Für fast alle Betreiber von Internetseiten ist die nachfolgende Thematik der sicheren Verwendung von E-Mail-Adressen im Zusammenhang mit der eigenen Internetpräsenz ein interessantes Stück Lektüre.
Die gesetzlichen Bestimmungen in Deutschland (Telemediengesetz, TMG) sowie die Vorgaben der BITV sehen es vor, der Besucher wünscht es sich nur allzu oft und Programme wie E-Mail-Harvester bzw. SPAM-Robots freuen sich ganz sicher darauf: die möglichst einfach zu benutzende Angabe einer gültigen E-Mail-Adresse auf Ihrer Webseite.
Da SPAM ein Thema ist, welches nach wie vor einen dringenden Handlungsbedarf fordert, haben wir Ihnen im nachfolgenden Artikel 15 Möglichkeiten aufgeführt, wie Sie Ihre E-Mail-Adresse im Internet präsentieren können. Nicht jede davon ist besonders SPAM-sicher. Vor- und Nachteile haben wir daher natürlich ebenfalls für Sie zusammengetragen.
1. Ohne Schutz: einfache Darstellung
Zugrunde liegt die einfache, barrierefreie Darstellung einer E-Mail-Adresse inklusive „mailto:“-Link-Anweisung im Quellcode der Webseite.
Browser-Darstellung:
Hinterlassen Sie uns eine Nachricht unter example1@hosteurope.de
Code-Ansicht:
Vorteile:
• Menschliche Benutzer haben bei dieser Variante sicher keinerlei Probleme, den E-Mail-Link als solchen zu erkennen und intuitiv zu bedienen.
Nachteile:
• Während ein menschlicher Benutzer darauf klickt, um seine favorisiertes E-Mail-Programm zu öffnen und darin eine E-Mail an den hier aufgeführten Empfänger zu verfassen, sammeln SPAM-Bots diese E-Mail-Adresse einfach ein, um später Ihr Unwesen damit zu treiben.
Gesamtbewertung:
2. ERSETZUNG DER E-MAIL-ADRESSE
2.1 Ersetzung durch Bilder, Flash , SVG, oder ähnliche Inhalte
Anstatt die E-Mail-Adresse dadurch anzuzeigen, dass sie in Textform im Quelltext hinterlegt ist, könnte sie alternativ natürlich auch über Bildinhalte (wie im Beispiel gezeigt), Flash-, SVG-, bzw. Silverlight-Elemente oder Ähnliches dargestellt werden.
Browser-Darstellung:
Ihre Nachricht: example2@hosteurope.de
Code-Ansicht:
Vorteile:
• Menschliche Benutzer haben bei dieser Variante sicher keinerlei Probleme, die E-Mail-Adresse als solche zu erkennen und das E-Mail-Programm selbstständig zu bedienen. Bezogen auf den SPAM-Schutz ist diese Variante sehr sicher.
Nachteile:
• Darüber hinaus gibt es verschiedene Gründe, die gegen die Verwendung von Grafiken sprechen: Screen Reader können sie nicht darstellen (Barrierefreiheit ist nicht gegeben), sie verwenden den für Bilder laut BITV vorgesehenen Alternativ-Text, den SPAM-Bots allerdings auch wieder lesen können.
• Bilder verhalten sich in Bezug auf die Skalierbarkeit nicht wie Text.
• Benutzer müssen das E-Mail-Programm selbst öffnen und die Empfänger-Adresse manuell eingeben.
• Einige Harvester können inzwischen mittels OCR Bilder auf Text durchsuchen.
Gesamtbewertung:
2.2 Ersetzung durch Datei-URLs und anschließendem Redirect
Eine weitere Möglichkeit ergibt sich durch die bewusste Weiterleitung per HTTP-Redirect (z.B. per Apache mod_rewrite, JavaScript oder serverseitige Skripte), hier dargestellt am Beispiel einer Lösung mit Hilfe von PHP. Zunächst führt der vermeintliche E-Mail-Link zu einer verarbeitenden Datei.
Browser-Darstellung:
Bitte hinterlassen Sie uns eine Nachricht! Wir melden uns gerne zurück!
