Usar + para las direcciones de correo electrónico para averiguar quién está vendiendo sus datos: ¿es ingenuo o efectivo?

Navega tus respuestas
4

Es bastante común que las personas preocupadas por la seguridad completen direcciones con, por ejemplo, [email protected] al revelar su dirección de correo electrónico a company para que puedan saber si company ha vendido su dirección si comienzan a recibir correo no deseado.

¿Pero soy solo yo o es inútil? Literalmente, solo se necesita una sustitución de expresiones regulares para eliminar la porción +company , y una vez que se hace, la dirección de correo electrónico está vacía. Y desde el punto de vista de un spammer, no veo por qué no se haría.

¿Me estoy perdiendo algo? ¿Es esto realmente efectivo? ¿Por qué / por qué no?

    
pregunta Mehrdad 16.08.2014 - 10:19
fuente

3 respuestas

2

Tienes razón, la "protección" no tiene sentido contra un adversario que está lo suficientemente motivado para limpiar sus listas de direcciones de correo electrónico. Como lo señaló el OP, deshacerse de los + 's es trivial.

He visto que algunos investigadores de seguridad (y otros) crean direcciones reales en su lugar, por ejemplo, name.topic @ ... y configura los alias a su dirección principal. La ventaja es que puede usar otra dirección principal (no solo el nombre @ ...), por lo que no se arriesga a que se descubra su dirección real y es más fácil revocar una dirección de correo no deseado.     

respondido por el Steve DL 16.08.2014 - 11:07
fuente
0

Aparte del hecho de que algunos sitios no permiten direcciones de correo electrónico que contengan un símbolo + (consulte esto ) ciertamente no es un sistema perfecto y se puede omitir fácilmente como sugeriste. Afortunadamente, dado que los spammers tienden a ser perezosos, en la mayoría de los casos debería apuntar a la parte ofensiva.

Además, dado que la "capacidad de contacto" es bastante importante para ellos, es posible que no quieran correr el riesgo de modificar una dirección y sospecho que a los spammers les importa muy poco proteger a las personas de las que compraron las direcciones (esto es obviamente Los spammers y los granjeros / vendedores de direcciones de correo electrónico son dos partes diferentes.

Lo que encuentro funciona mucho mejor, ya que tengo mi propio correo electrónico en mi dominio, es dar una dirección única para cada sitio / empresa en la que me registro, por ejemplo. [email protected] a FooBar Inc. y tiene una cuenta de captura que captura todas estas direcciones no válidas y las reenvía a mi dirección de correo electrónico real [email protected]

    
respondido por el ilikebeets 16.08.2014 - 11:07
fuente
0

Esta es una buena receta, pero funciona solo si agrega otra medida técnica.

Si registra [email protected] como su correo electrónico, debe protegerse contra robots estúpidos y avanzados (los que no conocen el uso de + y los que saben cómo tratar de reducir esta protección mediante la reescritura de cadenas).

Tienes que hacer que [email protected] sea una dirección totalmente errónea.

Esta es una tarea que puede lograr a través de las reglas de filtrado de Gmail.

Esta es también una tarea bastante fácil de realizar si recibe su correo electrónico en un La máquina Unix ejecuta procmail como agente de entrega.

Gracias a este método, pude diagnosticar qué computadora en Linkedin estaba dañada y permití que el correo electrónico revocable que les di fuera robado. fui capaz para informarles esta información técnica (porque solo había una cuenta en su equipo de soporte que la había utilizado).

Luego cambié la dirección uniq que les di, y poner en su lugar una regla de filtro para bloquear la robada.

    
respondido por el daniel Azuelos 27.07.2015 - 12:21
fuente

Lea otras preguntas en las etiquetas

Riesgo de aislamiento de aplicaciones de Android e implementación proveedor de servicios PCI y separación