rexen
@rexen
UberSuperUltraMultiFull-stack

Как в 2019-м защищают почту на сайте от спам-ботов?

Обычный сайт-страничка-лэндинг одной местной фирмочки.

1) Под "почтой" я подразумеваю e-mail адрес в явном виде - текстом. Чтобы реальный посетитель смог её увидеть глазами, запомнить и руками вписать где-нибудь в своём почтовике. Или кликнуть по этой ссылке mailto.

Давно известные способы сокрытия почты - картинки, скрипты, всякие замены @ на "собака", "плюшка" и т.п., насколько я понимаю, более-менее успешно обходятся современными ботами - вплоть до скриншотинга реального рендера страницы с безголового браузера с дальнейшим распознаванием текста.

Или есть методы? Что-нибудь на PHP - с обработкой на сервере?

2) Ну и на сайте есть типовая форма обратной связи. Тут обычно всё сводится к установке капчи. От того же Гугла. Но я слышал, что и её обходят. Не лучше ли РеКапчи будет установка какой-то капчи или "секретного вопроса" собственного уникального типа?

3) И вообще, ч т.з. современных тенденций или просто логики может оставить только форму, а явный почтовый адрес убрать со странички?
  • Вопрос задан
  • 358 просмотров
Пригласить эксперта
Ответы на вопрос 5
Lynn
@Lynn
nginx, js, css
Нормальный почтовый сервис с нормальной защитой от спама.
Ответ написан
Urvin
@Urvin
2) Ну и на сайте есть типовая форма обратной связи. Тут обычно всё сводится к установке капчи. От того же Гугла. Но я слышал, что и её обходят. Не лучше ли РеКапчи будет установка какой-то капчи или "секретного вопроса" собственного уникального типа?

Не лучше. Разгадать обычную капчу в соответствующих сервисах стоит 30 рублей, рекапчу - 50-160 .

Вложитесь в спам-фильтр лучше. Обычный клиент одной местной фирмочки не скажет вам "спасибо" за предоставленные сложности, а плюнет и воспользуется услугами соседней.
Ответ написан
mosesfender
@mosesfender
Меланхолик, параноик, падал с коек
Не использовать мыл - самое простое решение задачи.

Ну ёксель-моксель, что можно придумать от спамеров, кроме боротьбы с их спамом? Невозможно же запретить ментам смотреть твои документы? Так же и тут.
Ответ написан
yakovmanshin
@yakovmanshin
iOS Software Engineer
Я видел обфускаторы почтовых адресов (например, вот). Они заменяют часть символов в адресе на коды этих символов. Визуальных отличий нет, в том числе если вставить такой адрес в ссылку mailto. Почтовые программы, которые открываются при нажатии на ссылку, тоже работают корректно. Но боты, которые ищут почтовые адреса по regex, на такой каше из символов [вроде как] должны запнуться.

Я поставил такую ссылку на сайт, но эффективность защиты оценить затрудняюсь (во всяком случае, с потоками спама не сталкивался).

Пример:
john.doe@example.com после обфускации превращается в
john.doe@example.com
,
но выглядит как john.doe@example.com (здесь я вставил те же самые символы, но без тега code).
Ответ написан
rexen
@rexen Автор вопроса
UberSuperUltraMultiFull-stack
Спасибо за ответы. Я сам несколько дней "курил" статьи по антиспаму. Вообщем "святого грааля", похоже нет. Тут тоже работает первое правило безопасности - 100% защиты не существует - существует лишь защита, делающая взлом экономически невыгодным.

Современные боты понимают html5, css3, js, от браузера по cookies и http_referer неотличимы, используют поведенческие модели серфинга, пул проксей, рекордер сценария, редактор, плеер... и ещё чёрта лысого в виде индусов, которые за 0,001$ разгадывают капчи-картинки.
Об этом выше писали.

Самый, на мой взгляд, эффективный в данной ситуации выход - использовать специфичность защищаемого сайта. Например, на русскоязычном велосипедном ресурсе можно задавать человеческие вопросы по теме - не просто "сколько будет 2+3", а "напишите одну из двух топовых фирм-производителей вело-трансмиссии" - и уже на бэкэнде на PHP сравнивать ответ. "Индусы" мало того, что русского не знают (а владеющие им "чернорабочие" - дороже), так и гуглить ответ не станут.

Время - деньги. Задавайте вопрос "эзоповым языком" - реальному посетителю не жалко будет потратить десяток секунд на разгадывание, а "индус-полубот" плюнет и пойдёт тратить время на другие сайты - даже осточертевшая гугловская рекапча со светофорами меньше мозг нагружает.

Насчёт сокрытия мэйл-адреса - я смотрю солидные конторы вообще не парятся - пишут в самом открытом виде - наверное переносят фронт борьбы со спамом на бэкэнд. Хотя желающие могут и здесь применить тот же эзопов язык - напишите "ivanpetrov на рамблере" - человек поймёт, а обычный бот-сканер пролетит.
Опять же, об этом уже написано.
Ну и про защиту форм тоже легко нагуглить - скрытые поля, тайминги и т.п.

И ещё одна мысля - придумывайте нестандартные имена ящиков. Полагаю, что admin@mysite.ru, mail@mysite.ru, feedback@mysite.ru и тому подобные очевидные имена боты сами перебирают на любом сайте.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы