Für fast alle Betreiber von Internetseiten ist die nachfolgende Thematik der sicheren Verwendung von E-Mail-Adressen im Zusammenhang mit der eigenen Internetpräsenz ein interessantes Stück Lektüre.
Die gesetzlichen Bestimmungen in Deutschland (Telemediengesetz, TMG) sowie die Vorgaben der BITV sehen es vor, der Besucher wünscht es sich nur allzu oft und Programme wie E-Mail-Harvester bzw. SPAM-Robots freuen sich ganz sicher darauf: die möglichst einfach zu benutzende Angabe einer gültigen E-Mail-Adresse auf Ihrer Webseite.
Da SPAM ein Thema ist, welches nach wie vor einen dringenden Handlungsbedarf fordert, haben wir Ihnen im nachfolgenden Artikel 15 Möglichkeiten aufgeführt, wie Sie Ihre E-Mail-Adresse im Internet präsentieren können. Nicht jede davon ist besonders SPAM-sicher. Vor- und Nachteile haben wir daher natürlich ebenfalls für Sie zusammengetragen.
1. Ohne Schutz: einfache Darstellung
Zugrunde liegt die einfache, barrierefreie Darstellung einer E-Mail-Adresse inklusive „mailto:“-Link-Anweisung im Quellcode der Webseite.
Browser-Darstellung:
Hinterlassen Sie uns eine Nachricht unter example1@hosteurope.de
Code-Ansicht:
Vorteile:
• Menschliche Benutzer haben bei dieser Variante sicher keinerlei Probleme, den E-Mail-Link als solchen zu erkennen und intuitiv zu bedienen.
Nachteile:
• Während ein menschlicher Benutzer darauf klickt, um seine favorisiertes E-Mail-Programm zu öffnen und darin eine E-Mail an den hier aufgeführten Empfänger zu verfassen, sammeln SPAM-Bots diese E-Mail-Adresse einfach ein, um später Ihr Unwesen damit zu treiben.
Gesamtbewertung:
2. ERSETZUNG DER E-MAIL-ADRESSE
2.1 Ersetzung durch Bilder, Flash , SVG, oder ähnliche Inhalte
Anstatt die E-Mail-Adresse dadurch anzuzeigen, dass sie in Textform im Quelltext hinterlegt ist, könnte sie alternativ natürlich auch über Bildinhalte (wie im Beispiel gezeigt), Flash-, SVG-, bzw. Silverlight-Elemente oder Ähnliches dargestellt werden.
Browser-Darstellung:
Ihre Nachricht: example2@hosteurope.de
Code-Ansicht:
Vorteile:
• Menschliche Benutzer haben bei dieser Variante sicher keinerlei Probleme, die E-Mail-Adresse als solche zu erkennen und das E-Mail-Programm selbstständig zu bedienen. Bezogen auf den SPAM-Schutz ist diese Variante sehr sicher.
Nachteile:
• Darüber hinaus gibt es verschiedene Gründe, die gegen die Verwendung von Grafiken sprechen: Screen Reader können sie nicht darstellen (Barrierefreiheit ist nicht gegeben), sie verwenden den für Bilder laut BITV vorgesehenen Alternativ-Text, den SPAM-Bots allerdings auch wieder lesen können.
• Bilder verhalten sich in Bezug auf die Skalierbarkeit nicht wie Text.
• Benutzer müssen das E-Mail-Programm selbst öffnen und die Empfänger-Adresse manuell eingeben.
• Einige Harvester können inzwischen mittels OCR Bilder auf Text durchsuchen.
Gesamtbewertung:
2.2 Ersetzung durch Datei-URLs und anschließendem Redirect
Eine weitere Möglichkeit ergibt sich durch die bewusste Weiterleitung per HTTP-Redirect (z.B. per Apache mod_rewrite, JavaScript oder serverseitige Skripte), hier dargestellt am Beispiel einer Lösung mit Hilfe von PHP. Zunächst führt der vermeintliche E-Mail-Link zu einer verarbeitenden Datei.
Browser-Darstellung:
Bitte hinterlassen Sie uns eine Nachricht! Wir melden uns gerne zurück!
Code-Ansicht:
Innerhalb der serverseitig verarbeiteten Datei kann schließlich der Mail-Link per „mailto:“-Aufruf als Redirect implementiert werden.
Dadurch wird wie gewohnt das E-Mail-Programm geöffnet und der Benutzer hat den korrekten Empfänger bereits automatisch angegeben.
Vorteile:
• SPAM-Bots erkennen bei dieser Lösung keine explizit hinterlegte E-Mail-Adresse. Aus deren Sicht liegt hier eine normale Verlinkung zu einer Datei vor.
• Der Benutzer hat bereits den korrekten Adressaten im E-Mail-Programm angegeben, ohne die E-Mail-Adresse manuell verändern zu müssen.
Nachteile:
• Es wird ein Skript (Redirect) benötigt, welches zur Laufzeit aufgerufen wird. Der Aufwand ist allerdings vergleichsweise gering.
Gesamtbewertung:
3. VERSCHLEIERUNG DER E-MAIL-ADRESSE
3.1 Verschleierung durch Ersetzung der Sonderzeichen
Die Ersetzung der Sonderzeichen „@“ und „.“ der E-Mail-Adresse mit „AT“ und „DOT“, bzw. „PUNKT“ bietet eine mögliche Variante, den Link als Text darzustellen.
Ist die „mailto:“-Angabe beim Link vorangestellt, wird dieser jedoch auch als E-Mail-Link erkannt.
Zudem muss der Benutzer in seinem E-Mail-Programm den Austausch der Ersetzungen gegen die Sonderzeichen selbstständig vornehmen und somit „.“ sowie „@“ wieder manuell einfügen.
Fehlt die Angabe hingegen, muss der Benutzer den gelesenen Text abstrahieren und die E-Mail-Adresse selbst eintippen, nachdem er sein E-Mail-Programm gestartet hat.
Browser-Darstellung:
Schreiben Sie eine E-Mail an example4 AT hosteurope PUNKT de
Code-Ansicht:
Vorteile:
• Ohne „mailto:“-Angabe, bzw. die komplette Link-Syntax im Code ist die Darstellung im Browser zunächst unproblematisch.
• Weitere Schreibweisen und Varianten sind natürlich möglich („[AT]“, „[*AT*]“, „-AT-“, etc.).
Nachteile:
• SPAM-Bots sind in der Lage, die Ersetzungen automatisiert vorzunehmen.
• Der Benutzer muss in jedem Fall selbst die E-Mail-Adresse manipulieren oder manuell eingeben. Der Aufwand liegt also bei Ihren Seitenbesuchern.
Gesamtbewertung:
3.2 Verschleierung durch HTML-Entities
Die Sonderzeichen „@“ und „.“ Können optional mit Hilfe von HTML-Entitäten (nummerierte Form) ersetzt werden. Diese Ersetzung ist eine leicht elegantere Alternative zum Text.
Browser-Darstellung:
Wir sind erreichbar unter example5@hosteurope.de.
Code-Ansicht:
Vorteile:
• Die Darstellung im Browser ist immerhin korrekt.
Nachteile:
• SPAM-Bots sind intelligent genug, auch diese Ersetzungen automatisiert vorzunehmen, zumal sie durch die E-Mail-Link-Syntax im Code bereits darauf hingewiesen werden, dass es sich um einen E-Mail-Link handeln muss.
Gesamtbewertung:
3.3 Verschleierung durch HEX- bzw. URL-Encoding
Es besteht ferner die Option einer Ersetzung mit Hilfe von HEX-, bzw. URL-Encoding.
Browser-Darstellung:
Hex-Codierung: E-Mail 1 an Host Europe
URL-Codierung (ASCII): E-Mail 2 an Host Europe
Code-Ansicht HEX-Codierung:
Code-Ansicht URL-Encoding (ASCII):
Vorteile:
• Bei der HEX-Codierung kann die komplette Adresse inklusive „mailto:“ transformiert werden.
Nachteile:
• Bei der URL-Codierungs-Variante muss „mailto:“ entweder statisch oder per Skript der Link-Adresse hinzugefügt werden. Auch in diesem Fall wird durch die Syntax bereits preisgegeben, dass es sich um einen E-Mail-Link handelt.
• SPAM-Bots sind mittlerweile oft intelligent genug, diese einfache Form der Verschleierung zu entziffern.
Gesamtbewertung:
Hilfreiche Links:
- Ein URL En-/De-Coder unter http://meyerweb.com/eric/tools/dencoder/
- Ein HEX-Entity-Generator: http://www.sql-und-xml.de/unicode-database/online-tools/
3.4 Verschleierung durch HTML-Kommentare
Eine alternative Möglichkeit ist die Auftrennung der E-Mail-Adresse mit Hilfe von HTML-Kommentaren.
Browser-Darstellung:
Ihre Mail an example8@hosteurope.de
Code-Ansicht:
Vorteile:
• Die Darstellung im Browser ist korrekt.
• Die Adresse kann kopiert und im E-Mail-Programm eingefügt werden
Nachteile:
• Sobald der Codestruktur ein „mailto:“-Link zu Grunde liegt, erhalten SPAM-Bots einen Hinweis darauf, dass eine E-Mail-Adresse dargestellt wird.
Allerdings wird es diesen durch die Verwendung der Kommentare und die darin enthaltenen Sonderzeichen nicht leicht gemacht, ein Muster zu erkennen, nach dem die Kommentar-Anteile des Textes entfernt werden können, um einen gültigen Adress-String zu bilden.
Die Kommentare enthalten daher sowohl Sonderzeichen der Kommentar-Syntax an sich („-“, „>“), als auch Sonderzeichen, die bei der Generierung von E-Mail-Links verwendet werden („.“, „@“).
Gesamtbewertung:
3.5 Verschleierung durch Hinzufügen von Zeichen (FAKE-E-Mails 1)
Ebenfalls sinnvoll ist die Veränderung der E-Mail-Adresse durch Hinzufügen von Zeichenketten (z.B. „ENTFERNEN“, „DEL“, „REMOVE“), die für die eigentliche Verwendung im E-Mail-Programm später vom Benutzer manuell entfernt werden sollen. Als optische Hervorhebung der manuell zu löschenden Inhalte kann sowohl ein per CSS-Klasse angepasstes, HTML-eigenes „del“-Element, als auch ein ebenso formatierter „span“-Tag verwendet werden.
Browser-Darstellung:
Schreiben Sie an
example9ENTFERNEN@hosteurope.de oder
example9DEL@hosteurope.de (del-Tag) oder
example9REMOVE@hosteurope.de (span-Tag)
Code-Ansicht:
Vorteile:
• Durch die Angabe einer falschen E-Mail-Adresse (die Original-Adresse wir schließlich erweitert um eine beliebige Zeichenfolge, die für ein E-Mail-Format geeignet ist) kann diese als Honeypot verwendet werden. Auf diese Weise werden SPAM-Bots aktiv auf die falsche Fährte gelenkt und landen letztlich ggf. automatisiert auf einer Blacklist.
• Mit dieser Lösung kann also auch nachhaltig gegen SPAM vorgegangen werden.
Nachteile:
• Der Benutzer muss entweder selbst das Muster erkennen oder erklärt bekommen und die E-Mail-Adresse letztlich manuell bearbeiten.
Gesamtbewertung:
3.6 Verschleierung durch Ausblenden von Zeichen (FAKE-E-Mails 2)
Damit die zusätzlich eingefügten Zeichen für den Benutzer nicht sichtbar sind, kann man mit Hilfe von CSS deren Darstellung ferner vermeiden.
Browser-Darstellung:
Schreiben Sie an info10@hosteurope.de
Code-Ansicht:
Vorteile:
• Durch die Angabe einer falschen E-Mail-Adresse (die Original-Adresse wir schließlich erweitert um eine beliebige Zeichenfolge, die für ein E-Mail-Format geeignet ist) kann diese als Honeypot verwendet werden. Auf diese Weise werden SPAM-Bots aktiv auf die falsche Fährte gelenkt und landen letztlich ggf. automatisiert auf einer Blacklist.
• Mit dieser Lösung kann also auch nachhaltig gegen SPAM vorgegangen werden.
Nachteile:
• Der Benutzer muss entweder selbst das Muster erkennen oder erklärt bekommen und die E-Mail-Adresse letztlich manuell bearbeiten.
Gesamtbewertung:
3.7 Verschleierung durch dynamische Komposition der Adresse
Man kann die E-Mail-Adresse auch mit Hilfe von JavaScript clientseitig dynamisch zusammenstellen.
Browser-Darstellung:
Lassen Sie uns unter info11@hosteurope.de eine Nachricht zukommen
Code-Ansicht:
Vorteile:
• Die E-Mail-Adresse ist erst nach clientseitiger Ausführung des JavaScript-Codes komplett verfügbar und könnte, falls gewünscht, letzten Endes sogar erst bei einem Funktionsaufruf (gesteuert beispielsweise durch ein Klick-Ereignis) zusammengestellt werden. Somit wäre sie vollständig vor SPAM-Bots versteckt, da diese das Klick-Ereignis nicht selbstständig auslösen.
Nachteile:
• Benutzer, die JavaScript in ihrem Browser deaktiviert haben, können die E-Mail-Adresse nicht dargestellt bekommen. Dieser Fall ist heute jedoch eher selten. Allerdings ist diese Lösung nicht barrierefrei, da JavaScript vorausgesetzt wird.
Gesamtbewertung:
3.8 Verschleierung der E-Mail-Adresse über CAPTCHAs
Die E-Mail-Adresse wird mit Hilfe von reCAPTCHA verschleiert und erst nach positiver Prüfung auf einen menschlichen Benutzer angezeigt.
Browser-Darstellung:
Schreiben Sie uns eine E-Mail!
Bitte haben Sie Verständnis dafür, dass wir prüfen, ob Sie eine SPAM-Bot sind oder ein Mensch.
Code-Ansicht:
Vorteile:
• Die E-Mail-Adresse wird definitiv nirgendwo angezeigt, daher kann sie nicht von SPAM-Bots eingesammelt werden.
• Man kann CAPTCHAs sehr vielseitig umgestalten, so dass sie in das eigene Design integriert werden können.
Nachteile:
• Besucher könnten auf die Prüfungen gelangweilt oder verärgert reagieren. Nicht jeder mag CAPTCHAs! Einige Alternativen mit kurzweiligen Ansätzen sind unten aufgeführt.
• Barrierefreiheit ist nicht gegeben.
Gesamtbewertung:
Hilfreiche Links:
- E-Mail-Schutz mit Google reCAPTCHA
- Alternative E-Mail-Protektion mit scr.im oder AreYouHuman
3.9 Verschleierung durch Einfügen gleichartiger, unnötiger Elemente
Zweck dieser Methode ist es, dem Harvester jeweils nur einzelne Teile der korrekten E-Mail-Adresse zu liefern, die im Quelltext allerdings durch Einfügen weiterer, unnötiger Elemente in scheinbar keinem Zusammenhang mehr stehen. Durch CSS-Angaben können diese unnötigen Elemente nachträglich bei der Darstellung im Browser wieder ausgeblendet werden und übrig bleibt eine für den menschlichen User lesbare E-Mail-Adresse.
