Spaces. Smartes Cloud Hosting für anspruchsvolle Webprojekte. Loslegen und Spaces testen. Von Mittwald.
Vitaly Friedman 15. Oktober 2009

Sichere Techniken zur E-Mail-Spam-Bekämpfung

Kein Beitragsbild

Spam ist ein altes Problem, mit dem wohl jeder Web-Entwickler, des­sen Kunden und sowie­so jeder Anwender zu tun hat. Moderne Spam-Filter, die zum Beispiel in GoogleMail in vol­lem Maße zum Einsatz kom­men, lie­fern häu­fig ver­blüf­fen­de Ergebnisse, doch weit­aus nicht jeder zeigt sich bereit, sei­ne pri­va­te E-Mail-Korrespondenz einem exter­nen Onlinedienst anzu­ver­trau­en. Also stellt sich die Frage, an wel­che Techniken Seitengestalter sich wen­den soll­ten, um die E-Mail-Adresse des Kunden – etwa auf einer Kontaktseite – leser­lich anzei­gen zu las­sen, den Posteingang des E-Mail-Inhabers jedoch vor auf­dring­li­cher Werbung zu bewah­ren.

1. Vermeidung von Stereotypen
Eine bewähr­te Methode, mit der sich E-Mail-Adressen von Spam-Bots ver­ste­cken las­sen, ist eine ein­fa­che Umschreibung der Adresse, damit sie nur von Besuchern der Seite – im Klartext: Menschen – ent­zif­fert wer­den kann. Bis dato konn­te sich die­se Vorgehensweise als erfolg­reich erwei­sen, doch Spam-bots ler­nen genau­so wie Seitenentwickler dazu, so dass unklar ist, ob sie sich auch in Zukunft bewäh­ren kann. Außerdem kann es vor­kom­men, dass uner­fah­re­ne Anwender nicht in der Lage sein wer­den, eine E-Mail-Adresse kor­rekt zu ent­zif­fern. Unter ande­rem wer­den fol­gen­de Ansätze häu­fig ver­wen­det:

  • Ersetzen von Punkten durch “d-o-t”, “@” durch [at] und Ergänzung durch belie­big vie­le Leerzeichen dazwi­schen.
    Beispiel: e-mail@office.de -> e-mail [at] office [d-o-t] de.
  • Einfügen von Zeichen vor und nach dem “@”-Zeichen.
    Beispiel: e-mail@office.de -> e-mail {!@!} office.de
  • Vermeidung von Stereotypen: beim Crawlen im Web fügen Spam-Bots auto­ma­tisch all­ge­mei­ne Benutzerkontennamen wie “info”, “ser­vice”, “admin” unter ande­rem zu einem gefun­de­nen Domainnamen hin­zu und legen die­se in einer Spam-Datenbank ab. Deshalb ist es sinn­voll, sol­che Adressen wie info@office.de, service@office.de und admin@office.de nach Möglichkeit zu ver­mei­den.

2. Ersetzen des Textes durch Bilder
Die meis­ten Spam-Bots sind bis­her noch nicht in der Lage, Bilder nach ein­ge­bet­te­ten Textinhalten zu durch­su­chen. Deshalb ist die Präsentation einer E-Mail-Adresse durch ein ent­spre­chen­des Bild ohne direk­te Beziehung auf die Adresse im Quelltext eine viel ver­spre­chen­de Methode. Die Bilder für E-Mail-Adressen las­sen sich durch meh­re­re Online-Tools “on the fly” gene­rie­ren, so dass Web-Entwickler die­se nur geschickt in eine Seite ein­zu­fü­gen haben.

3. Ersetzen des Textes durch ASCII und Javascript-kodier­ten Text
Ein wei­te­rer popu­lä­rer Ansatz basiert dar­auf, E-Mail-Adressen als ASCII-Code oder Javascript-kodier­te Text anzu­zei­gen. Bei die­ser Methode sehen Seitenbesucher kei­nen Unterscheid in der E-Mail-Präsentation, doch Spam-Bots wer­den die Adresse beim Durchstöbern des Quelltextes nicht fin­den. Es gibt web­ba­sier­te Tools, die E-Mail-Links in weni­gen Sekunden umwan­deln las­sen:

  • Online Email Protector: E-Mail-Adresse ein­ge­ben, gene­rier­ten ASCII-Code oder kom­ple­xen Javascript-Code erhal­ten.
  • Spam-me-not E-mail Link Obfuscator: Web-Entwickler kön­nen ver­schie­de­nen Kodierungsalgorithmen ver­wen­den, wie etwa dezi­ma­le, hexa­de­zi­ma­le oder zufalls­ba­sier­te Notation.
  • Email Riddler ver­schlüs­selt E-Mail-Adressen und wan­delt die­se in eine Folge von Ziffern (HTML-Kodierung).
  • Advanced Email Link Generator with Anti-Spam Encoder sagt das, was sein Name ver­mu­ten lässt, mit meh­re­ren ver­füg­ba­ren Optionen und Kodierung von mail­to-Links.

4. Ersetzen der E-Mail durch ein Kontaktformular
Anstatt die E-Mail-Adresse mit schlau­en Methoden zu ver­ste­cken, greift manch ein Seitenbetreiber zu einer radi­ka­len alter­na­ti­ven Lösung. Auf die Anzeige der E-Mail-Adresse wird dabei ganz ver­zich­tet, und statt­des­sen setzt man ein simp­les Kontaktformular ein, mit dem Seitenbesucher ihr Anliegen abschi­cken kön­nen. Designagenturen nut­zen die­se Gelegenheit gleich aus, um den poten­zi­el­len Kunden ein “Design Brief” gleich mit aus­fül­len und abschi­cken zu las­sen.

