Usando + per gli indirizzi email per scoprire chi sta vendendo i tuoi dati: è ingenuo o è efficace?

4

È piuttosto comune tra le persone attente alla sicurezza compilare gli indirizzi usando, ad es. [email protected] quando comunichi il loro indirizzo email a company in modo che possano sapere se company ha venduto il loro indirizzo se iniziano a ricevere spam.

Ma sono solo io o è inutile? Prende letteralmente solo una sostituzione di espressioni regolari per eliminare la porzione +company e, una volta fatto, l'indirizzo di posta elettronica è nullo. E dal punto di vista di uno spammer, non vedo perché questo non dovrebbe essere fatto.

Mi manca qualcosa? E 'davvero efficace? Perché / perché no?

    
posta Mehrdad 16.08.2014 - 10:19
fonte

3 risposte

2

Hai ragione, la "protezione" è inutile contro un avversario che è abbastanza motivato per ripulire le loro liste di indirizzi email. Come sottolineato dall'OP, sbarazzarsi di + è banale.

Ho visto alcuni ricercatori della sicurezza (e altri) creare indirizzi reali invece, ad es. name.topic @ ... e imposta alias al loro indirizzo principale. Il vantaggio è che puoi utilizzare un altro indirizzo principale (non solo il nome @ ...) e quindi non rischi che il tuo vero indirizzo venga scoperto ed è più facile revocare l'indirizzo di spam.

    
risposta data 16.08.2014 - 11:07
fonte
0

A parte il fatto che alcuni siti non consentono indirizzi email che contengono un simbolo + (vedi questo ) sicuramente non è un sistema perfetto e facilmente aggirato come suggerito. Fortunatamente, dato il fatto che gli spammer tendono ad essere un gruppo pigro, nella maggior parte dei casi dovrebbe indirizzarti alla parte che ha commesso l'infrazione.

Inoltre, dal momento che "contactabilità" è molto importante per loro, potrebbero non voler correre il rischio di modificare un indirizzo e sospetto che gli spammer si preoccupino molto poco per proteggere le persone da cui hanno comprato gli indirizzi (questo ovviamente sta assumendo il spammer e indirizzo email agricoltori / venditori sono due parti diverse).

Ciò che trovo funziona molto meglio, dato che io ospito la mia email sul mio dominio, è quello di fornire un indirizzo univoco per ogni sito / azienda che registro ad es. [email protected] a FooBar Inc. e abbiamo un account catch catch che prende tutti questi indirizzi non validi e li inoltra al mio indirizzo email effettivo [email protected]

    
risposta data 16.08.2014 - 11:07
fonte
0

Questa è una buona ricetta ma funziona solo se aggiungi un'altra misura tecnica.

Se registri [email protected] come e-mail, devi proteggerti contro robot stupidi e avanzati (quelli che non conoscono l'uso di + , e quelli che sanno come provare a ridurre questa protezione attraverso la riscrittura delle stringhe).

Devi rendere [email protected] un indirizzo totalmente fallito.

Questa è un'attività che potresti raggiungere tramite le regole del filtro di Gmail.

Questo è anche un compito abbastanza facile da ottenere se si riceve la tua e-mail su un Macchina Unix in esecuzione procmail come agente di consegna.

Grazie a questo metodo sono stato in grado di diagnosticare quale computer su Linkedin era danneggiato e ha permesso l'e-mail revocabile che ho dato loro per essere rubato. sono stata in grado per segnalare loro queste informazioni tecniche (perché il loro era solo un account all'interno del loro team di supporto che l'aveva usato).

Ho quindi cambiato l'indirizzo uniq che ho dato a loro, e inserire una regola di filtro per bloccare quella rubata.

    
risposta data 27.07.2015 - 12:21
fonte

Leggi altre domande sui tag