Wie man E-Mail-Adressen richtig im Web sichern sollte

Dies ist ein Folgeartikel zu meinem gestrigen Artikel, dass das Verschleiern von E-Mail Adressen nicht funktioniert und nutzlos ist. Viele Kommentare zu dem Artikel sagen, dass sie meinen dass die Verschleierung doch hilft, weil sie der Meinung sind, dass Bots nicht an den verschleierten Adressen interessiert sind.

Um noch mal zusammenzufassen: wir nutzen Verschleierung um zu verhindern, dass Spam Bots E-Mail-Adressen ernten. Wir verschleiern auf eine Art, so dass

  • Menschen die E-Mail-Adresse lesen können
  • Computer die E-Mail-Adresse nicht lesen können

Das klingt nach einem CAPTCHA. Falls ihr die “was erlaubt ist und was nicht” zu CAPTCHAs nicht kennt, empfehle ich die Lektüre der Informationen auf captcha.net. Eine der wichtigsten Fakten ist, dass man kein CAPTCHA verwenden sollte, dass nicht mehr funktioniert, sobald alle es benutzen. Also in dem Augenblick wenn die Bots das CAPTCHA unterstützen.

Kommen wir zurück zu den verschleierten E-Mail-Adressen.Ich denke wir können uns darauf einigen, dass Verschleierung vom Konzept her nicht funktioniert. Ich denke wir können es mit Kryptographie vergleichen: obwohl es noch keinen wirklichen Anwendungsfall zum Angriff auf MD5 gibt, würde wohl niemand MD5 noch verwenden um wichtige Dokumente digital zu signieren.

So bald die Harvester anfangen nach verschleierten E-Mail-Adressen zu suchen, werden sie sie finden. Wenn man heute eine E-Mail-Adresse im Web verschleiert und in fünf Jahren die Harvester anfangen Adressen zu entschleiern, werden sie die Adresse finden. Pech gehabt.

Also anstatt ein nicht funktionierendes CAPTCHA wie die Verschleierung zu verwenden, sollte man ein sicheres CAPTCHA wie den Mailhide Dienst von reCAPTCHA verwenden. Es existieren Plugins für viele Programmiersprachen und es könnte verwendet werden um z.B. automatisch alle E-Mail-Adressen in Mailman Archiven durch einen Link zum CAPTCHA zu ersetzen. Dies sieht wie folgt aus: jsm@example.com

Das Lösen von reCAPTCHAs ist meistens bedeutend leichter als von normalen CAPTCHAs, weil man ein komplettes Wort lösen muss und es ist wahrscheinlich auch einfacher zu lösen als eine komische Verschleierungsregel. Und es hilft Bücher und Zeitungen zu digitalisieren und am Ende bekommt man einen anklickbaren E-Mail-Link.

Ich weiß, dass ihr jetzt sagt “reCAPTCHA gehört zu Google und Google ist böse. Ich möchte Google nicht meine E-Mail-Adresse geben”. Falls ihr das denkt, denkt nach. Denkt ihr wirklich, dass der größte Web Harvester der Welt die einfache Verschleierung nicht brechen kann? Habt ihr noch nie eine E-Mail an eine gmail/googlemail Adresse gesendet? Ihr nutzt kein Jabber mit Google Talk Nutzern? Ihr habt keinen Google Account? Denkt ihr wirklich Google hat nicht schon längst eure E-Mail-Adresse? Und wenn ihr wirklich reCAPTCHA nicht vertraut, dann kann man immer noch scr.im verwenden um eine CAPTCHA gesicherte Kurzurl zu erhalten. Aber ich empfehle die Verwendung eines gut getesteten CAPTCHA Systems.

Zusammenfassend: Ich stimme zu, dass man die E-Mail-Adressen auf Webseiten schützen soll. Aber bitte macht euch den Gefallen und macht es richtig. Verschleierung ist gebrochen und es ist nur eine Frage der Zeit, bis die Harvester anfangen verschleierte Mails abzugrasen. Es gibt Dienste welche ein sicheres CAPTCHA zum Schutz der E-Mail-Adressen anbieten. Bitte diese verwenden. Und nein dies ist keine Werbekampagne für reCAPTCHA – es ist einfach nur der beste CAPTCHA Dienst den ich kenne. Falls jemand einen besseren kennt, der sicherer ist und nicht Google gehört: bitte Kommentar hinterlassen – ich bin interessiert.

6 Replies to “Wie man E-Mail-Adressen richtig im Web sichern sollte”

  1. Ich habe recht häufig mit Anfänger_innen zu tun. Denen erkläre ich dann auch immer wieder den Sinn von Captcha (danke für die beiden diesbezüglich nützlichen Artikel!). Dieser Personenkreis kann jedoch häufig (fast) kein Englisch. Gibt es auch deutschsprachige Captcha-Produkte?

Comments are closed.