Spaces. Smartes Cloud Hosting für anspruchsvolle Webprojekte. Loslegen und Spaces testen. Von Mittwald.
S. Müller 4. August 2008

Wirklich wirksamer Schutz für E-Mail-Adressen

Kein Beitragsbild

Spam ist eine Plage. Spam ist nicht mehr weg­zu­den­ken. Spam wird nicht auf­hö­ren. Mittlerweile hat sich der Großteil der Internetnutzer an die uner­wünsch­te Werbung im Postfach der E-Mail-Anwendung gewöhnt und so gehört das Aussortieren der durch­ge­si­cker­ten Spamnachrichten zum Tagesgeschäft.

Spätestens jetzt schei­nen alle Mittel für die Bekämpfung oder zumin­dest Reduzierung der Spamflut wir­kungs­los zu sein. Kaum wird eine E-Mail-Adresse online gestellt (Foren, Kommentare oder Kontaktseiten sind Paradebeispiele dafür), nimmt Google die ent­spre­chen­de Webseite flei­ßig in den Index auf – lecker Fressen für Spamer und ihre auto­ma­ti­sier­ten, hung­ri­gen Spyder. Zwei Tage spä­ter tru­deln ers­te Rolex-Angebote ein.

Gegenmittel vor­rä­tig?
Kann man sich denn gar nicht schüt­zen? Oder doch? E-Mail-Adressen als gra­fi­sche Elemente? Dienste wie eMailLink? Die Benutzerfreundlichkeit bleibt dabei öfters auf der Strecke…

Silvan Mühlemann von Techblog meint gerings­ten­falls eine zuver­läs­sig funk­tio­nie­ren­de Lösung gefun­den zu haben. Zumindest was den Schutz der sen­si­blen E-Mail-Daten auf eige­nen Webseiten angeht, wel­che ver­stärkt auf Autoren-, Kontakt- und Impressumseiten ver­tre­ten sind. Für sein Experiment hat Silvan Mühlemann genau 9 unter­schied­li­che E-Mail-Adressen mit ent­spre­chen­den Postfächern ange­legt. Diese wur­den wie­der­um durch 8 grund­ver­schie­de­ne Methoden geschützt (zum spä­te­ren Vergleich: Eine Adresse als rei­ner Text, also gänz­lich unbe­hü­tet) und auf einer stark fre­quen­tier­ten Seite im Internet ver­öf­fent­licht. Ab die­sem Zeitpunkt muss­te sich jede ange­wen­de­te Technik als Wächter bewei­sen: Wie wir­kungs­voll ist die ver­schrie­be­ne Mixtur gegen Spam-Roboter?

Aufklärung nach jah­re­lan­ger Eignungsprüfung
1,5 Jahre spä­ter erreicht die Belastungsprobe ihr geplan­tes Ende. Die Testresultate sind aus­ge­wer­tet und zei­gen ein­deu­tig, die unge­schütz­te Variante in Plain-Form hat am meis­ten Spam zuge­schickt bekom­men. Drei der her­an­ge­zo­ge­nen Ansätze haben die anver­trau­te Adresse so effi­zi­ent getarnt, dass Einlesemechanismen der Spamer die­se Köder über­sprun­gen haben – die dazu­ge­hö­ri­gen Postfächer blie­ben von Werbung jeg­li­cher Art ver­schont.

Spamaufkommen in MB

Zwei der acht Lösungen sind beson­ders leis­tungs­fä­hig und tri­vi­al zu imple­men­tie­ren, da pures CSS:

Veränderung der Schreibrichtung


moc.etalllit@7raboofnavlis

silvanfoobar8@nulltilllate.com

Angewendete Schutzverfahren sind public und kön­nen auf den Seiten des Initiators ange­schaut wer­den.

64 Kommentare

  1. Ich ver­hin­de­re Spam in mei­nen pri­va­ten Postfächern indem ich über­all wo es mög­lich ist eine mei­ner Trashmail Adressen ange­be.

    Die trash­mail Adressen erstel­le ich immer auf http://www.privy-mail.de

    Das geht wirk­lich super. Durch die­se Spam Adressen bekom­me ich in mei­nem pri­va­ten Postfach seit Monaten nur sehr sehr wenig bis gar kei­nen Spam mehr.

  2. Naja, Spam Mails sind auch nur Müll. Man soll­te sich lie­ber eine rich­ti­ge Domain anle­gen die nicht von Provider voll gemüllt wer­den.

