Re: Dispositif anti-aspiration d'e-mails
Denis Beauregard
charte et j'aimerais bien savoir ce qu'il en est de cette solution...
Le 12 Nov 2010 16:33:14 GMT, Thierry <yar...@com.invalid> �crivait
dans fr.comp.lang.php:
>Denis Beauregard <denis.b-at-franc...@nospam.com.invalid>
>�crivait news:bh8od6dnrfs84qdh2...@4ax.com:
>
>> Il s'agit tout bonnement d'utiliser un "hover" pour afficher le lien
>> seulement si la souris est sur le lien,*
>
>Et comment l'utilisateur trouve le lien ?
>
>> donc si un humain va cliquer
>
>Non: cette solution implique d'avoir l'adresse dans le HTML, ce que
>recherchent les robots.
Je viens de regarder dans mes messages archiv�s de
fr.comp.infosystemes.www.auteurs et je ne vois pas la discussion en
question. Il est possible que cela date d'avant septembre 2005 (j'ai
tous les messages re�us depuis la fin du mois pr�c�dent) ou que j'aie
vu cela ailleurs.
La solution semble pr�sent�e dans plusieurs pages. J'ai par exemple
ceci :
<FORM>
<INPUT TYPE="button" VALUE="Click Here to Write to Me"
onClick="parent.location='mailto:jbu...@htmlgoodies.com'">
</FORM>
Il suffirait d'avoir quelque chose comme
onClick="parent.location='mai'+'lto:jburns'+'@'+'htmlgoodies.com'">
ou un encodage similaire. Le robot ne voit pas de mailto. Je n'ai pas
test�...
On pourrait faire la m�me chose sans formulaire.
Le hic, c'est qu'il y a du javascript. Sinon, cela r�pond au probl�me
pos�.
Denis
Pascal
> suivi vers fr.comp.infosystemes.www.auteurs car cela devient hors
> charte et j'aimerais bien savoir ce qu'il en est de cette solution...
Oui, �a parait plus raisonnable, vu les solutions possibles c�t� client.
> Il suffirait d'avoir quelque chose comme
>
> onClick="parent.location='mai'+'lto:jburns'+'@'+'htmlgoodies.com'">
Il y a un tas de solutions en javascript, du plus simple au plus
compliqu� (des fois pour pas grand chose !).
Un script comme ci-dessus est suffisant pour brouiller les pistes, et
encore davantage si le code est plac� dans un fichier externe, �
l'int�rieur d'une fonction par exemple.
> Le hic, c'est qu'il y a du javascript. Sinon, cela r�pond au probl�me
> pos�.
Et c'est bien �a qui coince, m�me si javascript est maintenant, je
crois, rarement d�sactiv� en totalit� (ce sont surtout les popups et les
redimensionnements qui sont limit�s, non ?).
Pour l'instant je n'ai pas trouv� d'autre solution que l'une de
celles-ci, si l'on exclut javascript :
1- Encoder le lien HTML vers le mail, en le laissant visible pour un
acteur humain (c'est la proposition de d�part que je faisais dans
fr.comp.lang.php, en rempla�ant seulement le "@" par "@").
2- Pr�senter un formulaire de r�daction de mail, avec une liste de
destinataires dont les noms ou les fonctions peuvent appara�tre, mais
pas les adresses mail.
La deuxi�me solution parait plus sure mais :
- Cela suppose un traitement plus lourd c�t� serveur.
- L'internaute n'a pas de suivi global de l'�change dans son
gestionnaire de mail.
Une pr�cision, tout de m�me, j'ai une adresse mail de webmaster qui est
publique depuis quelques ann�es.
Bien s�r, cela m'a valu mon lot de spam � une �poque donn�e.
Mais �a fait un bail que je n'ai plus de probl�me, car j'ai un triple
filtrage en action :
- Celui de l'h�bergeur du site, qui g�re le serveur de mail dont d�pend
l'adresse en question;
- Celui de Gmail, o� je centralise tous mes comptes de mail, personnels
comme professionnels;
- Celui de mon gestionnaire de mail local, synchronis� en IMAP avec Gmail.
C'est pour cela que je recherchais plus une solution de ralentissement
que de barrage franc, autant pour mon usage que celui des sites web o�
j'interviens.
--
Cordialement,
Pascal
Olivier Miakinen
>
> Une prï¿œcision, tout de mï¿œme, j'ai une adresse mail de webmaster qui est
> publique depuis quelques annï¿œes.
> Bien sᅵr, cela m'a valu mon lot de spam ᅵ une ᅵpoque donnᅵe.
> Mais ï¿œa fait un bail que je n'ai plus de problï¿œme, car j'ai un triple
> filtrage en action :
> - Celui de l'hï¿œbergeur du site, qui gï¿œre le serveur de mail dont dï¿œpend
> l'adresse en question;
> - Celui de Gmail, oᅵ je centralise tous mes comptes de mail, personnels
> comme professionnels;
> - Celui de mon gestionnaire de mail local, synchronisᅵ en IMAP avec Gmail.
>
> C'est pour cela que je recherchais plus une solution de ralentissement
> j'interviens.
