moorenkopf Apprentice
Joined: 18 Apr 2004 Posts: 189 Location: NRW
|
Posted: Thu Aug 31, 2006 2:27 pm Post subject: |
|
|
Hast du schon 'nen Algorithmus um solchen HTML-Code zu erzeugen, oder machste das bisher von Hand?
Gruß Stefan |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Thu Aug 31, 2006 2:48 pm Post subject: |
|
|
Kein Problem!
mailscanner.pl:
Code: | #!/usr/bin/perl -w
use strict;
use HTML::Entities;
sub URLDecode {
my $theURL = $_[0];
$theURL =~ tr/+/ /;
$theURL =~ s/%([a-fA-F0-9]{2,2})/chr(hex($1))/eg;
$theURL =~ s/<!--(.|\n)*-->//g;
return $theURL;
}
my $line;
my @mails;
while(<>) {
$line = decode_entities($_);
$line = URLDecode($line);
if ($line =~ /mailto/) {
@mails = $line =~ /(\w[\w|\.|\-]*@\w[\w|\.|\-]+\.[a-zA-Z]{2,4})/xg;
print join("\n",@mails)."\n";
}
} |
Run:
Code: | workstation perl $ wget http://mitglied.lycos.de/stiggichaos/gentooforum/gentoo-spamtest.html -O - 2>/dev/null | ./mailscanner.pl
harry.potter@hogwarts.eu
mmouse@entenhausen.eh
gentoo@gentoo.org
gentoo@gentoo.org
private@privacy.org |
Ich persönlich finde dennoch die JavaScript-Lösung am besten. Dazu müssten die Jungs dann nämlich eine JavaScript Engine einbauen. Und die allermeisten dürften mit solch simplen Scripten auch keine Probleme mehr haben. _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
think4urs11 Bodhisattva
Joined: 25 Jun 2003 Posts: 6659 Location: above the cloud
|
Posted: Thu Aug 31, 2006 2:51 pm Post subject: |
|
|
ohne das ich das jetzt ausprobiert hätte, aber ...
würde es nicht genügen
a) 'a href=' aus der Seite herauszufiltern und den überflüssigen Schnickschnack abschneiden
d.h. es bleibt nur übrig was zwischen '"' steht
b) UTF-encoded in lesbar umzuwandeln (s/([\xC0-\xDF])([\x80-\xBF])/chr(ord($1)<<6&0xC0|ord($2)&0x3F)/eg;)
danach sollte der String nur noch hex-codierte Zeichen enthalten
c) hex encoded in lesbar umzuwandeln (s/%([A-Fa-f\d]{2})/chr hex $1/eg;)
Sollte doch am Ende eine sauber lesbare RFC822-konforme Mailadresse rausfallen oder übersehe ich etwas?
*edit* Anarcho war schneller _________________ Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself
Last edited by think4urs11 on Thu Aug 31, 2006 2:54 pm; edited 1 time in total |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Thu Aug 31, 2006 2:53 pm Post subject: |
|
|
Think4UrS11 wrote: | ohne das ich das jetzt ausprobiert hätte, aber ...
