Seid klug wie die Schlangen

Überlegungen zu christlichen Internetpräsenzen   •   oder: Was wusste Jesus schon von HTML?

Von Ralf Roschinski      •       Email: rro@klugeschlangen.de       •       Kontakt   /  Datenschutz

Dieser Text ist überholt und hat mittlerweile nur noch Museumswert. Es ist nur zu Dokumentationszwecken hier im Archiv untergekommen. Die hier gegebenen Tipps sind eventuell nicht komplett unbrauchbar. Es ist unklar, ob und wie weit sämtliche Spambots der Welt die Decodierungen beherrschen. Denn es gibt nach wie vor codierte Adressen, die keinen Spam erhalten. Die Praxis hat aber gezeigt, dass codierte Mailadressen mittlerweile entschlüsselt werden können. Leider.

Einige Teile dieses Textes können nach wie vor hilfreich sein, nämlich die Hinweise zu Methoden, die auf jeden Fall als Maßnahmen gegen Spambots ungeeignet sind. Und zwar von "Vorsicht, Selbsttäuschung" an abwärts.

Der Praxistipp

Schutz der Email-Adresse vor Spammern

Aktualisiert im August 2017

"Spambots" oder "Harvester" nennt man jene fiesen Programme, die Internetseiten durchkämmen und die darin enthaltenen Email-Adressen einsammeln. Die Ausbeute wird genutzt, um die Adresseninhaber mit Email-Werbung zu beglücken. Glücklich ist darüber aber kaum jemand. Meist sind solche UCEs (Unsolicited Commercial Email, unerwünschte kommerzielle Email) nur ein nerviger Störfaktor.

Tricks helfen  –  aber nur die richtigen

Viele schützen ihre Emailadressen auf der Webseite daher mit besonderen Tricks. Andere wenden Vorgehensweisen an, die nach Trick aussehen, aber unwirksam sind. Wir schauen uns beide Richtungen einmal genauer an.

Der Spambot weiß, wie eine Email-Adresse strukturiert ist und sucht im Quelltext der Seite genau nach dieser Struktur. Irgendwo steht ein "mailto:", danach muss bald ein "@" erscheinen und kurz darauf ein Punkt mit direktem Anschluss einer Toplevel­domain, zum Beispiel "de". Per Trick wird nun dafür gesorgt, dass der Spambot die Struktur nicht erkennen kann, sie jedoch für einen lesenden Menschen erkennbar bleibt.

Spambots sind faul  –  das nutzen wir

Es sind verschiedene Methoden möglich, den Spambot blind zu machen. Ehrlich gesagt, weiß niemand genau, wie effizient die einzelnen tatsächlich sind. Alle beruhen mehr oder weniger auf Annahmen, wie Spambots vorgehen. Manche Skeptiker glauben sogar, dass Spambots auch schon einige der Tricks durchschauen und ihrerseits wieder austricksen können.

Die Methode, die ich hier empfehle, ist praxisbewährt. Ich wende sie auf mehreren Webseiten seit über zehn Jahren an. Auf die so entstellten Adressen ist bisher mit einer einzigen Ausnahme noch kein Spam eingeschlagen, obwohl der verwendete Code -Unicode- überhaupt kein Geheimnis ist. Ich nehme daher an, dass die Spambots nicht den Ehrgeiz haben, jedweden vorgefundenen Code entschlüsseln zu wollen. Womöglich finden sie in der Zeit, die sie für Decodierungs­versuche aufwenden müssten, genügend anderen Seiten mit Klaradressen.

Nach meiner Lieblingsmethode, der Verwendung von Unicode, sieht die Beispiel­adresse "info@abcdefgh.de" im HTML-Quelltext so aus:

<a href="&#109;&#97;&#105;&#108;&#116;&#111;&#58;&#105;&#110;&#102;&#111;&#64;&#97;&#98;&#99;&#100;&#101;&#102;&#103;&#104;&#46;&#100;&#101;&#105;&#110;&#102;&#111;&#64;&#97;&#98;&#99;&#100;&#101;&#102;&#103;&#104;&#46;&#100;&#101;</a>

Das Schöne ist, die Adresse steht für Menschen vor dem Bildschirm klar leserlich als "info@abcdefgh.de" zur Verfügung, ohne dass der Spambot dies erkennt. Warum? Der sitzt nämlich nicht mit Stift und Papier vorm Bildschirm und schreibt ab. Vielmehr sieht er im Quelltext nach, und dort findet er nur den langweiligen Zahlen-Zeichen-Haufen. Die Adresse bleibt darüber hinaus anklickbar und kein Benutzer muss sie vor Gebrauch editieren. Sehr vorteilhaft.

Ein weiterer Vorteil der Methode ist, dass sie auch den Codeschnipsel "mailto:" mit maskiert, sodass der Spambot überhaupt keinen Anhaltspunkt für die Existenz einer Email-Adresse findet.

Die Codierung lässt sich online erledigen

Um zu diesem Codierergebnis zu gelangen muss niemand seine Adresse selber in Kleinarbeit Buchstabe für Buchstabe in Unicode übersetzen. Dafür gibt es Hilfen im Internet. Eine davon, die ich bevorzugt benutze, ist die von Andy Hoppe. Sie ist zu finden unter
        http://www.andyhoppe.com/software/email_spamschutz.htm

Das obige Beispiel und auch viele Adresscodierungen auf meinen Auftragsseiten wurden mit diesem Service erstellt.

Aber: Spambots haben aufgerüstet.  Hier das Gegenmittel.