Tiens, tu me fais penser ᅵ une mᅵthode dont j'ai dᅵcouvert par hasard
qu'elle pouvait gᅵner les spammeurs : utiliser une adresse ᅵ plussᅵe ᅵ.
En effet, cela fait des annï¿œes que j'utilise <om+...@miakinen.net> dans
le champ From de mes (nombreux) articles sur usenet, eh bien je reï¿œois
au moins autant de spam sur <ne...@miakinen.net> que sur l'adresse
rᅵelle, les spammeurs croyant ᅵ tort qu'on ne peut pas mettre de ᅵ + ᅵ
dans une adresse de courriel.
Bien sï¿œr les deux adresses m'appartiennent et sont valides (puisque je
ne suffixe pas mon adresse par .invalid), mais je peux facilement
filtrer tout ce qui arrive sur 'news' au lieu de 'om+news'.
ᅵ ce propos, j'espᅵre que tu possᅵdes et que tu lis effectivement
l'adresse de ton champ From, poncet.pas...@gmail.com, car sinon
tu devrais la suffixer par ᅵ .invalid ᅵ.
Cordialement,
--
Olivier Miakinen
Pascal
> Tiens, tu me fais penser à une méthode dont j'ai découvert par hasard
> qu'elle pouvait gêner les spammeurs : utiliser une adresse « plussée ».
Bonne astuce, effectivement, mais je me demande si les interfaces des
hébergements mutualisés permettent, dans leur formulaires, la création
de comptes mail avec ce caractère ? A vérifier.
> À ce propos, j'espère que tu possèdes et que tu lis effectivement
> l'adresse de ton champ From, poncet.pas...@gmail.com, car sinon
> tu devrais la suffixer par « .invalid ».
Ben non ! :-( Je pensais que les adresses suffixées "invalid" étaient
toujours bidon, même débarrassées dudit suffixe.
Du coup, voyant quelques adresses avec "nospam" quelque part, j'ai cru
que c'était le moyen d'indiquer une adresse valide, mais masquée.
J'avais même utilisé un temps une nouvelle notation pour brouiller les
pistes, en remplaçant les points par ".dot.", et me disant qu'un humain
saurait naturellement qu'il faut les enlever pour avoir l'adresse réelle
(il me semble que j'avais vu utiliser cette technique dans des forums,
pour maquiller les vraies adresses des contributeurs).
Apparemment je suis à côté de la plaque. Il y a une source où consulter
les règles en la matière ?
--
Cordialement,
Pascal
Olivier Miakinen
> Le 12/11/2010 23:34, Olivier Miakinen a écrit :
>> Tiens, tu me fais penser à une méthode dont j'ai découvert par hasard
>> qu'elle pouvait gêner les spammeurs : utiliser une adresse « plussée ».
>
> Bonne astuce, effectivement, mais je me demande si les interfaces des
> hébergements mutualisés permettent, dans leur formulaires, la création
> de comptes mail avec ce caractère ? A vérifier.
Tu crées le compte sans « + », et tu envoies un message vers l'adresse
avec « + ». Si tout se passe bien, tu devrais recevoir le message, et
pouvoir filtrer sur le nom de destinataire. Aussitôt que j'ai compris
quelle est ta vraie adresse, j'essaye, promis.
>> À ce propos, j'espère que tu possèdes et que tu lis effectivement
>> l'adresse de ton champ From, poncet.pas...@gmail.com, car sinon
>> tu devrais la suffixer par « .invalid ».
>
> Ben non ! :-( Je pensais que les adresses suffixées "invalid" étaient
> toujours bidon, même débarrassées dudit suffixe.
Tu pensais bien. L'adresse doit rester bidon en supprimant le .invalid .
Donc :
1) si poncet.pas...@gmail.com est ta vraie adresse, il ne faut
pas la suffixer par .invalid ;
2) si poncet.pas...@gmail.com est une adresse bidonnée (c'est-à-
dire par exemple que ta vraie adresse est sans le .nospam), alors tu
dois mettre le suffixe.
> Du coup, voyant quelques adresses avec "nospam" quelque part, j'ai cru
> que c'était le moyen d'indiquer une adresse valide, mais masquée.
Une adresse avec « nospam » peut être une vraie adresse (donc, non
masquée). Dans un monde idéal, toute adresse masquée devrait être
signalée par .invalid .
Par exemple, si j'utilisais o...@miakinen.net.invalid dans mon champ From
et om.n...@miakinen.net dans mon champ Reply-To, cela voudrait dire :
1) que om.n...@miakinen.net est ma vraie adresse ;
2) que o...@miakinen.net est invalide.
> J'avais même utilisé un temps une nouvelle notation pour brouiller les
> pistes, en remplaçant les points par ".dot.", et me disant qu'un humain
> saurait naturellement qu'il faut les enlever pour avoir l'adresse réelle
> (il me semble que j'avais vu utiliser cette technique dans des forums,
> pour maquiller les vraies adresses des contributeurs).
Un humain, comme un logiciel, est censé reconnaître une adresse invalide
au .invalid qui la suit.
