В 2025 году один из популярных технологических порталов разместил контактный адрес в открытом виде, и уже через сутки получил десятки писем от спам‑ботов. Этот случай стал наглядным примером того, насколько уязвимы даже небольшие проекты, если адрес раскрыт без защиты.
Традиционные способы, такие как замена символов «@» и «.» на слова, использовались десятилетиями, однако рост автоматизации привёл к появлению скриптов, способных распознавать такие паттерны и собирать адреса независимо от простых замен.
Для получения объективных данных о реальной стойкости методов был создан экспериментальный honeypot. Каждый из 25 описанных способов получил собственный email‑ящик, а при появлении спама на конкретный ящик можно было уверенно сказать, что соответствующая техника уже не работает.
Техническая архитектура эксперимента
HTML‑страница содержала либо скрытый фрагмент, либо зашифрованный блок, который раскрывается только после выполнения JavaScript в браузере. Для обеспечения чистоты данных был поднят собственный почтовый сервер без вмешательства фильтров крупных провайдеров, что гарантировало доставку всех входящих писем в папку входящих.
Собранные сообщения группировались по уникальному идентификатору спам‑бота, а не по количеству писем, чтобы один агрессивный сканер не исказил результаты. Такая агрегация позволила построить рейтинг эффективности методов.
Сравнение техник
Сравнительная таблица отражает оценку эффективности каждой из 25 техник, разделённых на два типа — защита обычного текста и защита кликабельных ссылок.
| Техника | Тип | Эффективность | Комментарий |
|---|---|---|---|
| CSS display:none | Текст | Высокая | Скрывает фальшивые части, боты не применяют стили |
| JS Conversion | Текст | Высокая | Адрес формируется в браузере, без выполнения JS боты ничего не видят |
| AES‑256 шифрование | Текст | Высокая | Полное криптографическое скрытие, расшифровка только через SubtleCrypto |
| Взаимодействие пользователя | Текст | Средняя | Требует клик или скролл, усложняет автоматический сбор |
| HTML entities | Текст | Средняя | Большинство простых ботов не декодируют entity‑последовательности |
| CSS content | Текст | Низкая | Адрес виден в разметке, но копировать сложно, боты могут извлечь из data‑атрибутов |
| CSS text‑direction | Текст | Низкая | Переворачивает порядок, но легко обратимо скриптами |
| Подстановка символов | Текст | Низкая | Заменяет @ и . на слова, легко восстанавливается |
| Картинка | Текст | Низкая | Требует ручного ввода, недоступно скрин‑ридерам |
| Инструктивный текст | Текст | Низкая | Пользователь должен самостоятельно исправить адрес, плохой UX |
| HTTP‑редирект | Ссылка | Высокая | В HTML нет адреса, переход происходит только после клика |
| JS Conversion | Ссылка | Высокая | Href формируется в браузере, без выполнения JS боты ничего не видят |
| AES‑256 шифрование | Ссылка | Высокая | Шифрование в href, расшифровка через SubtleCrypto |
| Взаимодействие пользователя | Ссылка | Средняя | Mailto появляется после клика или скролла |
| HTML entities | Ссылка | Средняя | Боты часто не декодируют entity в href |
| URL‑кодирование | Ссылка | Средняя | Тоже требует декодирования, большинство ботов не делают |
| CSS content | Ссылка | Низкая | Адрес виден в data‑атрибутах, копировать невозможно |
| Подстановка символов | Ссылка | Низкая | Легко восстанавливается простыми заменами |
| Картинка | Ссылка | Низкая | Требует ручного ввода, недоступно скрин‑ридерам |
| Инструктивный текст | Ссылка | Низкая | Пользователь должен исправить адрес вручную |
Наиболее эффективные подходы
Самыми надёжными для обычного текста оказались скрытие фальшивых фрагментов через CSS display:none, динамическое формирование адреса при помощи JavaScript и полное шифрование AES‑256. Их объединение даёт почти полную защиту от большинства сканеров, которые работают только с исходным HTML.
Для ссылок, ведущих на mailto, наилучшим решением является серверный HTTP‑редирект. В HTML‑разметке отсутствует любой след адреса, а переход происходит только после клика пользователя, что полностью исключает возможность автоматического сбора.
JS‑Conversion и AES‑шифрование работают аналогично и в случае ссылок, требуя выполнения кода в браузере. При этом SubtleCrypto из Web Crypto API обеспечивает криптографическую стойкость без необходимости сторонних библиотек, однако требует HTTPS‑контекста.
Для большинства сайтов достаточно комбинации CSS display:none и простой JavaScript‑функции, собирающей адрес из скрытых частей. Эта пара легко внедряется, не ломает доступность и не требует дополнительного серверного кода.
Для проектов, где важна максимальная защита, рекомендуется использовать AES‑256 шифрование вместе с требованием пользовательского взаимодействия (клик, скролл) перед расшифровкой. При этом необходимо обеспечить HTTPS, иначе SubtleCrypto будет недоступен.
При защите mailto‑ссылок предпочтительно применять серверный редирект, настроенный через .htaccess или конфигурацию nginx, а также дополнительно скрывать отображаемый текст с помощью JS‑Conversion, чтобы ни один элемент адреса не оказался в разметке.
Перспективы
Результаты эксперимента показывают, что большинство современных спам‑ботов остаются простыми и не способны выполнить JavaScript, поэтому даже базовые методы дают ощутимый эффект. Ожидается, что с ростом количества headless‑браузеров в арсенале злоумышленников некоторые техники, полагающиеся на отсутствие выполнения кода, могут утратить часть своей эффективности. Поэтому рекомендуется периодически пересматривать набор применяемых методов и комбинировать их, чтобы усложнить задачу автоматического сбора.
В ближайшие годы вероятно появятся новые формы динамического контента, требующие более изощрённого подхода к защите контактов, но уже сегодня проверенные техники, такие как CSS‑скрытие, JavaScript‑конверсия и AES‑шифрование, предоставляют надёжный уровень защиты без значительных затрат.