würde es nicht genügen
a) 'a href=' aus der Seite herauszufiltern und den überflüssigen Schnickschnack abschneiden
d.h. es bleibt nur übrig was zwischen '"' steht
b) UTF-encoded in lesbar umzuwandeln (s/([\xC0-\xDF])([\x80-\xBF])/chr(ord($1)<<6&0xC0|ord($2)&0x3F)/eg;)
danach sollte der String nur noch hex-codierte Zeichen enthalten
c) hex encoded in lesbar umzuwandeln (s/%([A-Fa-f\d]{2})/chr hex $1/eg;)
Sollte doch am Ende eine sauber lesbare RFC822-konforme Mailadresse rausfallen oder übersehe ich etwas? |
Nein, das siehst du komplett richtig, siehe meine kleines 5-min Script. Letzendlich kann man es nicht wirklich vor einem Scanner verstecken, egal wie encodiert, ausser man verwendet Techniken die der Scanner nicht kann und da sehe ich die meisten Chancen (noch) mit JavaScript. _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
monade Apprentice
Joined: 17 Mar 2005 Posts: 204 Location: Berlin
|
|
Back to top |
|
|
Knieper l33t
Joined: 10 Nov 2005 Posts: 846
|
Posted: Thu Aug 31, 2006 3:46 pm Post subject: |
|
|
Hat aber mehrere Nachteile. Angefangen bei Barrierefreiheit, weiter bei Nutzbarkeit (mein Browser kann zB. kein mailto - JS "verhindert" Kopieren der Adresse) und Anwenderfreundlichkeit (Wer tippt gern Captchas ab?). |
|
Back to top |
|
|
monade Apprentice
Joined: 17 Mar 2005 Posts: 204 Location: Berlin
|
Posted: Thu Aug 31, 2006 3:49 pm Post subject: |
|
|
Knieper wrote: | Hat aber mehrere Nachteile. Angefangen bei Barrierefreiheit, weiter bei Nutzbarkeit (mein Browser kann zB. kein mailto - JS "verhindert" Kopieren der Adresse) und Anwenderfreundlichkeit (Wer tippt gern Captchas ab?). |
Es gibt eine Version mit und eine ohne Captchas - ich verwende die ohne. Klar, es ist ein Abwägen zwischen Barrierefreiheit/Nutzbarkeit und Spamschutz. Eine Möglichkeit ist, dass man als "Fallback" zusätzlich die Mailadresse als Bild darstellt (wobei das auch nicht barrierefrei ist, oder?). |
|
Back to top |
|
|
sirro Veteran
Joined: 20 Jul 2003 Posts: 1472 Location: aachen.nrw.de.eu
|
Posted: Thu Aug 31, 2006 3:52 pm Post subject: Re: Mach mit! Spamme mit! [Knacknuss] |
|
|
STiGMaTa_ch wrote: | Oder kann jemand sachdienliche Hinweise liefern, welche aufzeigen, dass das ganze nicht funktionieren kann? |
Ich. Mache das schon laenger (hex-codes) und bekomme trotzdem Spam auf die Adresse (die damals neu war). Ob es jetzt an Adressen-raten oder an der dekodierung liegt kann ich nicht sagen, aber ich tippe mal, dass manche auch an sowas gedacht haben.
Ich glaube aber, dass es deutlich weniger Spam ist als vorher (placebo? ). Und das ist ja auch schon mal was. |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2540 Location: Konradsreuth (Germany)
|
Posted: Thu Aug 31, 2006 5:00 pm Post subject: |
|
|
Also ich hab folgendes Script in Gebrauch: http://www.nasauber.de/sandkasten/email_encoder.php damit "verschlüssele" ich die eMail-Adressen in meinem Gästebuch und Weblog. Kein Link, nur Text. Am besten verpackt in ein acronym, dann wird das glaub ich kein Spammer parsen. |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Thu Aug 31, 2006 5:07 pm Post subject: |
|
|
So, dann will ich auch mal:
http://anarcho.dyndns.org/test.php
EDIT: @Libby:
Code: | workstation perl $ echo 'Zur Kontrolle: test at test . de' | ./mailscanner.pl
Zur Kontrolle: test�at�test�.�de |
Nur die bringen natürlich auf der Console nicht viel...
Und man kann es nicht anklicken... _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
slick Bodhisattva
Joined: 20 Apr 2003 Posts: 3495
|
Posted: Thu Aug 31, 2006 7:49 pm Post subject: |
|
|
Der gute slick hat sich was anderes dazu einfallen lassen. Da er seine Mail-Accounts in einer mysql verwaltet kann er z.B. mit php dynamisch gültige Adressen on-the-fly erzeugen und auch wieder löschen. D.h. Besucher besucht Website -> E-Mail wird anhand Timestamp und IP generiert -> Adresse wird als gültige Mailadresse in mysql geschrieben -> User hat 6 Stunden Zeit auf diese Adresse zu schreiben, danach wird sie wieder aus der mysql gelöscht.