> Apparemment je suis à côté de la plaque. Il y a une source où consulter
> les règles en la matière ?
Une source assez vieille :
http://141.84.214.22/FAQ/fr/usenet/abus/adresses-antispam/index.html
Depuis, le .antispam a dû être officialisé dans un vrai RFC, mais il est
un peu tard pour que je cherche maintenant.
En tout cas il y a déjà ça :
http://www.rfc-editor.org/rfc/rfc2606.txt
http://fr.wikipedia.org/wiki/Domaine_de_premier_niveau#Domaine_de_premier_niveau_r.C3.A9serv.C3.A9
--
Olivier Miakinen
SAM
> Le 13/11/2010 13:31, Pascal a écrit :
>> Le 12/11/2010 23:34, Olivier Miakinen a écrit :
>>> Tiens, tu me fais penser à une méthode dont j'ai découvert par hasard
>>> qu'elle pouvait gêner les spammeurs : utiliser une adresse « plussée ».
>>
>> Bonne astuce, effectivement, mais je me demande si les interfaces des
>> hébergements mutualisés permettent, dans leur formulaires, la création
>> de comptes mail avec ce caractère ? A vérifier.
>
> Tu crées le compte sans « + », et tu envoies un message vers l'adresse
> avec « + ». Si tout se passe bien, tu devrais recevoir le message, et
> pouvoir filtrer sur le nom de destinataire. Aussitôt que j'ai compris
> quelle est ta vraie adresse, j'essaye, promis.
Je viens d'essayer pour ma BAL chez wanadoo ...
... "User unknown" !
Qque chose m'aura échappé ?
Comme d'avoir vraiment l'adresse plussée en sus de celle normale ?
Rien compris à l'histoire du filtre plussé/non-plussé ...
Filtrer sur le nom du destinataire ... comment ça ?
--
Stéphane Moriaux avec/with iMac-intel
Olivier Miakinen
>>
>> Tu crées le compte sans « + », et tu envoies un message vers l'adresse
>> avec « + ». Si tout se passe bien, tu devrais recevoir le message, et
>> pouvoir filtrer sur le nom de destinataire. Aussitôt que j'ai compris
>> quelle est ta vraie adresse, j'essaye, promis.
>
> Je viens d'essayer pour ma BAL chez wanadoo ...
> ... "User unknown" !
Ah zut, tu as raison. Et je viens d'essayer avec mon adresse
professionnelle : alors que je croyais l'avoir déjà fait avec
succès, je n'obtiens pas de message d'erreur mais le message
n'arrive pas. Dommage !
Et donc, dans ces cas là il faut voir effectivement si l'on peut
créer une adresse directement avec un + dedans.
> Rien compris à l'histoire du filtre plussé/non-plussé ...
>
> Filtrer sur le nom du destinataire ... comment ça ?
Mon adresse est o...@miakinen.net, mais ici je mets om+news dans la partie
gauche du From. Si j'achète quelque chose sur le site fnac.fr,
je donne l'adresse om+fnac.fr ; pour amazon.com c'est om+amazon.com,
et ainsi de suite. Cela me permet d'une part de trier automatiquement
ce qui m'arrive dans des sous-dossiers de mon Inbox, et d'autre part
de savoir qui revend mon adresse à des spammeurs (exemple : Conforama).
--
Olivier Miakinen
Lea Gris
> Je viens d'essayer pour ma BAL chez wanadoo ...
> ... "User unknown" !
>
> Qque chose m'aura échappé ?
> Comme d'avoir vraiment l'adresse plussée en sus de celle normale ?
Le + est un séparateur de paramètres ajoutés au nom d'utilisateur dans
une adresse email. Certains fournisseurs utilisent le + en interne pour
différencier des boîtes à lettres dans des domaines virtuels, par exemple :
to...@example.com qui aurait sa messagerie chez orange :
en interne son email serait traduit en toto+exa...@orange.com.
( Je ne sais pas si c'est le cas véritablement chez orange, c'est
seulement un example. )
Mais dans ce cas précis, l'utilisateur de la boîte email
to...@example.com ne peux pas utiliser le + pour ajouter des paramètres à
son adresse email car son fournisseur de boîte email ne pourrait alors
plus reconnaître toto+autrecho...@orange.com.
Souvent aussi, tout simplement, les serveurs de messageries sont
configurés ou seulement limités techniquement et ne savent pas utiliser
le séparateur d'arguments ajoutés au nom d'utilisateur.
Parfois aussi, le serveur est configuré avec un des autres symboles
utilisables comme séparateur :
Voir la RFC 3986
"2.2. Reserved Characters"
"3.2.1. User Information" :
http://www.ietf.org/rfc/rfc3986.txt
userinfo = *( unreserved / pct-encoded / sub-delims / ":" )
unreserved = ALPHA / DIGIT / "-" / "." / "_" / "~"
pct-encoded = "%" HEXDIG HEXDIG
sub-delims = "!" / "$" / "&" / "'" / "(" / ")" / "*" / "+" / "," / ";" / "="
--
Léa Gris