Die Faustregel gilt: je weni­ger Felder ein Kontaktformular ent­hält, des­to mehr Anfragen wer­den Sie erhal­ten. Häufig wird in sol­chen Formularen ein Captcha benutzt. Allerdings muss sie nicht einem kryp­ti­schen Erkennungsspiel ähneln (auch bekannt als “erken­ne-fünf-kaum-les­ba­re-Ziffern-und-gebe-sie-an-Spiel). Meistens ist es genug, den Benutzer zu fra­gen, wel­che Farbe etwa für Apfelsine typisch ist oder zu beant­wor­ten, ob Eis eher für “kalt” oder “warm” steht.

5. Sichere Lösung
Eine der bekann­tes­ten Regeln, der man unter allen Umständen zur Bewahrung sei­ner E-Mail-Adresse vor Spam fol­gen soll­te, ist, die E-Mail-Adresse nie im Web zu ver­öf­fent­li­chen. Eine simp­le Methode, deren Effizienz selbst die Erwartungen von opti­mis­ti­schen Lesern übe­tref­fen wird, basiert genau auf die­ser Idee, die durch ein Zusammenspiel von zwei E-Mail-Adressen erwei­tert wird.

Als Seitenbetreiber erstellt zwei E-Mail-Adressen. Eine ist für seriö­se geschäft­li­che Kontakte gedacht und wird nur für Kommunikation mit Partnern und Kunden benutzt. Die ande­re ist für kur­ze Anfragen der Öffentlichkeit gedacht; sie wird durch eine der oben auf­ge­zähl­ten Methoden kodiert und im Web ver­öf­fent­licht.

Der Clou liegt dabei dar­in, dass Seitenbetreiber bei einer wich­ti­gen Kontaktaufnahme eines poten­zi­el­len Kunden die Korrespondenz über die “geschäft­li­che” Adresse fort­set­zen. Kleinere Fragen oder Anmerkungen wer­den dage­gen aus “offe­ner” E-Mail-Adresse beant­wor­tet, die auch im Web ver­öf­fent­licht ist. Sollte die letz­te­re Adresse irgend­wann in eine Spam-Datenbank auf­ge­nom­men wer­den, so genügt dem Seitenbetreiber ein schnel­ler Wechsel zu einer neu­en Adresse, die Spam-Bots noch nicht ken­nen.

Auf die­se Weise las­sen sich geschäft­li­che Kontakte ohne jeg­li­che Sorgen über Spam-Überflutung pfle­gen und Spam-Anteil im Posteingang auf sat­te 0% redu­zie­ren.

6. Verwendung des GoogleMail-Filters
Eine wei­te­re nütz­li­che Technik, mit der sich die Anzahl der Spam-Mails deut­lich mini­mie­ren lässt, macht sich die Effizienz des GoogleMail-Filters zunut­ze. Leider bie­tet GoogleMail nicht die Option, Google’s Filter für eige­ne Mails direkt zu ver­wen­den. Dennoch kann man alle E-Mails, die in Ihren Posteingang über Ihre Adresse gelan­gen, auf eine E-Mail von GoogleMail wei­ter­lei­ten und gefil­ter­te Mails wie­der­um an eine wei­te­re, “sau­be­re” Adresse wei­ter­zu­lei­ten, die Sie anschlie­ßend stän­dig abru­fen wer­den.

Sollte der GoogleMail-Filter gewis­se E-Mails zufäl­lig als Spam ein­stu­fen, so genügt ein kur­zer wöchent­li­cher Blick in den Spam-Ordner, um wich­ti­ge Nachrichten nicht zu ver­pas­sen. Ergebnisse sind zwar nicht immer abso­lut kor­rekt, den­noch sieht man den Unterschied direkt – Hunderte von Mails las­sen sich durch GoogleMail auf 2–3 pro Tag redu­zie­ren. (tm)

Weiterführende Information

Vitaly Friedman

Vitaly Friedman ist Buchautor, Autor sowie Entwickler und Designer von benutzerfreundlichen Webseiten. Er ist Chef-Redakteur des Online Magazins Smashing Magazine, das zu den weltweit populärsten Onlinemagazinen für Webdesign zählt und wie Dr. Web zur Smashing Media GmbH gehört. Vitaly studierte Informatik an der Universität des Saarlandes.

Ein Kommentar

  1. Soviel Blödsinn auf einer Seite gibt’s sel­ten.

    Ersatz der E-Mail durch Bilder ver­bie­tet sich bei geschäft­li­chen Seiten (Stichwort Impressum), da die Rechtssprechung nicht ein­deu­tig DAFÜR ent­schei­det. Im Ernstfall wird man abge­mahnt, da die E-Mail nicht in jedem Fall sicht­bar und les­bar ist. Für alter­na­ti­ve Zugangsgeräte (Screenreader) ist in dem Fall auch Ende der Kommunikation. Gleiches gilt für den Einsatz von Leerzeichen und Umschreibungen. Vitaly ist “Entwickler und Designer benut­zer­freund­li­cher Webseiten”, sol­che Tipps sind nicht benut­zer­freund­lich.

    Ersatz durch ASCII, Unicode und JS ist heu­te eben­so obso­let, da die meis­ten Bots damit sehr gut klar­kom­men. Oder war­um soll­te ein Bot nicht JS-fähig sein? Screenreader sind’s auch. Ein Bot ist da nicht viel anders gestrickt.

    Für den Ersatz durch ein Kontaktformular spricht vie­les, dage­gen spricht wie­der­um die Impressumspflicht für nicht rein pri­va­te Seiten.

    Es gibt kei­ne wirk­lich siche­re Lösung!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.