Nachdem ich mit Schrecken festgestellt habe, dass auf einer meiner wie oben codierten Adresse schon nach zwei Wochen Spam eingegangen war, habe ich eine weitere Codierungsart eingesetzt. Die verwendet zwei verschiedene Codierungen und mischt sie mit Wortfetzen aus der Mailadresse. Und so sieht "info@abcdefgh.de" im Quelltext dann aus:

<a href='ma&#105;l&#116;o&#58;&#105;%6Ef%6&#70;&#64;%61bcd%&#54;5&#102;%67%6&#56;&#46;d%&#54;5'>info&#64;a&#98;c&#100;e&#102;gh&#46;&#100;e</a>

Auch das lässt sich online erledigen:
        http://www.albionresearch.com/misc/obfuscator.php

Dort wird eine weitere Codierungsart angeboten, die auf JavaScript setzt. Schaut euch das einfach mal an.

Wie gesagt, von meinen Mailadressen wurde bisher nur eine bespamt, die mit der einfacheren Methode codiert war. Andere sind (noch) nicht betroffen. Panik ist also nicht angesagt.

Vorsicht, Selbsttäuschung!

Es sind aber auch Praktiken im Umlauf, die entgegen der Erwartung des Benutzers keinen Schutz bieten. In Quelltexten findet man zum Beispiel Adressdarstellungen nach diesem Muster:

      <a href="mailto:info@abcdefgh.de">info[ät]abcdefgh.de</a>

Sowas nennt man einen Rohrkrepierer. Die Adresse ist entstellt - aber nur auf der Bildschirmoberfläche (grüner Teil). Man hat den Klammeraffen (@) durch eine Umschreibung ersetzt und glaubt, den Spambot damit ausreichend gefoppt zu haben. Unter der Oberfläche bekommt er jedoch seinen Lieblingshappen mundgerecht serviert (roter Teil).

Merke:
Der wirksame Schutz vor Auslesen der Mailadresse durch Spambots erfordert, dass die Mailadresse im gesamten Quelltext niemals als Klartext lesbar vorkommt.

Eine weitere Selbsttäuschungsmethode: Oft findet man auf Gemeinde-Webseiten Email-Angaben, die nicht anklickbar sind. Ein williger Benutzer ist dann genötigt, die Adresse zu markieren, zu kopieren, sein Emailprogramm von Hand aufzurufen und die Adresse dort einzukopieren. Einige Seitenbetreiber erklären das, irrtumsgeladen, so: "Um uns vor Spam zu schützen, ist unsere Emailadresse nicht verlinkt". Den Benutzer ärgert's. Er muss die Copy-Paste-Prozedur durchlaufen. Den Spambot freut's. Ob Verlinkung oder nicht, das ist ihm ziemlich egal. Er hat die Mailadresse zum Fressen gern, ob mit Link gewürzt oder ohne. Der Webmaster hat sich selbst reingelegt, der Spammer feixt sich eins.

Wirksame Methoden, die ich trotzdem nicht empfehle

Dass die Entstellung der Mailadresse allein auf der Bildschirmoberfläche nichts bringt, wurde oben gezeigt. Manche entstellen die Adresse deshalb genau so in dem nur im Quelltext sichtbaren Teil, also unmittelbar hinter "mailto:"

      <a href="mailto:info[ät]abcdefgh.de">info[ät]abcdefgh.de</a>

Das ist konsequent und wirksam. Der Nachteil ist, dass dem Benutzer das Editieren der Adresse im Mailprogramm auferlegt wird. Diese Unbequemlichkeit könnte zum einen als Kommunikationsbremse wirken, indem sie einen an sich bereiten Besucher von der Kontaktaufnahme zurückschrecken lässt. Zum anderen stellt sie eine Möglichkeit zum Fehlermachen dar. Davon wird der eine oder andere sicher ohne Absicht Gebrauch machen und sich anschließend ärgern. Nachdem das Internet erfunden wurde, um Kommunikation zu erleichtern, geht diese Methode leider wieder einen Schritt zurück.

Die Grenzen der Abwehrkunst

Frische! Es ist wenig sinnvoll, eine seit Jahren benutzte Mailadresse jetzt auf einmal gegen Spam schützen zu wollen. Wer weiß, in welchen Datenbanken die schon gelandet ist. Frische ist also angesagt. Nur neue Adressen zu schützen ist erfolgversprechend.

Disziplin! Die codierte Adresse sollte auf keinen Fall anderweitig genutzt werden. Wenn man sie zum Beispiel auch bei irgendwelchen attraktiven Angeboten im Netz angibt, weil der Anbieter die Angabe einer Mailadresse verlangt, sollte man sich nicht über nachfolgenden Spam beklagen. Selber schuld.

Leidensbereitschaft! Eines Tages heißt es wieder mal in der Presse: "4 Millionen Mailadressen bei Yahoo geklaut" oder so ähnlich. Dagegen ist noch kein Kraut gewachsen. Wenn Fans meiner Seite meine dort hinterlegte Mailadresse in ihr Adressbuch aufnehmen und dieses Adressbuch auf einem fremden Server liegt, kann es natürlich einem Server-Hack zum Opfer fallen. Die sind zwar selten, aber wenn, dann ist mein online-Schutz leider dahin.

Rüstungsspirale? Wir verlassen uns zwar heute auf die Faulheit der Spambots, sich der Mühe des Codeknackens zu widmen. Aber Anspruch darauf haben wir nicht. Kann sein, dass sie eines Tages doch einen Vorteil im Codelesen sehen und technisch aufrüsten. Dann allerdings haben wir ein Problem. Dann müssen wir uns etwas Neues einfallen lassen. Möge es uns erspart bleiben.