Code-Ansicht:
Innerhalb der serverseitig verarbeiteten Datei kann schließlich der Mail-Link per „mailto:“-Aufruf als Redirect implementiert werden.
Dadurch wird wie gewohnt das E-Mail-Programm geöffnet und der Benutzer hat den korrekten Empfänger bereits automatisch angegeben.
Vorteile:
• SPAM-Bots erkennen bei dieser Lösung keine explizit hinterlegte E-Mail-Adresse. Aus deren Sicht liegt hier eine normale Verlinkung zu einer Datei vor.
• Der Benutzer hat bereits den korrekten Adressaten im E-Mail-Programm angegeben, ohne die E-Mail-Adresse manuell verändern zu müssen.
Nachteile:
• Es wird ein Skript (Redirect) benötigt, welches zur Laufzeit aufgerufen wird. Der Aufwand ist allerdings vergleichsweise gering.
Gesamtbewertung:
3. VERSCHLEIERUNG DER E-MAIL-ADRESSE
3.1 Verschleierung durch Ersetzung der Sonderzeichen
Die Ersetzung der Sonderzeichen „@“ und „.“ der E-Mail-Adresse mit „AT“ und „DOT“, bzw. „PUNKT“ bietet eine mögliche Variante, den Link als Text darzustellen.
Ist die „mailto:“-Angabe beim Link vorangestellt, wird dieser jedoch auch als E-Mail-Link erkannt.
Zudem muss der Benutzer in seinem E-Mail-Programm den Austausch der Ersetzungen gegen die Sonderzeichen selbstständig vornehmen und somit „.“ sowie „@“ wieder manuell einfügen.
Fehlt die Angabe hingegen, muss der Benutzer den gelesenen Text abstrahieren und die E-Mail-Adresse selbst eintippen, nachdem er sein E-Mail-Programm gestartet hat.
Browser-Darstellung:
Schreiben Sie eine E-Mail an example4 AT hosteurope PUNKT de
Code-Ansicht:
Vorteile:
• Ohne „mailto:“-Angabe, bzw. die komplette Link-Syntax im Code ist die Darstellung im Browser zunächst unproblematisch.
• Weitere Schreibweisen und Varianten sind natürlich möglich („[AT]“, „[*AT*]“, „-AT-“, etc.).
Nachteile:
• SPAM-Bots sind in der Lage, die Ersetzungen automatisiert vorzunehmen.
• Der Benutzer muss in jedem Fall selbst die E-Mail-Adresse manipulieren oder manuell eingeben. Der Aufwand liegt also bei Ihren Seitenbesuchern.
Gesamtbewertung:
3.2 Verschleierung durch HTML-Entities
Die Sonderzeichen „@“ und „.“ Können optional mit Hilfe von HTML-Entitäten (nummerierte Form) ersetzt werden. Diese Ersetzung ist eine leicht elegantere Alternative zum Text.
Browser-Darstellung:
Wir sind erreichbar unter example5@hosteurope.de.
Code-Ansicht:
Vorteile:
• Die Darstellung im Browser ist immerhin korrekt.
Nachteile:
• SPAM-Bots sind intelligent genug, auch diese Ersetzungen automatisiert vorzunehmen, zumal sie durch die E-Mail-Link-Syntax im Code bereits darauf hingewiesen werden, dass es sich um einen E-Mail-Link handeln muss.
Gesamtbewertung:
3.3 Verschleierung durch HEX- bzw. URL-Encoding
Es besteht ferner die Option einer Ersetzung mit Hilfe von HEX-, bzw. URL-Encoding.
Browser-Darstellung:
Hex-Codierung: E-Mail 1 an Host Europe
URL-Codierung (ASCII): E-Mail 2 an Host Europe
Code-Ansicht HEX-Codierung:
Code-Ansicht URL-Encoding (ASCII):
Vorteile:
• Bei der HEX-Codierung kann die komplette Adresse inklusive „mailto:“ transformiert werden.
Nachteile:
• Bei der URL-Codierungs-Variante muss „mailto:“ entweder statisch oder per Skript der Link-Adresse hinzugefügt werden. Auch in diesem Fall wird durch die Syntax bereits preisgegeben, dass es sich um einen E-Mail-Link handelt.