Fazit: Spammer müßte Seite besuchen, Mail extrahieren und dann innerhalb von 6 Stunden schreiben -> hat bisher keiner geschafft.
Interessant ist auch das man damit (zusammen mit den Webserverlogs) nachvollziehen kann wann die Adresse (mit welcher Browserkennung usw.) gesammelt wurde und so kann ich heute immernoch in den Maillogs (vergebliche) Mails an eine Adresse finden die mal vor Monaten auf der Website "aufgelesen" wurde. Die muß dann wohl auf dutzenden Spam-Verteilern gelandet sein.
"Live-Demo": www.deruwe.de/kontakt.html |
|
Back to top |
|
|
think4urs11 Bodhisattva
Joined: 25 Jun 2003 Posts: 6659 Location: above the cloud
|
Posted: Thu Aug 31, 2006 8:53 pm Post subject: |
|
|
und noch ein bischen eleganter (weil ohne mysql) als slick das macht macht es der gute docsynder (regelmäßigen Lesern der Heise-Foren sicher ein Begriff) -> Wegwerf DNS-Subdomains
Jemand etwas noch eleganteres auf Lager? _________________ Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
Back to top |
|
|
dakjo Veteran
Joined: 31 Jan 2004 Posts: 1544
|
Posted: Thu Aug 31, 2006 9:10 pm Post subject: |
|
|
Briefpost. |
|
Back to top |
|
|
think4urs11 Bodhisattva
Joined: 25 Jun 2003 Posts: 6659 Location: above the cloud
|
Posted: Thu Aug 31, 2006 9:29 pm Post subject: |
|
|
elegant != historisch wertvoll
Es geht hier doch um Lösungen ohne Medienbruch.
@slick:
Weil mir das gerade so in den Sinn kam... was passiert eigentlich wenn $pöserSpammer auf die Idee kommt und deine Kontaktseite ein bischen ärgert?
Wann läuft dir deine DB über? _________________ Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Fri Sep 01, 2006 6:19 am Post subject: |
|
|
Nach dem Motto:
Code: | while true; do wget http://www.deruwe.de/kontakt.html -O - > /dev/null; sleep 1; done |
Das wären dann 60 Mailadressen pro Minute, also 3600 pro Stunde, also 21600 alle 6 Stunden.
Und wenn man das sleep weglässt schafft man vielleicht 10x soviele Abrufe. (vielleicht aber auch mehr...)
Über 200.000 Mailadressen in der Datenbank...autsch.
Es mag zwar wirkungsvoll sein, aber dafür muss derjenige der dir schreibt immer an so blöde Emailadressen schreiben...
Immerhin ist es ein direkter link.
Und die Lösung mit den temporary subdomains wäre mir zu umständlich. Es macht wahrscheinlich mehr Arbeit die ganzen Einstellungen zu ändern (inklusive diverser foren usw. als die spammails die SA durchlässt zu löschen. Da würde ich slicks Lösung bevorzugen. Wobei ich meine JavaScript-Lösung hinreichend finde. _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
STiGMaTa_ch Veteran
Joined: 28 Dec 2004 Posts: 1686 Location: Rüti ZH / Schweiz
|
Posted: Fri Sep 01, 2006 7:04 am Post subject: |
|
|
Jungs Ihr seid einfach genial!
Das musste mal erwähnt werden
@Moorenkopf
Moorenkopf wrote: | Hast du schon 'nen Algorithmus um solchen HTML-Code zu erzeugen[...] |
Nein, ich habe die Tools der Webiste http://rumkin.com/tools/mailto_encoder/custom.php benutzt.
@Anarcho
Vielen herzlichen Dank für dein 5min Script. Ich war sehr überrascht, dass das so einfach zu lösen ist.
Ich hatte mich so sehr auf das rausgreppen in "encodiertem" Zustand fixiert, dass ich gar nicht daran gedacht habe zuerst alles zu decodieren und dann das durchzugreppen
Dein test.php finde ich klasse! Allerdings verstehe ich nicht wirklich was das Ding (resp. der daraus generierte JavaScript Code) genau macht. Kannst du dazu etwas sagen? Wäre es möglich das test.php zu posten?