Browser-Darstellung:
Ihr Text an uns: example13@hosteurope.de
Code-Ansicht:
Vorteile:
• SPAM-Bots und E-Mail-Harvester sind durch die Fülle der Elemente nicht in der Lage, die E-Mail-Adresse zu lesen, da sie mit dem Quellcode komplett zerstückelt geladen wird, aus ihrer Sicht steht dort „example13Content13Paragraph13$%@europehosthosteuropehopee
urost;.:deedde“.
Nachteile:
• Menschliche Benutzer müssen die E-Mail-Adresse manuell kopieren und im E-Mail-Programm einfügen.
• Barrierefreiheit ist auch hier nicht gegeben. Ein Screen Reader liest auch alle im Quelltext enthaltenen Inhalte vor.
Gesamtbewertung:
3.10 Verschleierung über CSS (Ausblenden bzw. Pseudo-Elemente)
Die E-Mail-Adresse wird zunächst unvollständig geladen, da nur Teile im Quellcode der Seite enthalten sind. Mit Hilfe von CSS-Angaben (in den folgenden Beispielen ::before und ::after) durch Anhängen von Content wird erst bei der Darstellung im Browser die vollständige Adresse angezeigt.
Browser-Darstellung:
Beispiel 1: Schreiben Sie uns: info14a@hosteurope.de
Beispiel 2: Schreiben Sie uns: info14b@hosteurope.de
Code-Ansicht:
Vorteile:
• SPAM-Bots und E-Mail-Harvester sind ist nicht in der Lage, die E-Mail-Adresse zu lesen, da sie nicht mit dem Quellcode komplett geladen wird, aus Ihrer Sicht steht dort nur „inf“ (Beispiel 1) bzw. „badmail@hosteurope.de“ (Beispiel 2). Der Rest wird ausschließlich vom Browser interpretiert und dargestellt.
• Harvester sammeln die versteckte und falsche E-Mail-Adresse „badmail@hosteurope.de“ (Beispiel 2) ein. Sobald eine Mail in diesem Postfach landet, kann der Versender im Anschluss auf die Blacklists für SPAM gesetzt werden. Ein nachhaltiger SPAM-Schutz ist also realisierbar.
Nachteile:
• Leider ist der durch CSS „angehängte“ Text von menschlichen Benutzern zwar lesbar, aber nicht auswählbar.
Gesamtbewertung:
3.11 Verschleierung über CSS (Umkehrung der Zeichenreihenfolge)
Eine E-Mail-Adresse kann auch mit Hilfe eines recht pfiffigen Ansatzes verschleiert werden, indem man im Quellcode die Reihenfolge der Zeichen umkehrt und erst bei der Darstellung im Browser mit Hilfe von CSS wieder in die richtige Reihenfolge bringt.
Browser-Darstellung:
Schreiben Sie uns: info15@hosteurope.de
Code-Ansicht:
Vorteile:
• SPAM-Bots finden die E-Mail-Adresse zunächst in umgekehrter Form vor, aus Ihrer Sicht steht dort „51ofni@eporuetsoh.ed“. Die Darstellung in der korrekten Zeichenreihenfolge wird erst durch CSS realisiert und im Browser dargestellt.
Nachteile:
• E-Mail-Harvester lassen sich oft nicht von so einfachen Verschleierungen beeindrucken. Sie sind in der Lage, das Muster zu erkennen und die E-Mail-Adresse, welche dahinter liegt, relativ schnell aufzudecken.
Gesamtbewertung:
4. VERSCHLÜSSELUNG
4.1 Verschlüsselung der E-Mail-Adresse
Ver- und Entschlüsselung der E-Mail-Adresse, beispielsweise mit dem ROT16-Verfahren. Erweiterungen (z.B. um Rot5 etc. sind natürlich denkbar). Die E-Mail-Adresse ist als verschlüsselt als Parameter im JavaScript-Funktionsaufruf hinterlegt, wenn sie daher durch den SPAM-Bot aufgespürt wird, kann dieser zusätzlich direkt auf eine Blacklist verbannt werden.
Browser-Darstellung:
Bitte hinterlassen Sie uns eine Nachricht! Dankeschön!
Code-Ansicht:
Vorteile:
• Durch die Angabe einer falschen E-Mail-Adresse (nur diese ist im Funktionsaufruf der JavaScript-Funktion „decryptMail()“ als Parameter enthalten) kann diese als Honeypot verwendet werden. Auf diese Weise werden SPAM-Bots aktiv auf die falsche Fährte gelenkt und landen letztlich ggf. automatisiert auf einer Blacklist.
• Mit dieser Lösung kann also auch nachhaltig gegen SPAM vorgegangen werden.
Nachteile:
• Das ROT16-Verfahren ist nicht wirklich kompliziert, unter Umständen kann das Pattern von SPAM-Bots bereits erkannt und umgangen werden. Daher ist es ratsam, zumindest eine ROT5-Routine für Zahlen zusätzlich zu integrieren oder ein komplexeres Verschlüsselungsverfahren zu wählen.