• SPAM-Bots sind mittlerweile oft intelligent genug, diese einfache Form der Verschleierung zu entziffern.
Gesamtbewertung:
Hilfreiche Links:
- Ein URL En-/De-Coder unter http://meyerweb.com/eric/tools/dencoder/
- Ein HEX-Entity-Generator: http://www.sql-und-xml.de/unicode-database/online-tools/
3.4 Verschleierung durch HTML-Kommentare
Eine alternative Möglichkeit ist die Auftrennung der E-Mail-Adresse mit Hilfe von HTML-Kommentaren.
Browser-Darstellung:
Ihre Mail an example8@hosteurope.de
Code-Ansicht:
Vorteile:
• Die Darstellung im Browser ist korrekt.
• Die Adresse kann kopiert und im E-Mail-Programm eingefügt werden
Nachteile:
• Sobald der Codestruktur ein „mailto:“-Link zu Grunde liegt, erhalten SPAM-Bots einen Hinweis darauf, dass eine E-Mail-Adresse dargestellt wird.
Allerdings wird es diesen durch die Verwendung der Kommentare und die darin enthaltenen Sonderzeichen nicht leicht gemacht, ein Muster zu erkennen, nach dem die Kommentar-Anteile des Textes entfernt werden können, um einen gültigen Adress-String zu bilden.
Die Kommentare enthalten daher sowohl Sonderzeichen der Kommentar-Syntax an sich („-“, „>“), als auch Sonderzeichen, die bei der Generierung von E-Mail-Links verwendet werden („.“, „@“).
Gesamtbewertung:
3.5 Verschleierung durch Hinzufügen von Zeichen (FAKE-E-Mails 1)
Ebenfalls sinnvoll ist die Veränderung der E-Mail-Adresse durch Hinzufügen von Zeichenketten (z.B. „ENTFERNEN“, „DEL“, „REMOVE“), die für die eigentliche Verwendung im E-Mail-Programm später vom Benutzer manuell entfernt werden sollen. Als optische Hervorhebung der manuell zu löschenden Inhalte kann sowohl ein per CSS-Klasse angepasstes, HTML-eigenes „del“-Element, als auch ein ebenso formatierter „span“-Tag verwendet werden.
Browser-Darstellung:
Schreiben Sie an
example9ENTFERNEN@hosteurope.de oder
example9DEL@hosteurope.de (del-Tag) oder
example9REMOVE@hosteurope.de (span-Tag)
Code-Ansicht:
Vorteile:
• Durch die Angabe einer falschen E-Mail-Adresse (die Original-Adresse wir schließlich erweitert um eine beliebige Zeichenfolge, die für ein E-Mail-Format geeignet ist) kann diese als Honeypot verwendet werden. Auf diese Weise werden SPAM-Bots aktiv auf die falsche Fährte gelenkt und landen letztlich ggf. automatisiert auf einer Blacklist.
• Mit dieser Lösung kann also auch nachhaltig gegen SPAM vorgegangen werden.
Nachteile:
• Der Benutzer muss entweder selbst das Muster erkennen oder erklärt bekommen und die E-Mail-Adresse letztlich manuell bearbeiten.
Gesamtbewertung:
3.6 Verschleierung durch Ausblenden von Zeichen (FAKE-E-Mails 2)
Damit die zusätzlich eingefügten Zeichen für den Benutzer nicht sichtbar sind, kann man mit Hilfe von CSS deren Darstellung ferner vermeiden.
Browser-Darstellung:
Schreiben Sie an info10@hosteurope.de
Code-Ansicht:
Vorteile:
• Durch die Angabe einer falschen E-Mail-Adresse (die Original-Adresse wir schließlich erweitert um eine beliebige Zeichenfolge, die für ein E-Mail-Format geeignet ist) kann diese als Honeypot verwendet werden. Auf diese Weise werden SPAM-Bots aktiv auf die falsche Fährte gelenkt und landen letztlich ggf. automatisiert auf einer Blacklist.
• Mit dieser Lösung kann also auch nachhaltig gegen SPAM vorgegangen werden.
Nachteile:
• Der Benutzer muss entweder selbst das Muster erkennen oder erklärt bekommen und die E-Mail-Adresse letztlich manuell bearbeiten.