  3. Guter Beitrag, wer­de das auch gleich mal testen/einsetzten :)

  4. Normalerweise fin­den sich Mail-Adressen gesam­melt in einer bestimm­ten Seite – zum Beipiel unter Kontakt oder Impressum.

    Was ist vom Vorschlag zu hal­ten, dass in einer sol­chen Seite zum Beispiel ein Input-Feld plat­ziert wird, in wel­chem bei­spiels­wei­se das Ergebnis einer Rechnung vom user ein­zu­fü­gen ist (z.B. 5 + 2 =)? Der user gibt das Ergebnis ein und drückt sub­mit. Serverseitig wird auf rich­ti­ges Ergebnis geprüft und falls kor­rekt, wird die genau sel­be Seite noch­mals an den user gesen­det, dies­mal jedoch mit Email-Adressen (zuvor nur Mail-Adressen-Platzhalter). Der user kann dann mail­tos ganz her­kömm­lich benut­zen…

    Auf der Seite wird als Notiz bemerkt, dass man die Lösung der Rechnung kor­rekt absen­den muss, um die Mail-Adressen ange­zeigt zu bekom­men und dass dies so ist, um Spam zu ver­mei­den.

    • Hm, gute Idee, ich weiß bloß nicht, ob das geset­zes­kon­form ist. Ich ver­ste­he das Telemediengesetz so, dass ein Benutzer im Impressum die E-Mail-Adresse sofort, ohne wei­te­re Schritte, lesen kön­nen muss.

      Aber dein Tipp hat mich auf eine ande­re Idee gebracht: Im Impressum könn­te man eine völ­lig unver­schlei­er­te, aber ab und zu wech­seln­de Adresse ver­öf­fent­li­chen (vor­ab meh­re­re beim Web-/Mail-Hoster anle­gen und per PHP auf der Webseite zum Beispiel monat­lich wech­seln las­sen). Wenn man eine Nachricht von einem seriö­sen Absender erhält, bit­tet man in der Antwort-E-Mail, statt die­ser tem­po­rä­ren Adresse die „rich­ti­ge“ (dau­er­haf­te) Mail-Adresse zu spei­chern (Textbaustein/Signatur). Das dürf­te abmahn­si­cher sein, schät­ze ich mal.

  5. Das bei Beitrag 54 soll ‘Noscript-Bereich’ hei­ßen … die ecki­gen Klammern wur­den offen­bar raus­ge­fil­ter ;-)

  6. So, ich habe nun mei­ne Email-Adressen mit JavaScript geschützt UND gleich im Anschluss einen -Bereich defi­niert, der ja bei deak­ti­vier­tem JS ange­zeigt wird. Statt dem übli­chen Hinweistext (“Sie haben JS deak­ti­viert …”) hab ich aber dar­in den obi­gen CSS-Schutz ver­wen­det. Ergo: Benutzer mit deak­ti­vier­tem JS sehen dadurch auch die Email-Adresse und kön­nen sie zumin­dest kopie­ren (mail­to geht ja nicht). Das ist fein! Einziger Nachteil: Durch die Verwendung von zwei ver­schie­de­nen Schutztechniken (JS & CSS) erge­ben sich in Zukunft zwei Angriffsstellen … aber der­zeit ist das so das Bessere das mir unter­ge­kom­men ist.

    lg
    Ernst

  7. Also die bei­den CSS Lösungen erschei­nen zuerst geni­al, aber sind sie völ­lig nutz­los, wie hier wei­ter unten schon jemand geschrie­ben hat:

    Das CSS küm­mert sich nur um die dar­ge­stell­te Email-Adresse, aber was ist mit dem MAILTO-Tag im Hintergrund? Hier ist man offen­sicht­lich wie­der auf JavaScript ange­wie­sen. Und beim Umdrehen der Cursor-Richtung gibt es tat­säch­lich ein Problem beim Kopieren der Email.

  8. Super Beitrag.…werde die CSS-Lösung gleich tes­ten.

  9. kann ich das null eigent­lich zwi­schen dis­playno­ne”> und </span löschen?

    p span.displaynone { display:none; }

    silvanfoobar8@nulltilllate.com

    dan­ke
    dyna­mi­te

  10. Wer über eine dyna­mi­sche Anwendung oder ein CMS wie TYPO3 Web-Seiten erzeugt, kann einen Link “E-Mail an Max Mustermann” ein­fü­gen, der auf eine Seite mit E-Mail-Formular ver­weist. Als Übergabeparameter im Link kann ein hash-Wert benutzt wer­den, der den inter­nen Kontaktdatensatz ein­deu­tig bestimmt und ein spam-siche­res E-Mail-Formular erzeugt.
    So hat der Empfänger neben dem Schutz vor auto­ma­ti­sier­tem Spam zusätz­lich die Möglichkeit, auch gegen­über rea­len Spammern unent­deckt zu blei­ben.