Gesamtbewertung:
Hilfreiche Links:
- ROTn-Generator
- Ein weiterer ROTn-Generator inklusive zusätzlicher ROT5-Kodierung für Zahlen
5. Kontaktformulare
Kontaktformulare sind eine echte Alternative zu jedem Versuch, eine verwendbare E-Mail-Adresse darzustellen. SPAM-Bots können über CAPTCHAs erfolgreich am Versand des Formulars gehindert werden. Für das Beispiel wird hinsichtlich der Länge der Code-Ansicht auf Darstellung der CSS-Angaben, sowie die Implementierung des CAPTCHA sowie die verarbeitende PHP-Datei verzichtet.
Im Internet existieren jedoch ausreichend qualifizierte Anleitungen zur Erstellung einfacher sowie komplexer Feedback-Formulare.
Browser-Darstellung:
Code-Ansicht:
Vorteile:
• Mit dieser Lösung kann SPAM sehr erfolgreich abgewehrt werden, sofern das Formular über ein CAPTCHA oder einen vergleichbaren Mechanismus vor automatischem Versand geschützt wird.
Nachteile:
• Auch diese Lösung ist leider nicht komplett barrierefrei.
Gesamtbewertung:
Eine andere Möglichkeit, um die Anzahl eingehender Spam-E-Mails drastisch zu verringern, ist die Wahl eines E-Mail-Providers, der Spam-Schutz bietet. Professionelle E-Mail-Produkte bieten Ihnen mehrere Filter, die Sie eingerichtet können, um sicherzustellen, dass Sie immer nur die E-Mails erhalten, die Sie erhalten wollen. Hier finden Sie nützliche Tipps, wie Sie die Spamfilter in Ihrem Host Europe-Postfach einrichten und konfigurieren können.
Fazit
Einer der am meisten Erfolg versprechenden Lösungsansätze ist sicher das Feedback-Formular.
Zur bestmöglichen Einhaltung der Vorgaben des TMG wird in dem hier aufgeführten Beispiel eine E-Mail-Adresse als Grafik dargestellt, die einen PHP-Redirect zu einem Mail-Link öffnet (s. Beispiel 2.2 „Ersetzung durch Datei-URLs und anschließendem Redirect“).
Da auch die JavaScript-Verschlüsselung einen sehr guten SPAM-Schutz liefert, kann diese ebenfalls als sehr effektiv empfohlen werden, allerdings ist auch bei diesem Ansatz die Barrierefreiheit das größte Manko.
Die Verschleierung von E-Mail-Adressen mit Hilfe von CSS-Angaben zu den Pseudo-Elementen ::before und ::after liefert ebenfalls ein sehr gutes Resultat, da zusätzlich ein Honeypot generiert werden kann, um wirksam nachhaltigen SPAM-Schutz zu betreiben. Eine Mischung des E-Mail-Formulars mit dieser Lösung, um die E-Mail-Adresse lediglich erfolgreich darzustellen, ist ebenfalls denkbar. Ggf. ist ein Zusätzlicher Link unterhalb des Formulars sinnvoll (s. o.g. Redirect über PHP). Dieser könnte z.B. wie folgt in einen Textabsatz integriert werden: „Falls Ihnen der Versand über das Formular Probleme bereitet, können Sie Ihr Feedback gerne alternativ über den folgenden Link abgeben: Ich freue mich auf Ihre Nachricht.“ Der Link-Text sollte jedoch auf jeden Fall anstelle der E-Mail-Adresse aus einem für Menschen lesbaren Text bestehen und nicht die Aufmerksamkeit der SPAM-Bots auf sich lenken.
Eine komplett barrierefreie Lösung ist derzeit leider nicht möglich, wenn alle Vorgaben des TMG und im Idealfall auch der BITV eingehalten werden und gleichzeitig ein hoher SPAM-Schutz garantiert werden soll. Ein empfehlenswerter Ansatz ist sicher die Vermischung verschiedener Methoden, um es den SPAM-Bots bestmöglich zu erschweren, an die wertvolle E-Mail-Adresse zu kommen.
Als Favoriten gelten aus unserer Sicht das Formular, die JavaScript-Verschlüsselung, der Umweg über ein http-Redirect und die Verschleierung mittels CSS.
Was sind Ihre Favoriten? Fehlt aus Ihrer Sicht ein wichtiger Lösungsansatz? Wir freuen uns auf Ihre Kommentare!
- Keyword-Recherche mit dem Keyword Planner - 10. Februar 2016
- Die beliebtesten Content Sharing-Erweiterungen für Joomla! - 19. Januar 2016
- E-Commerce mit Erfolgskurs - 25. November 2015
Hallo,
zu diesem Thema hatte ich vor einigen Jahren die Webseite http://email2image.com/ ins Netzt gestellt.
Dort können E-Mail-Adressen in Javascript-Code oder in Grafiken umgewandelt werden.
Hallo Jan,
vielen Dank für den Link. Dein Projekt ist sicher für diejenigen hilfreich, die sich für die Variante mit der Grafik entscheiden.