@sirro
Danke für deinen Tatsachen Bericht Wenn man den Artikel unter http://news.bbc.co.uk/2/hi/technology/2969783.stm liest, dann könnte man schon glauben, dass es funktioniert. Allerdings ist der selbige bereits 3 Jahre alt...
Quote: | [...]Another successful evasion technique is to replace the characters in an e-mail address with the HTML equivalent.
None of the project's addresses written in human-readable formats or HTML received a single piece of spam. [...] |
@Libby
Kannst du (oder jemand anderer) mir erklären warum das "in Worte" schreiben der Mailadresse sicherer sein soll?
@slick
Auch ein Interessanter Ansatz. Vielen Dank dafür! Aber ich denke, dass diese Methode wohl nur für einen privaten Anwender geeignet ist. Auf einer Firemseite wäre mir eine Mailadresse im Stil 123bjh4578zy@firma.ch irgendwie suspekt
@Think4UrS11
Danke für den "Wegwerf DNS-Dubdomain" Link. Ist auch ein wirklich Interessanter Ansatz.
@dakjo
Briefpost ... ist aber nicht anklickbar
Lieber Gruss
STiGMaTa _________________ Ich bin Schuldknappe. Das bedeutet ich bin immer an allem Schuld. Und das nicht zu knapp! | Der alltägliche Familienwahnsinn auf meinem BLOG |
|
Back to top |
|
|
dakjo Veteran
Joined: 31 Jan 2004 Posts: 1544
|
Posted: Fri Sep 01, 2006 7:14 am Post subject: |
|
|
STiGMaTa_ch wrote: | ....
@dakjo
Briefpost ... ist aber nicht anklickbar
... |
Dafür aber anfassbar, aufreis und durchreisbar. |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Fri Sep 01, 2006 7:39 am Post subject: |
|
|
Also ich muss sagen das mir die Briefwerbung mehr auf den Sack geht als Spam-Mails.
Zu meiner test.php:
Im prinzip ist es ganz einfach:
Ich erstelle mir einen zufälligen String gleicher Länge (mit der Funktion codiere ich ja den ganzen <a href=...>..</a> String und nicht nur die Mailadresse).
Dann verknüpfe ich den originalstring mittels XOR mit dem zufälligen String. Die enstehenden Integerrepresentationen der ASCII Werte knüpfe ich per Punkte aneinandern. Genauso stelle ich den zufälligen String dar (der ja der "Schlüssel" ist).
Dann erstelle ich noch einen zufälligen HASH der als Variablenname dient damit das ganze schwieriger zu parsen ist (naja, nicht viel schwieriger, aber es ändert sich halt).
Aus diesen beiden Werten wird dann ein JavaScript gebastelt welches das XOR nochmals anwendet um somit den originalen Text wiederherzustellen. Dieser wird dann direkt per JavaScript ins Dokument geschrieben.
Im Originaldokument taucht dann nur der Javascriptcode mit wüsten Zahlenkollonen auf. Wenn also ein Spamscanner eine Mailadresse dort finden möchte muss er erstmal jeden JavaScriptcode ausführen und dann das Ergebnis untersuchen. Wenn aber jeder Spambot jedes JavaScript auf jeder Seite durchsuchen muss, dann viel spass!
Ich werde die Funktion posten wenn ich wieder zuhause bin. _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
slick Bodhisattva
Joined: 20 Apr 2003 Posts: 3495
|
Posted: Fri Sep 01, 2006 7:42 am Post subject: |
|
|
Think4UrS11 wrote: | @slick:
Weil mir das gerade so in den Sinn kam... was passiert eigentlich wenn $pöserSpammer auf die Idee kommt und deine Kontaktseite ein bischen ärgert?
