اقتراح: عنوان بريد إلكتروني باستخدام حرف البدل

سيكون من الجيد وجود طريقة لإضافة عناوين بريد إلكتروني محظورة باستخدام أحرف البدل. على سبيل المثال، عندما يستخدم المرسِلون غير المرغوب فيهم خدعة النقطة في Gmail.

على سبيل المثال:

example@gmail.com
example+random12345@gmail.com
ex.a.mple+random12345@gmail.com
e.xamp.le@gmail.com

كلها تمثل نفس عنوان البريد الإلكتروني، ويمكن للمرسِلين غير المرغوب فيهم استخدام عنوان Gmail واحد لإنشاء عدد غير محدود من الحسابات بسهولة.

أعتقد أن حظر عنوان باستخدام أحرف البدل كما هو موضح أدناه سيكون حلاً جيدًا:
e*x*a*m*p*l*e*@gmail.com

لا أعتقد بالضرورة أنه يجب حظر جميع التسجيلات التي تستخدم هذه الاختلافات في عناوين Gmail، ولكن سيكون من المفيد أنه إذا تم حظر عنوان Gmail معين، يتم حظر جميع اختلافاته أيضًا، أو أن نتمكن من إضافة عنوان Gmail يحتوي على أحرف بدل يدويًا إلى قائمة البريد الإلكتروني المحظورة.

هل تواجه مشكلة محددة فعلية أم أن هذا مجرد افتراض؟ إذا كانت هناك مشكلة محددة، هل يمكنك مشاركة عناوين البريد الإلكتروني للمُرسِلين غير المرغوب فيهم؟

نعم، إنها مشكلة حقيقية أواجهها. يقوم المُرسلون غير المرغوب فيهم بانتظام بإنشاء عشرات الآلاف من الحسابات لكل حساب Gmail واحد باستخدام طريقة النقاط مع مجموعة كافية من عناوين IP.

أرى فقط استخدام طريقة النقاط، ولست متأكدًا بنسبة 100% مما إذا كانت طريقة الزائد (+) تعمل أيضًا. آخر مرة تحققت منها، كان من الممكن التسجيل باستخدام عناوين بريد إلكتروني تحتوي على أحرف الزائد (+)، لذا يجب أن تعمل هذه الحيلة أيضًا.

على سبيل المثال، هذا البريد الإلكتروني (ليس بريدًا إلكترونيًا حقيقيًا):
constantinehamilton1337x@gmail.com

يمكنه إنشاء 16,777,216 عنوان بريد إلكتروني فريد باستخدام طريقة النقاط فقط، وعدد غير محدود عمليًا باستخدام طريقة الزائد (+). مما يجعلها فعالة للغاية للمُرسلين غير المرغوب فيهم. إن قائمة الحظر على مستوى النطاقات غير مجدية نظرًا لأن الأمر يتعلق بـ Gmail.

يمكنك رؤية مولد هنا (يتباطأ عند تجاوز 8 آلاف توليفة): Redirecting...

إذا تم تنفيذ هذا بالفعل باستخدام نهج شبيه بالرمز البدائي (بدلاً من معالجته تلقائيًا بواسطة Discourse)، فستحتاج على الأرجح إلى أن تكون أكثر تحديدًا بكثير من e*x*a*m*p*l*e*@gmail.com. قد يؤدي القيام بذلك بهذه الطريقة إلى حظر أشخاص أبرياء، خاصة إذا كانت عنوان البريد الإلكتروني للمرسِل غير المرغوب فيه قصيرًا نسبيًا. البحث تحديدًا عن . و + قد يكون أكثر أمانًا بكثير.

ما هي قيمة إعداد levenshtein_distance_spammer_emails لديك، هل هي الافتراضية 2 أم القصوى 3؟

شكرًا لك على التنبيه بشأن هذا الإعداد levenshtein_distance_spammer_emails. لم أره أو أقوم بتعديله من قبل — وهو مضبوط على القيمة الافتراضية وهي 2.

لا أفهم حساباتك. يمكنك إضافة نقطة واحدة فقط بين الأحرف، لذا فإن كل عنوان مكون من N حرف يكون صالحًا فقط لـ 2*n عنوانًا. ربما يمكنك استخدام إضافة تحفظ العنوان بعد إزالة النقاط أو تقارن به، وتمنع استخدام العناوين التي تحتوي على علامة +.

@pfaffman - لقد كنت أعتمد فقط على الأرقام المقدمة من Redirecting... والتي تنص على أنه لكل حرف إضافي فوق الحرفين، يتضاعف عدد العناوين (مع تجميد الرقم عند حوالي 8 آلاف تقريبًا).

