Spamfreie Emailadressen? Gibts vielleicht doch?
Gibt es Verfahren, die eine Email-Adresse frei vom Beschuß durch Spam sein lassen?
Jeder kennt das, hie und da muß man auf Webseiten tatsächlich seine Emailadresse hinterlassen. Da steht sie nun die gute, völlig ungeschützt im Verkehr, im Klartext für jeden lesbar und einfach anzuklicken.
Und es kommt, was kommen muß. Ruckzuck landen im eigenen Postfach Angebote für Potenzmittelchen, für 400 Euro Startguthaben im Casino und für lukrative Nebenjobs als Finanzagent.
Silvan Mühlemann vom techblog hat ein feines Experiment gemacht. Eineinhalb Jahre hat es gedauert, sozusagen ein Feldversuch. Die Ausgangshypothese war offen. Sein Plot umfasste 9 originäre Emailadressen, die für den Test eingerichtet wurden. 8 von ihnen waren durch unterschiedliche Verfahren geschützt, eine war ungeschützt geblieben. Alle Adressen wurden in einer HTML-Seite veröffentlicht, die direkt an eine Homepage gehängt worden war. Google übernahm und indexierte. Und was so klar wie ein sommerlicher Sternenhimmel ist, Spammer schickten Spider.
So war das dann auch kein Wunder, daß schon nach wenigen Tagen die ersten Angebote für die Eliminierung körperlicher Defizite eintrudeln oder man sich stark um die Anhebung des Images mittels günstiger Zeitanzeigerpreziosen kümmern wollte.
Doch nicht alle Adressen bekamen die gleichen Mengen unerwünschter Mail. So ungehindert der Spam auf die eine völlig ungeschützte Adresse einplatterte, so wenig kam auf anderen an. Wie Silvan kürzlich feststellen konnte, gab es Adressen, die überhaupt keinen Spam erhalten hatten. Für die offene Adresse zählte er 21 Megabyte Müll.
Drei der acht Verfahren sind dabei wirklich sehr erfolgreich. Silvan hat “down to absolutely no spam” gemessen.
Zwei dieser Verfahren basieren auf einfachen CSS-Techniken:
1. Umdrehen der Anzeigerichtung
Spider lesen Sourcecode, nicht das, was der Browser dem Besucher präsentiert. Im Sourcecode der HTML-Seite wird deshalb die die Email-Adresse verfälscht, sie wird in diesem Verfahren buchstabenweise umgedreht, sozusagen von hinten nach vorne geschrieben. Eine passende CSS-Klasse dreht die Richtung bei der Anzeige der Seite für den Besucher wieder um.
<style type="text/css">
span.codedirection { unicode-bidi:bidi-override; direction: rtl; }
</style>
<p><span class="codedirection">de.xmg@dahrnerb</span></p>
2. Ausblenden von verfälschenden Elementen
Man kann die Emailadresse im Sourcecode auch mit ungültigen Textteilen, die nicht Bestandteil der eigentlichen Adresse sind, anreichern. Ebenfalls mittels CSS-Klasse kann die Anzeige dieser Teile unterdrückt werden.
<style type="text/css">
p span.displaynone { display:none; }
</style>
<p>brenrhad@<span class="displaynone">null</span>gmx.de</p>
Für beide Verfahren wundert man sich eigentlich, warum die vergleichsweise Einfachheit der Lösung tatsächlich nicht ausgehebelt wird. Ich glaube, Silvan führt den Beweis, daß es für Spammer ausreichend lukrativ ist, sich auf ungeschützte Adressen zu stützen solange diese ausreichend verfügbar sind. Wenig Mühe macht man sich, den Spidern soviel Logik einzuimpfen, daß die geschützten Adressen dekodiert werden können und auf diese Weise ebenfalls zur Verfügung stehen.
Das dürfte schon anders aussehen, wenn eines der Verfahren als Standardkomponente Einzug in ein CMS oder Blogging-System halten würde. Methode fünf, das Verschlüsseln einer Mailadresse mit Javascript – deutlich “komplizierter” immerhin als die Variante, Punkt und Klammeraffen durch Klartext zu ersetzen – ist mittlerweile nicht mehr so erfolgreich. Das mag genau daran liegen, daß CMS-Systeme wie beispielsweise Joomla diese Lösung standardisiert verwenden.
Moderne Netztechnik lehrt uns ein evolutionäres Grundgesetz: Solange wir uns in der Frühphase der Netztechnik befinden, die Systeme noch immer volatil sind, liegt einmal die Sicherheit vorne, einmal der Hacker.
via Dr. Web