Wann läuft dir deine DB über? |
Anarcho wrote: | ...Das wären dann 60 Mailadressen pro Minute, also 3600 pro Stunde, also 21600 alle 6 Stunden. ... |
Ach Gottchen... nun habt euch doch nicht so. Ja, ok, dieses Problem hatte ich nicht bedacht (Danke für den Tipp!), aber was spricht dagegen pro anfragende IP einen "Cache" von 1h oder so einzubauen. Damit wäre zumindest dieses Problemchen aus der Welt
Think4UrS11 wrote: | Wegwerf DNS-Subdomains
Jemand etwas noch eleganteres auf Lager? |
Solange man über einen eigenen Mailserver verfügt und die Domain mit Wildcards im DNS steht sollte es ja kein Problem sein meine genannte Lösung auf Subdomain-Adressen umzubauen. Also bei mir würde das ohne größeren Aufwand möglich sein spamtrap@expires-200609.domain.de aufzusetzen, ist ja letzendlich nur ein etwas anderer Eintrag in der Mysql.
Edith sagt noch: Javascriptlösungen sind meiner bescheidenen Meinung nach Sch...! Die funktionierenden ja "nur" bei Browser die das können und auch aktiviert haben. (Wobei man jetzt sicher eine längere Diskussion über das Für und Wieder aufmachen könnte.) Letzendlich bleibt die beste Alternative denke ich ein Mailformular, sodenn es denn sicher implementiert ist und ggf. durch ein Captcha geschützt ist. (Ja, auch bei Captcha muss der Browser wieder Bilder darstellen können usw., ich weiß...) |
|
Back to top |
|
|
slick Bodhisattva
Joined: 20 Apr 2003 Posts: 3495
|
Posted: Fri Sep 01, 2006 7:56 am Post subject: |
|
|
STiGMaTa_ch wrote: | @slick
Auch ein Interessanter Ansatz. Vielen Dank dafür! Aber ich denke, dass diese Methode wohl nur für einen privaten Anwender geeignet ist. Auf einer Firemseite wäre mir eine Mailadresse im Stil 123bjh4578zy@firma.ch irgendwie suspekt |
Ich sags mal so... bei mir ist die Adresse konzeptbedingt in diesem Format. Du könntest natürlich z.B. eine vorlaufende Nummer vergeben z.B. kontakt-123@domain.de, kontakt-124@domain.de , kontakt-125@domain.de. Das macht im erstem Moment anscheinend keinen Sinn aus Sicht des Spamschutz da der Spammer nur hochzählen braucht, aber wenn man bedenkt das der User erstmal die Seite aufrufen muß um die Adresse zu erzeugen, ist sie nur vorhersagbar wenn man die Anzahl der Besucher der jeweilen Seite abschätzen kann. Auch kann man ja zufällig verschiedene Prefixe auswählen, was die Wahrscheinlichkeit des Erratens auf nahezu null bringt. z.B. kontakt-$$$@domain.de, mail-$$$@domain.de, kunde-$$$@domain.de ... usw. Und sicherlich sind noch andere "besser aussehende" Muster denkbar.
Nachteil an der ganzen Geschichte ist, da der Beantworter der Mail nicht ständig sein Mail-Client neu einrichten kann wird er mit seiner "Original"-Adresse als Absender antworten, somit braucht der Spammer nur geschicktes Social-Engineering betreiben um eine Antwort zu erschleichen und hat dann eine "dauerhaft" gültige Adresse. |
|
Back to top |
|
|
mkr Apprentice
Joined: 14 Dec 2003 Posts: 188
|
Posted: Fri Sep 01, 2006 8:45 am Post subject: |
|
|
Die Idee mit den dynamischen Adressen lässt sich auch auf Situationen anwenden, bei denen man eine gültige Adresse angeben muss, zB. bei der Bestellung in einem Onlineshop. Dafür erzeuge ich jeweils Adressen wie "shop_x_01.09.06@domain.tld". Die Adressen bleiben dann bis auf weiteres gültig.
Wenn ich an eine solche Adresse mal Spam von Drittfirma Y bekomme weiss ich, wer die Adresse verkauft hat. |
|
Back to top |
|
|
Rene-dev Apprentice
Joined: 22 Jan 2005 Posts: 163 Location: Münster, Germany
|
|
Back to top |
|
|
|