Ist Dir die Promotion evtl. einen Like auf Facebook wert? 😉
Gruß,
Tom
Ein Feature des netqmail-Mailservers: qmail-qdated. Solche E-Mail-Adressen sind nur eine Woche lang gültig und verfallen anschließend. Mails die an solche Adressen gesendet werden, können persönlich gelesen und beantwortet werden (obwohl sie kryptisch aussehen). Mit der Antwort erhält man eine dauerhaft gültige Adresse. Dieses Verfahren stellt sicher, dass Spammer, die Websites automatisiert nach E-Mail-Adressen „abgrasen“, keine benutzbare Adresse zum Spammen vorfinden.
Hallo Marc,
vielen Dank für die bereichernde Zusatzinformation. Sicher auch eine sehr gute Möglichkeit, eine gültige E-Mail-Adresse anzubieten. Hast Du Informationen darüber, ob diese Methode geeignet für die Verwendung im Impressum ist? Ist die Dauerhaftigkeit der angebotenen Kontaktmöglichkeit rechtssicher?
Hallo Thomas,
mir sind u.a. Kanzleien bekannt, welche qmail-qdated im Impressum nutzen. Daher gehe ich davon aus, daß dieses Vorgehen rechtssicher ist. Außerdem kann man, statt E-Mails an abgelaufene Adressen einfach nur zu bouncen, mit Anpassungen doch empfangen, aber im Betreff als „abgelaufen“ markieren.
Hallo wertes HostEurope-Team,
die von mir bevorzugte Variante ist eine Kombination aus 3.9 (Verschleierung der Adresse) und 3.7 (JavaScript):
– Die E-Mail-Adresse wird innerhalb eines Span-Tags mit bestimmter Klasse mit zusätzlichen Elementen ergänzt, die per CSS ausgeblendet werden, damit die Adresse auch so lesbar ist.
– Die ergänzten Elemente enthalten an sich lesbaren Text, so dass auch eine barrierfreie Verarbeitung des Inhalts möglich ist.
– Eine jQuery-Methode schaut sich alle SPAN-Elemente mit der entsprechenden Klasse an, entfernt die zusätzlichen Inhalte und wandelt das Spam-Tag in eine mailto-Link um.
Damit sehen die meisten Benutzer (mit aktiviertem JavaScript) eh nur die korrekt verlinkte Adresse, die übrigen (mit aktiviertem CSS) sehen zumindest die korrekte Adresse bzw. können diese sich konstruieren (JavaScript & CSS deaktiviert).
Wie verhält es sich bei dieser Variante bzgl. der gesetzlichen Vorgaben?
Hallo Bastian,
vielen Dank für Deinen Kommentar. Ich denke, sofern es möglich ist, die E-Mail-Adresse per Klick zu verwenden, sollte es keinerlei Beanstandungen geben können, Sinn ist ja die Möglichkeit des Kontakts ohne besondere Aufwände für den Kontaktierenden. Ist das soweit möglich?
Hallo,
ich nutze bei meinem (zugegebenermaßen sehr kleinen) WP Auftritt das Plugin http://wordpress.org/extend/plugins/wp-spamshield/
Nutzt eine Kombination aus Javascript und Cookies. Hat bei mir 100% allen Spams ferngehalten.
Danke, gute Informationen
Hallo, wie würde so was gehen.
Für die Spamsucher eine Adresse wie
info@(SPAM page) und im Formular ein Sende-Knopf,
der dann das richtige Formular zum Ausfüllen,
mfg
rkaminski
Hallo und vielen Dank für den konstruktiven Kommentar!
Diese Möglichkeit ist sicher auch eine elegante Lösung. Zunächst wird eine Art Spam Trap (initiativer Honey Pot oder Recycled Adresses für die Analyse von fortgeführten SPAM Attacken) gelegt, in die dann die Bots tappen, in dem „Glauben“, eine korrekte Adresse vorgefunden zu haben. Man kann menschliche User über einen Flyout-Text darüber informieren, dass sie mit dieser Adresse falsch liegen, ein Bot sollte diesen Hinweis in der Regel nicht verstehen. Die Absender-Adresse kann dadurch direkt auf der eigenen Blacklist landen und das Formular lässt sich unabhängig versenden. Leider ist der Versand von Kontaktformularen hinsichtlich der Barrierefreiheit auf der anderen Seite noch etwas holprig. Aber der Ansatz ist definitiv ein guter und zudem recht einfach umzusetzen.
Eine weitere Möglichkeit haben wir per Twitter (@itfee) erhalten:
http://itfee.de/gravity-forms-formular-spammer-mit-css-austricksen/509
Vielen Dank für diese einfache und wirksame Idee!
Die Idee mit dem versteckten „Honeypot“-Feld funktioniert vermutlich besonders gut, wenn der Feldname auf eine Website hinweist, die ein Werbe-Bot natürlich liebend gerne ausfüllen wird, wenn er den Namen erkennt. Habe ich auch schon mehrfach verwendet. Das betrifft aber nur Formulare, nicht die Sichtbarkeit von E-Mail-Adressen.
Hallo,
ist die Variante 2.2 ‚Ersetzung durch Datei-URLs und anschließendem Redirect‘ barrierefrei?