  11. also wenn ich die Technik mit “display:none;” anwen­de kann ichs in jedem brow­ser ohne pro­ble­me kopie­ren.

    Welcher Browser soll da angeb­lich pro­ble­me machen?

    @Jojo
    Im fire­fox 3 habe ich kein Problem, so wie von dir behaup­tet wur­de…

  12. Ne gute Lösung dafür ist auch ne klei­ne Seite anzu­le­gen dort Fakemail Adressen (in Klartext) rein­zu­schrei­ben.

  13. Wie oben ange­kün­digt, habe ich Verfahren 2 “Unsichtbare Elemente” bei mei­ner Lösung ein­ge­baut. Eine klei­ne Verbesserung hät­te ich anzu­mer­ken: Ich ver­wen­de statt span das Element del. Das hat den Vorteil, dass die­ses Element stan­dard­mä­ßig von den meis­ten Browsern durch­ge­stri­chen dar­ge­stellt wird. Falls man also die pas­sen­de CSS-Deklaration mit display:none ver­ges­sen hat oder der User CSS aus­ge­schal­tet hat, ist dies immer noch eine klei­ne sema­ti­sche Hilfe für den User. Schlechter als Konstrukte wie name[at]domain[dot]de ist es jeden­falls nicht.

  14. Ich habe eine etwas ande­re Lösung gefun­den, die so ein bis­serl von allem ver­eint. Ich pro­gram­mie­re der­zeit eine Art Social Network und da ste­hen natür­lich auch Kontaktdaten wie MSN und Jabberadressen drin. Diese wer­den per PHP in base64 kodiert und in JS zurück­ko­diert, aller­dings mit ein paar Tricks.

    Original: user@domain.com
    Ergebnis: user [ät] domain [punkt] com
    mit Link auf: /faq#eMail anzei­gen
    und onclick event: return z.de(‘dXNlckBkb21haW4uY29t’)

    Ist Javascript akti­viert, erscheint die eMail unko­diert in einem Prompt, so dass sie kopiert wer­den kann. Drückt der User da ok, wird er auf den mail­to Link wei­ter gelei­tet.

    Ist JS deak­ti­viert, kann er die Domain abtip­pen und wird beim ankli­cken auf die FAQ Seite gelei­tet, wo steht, war­um das so gemacht ist. :-)

  15. @ D.T.: Wie schauts denn da mit den Informationspflichten aus (§5 TMG)? Ich glaub nicht gut.

  16. Endlich wie­der mal ein guter Beitrag.

  17. Hallo zusam­men,

    was hal­tet ihr von dem Ansatz:

    Statt der Email Adresse wird nur ein Formular bestehend aus Input Textfeld und Submit Button ange­zeigt und natür­lich noch Text, wofür das gan­ze gut ist.
    In das Textfeld gibt der Benutzer sei­ne Emailadresse ein und erhält dar­auf­hin die gewünsch­te Emailadresse per Email.

  18. was bringt ´ne email­adres­se, die zwar (noch!) spam abha­elt aber auch nicht ange­klickt wer­den kann? so ’schuetzt’ man sich gene­rell vor mails – nicht nur spam… ;-)

    da ist mir (auch bzw. VOR ALLEM aus usa­bi­li­ty-gesichts­punk­ten) doch immer noch eine gute alte java­script-loe­sung lie­ber.

  19. herz­li­chen Dank für die Auflistung der vie­len Möglichkeiten. Auch ich tei­le die Bedenken man­cher ande­ren, dass damit die­se tech­ni­ken wohl auch schon bald von den Spammern erkannt wer­den und somit das Spiel von vor­ne wie­der los­geht.

    Nichtsdestotrotz gefal­len mir die CSS-Spielereien, denn damit ist die Usability noch schön gege­ben.

  20. Interessante Lösungen, zwei­fel­los. Werde das eine oder ande­re auch mal pro­bie­ren.

    Ich mache aller­dings häu­fig die Erfahrung, dass der schöns­te Spamschutz einer Mail-Adresse wenig bringt, wenn die­sel­be Adresse dann auf ande­ren Seiten – unge­schützt – ange­ge­ben muss (z. B. in Pressemitteilung auf PR-Portalen) oder unge­fragt auf ande­ren Seiten publi­ziert wird.

    • Ja, das hat mich auch schon geär­gert. Einem Anbieter die­ser seu­chen­ar­tig um sich grei­fen­den auto­ma­ti­sier­ten Web-Auskünfte habe ich eine recht deut­li­che E-Mail geschrie­ben mit der Aufforderung, mei­ne sämt­li­chen Daten umge­hend zu ent­fer­nen. Diesem Wunsch wur­de zum Glück auch ent­spro­chen.

  21. hal­lo,
    wir benut­zen auf unse­rem mail­ser­ver grey­lis­ting und erhal­te nun statt 24000 spam´s im monat nur noch 250–270. wenn man nun noch spa­m­as­sign benut­zen wür­de dann ist nahe­zu nichts mehr dabei.

    lg

    frank

  22. In mei­nem Kommentar wur­de im zwei­ten Absatz “noscript-Bereich” zu “-Bereich” gekürzt, weil ich es als Tag geschrie­ben habe. Sorry für die ver­min­der­te Lesbarkeit.

  23. @Rene Schmidt: Ein wei­te­rer Grund, war­um der Aufwand für intel­li­gen­te Suchfunktionen von den Spammern unter­las­sen wird, könn­te ein­fach sein, dass die Spammer wis­sen, dass die­je­ni­gen, die einen ziem­li­chen Aufwand zur Verschlüsselung ihrer emails betrei­ben, sowie­so nicht auf den Spam her­ein­fal­len wer­den. Es lohnt sich also nicht, die­se email-Adressen zu sam­meln.

    Zur Diskussion: Ich bie­te email-Adressen im Normalfall in einer JavaScript-Version und einer im -Bereich an, ers­te­re ver­linkt, zwei­te­re nur als kopier­ba­rer Text. Die JS-Version ist ja kein Problem. Man kann sich eine belie­big kom­pli­zier­te Verschlüsselung aus­den­ken und auch alles ver­link­bar (mit mailto:adresse@domain.tld) machen.

    Das Problem ist die Noscript-Version, aus recht­li­chen Gründen ein­ge­baut, aus Spamschutz-Gründen aber nicht ver­linkt, weil es eben für das href-Attribut kei­ne ver­nünf­ti­ge Verschlüsselung gibt. Da wer­de ich wohl die zwei­te vor­ge­stell­te Lösung mit dem display:none noch zusätz­lich zu mei­nen bis­he­ri­gen Verschlüsselungsversuchen ein­bau­en.

    Das Problem an der Lösung ist, dass das noscript-Element lei­der ein Blocklevel-Element ist, man email-Adressen aber oft ger­ne Inline haben möch­te, was den Code ggf. inva­li­de macht. Dafür gibts zwar auch wie­der­um eine Lösung, denn die bei­den Elemente INS und DEL haben (als ein­zi­ge in HTML) die wun­der­ba­re Eigenschaft dass sie sowohl inner­halb von Blocklevel- und Inline-Elementen ste­hen dür­fen als auch Blocklevel- und Inline-Elemente ent­hal­ten dür­fen. Im Extremfall dür­fen sie also in Inline-Elementen ste­hen und Blocklevel-Elemente ent­hal­ten.

    Damit ist der Code zwar vali­de, dafür habe ich mei­ne Bedenken, was Barrierefreiheit angeht und von Semantik kann man dann eh nicht mehr reden. Aber man kann in die­sem Fall ein­fach nicht alles haben. Das muss­te ich mir erkau­fen für die Usability (ver­linkt immer­hin in der JavaScript-Version) und dem eigent­li­chen Grund für die gan­ze Aktion (Verschlüsselung).

  24. Kann man dem eMail-Spider eigent­lich auch Köder aus­le­gen? So im Sinne von: rich­ti­ge Adresse mit JS zusam­men­set­zen und meh­re­re fal­sche Adressen mit mail­to im Quelltext hin­ter­le­gen.

    Oder arbei­ten die Programme nicht mehr­stu­fig und scan­nen eh alles, was vor die Flinte kommt?

  25. Der Service unter http://mailhide.recaptcha.net/ ist auch ganz nett. Kommt zwar auch nicht ohne JavaScript aus, aber naja.

  26. Die 2. Lösung fin­de ich eigent­lich ganz gut, da Harvester die­sen Code wegen der viel­fäl­ti­gen Möglichkeiten nur sehr schwer bis gar nicht aus­le­sen kön­nen. Allerdings geht der mailTo: nicht mehr.
    Die 1. Methode ist so lan­ge gut, wie ein Programmierer sie nicht kennt.

    Kann mich noch gut erinnern, als das Codieren der eMail-Adressen
    in der Form &#116&#101&#115&#116 als der Weisheit letzter Schluss verkauft wurde. Inzwischen können die Bots solche Codierungen auch lesen.

    Inzwischen mix ich die ascii-Werte der Buchstaben in einem Array und füge noch je 2 Blindwerte zu jedem Buchstaben hin­zu. Das soll­te die nächs­ten paar Jahre hal­ten. Schau mal bei http://www.fincy.com/spameater

    Ausschliesslich auf Spamfilter zu set­zen, hal­te ich nur für halb­schlau. Ich lass mir ja auch nicht in Suppe pin­keln um die … dann wie­der raus­zu­fil­tern.
    Das bedeu­tet aller­dings nicht, dass Spamfilter kei­ne gute Sache sind. Man soll­te Spam von sovie­len Seiten wie mög­lich ein­schrän­ken.
    Auf die Idee mit der Weiterleitung von plexi­no­te (18) wer­de ich auch auf mei­ner oben erwähn­ten Site hin­wei­sen. Das spart einen Haufen Arbeit gege­be­nen­falls Kontakte und den gan­zen Kram anzu­pas­sen.

    Grüsse

    Tümmel

  27. Hi,

    also ich schrei­be mei­ne email bei sowas immer so:
    mein­na­me (ät) diedo­main [Punkt] de klar läßt sich das auch scan­nen und raus­fil­tern, aber allei­ne schon da es auf deutsch ist den­ke ich das die meis­ten spam­mer aus tim­buk­tu oder von sonst wo nicht wir­lich danach suchen wer­den.

  28. Hmm… Also eine ser­ver­sei­tig umge­setz­te Filterlösung hal­te ich auch für effek­tiv und am zugäng­lichs­ten für den Webseitenbesucher.
    Bots kön­nen doch mun­ter wei­ter sam­meln, zumin­dest an dafür aus­ge­wie­se­nen Sammelstellen.
    (Ist so kei­ne gang­ba­re Lösung – schon klar, schon klar…)

  29. moc.etalllit@7raboofnavlis

    na dann sind die spa­mer aber hem­pels; wenn sie sowas nicht scan­nen ;)

    alles ab leer­zei­chen vor dem @ bis zum ers­ten leer­zei­chen nach dem @ und dann umdre­hen. da kom­men die auch noch drauf; muss sich halt alles erst ver­brei­ten und schon scan­nen die die­se din­ger auch.

    aber die idee ist echt gut!!!

    gruß

  30. Dann näm­lich, wenn jemand ohne gra­fi­schen Browser, z.B. mit einem Screenreader auf die Seite kommt und die E-Mailadresse nicht kor­rekt erken­nen kann.

    Deswegen ist der Inhalt in mei­nem display:none so etwas wie; {Dies ist Spamschutz, bit­te nicht beach­ten.}
    Sodass es klar erkenn­bar ist.

  31. Also ich fin­de der ein­fachs­te SpamSchutz ist noch immer der: Ein guter Spamfilter, wie SpamAssassin, der ggf. auch noch Greylisting macht.

    Warum soll ich einen Teil mei­ner User Probleme machen, mir den Kopf lang um Tricks zer­bre­chen (wobei gleich­zei­tig ande­re Geld ver­die­nen wer­den um Workarounds für die­se Tricks zu bau­en!), wenn gute Filter rei­chen?

    Ich nutz mei­ne E-Mail-Adressen ganz offen seit 1994. Und trotz­dem hab ich kein Spamproblem.

  32. Sorry Beitrag 27, mein code­bei­spiel ist beim pos­ten mani­pu­liert wor­den;-) Es geht um das noscript Tag, in die­sem wird der Link zum Formular ange­bo­ten oder bei akti­vier­ten JS eben der ech­te mail­to Link.

  33. Also, ich wür­de kei­ne irgend­wo publi­zier­ten Lösung benut­zen. Früher oder spä­ter wer­den die­se Mechanismen von den bösen Scripts mit ein­be­zo­gen…

    Trotzdem hier noch mei­ne Variante:
    – Zusammesetzen des Links aus Variablen (Javascript) und die­se dann in das Link-DIV (InnerHTML=myMailVar) schrei­ben.
    Im sel­ben DIV fol­gen­des:
    Zum Kontaktformular

    So wird ohne JS ein Link zum Kontaktformular ange­bo­ten.

  34. Noch ein Nachtrag:

    Die CSS-Methoden wie z.B. das Verstecken mit­tels ‘dis­play: none’ funk­tio­nie­ren bei E-Mail-Harvestern (auto­ma­ti­sier­te Skripte) gar nicht, da die­se die gra­fisch auf­be­rei­te­te, mit CSS for­ma­tier­te Seite gar nicht sehen, son­dern ledig­lich den vom Webserver gene­rier­ten und aus­ge­lie­fer­ten HTML-Text.

  35. Alle Verschleierungsmethoden, die auf CSS-Basis für Bildschirmdarstellung (media=all, media=screen) arbei­ten, könn­ten auf Impressumseiten im unan­ge­nehms­ten Fall zu recht­li­chem Ärger füh­ren: Dann näm­lich, wenn jemand ohne gra­fi­schen Browser, z.B. mit einem Screenreader auf die Seite kommt und die E-Mailadresse nicht kor­rekt erken­nen kann.

    Aus sol­chen – mög­li­chen – recht­li­chen Erwägungen ver­bie­tet sich auch die Verschleierung der Adresse per Javascript oder gar rein gra­fisch aus­ge­führ­te E-Mailadressen.

    Mir jeden­falls wäre bei allen drei Arten das Risiko zu groß, ver­se­hent­lich auf die Fußmatte irgend­ei­nes fixen Abmahners zu tre­ten …

  36. Und schon darf ich mir wie­der eine ande­re Methode suchen. Die display:none-Methode hat so gut funk­tio­niert und jetzt kennt sie jeder.

    Manchmal fra­ge ich mich echt, ob sol­che Studien nicht von Spammern auf­ge­stellt wer­den um die Ergebnisse danach groß ver­tei­len zu kön­nen.

    Gruß
    Wishu

  37. Und schon darf ich mir wie­der eine ande­re Methode suchen. Die display:none-Methode hat so gut funk­tio­niert und jetzt kennt sie jeder.
    Manchmal fra­ge ich mich echt, ob sol­che Studien nicht von Spammern auf­ge­stellt wer­den um die Ergebnisse danach groß ver­tei­len zu kön­nen.

  38. @16: Internet Explorer, Versionen 5–6 (wer sonst?)
    Jedenfalls in den “MultipleIE”-Versionen.

  39. @Runa: Zustimmung. So rich­tig schwie­rig sind die genann­ten Sachen nicht zu umge­hen. Wenn man es wirk­lich drauf ankom­men las­sen will, kann man inner­halb weni­ger Minuten/Stunden ent­spre­chen­de Programme schrei­ben.

    Dass es trotz­dem nicht gemacht wird, wun­dert mich auch etwas. Eine mög­li­che Erklärung ist wohl, dass der­zeit auch mit den noch bil­li­ge­ren Methoden kein Mangel an Mailadressen herrscht, die man bespam­men kann. Das kann sich aber durch­aus mal ändern und wenn dann mal ein Mangel herrscht wird auch mehr Aufwand fürs “Ernten” der Adressen betrie­ben wer­den. Da bin ich mir zu 100% sicher.

  40. Ups, sor­ry! Kleine Unachtsamkeit, gro­ße Wirkung…
    Also die Methode kommt von der Uni Hamburg und ver­wen­det Javascript. Nicht dass ich den Rest so beto­nen woll­te, aber der Link funk­tio­niert… ;-)

  41. Ich habe die letz­te Methode (kom­bi­niert mit Unicode) auch schon aus­pro­biert und sie funk­tio­niert tadel­los. Wenn die Mailadresse dann mit einem “hier klicken”-Verweis ergänzt wird, öff­net sich beim Besucher das ent­spre­chen­de Programm und auch dort ist die Mailadresse rich­tig ein­ge­tra­gen. So besteht also kaum Notwendigkeit, die Mailadresse zu kopie­ren (oder man tut das dann eben im Maileditor). Oder?
    Ich möch­te eben­falls wei­ter­füh­ren­de Lektüre emp­feh­len, näm­lich die Methode der
    :
    Javascript hat zwar – wie schon erwähnt, mehr Nachteile
    als CSS, aber wer von Spam über­flu­tet wird, kann auch mal zu die­ser Methode grei­fen.
    Alles in allem eine never ending sto­ry, aber es ist inter­es­sant, die Methoden mal in Einsatz-Vergleich zu sehen. Ich hät­te ja gedacht, dass sich Spam-Bots auch die Laufrichtungsänderung auch schon ein­ge­stellt haben, aber schein­bar ist dem nicht so.