أعتقد أن 2*n، إذا فهمت ما تقصده بهذا (أي أن عنوانًا مكونًا من 26 حرفًا سيكون له 52 تركيبة؟) سيكون منخفضًا جدًا. ذلك لأنه يمكن إضافة نقاط متعددة في جميع أنحاء العنوان.

على سبيل المثال:
constantinehamilton1337x@gmail.com
con.stantinehamilton1337.x@gmail.com
co.nst.antineh.amilton1.3.37x@gmail.com
constantineh.a.m.ilto.n13.37x@gmail.com
c.o.nsta.ntinehamil.ton1337x@gmail.com

على أي حال، مهما كان الرقم الدقيق، فهو كبير جدًا. نعم، الحل الذي اقترحته منطقي!

نعم، لم أكن أقوم بالحساب بشكل صحيح. كنت أسمح بنقطة واحدة فقط. لقد عرفت هذه الرياضيات مرة تقريبًا، لكنني لم أتذكرها هذا الصباح.

لكن إضافة مكون إضافي يحفظ لقطة شاشة ويضيف نسخة مجانية من العنوان كعنوان إضافي سيفعل ما تريد ولن يكون ذلك صعبًا.

ملاحظة… عند حظر sam.sam@gmail.com، نقوم الآن بحظر sam.sam+1@gmail.com تلقائيًا، وهكذا…

هذه الميزة تعمل بشكل ممتاز يا @sam

أعتقد أن التنفيذ السابق الذي أنشأته لا يزال مفيدًا جدًا كميزة إضافية لمكافحة البريد العشوائي؛ فقد عمل بشكل مذهل خلال الفترة القصيرة التي كانت فيها متاحة ومفعلة (مفعل افتراضيًا).

بخلاف ذلك، لا يزال بإمكان مرسلي البريد العشوائي إنشاء حسابات جماعية باستخدام عنوان Gmail واحد قبل أن يلاحظها مشرف أو مدير. على سبيل المثال: إنشاء الحسابات دون نشر أي شيء فورًا.

سيحتاج المدراء والمشرفون إلى البحث يدويًا عن كل حساب على حدة وفتحه لحظره أو حذفه. وقد يكون هذا أمرًا شاقًا للغاية، خاصةً عندما يتمكن أحد مرسلي البريد العشوائي من إنشاء مئات أو آلاف الحسابات باستخدام عنوان Gmail واحد قبل أن يتم حظره. كما أن البحث عن عناوين البريد الإلكتروني صعب، مثل: j.ohan.2.1@gmail و jo.ha.n21@gmail.

إذا لم يتم اصطيادهم يدويًا، فسيحتفظ مرسلو البريد العشوائي بمخزون كبير من الحسابات للعب لعبة “ضرب الخلد”، بينما يحتاجون فقط إلى استنفاد حساب Gmail واحد للحصول عليها.

@سام، فقط للمتابعة بعد مزيد من الاختبار الميداني، أعتقد أن التنفيذ السابق الذي تم إلغاؤه كان بالتأكيد أكثر فعالية في مواجهة مرسلي البريد المزعج المتحمسين. لا أزال أحصل على عدد كبير من التسجيلات باستخدام هذه الحيل المعتمدة على تمويه عناوين Gmail.

أنا ممتن جدًا لتطبيق الحماية الحالية، التي أثبتت فعاليتها الكبيرة. ومع ذلك، أعتقد أن السماح بإنشاء حسابات غير محدودة باستخدام نفس البريد الإلكتروني حتى يتم ملاحظتها تحديدًا وحظرها يدويًا يمثل ثغرة. هذا يشكل عبئًا إضافيًا على المشرفين (الذين لا يمكنهم رؤية عناوين البريد الإلكتروني للحسابات افتراضيًا ما لم يتم تمكين ذلك، كما أعتقد)، خاصة في غياب أدوات إزالة الحسابات بالجملة (مثل تحديد عدة حسابات من قائمة البحث في الحسابات باستخدام مربعات الاختيار وحظرها/إزالتها جميعًا). وهذا يعني أن المشرف سيضطر للتنقل يدويًا إلى كل حساب على حدة لإزالته/حظره. وهذا أمر صعب بشكل خاص عند البحث عن حسابات تستخدم عناوين بريد إلكتروني مُعدَّلة.