Gesamtbewertung:
3.7 Verschleierung durch dynamische Komposition der Adresse
Man kann die E-Mail-Adresse auch mit Hilfe von JavaScript clientseitig dynamisch zusammenstellen.
Browser-Darstellung:
Lassen Sie uns unter info11@hosteurope.de eine Nachricht zukommen
Code-Ansicht:
Vorteile:
• Die E-Mail-Adresse ist erst nach clientseitiger Ausführung des JavaScript-Codes komplett verfügbar und könnte, falls gewünscht, letzten Endes sogar erst bei einem Funktionsaufruf (gesteuert beispielsweise durch ein Klick-Ereignis) zusammengestellt werden. Somit wäre sie vollständig vor SPAM-Bots versteckt, da diese das Klick-Ereignis nicht selbstständig auslösen.
Nachteile:
• Benutzer, die JavaScript in ihrem Browser deaktiviert haben, können die E-Mail-Adresse nicht dargestellt bekommen. Dieser Fall ist heute jedoch eher selten. Allerdings ist diese Lösung nicht barrierefrei, da JavaScript vorausgesetzt wird.
3.8 Verschleierung der E-Mail-Adresse über CAPTCHAs
Die E-Mail-Adresse wird mit Hilfe von reCAPTCHA verschleiert und erst nach positiver Prüfung auf einen menschlichen Benutzer angezeigt.
Browser-Darstellung:
Schreiben Sie uns eine E-Mail!
Bitte haben Sie Verständnis dafür, dass wir prüfen, ob Sie eine SPAM-Bot sind oder ein Mensch.
Code-Ansicht:
Vorteile:
• Die E-Mail-Adresse wird definitiv nirgendwo angezeigt, daher kann sie nicht von SPAM-Bots eingesammelt werden.
• Man kann CAPTCHAs sehr vielseitig umgestalten, so dass sie in das eigene Design integriert werden können.
Nachteile:
• Besucher könnten auf die Prüfungen gelangweilt oder verärgert reagieren. Nicht jeder mag CAPTCHAs! Einige Alternativen mit kurzweiligen Ansätzen sind unten aufgeführt.
• Barrierefreiheit ist nicht gegeben.
Hilfreiche Links:
- E-Mail-Schutz mit Google reCAPTCHA
- Alternative E-Mail-Protektion mit scr.im oder AreYouHuman
3.9 Verschleierung durch Einfügen gleichartiger, unnötiger Elemente
Zweck dieser Methode ist es, dem Harvester jeweils nur einzelne Teile der korrekten E-Mail-Adresse zu liefern, die im Quelltext allerdings durch Einfügen weiterer, unnötiger Elemente in scheinbar keinem Zusammenhang mehr stehen. Durch CSS-Angaben können diese unnötigen Elemente nachträglich bei der Darstellung im Browser wieder ausgeblendet werden und übrig bleibt eine für den menschlichen User lesbare E-Mail-Adresse.
Browser-Darstellung:
Ihr Text an uns: example13@hosteurope.de
Code-Ansicht:
Vorteile:
• SPAM-Bots und E-Mail-Harvester sind durch die Fülle der Elemente nicht in der Lage, die E-Mail-Adresse zu lesen, da sie mit dem Quellcode komplett zerstückelt geladen wird, aus ihrer Sicht steht dort „example13Content13Paragraph13$%@europehosthosteuropehopee
urost;.:deedde“.
Nachteile:
• Menschliche Benutzer müssen die E-Mail-Adresse manuell kopieren und im E-Mail-Programm einfügen.
• Barrierefreiheit ist auch hier nicht gegeben. Ein Screen Reader liest auch alle im Quelltext enthaltenen Inhalte vor.
3.10 Verschleierung über CSS (Ausblenden bzw. Pseudo-Elemente)
Die E-Mail-Adresse wird zunächst unvollständig geladen, da nur Teile im Quellcode der Seite enthalten sind. Mit Hilfe von CSS-Angaben (in den folgenden Beispielen ::before und ::after) durch Anhängen von Content wird erst bei der Darstellung im Browser die vollständige Adresse angezeigt.