Ihr Vorschlag ‚… landen letztlich ggf. automatisiert auf einer Blacklist. …‘ – wie mache ich das?
MfG
Bei mir funktioniert seit Jahren der Trick mit ASCII-Umrechnung sehr gut.
Beispiel: test@123.de
Einfach mal „mail adresse ascii verschlüsselung“ in den Freund mit dem großen G pumpen! 😉
Hallo zusammen,
ich benutze seit Jahren einen Javascriptgenerator, der alles in Zahlencode umrechnet. Der Witz an der Sache ist, dass er als Honeypot eine vorher definierte Fakeadresse im Scrpit hat und nur dort das Wort „mailto“ auftaucht.
Bei Interesse einfach mal anschauen:
http://www.bad-neighborhood.com/emailhashing.php
Sämtliche „Verschleierung“ sind reine Nutzergängelung. Ich finde das ja so schwachsinnig, @ mit (at) oder ähnlichem Unfug zu ersetzten und selbst im Jahr 2015 zu glauben, dass das ein Spambot nicht erkennen würde. Schönen Gruß an die ganzen TYPO3-Heinis.
Die einzig sinnvolle Abwehr von Spam sind ordentliche Filtermechanismen und Erkennungsstrategien auf dem E-Mail-Server. Schönen Gruß an die Webhoster-Heinis. 😉
Hallo Thomas,
die Tipps sind wirklich super. Bisher habe ich HEX-Zeichen benutzt, nun werde ich die Java-Verschlüsselung mal austesten.
Toll wäre, wenn man den Quellcode in den Beispielen kopieren und nicht manuell abtippen müsste.
Gruß, Anke
Hallo Thomas,
2.2 Ersetzung durch Datei-URLs und anschließendem Redirect
a) Wenn ich anstatt „Nachricht“ die eMailadresse anzeige (also ohne das „mailto:“) , um dem TMG nachzukommen, dann wird die eMailadresse wieder von SPAM-Bots und E-Mail-Harvester erkannt, oder?
b) Kann ich die beiden PHP-Elemente auch in ein und der selben HTML-Datei unterbringen? Also oben das Code-Element Nr. 2, wenn ja dann im HTML-Header?
Danke
Gruß Denis
Ich benutze zwei Methoden: 2.2 (damit kann ich die Email-Adresse komplett ausschreiben ohne dass sie von Spambots erkannt wird) und dann in Klammern noch „Email schreiben“ mit der Methode 2.2
ups, habe mich vertippt! hier ist die Richtige Antwort: Ich benutze zwei Methoden: 3.9 (damit kann ich die Email-Adresse komplett ausschreiben ohne dass sie von Spambots erkannt wird) und dann in Klammern noch „Email schreiben“ mit der Methode 2.2
Hallo!
Vorweg: Vielen Dank für die ganzen tollen Tipps!
Eine Frage: können die Spam-Bots auch den Quellcode der php-Seite (bei Methode 2.2) auslesen?
Nein, das geht generell nicht. PHP ist einer Serverseitige Programmiersprache. Heißt: der Code wird nur vom Server erkannt, der Ihnen im Anschluss daran die Seite als HTML ausgibt. Für Bots und für den normalen Nutzer ist Ihr PHP-Code nicht einzusehen. 😉
Die Methode 2.2 (redirect auf PHP) funktioniert unter Firefox nicht mehr. Firefox läßt anscheinend keine mailto-URLs mehr zu.
Vielleicht hast Du einen kleinen Fehler beim Abtippen gemacht. – Bei mit funktioniert die PHP auch mit dem Firefox (50.1.0.) – sogar besser wie mit dem IE, da dieser nach dem E-Mail Client eine Leerseite ausgibt!
Hallo,
mir ist eine einfache Idee gekommen, fordert vom Nutzer halt etwas „Arbeit“:
– example2000@website.com
Dem Nutzer erklären, er soll von der Zahl 100 abziehen/addieren, um zur korrekten E-Mail-Adresse zu kommen
– vereinsmeyer@website.com
Dem Nutzer erklären, alle y in ein i ändern
Viele Grüße
Gotthard
Hallo Gotthard,
solche „Kombinationsspiele“ sind natürlich immer auch eine gute Möglichkeit, um eine E-Mail-Adresse vor Missbrauch zu schützen.
Mit besten Grüßen
Wolf-Dieter
Das ist im Wesentlichen das gleiche wie die Ersetzung von @ durch „(at)“ oder dergleichen. Es verlangt vom Benutzer zusätzliche Arbeit. Und wenn der E-Mail-Client die Adresse unveränderlich unterstreicht (Outlook?), war’s das. Besser in robuste intelligente technische Lösungen investieren, die es dem Benutzer möglichst einfach machen. Computer sollen dem Menschen dienen, nicht umgekehrt! 🙂
Toller Artikel – Danke vorab für den Aufwand und die Zurverfügungstellung! – Ich hätte eine Frage zu „2.2 Ersetzung durch Datei-URLs und anschließendem Redirect“. Wenn ich diese PHP mit dem IE verwendet wird, ist die Location nach der Ausführung des E-Mail Clients eine „leere“ Webseite. Gibt es einen PHP-Befehl, der mich wieder auf die Ursprungsseite zurück bringt?