  42. Ich den­ke auch, dass es nur eine Frage der Zeit ist, bis die hier vor­ge­stell­ten Möglichkeiten auch nicht mehr sicher sind. Kann mich noch gut erin­nern, als das Codieren der eMail-Adressen
    in der Form &#116&#101&#115&#116 als der Weisheit letz­ter Schluss ver­kauft wur­de. Inzwischen kön­nen die Bots sol­che Codierungen auch lesen.

    Wenn man die eMail-Adresse in Ihrer vol­len Benutzbarkeit dar­stel­len will, sprich ver­linkt und kopier­bar, soll­te man sich viel­leicht eher dar­über Gedanken machen, wel­che Adressen man ver­öf­fent­licht und wel­che nicht.

    Ich habe mir z.B. ange­wöhnt, eine “wich­ti­ge” eMail-Adresse nie direkt auf eine Webseite zu set­zen, son­dern eine alter­na­ti­ve ein­zu­rich­ten (z.B. anfrage_x27@domain.de) und die­se dann auf die wich­ti­ge eMail-Adresse umzu­lei­ten. Das schützt zwar nicht vor Spam, aber wenn dann eine alter­na­ti­ve Adresse nur noch zuge­müllt wird, kann man sie ein­fach aus­tau­schen und hat vor­erst wie­der etwas Ruhe. Nicht der Königsweg, aber einer von vie­len.

    Vielleicht kann man ja ver­schie­de­ne Lösungen kom­bi­nie­ren. Man soll­te nur nicht die Usability ein­schrän­ken – denn eMail-Adresse abtip­pen will ich mei­nen Besuchern wirk­lich nicht zumu­ten.

  43. Leute, die ich, wenn ich Spammer wäre und pro­gram­mie­ren könn­te, im Handumdrehen mit drei Zeilen Code fer­tig­ma­chen wür­de:

    - Leute, auf deren Seite das @-Zeichen plain oder chif­friert vor­kommt;
    – Leute, die @ durch at erset­zen;
    – Leute, die mich durch Leerzeichen her­aus­for­dern;
    – Leute, die mich mit maschi­nen­les­ba­rem CSS und Java-Code hin­ters Licht füh­ren wol­len.

    Da fragt man sich, war­um so wenig Menschen sich für den leich­ten und ver­dienst­vol­len Beruf des Spammers ent­schei­den :)

  44. @Klaus
    In wel­chen genau nicht? In sehr alten viel­leicht, sonst alles top: http://de.selfhtml.org/css/eigenschaften/positionierung.htm#direction

  45. @Mike: Die “E-Mail-Adresse-als-Grafik-einfügen”-Technik hal­te ich für kei­nes­wegs bes­ser als die genann­ten (unzu­rei­chen­den) CSS-Verschleierungstechniken. Die Gegenargumente fan­gen mit der Barrierefreiheit an und hören beim “Abtippen” der Mailadresse auf. Dazwischen gibts belie­big viel.

    Ich schrei­be mei­ne Adresse ganz nor­mal auf mei­ne Website. Da kommt eine Menge Spam, 99% davon wird von meh­re­ren Spamfiltern (auf dem Server und auf dem Client) gefil­tert, der Rest ist zwar stö­rend, aber nicht welt­be­we­gend. Und die Nutzer brau­chen sich nicht die Finger zu ver­ren­ken.

  46. @Rene Schmidt

    Schon klar. Beispielsweise stellt die JavaScript-Lösung die Spam-Roboter beim Kopieren vor Probleme, den “nor­ma­len” Besucher der Seite aber nicht. Das war gemeint. Trotzdem wäre mir die rei­ne CSS-Lösung lie­ber.

  47. Die Lösungen sind alle schön und gut, aber eine nicht kopier­ba­re Lösung, und die nicht Verwendbarkeit in mailto:-Links stel­len alle Lösungen wie­der schlecht hin.
    Wer tippt denn heut­zu­ta­ge noch Email-Addressen ab?