Browser-Darstellung:
Beispiel 1: Schreiben Sie uns: info14a@hosteurope.de
Beispiel 2: Schreiben Sie uns: info14b@hosteurope.de
Code-Ansicht:
Vorteile:
• SPAM-Bots und E-Mail-Harvester sind ist nicht in der Lage, die E-Mail-Adresse zu lesen, da sie nicht mit dem Quellcode komplett geladen wird, aus Ihrer Sicht steht dort nur „inf“ (Beispiel 1) bzw. „badmail@hosteurope.de“ (Beispiel 2). Der Rest wird ausschließlich vom Browser interpretiert und dargestellt.
• Harvester sammeln die versteckte und falsche E-Mail-Adresse „badmail@hosteurope.de“ (Beispiel 2) ein. Sobald eine Mail in diesem Postfach landet, kann der Versender im Anschluss auf die Blacklists für SPAM gesetzt werden. Ein nachhaltiger SPAM-Schutz ist also realisierbar.
Nachteile:
• Leider ist der durch CSS „angehängte“ Text von menschlichen Benutzern zwar lesbar, aber nicht auswählbar.
3.11 Verschleierung über CSS (Umkehrung der Zeichenreihenfolge)
Eine E-Mail-Adresse kann auch mit Hilfe eines recht pfiffigen Ansatzes verschleiert werden, indem man im Quellcode die Reihenfolge der Zeichen umkehrt und erst bei der Darstellung im Browser mit Hilfe von CSS wieder in die richtige Reihenfolge bringt.
Browser-Darstellung:
Schreiben Sie uns: info15@hosteurope.de
Code-Ansicht:
Vorteile:
• SPAM-Bots finden die E-Mail-Adresse zunächst in umgekehrter Form vor, aus Ihrer Sicht steht dort „51ofni@eporuetsoh.ed“. Die Darstellung in der korrekten Zeichenreihenfolge wird erst durch CSS realisiert und im Browser dargestellt.
Nachteile:
• E-Mail-Harvester lassen sich oft nicht von so einfachen Verschleierungen beeindrucken. Sie sind in der Lage, das Muster zu erkennen und die E-Mail-Adresse, welche dahinter liegt, relativ schnell aufzudecken.
4. VERSCHLÜSSELUNG
4.1 Verschlüsselung der E-Mail-Adresse
Ver- und Entschlüsselung der E-Mail-Adresse, beispielsweise mit dem ROT16-Verfahren. Erweiterungen (z.B. um Rot5 etc. sind natürlich denkbar). Die E-Mail-Adresse ist als verschlüsselt als Parameter im JavaScript-Funktionsaufruf hinterlegt, wenn sie daher durch den SPAM-Bot aufgespürt wird, kann dieser zusätzlich direkt auf eine Blacklist verbannt werden.
Browser-Darstellung:
Bitte hinterlassen Sie uns eine Nachricht! Dankeschön!
Code-Ansicht:
Vorteile:
• Durch die Angabe einer falschen E-Mail-Adresse (nur diese ist im Funktionsaufruf der JavaScript-Funktion „decryptMail()“ als Parameter enthalten) kann diese als Honeypot verwendet werden. Auf diese Weise werden SPAM-Bots aktiv auf die falsche Fährte gelenkt und landen letztlich ggf. automatisiert auf einer Blacklist.
• Mit dieser Lösung kann also auch nachhaltig gegen SPAM vorgegangen werden.
Nachteile:
• Das ROT16-Verfahren ist nicht wirklich kompliziert, unter Umständen kann das Pattern von SPAM-Bots bereits erkannt und umgangen werden. Daher ist es ratsam, zumindest eine ROT5-Routine für Zahlen zusätzlich zu integrieren oder ein komplexeres Verschlüsselungsverfahren zu wählen.
Hilfreiche Links:
- ROTn-Generator
- Ein weiterer ROTn-Generator inklusive zusätzlicher ROT5-Kodierung für Zahlen
5. Kontaktformulare
Kontaktformulare sind eine echte Alternative zu jedem Versuch, eine verwendbare E-Mail-Adresse darzustellen. SPAM-Bots können über CAPTCHAs erfolgreich am Versand des Formulars gehindert werden. Für das Beispiel wird hinsichtlich der Länge der Code-Ansicht auf Darstellung der CSS-Angaben, sowie die Implementierung des CAPTCHA sowie die verarbeitende PHP-Datei verzichtet.