Vorab bedanke ich mich für die etwaige Beantwortung und verbleibe mit besten Grüßen
FS
Hi Thomas,
eine Lösung für das Problem könnte sein, wenn Du eine verschachtelte Funktion baust.
(Die übergeordnete Funktion)
{
– MailVersand ()
– ReDirect ()
}
So wird der zweite Redirect zurück auf die ursprüngliche Seite abschließend ausgeführt, nachdem die E-Mail zuvor ausgeführt wurde. (noch noch selbst getestet!)
Beste Grüße
Wolf-Dieter
Ich Gerhard Grauel brauche eine neue E.-Mail Adresse ich habe so noch keine bitte senden sie mir die zu um ich weiß das ich eine Neue habe,aber das muß sofort diese E.-Mail Adresse auf mein Bildschirm anzeigen dann weiß ich was ich für eine habe bitte kümmern sie sich heute darum das ich eine neue bekommen kann ich habe noch keine wo ich damit Benachrichtigt werden kann.
Hallo Herr Grauel,
leider verstehe ich nicht, was Sie meinen. Wenden Sie sich am besten direkt an unseren Support (kostenlose Beratung unter Tel.: 0800 4678 387). Meine Kollegen werden Ihnen sicher weiterhelfen können.
Mit besten Grüßen
Wolf-Dieter Fiege
wie wäre es damit?
vorundnachnameXXXdomain.com
Bitte erstezen Sie die drei X durch das @-Zeichen
Welches wäre denn eine geeignete Honeypot-Mailadesse, bei der die Spambots anschließend auf einer Blacklist landen?
Hallo Arno,
grundsätzlich kann man jede beliebige E-Mailadresse zu einem Honeypot machen.
Weitere Infos zu Honeypots findest Du hier:
https://de.wikipedia.org/wiki/Honeypot
Mit besten Grüßen
Wolf-Dieter
Sehr guter Artikel! Sehr interessant!
Super Beitrag, vielen Dank! Ich habe mit meiner Frau auch schon über das Thema IT-Recht gesprochen, da wir es beide sehr interessant finden.
Hi,
ich nutze seit Jahren recht erfolgreich das Konzept
3.7 Verschleierung durch dynamische Komposition der Adresse
mit der Ergänzung
test – at – domain.de
ohne Verlinkung. Die 0.1% Besucher/innen, die kein JS aktiviert haben, bekommen dadurch auch die Mailadresse.
Beste Grüße
Jürgen Pötschik
Hallo Jürgen,
das ist praktisch eine Abwandlung des Klassikers mit et oder at und zeigt, dass auch sehr einfache Lösungen sehr wirkungsvoll sein können.
Mit besten Grüßen
Wolf-Dieter
Moin!
Nicht wirklich schön ist, dass du die Codebeispiele als Grafik hinterlegt hast. Wozu? Ich habe keine Lust, 3 Dutzend Zeilen fehlerträchtig abzutippen :-(.
Die Lösung mit dem Redirect wäre mein Favorit. Aber sie funktioniert leider nicht, sobald es a) kein Standard-Mailprogramm gibt oder b) es schon läuft. Ich habe es erfolglos auf meinem Linux-System probiert (ist schön kurz zum Abtippen 🙂 ). In beiden Fällen gibt es eine Fehlermeldung: a) „Das“ Programm (welches?) kann nicht gestartet werden oder b) sinngemäß „Thunderbird läuft schon“. Das ist also von der Konfiguration beim Leser abhängig und damit nicht beherrschbar.
Trotzdem danke für die Mühe, ein interessanter Artikel!
VG Ralph
Hallo zusammen, ja diese Tipps sind hilfreich, vergessen Sie bitte aber nicht, das in Ihrem E-Mail Kasten gibt’s es auch einige Filtern, die sie auch verwenden könnnen
Vielen Dank, dass Sie all Ihre Erfahrungen geteilt haben!
Super Beitrag! Mach weiter so!
Toller Beitrag und tolle Vorschläge. Zum Dekodieren und Kodieren gibt es eine großartige Website. Sie müssen es überprüfen.
https://url-decode.com/
Das Hinzufügen in Ihren hilfreichen Links wird den Benutzern definitiv helfen.
Sehr hilfreiche Tipps, danke!
Es ist toll, dass Sie nützliche Informationen weitergeben. Ich lese Ihren Blog sehr gerne. David, Autor und Eigentümer des Blogs https://mrspion.de/
Klasse Artikel mit sehr vielen Möglichkeiten. Hier ist auf jeden Fall für jede:n etwas dabei!
2-3 Optionen waren mir bereits bekannt. Das es jedoch so viele Möglichkeiten gibt, hätte ich nicht gedacht. Sehr umfangreiche Darstellung der Optionen!
Guten Tag
Ich verwende die Methode 2.2. Jedoch erhalte ich in der Google Search Console einen Umleitungsfehler auf die php. Ich habe sie zwar in der robots.txt fürs crawlen blockiert, aber der Umleitungsfehler bleibt bestehen.
Weiss jemand wie ich das lösen kann?
LG