  48. Ich per­sön­lich fin­de den Artikel bei A List Apart zum Thema “Spamschutz selbst gebaut” sehr gut und emp­feh­le ihn hier mal als “Weiterführende Literatur”: http://www.alistapart.com/articles/gracefulemailobfuscation/

  49. Für mich haben die oben genann­ten Versionen kei­ner­lei Vorteile, im Gegenteil, die ver­wir­ren den User nur. Eine direk­te Verlinkung ist auch mit der CSS Technik nicht gege­ben und da die Email Adresse nach dem Kopieren wie­der rück­wärts steht ist es nur unnö­tig ver­wir­rend.

    Da blei­be ich lie­ber bei der ein­fach­ten “E-Mail-Adresse-als-Grafik-einfügen”-Technik ;)

  50. Die Methode über Trennung mit­tels unsicht­ba­rer Elemente ist mit Vorsicht zu genie­ßen.

    Ich hab sie auf http://nerdyberdy.com/author/ aus­pro­biert. Sie ist zwar sehr wirk­sam gegen Spam aller­dings wird die über display:none aus­ge­zeich­ne­te Zeichenkette bei Copy’nPaste mit­ko­piert (FF3). Das könn­te bei Unaufmerksamkeit dazu füh­ren, dass die EMail nicht ankommt ;)

  51. @SITS & Co: Es ist ja gera­de Sinn der Sache, dass die Adressen nicht ein­fach zu kopie­ren sind :) Wenn die Adressen ein­fach zu kopie­ren wären, gäbe es wie­der kei­nen Schutz vor Spam.

  52. Besonders die rei­nen CSS-Lösungen fin­de ich cle­ver. Dass das Umkehren der Schreibrichtung Nachteile beim Kopieren hat, ist aber weni­ger schön.

  53. … und nach die­ser Veröffentlichung dürf­ten wohl gera­de die­se bei­den “ein­fa­chen” CSS-Lösungen nun auch nicht mehr son­der­lich sicher sein. :-/

  54. Die Veränderung der Schreibrichtung funk­tio­niert in eini­gen Browsern nicht oder nicht kor­rekt!

  55. Letztere Methode kommt bei mir seit rund einem Jahr zum Einsatz und funk­tio­niert blen­dend. Ich habe das noch ver­fei­nert, indem ich den unsicht­ba­ren String an ver­schie­de­ne Stellen der Domain rücke und dyna­misch eine Zeichenfolge gene­rie­re. Zudem kann man Leerzeichen ein­bau­en. Mit die­sen x Faktoren lässt sich eine Adresse für einen Bot so umbau­en, dass sie nciht mehr dem gesuch­ten Muster ent­spricht und nicht mehr gefun­den wird.

  56. Kurzer Nachtrag: In der ver­link­ten Quelle schrei­ben eini­ge Kommentatoren, dass bei­de CSS-Methoden zu kaput­tem Copy&Paste füh­ren. Scheint also brow­ser­ab­hän­gig zu sein.

  57. Wow, es ein­fach und doch so geni­al. Manchmal sind die ein­fachs­te Dinge auch die Besten – man muss nur drauf kom­men. Sehr gut! Ich ver­wen­de jetzt auch die­se Methode :-)

    Danke für die­sen extrem wert­vol­len Tipp!

  58. Ich bin­de mei­ne E-Mail-Adresse für gewöhn­lich als Bild ein. Die Technik habe ich zwar nicht so schön getes­tet, aber ich ver­mu­te, dass sie auch sehr effek­tiv ist.

    Die CSS-Lösungen fin­de ich auch schick. Vor allem die zwei­te, denn bei die­ser kann man die Adresse sogar kopie­ren. Wenn ich die ers­te kopie­re bekom­me ich sie lei­der in der ursprüng­li­chen also umge­kehr­ten Schreibrichtung.

    • Das Einbinden als Bild ist aller­dings für das Impressum kei­ne Lösung, da die Emailadresse dort zugäng­lich sein soll.

      Ich für mei­nen Teil habe mich für eine Kombination aus bei­den oben ange­ge­be­nen Lösungen ent­schie­den. Also Falsch rum und “Spam” für den Spambot. Doppelt hält bes­ser ;-)

  59. Toller Beitrag und vor­al­lem die zwei “ein­fa­chen” CSS Lösungen fin­de ich geni­al. lg hOO

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.