Im Internet existieren jedoch ausreichend qualifizierte Anleitungen zur Erstellung einfacher sowie komplexer Feedback-Formulare.
Browser-Darstellung:
Code-Ansicht:
Vorteile:
• Mit dieser Lösung kann SPAM sehr erfolgreich abgewehrt werden, sofern das Formular über ein CAPTCHA oder einen vergleichbaren Mechanismus vor automatischem Versand geschützt wird.
Nachteile:
• Auch diese Lösung ist leider nicht komplett barrierefrei.
Eine andere Möglichkeit, um die Anzahl eingehender Spam-E-Mails drastisch zu verringern, ist die Wahl eines E-Mail-Providers, der Spam-Schutz bietet. Professionelle E-Mail-Produkte bieten Ihnen mehrere Filter, die Sie eingerichtet können, um sicherzustellen, dass Sie immer nur die E-Mails erhalten, die Sie erhalten wollen. Hier finden Sie nützliche Tipps, wie Sie die Spamfilter in Ihrem Host Europe-Postfach einrichten und konfigurieren können.
Fazit
Einer der am meisten Erfolg versprechenden Lösungsansätze ist sicher das Feedback-Formular.
Zur bestmöglichen Einhaltung der Vorgaben des TMG wird in dem hier aufgeführten Beispiel eine E-Mail-Adresse als Grafik dargestellt, die einen PHP-Redirect zu einem Mail-Link öffnet (s. Beispiel 2.2 „Ersetzung durch Datei-URLs und anschließendem Redirect“).
Da auch die JavaScript-Verschlüsselung einen sehr guten SPAM-Schutz liefert, kann diese ebenfalls als sehr effektiv empfohlen werden, allerdings ist auch bei diesem Ansatz die Barrierefreiheit das größte Manko.
Die Verschleierung von E-Mail-Adressen mit Hilfe von CSS-Angaben zu den Pseudo-Elementen ::before und ::after liefert ebenfalls ein sehr gutes Resultat, da zusätzlich ein Honeypot generiert werden kann, um wirksam nachhaltigen SPAM-Schutz zu betreiben. Eine Mischung des E-Mail-Formulars mit dieser Lösung, um die E-Mail-Adresse lediglich erfolgreich darzustellen, ist ebenfalls denkbar. Ggf. ist ein Zusätzlicher Link unterhalb des Formulars sinnvoll (s. o.g. Redirect über PHP). Dieser könnte z.B. wie folgt in einen Textabsatz integriert werden: „Falls Ihnen der Versand über das Formular Probleme bereitet, können Sie Ihr Feedback gerne alternativ über den folgenden Link abgeben: Ich freue mich auf Ihre Nachricht.“ Der Link-Text sollte jedoch auf jeden Fall anstelle der E-Mail-Adresse aus einem für Menschen lesbaren Text bestehen und nicht die Aufmerksamkeit der SPAM-Bots auf sich lenken.
Eine komplett barrierefreie Lösung ist derzeit leider nicht möglich, wenn alle Vorgaben des TMG und im Idealfall auch der BITV eingehalten werden und gleichzeitig ein hoher SPAM-Schutz garantiert werden soll. Ein empfehlenswerter Ansatz ist sicher die Vermischung verschiedener Methoden, um es den SPAM-Bots bestmöglich zu erschweren, an die wertvolle E-Mail-Adresse zu kommen.
Als Favoriten gelten aus unserer Sicht das Formular, die JavaScript-Verschlüsselung, der Umweg über ein http-Redirect und die Verschleierung mittels CSS.
Was sind Ihre Favoriten? Fehlt aus Ihrer Sicht ein wichtiger Lösungsansatz? Wir freuen uns auf Ihre Kommentare!
- Keyword-Recherche mit dem Keyword Planner - 10. Februar 2016
- Die beliebtesten Content Sharing-Erweiterungen für Joomla! - 19. Januar 2016
- E-Commerce mit Erfolgskurs - 25. November 2015