نظرًا لأن التنفيذ السابق كان اختياريًا (مفعلًا افتراضيًا)، وقد تم تطويره بالفعل وعمل كما هو مُتوقع، ثم تم إزالته. يبدو فقط أنه من المؤسف عدم توفره بعد للمجتمعات التي ترغب في استخدامه للحصول على حماية إضافية ضد مرسلي البريد المزعج المتحمسين.

whynotboth596×395 42.5 KB

لهذا السبب قلت إنه يجب منع بعض الأحرف تمامًا من عناوين البريد الإلكتروني (اختياريًا). وتحديدًا الأحرف التي تتيح ما يُعرف بـ sub-addressing كما هو موضح في Email address - Wikipedia مثل علامة الزائد (+)، والنقطة (.)، والشرطة (-)، وما إلى ذلك. وباستخدام التعبير النمطي (regex) يمكن منعها حسب الخدمة أيضًا، مثل: “لا يُسمح بأي بريد إلكتروني يحتوي على علامة زائد وينتهي بـ @gmail.com” على سبيل المثال. cc @sam

التنفيذ السابق كان لا يزال يسمح بـ +addressing مع الحفاظ على عنوان واحد قياسي لكل حساب (وهو ما أعتقد أنه ربما أكثر أمانًا).

لذا، يمكنك التسجيل كـ sam+discourse-meta@gmail.com وهو أمر مفيد لقواعد Gmail الداخلية التي تعمل لديك. ولكن بعد ذلك سيتم حظر حسابات جديدة من sam@gmail.com أو sam+1@gmail.com.

لست ضد إضافة قائمة مسموحة، لكنني أعتقد أن فرض العناوين القياسية مفيد جدًا لحالة Gmail ولا يمثل افتراضًا سيئًا.

الأمان ليس هو الهدف الحقيقي هنا. الموقع المعني يحتاج إلى حل أكثر تطرفًا نظرًا لنطاق المشكلة التي يواجهها. طالما أن الأمر اختياري (أضف “نظام حماية البريد الإلكتروني” الخاص بك)، فإنه يبدو آمنًا تمامًا بالنسبة لي، حيث يمكن للمواقع التي تحتاج إلى ذلك اختيار تفعيل وضع القفل الكامل.

نمتلك حاليًا

blocked email domains

أعتقد أننا يمكننا إضافة:

blocked email patterns

لكن ضبط التعبير النمطي (regex) بشكل صحيح أمر مزعج بعض الشيء نظرًا لكل عمليات الهروب المطلوبة. أشعر بالقلق إزاء تقديم خيارات كهذه، لأن احتمالية أن يقوم الأشخاص بكتابة التعبير النمطي بشكل صحيح وبما يتوافق مع النية ضئيلة جدًا. فهم بحاجة إلى تذكر هروب النقاط والعلامة الموجبة.

.*\+.*@gmail\.com

يمكننا على الأرجح استخدام نمط مبسط غير قائم على التعبيرات النمطية يقوم فقط بتوسيع * و?.

*+*@gmail.com

عذرًا على التأخير في الرد!

إذا تم إعادة إضافة التنفيذ السابق كخيار، فأعتقد أن هذا سيحل مشكلة Gmail بالكامل. على الأقل في حالتي. إنه مثالي جدًا في رأيي ويضيف تكاليف موارد كافية للمحتالين لجعل مكافحتهم قابلة للإدارة. سيكون هذا بالفعل الفرق بين الحاجة إلى إشراف مكثف بدوام كامل لمدة 24 ساعة وعدم الحاجة إليه.

لقد قمت بحظر عدة نطاقات تسمح بممارسات مشابهة وتستخدم قائمة نطاقات البريد الإلكتروني المسموح بها. المشكلة هي أن الأشخاص يمكنهم إنشاء العديد من الحسابات قبل أن يتم حظر/منع أحد حساباتهم (مما ينشط حظر تباديل عنوان Gmail هذا للحسابات الجديدة، لكن الحسابات القائمة تبقى دون تغيير). مما يجعل الأمر عبئًا كبيرًا على الإدارة ومجهدًا لتنظيف كل حساب على حدة لاحقًا.

على سبيل المثال، كان لدي موضوع يحتوي على حوالي 200 رد، باستخدام منشور واحد لكل حساب، وجميعها تم إنشاؤها باستخدام عنوان Gmail واحد. هناك العديد من الحالات المماثلة. هذه أمثلة حيث يسهل العثور على الحسابات، حيث أن البحث عنها عبر تباديل عنوان Gmail الأصلي صعب جدًا كبديل. بعض المحتالين يزرعون أعدادًا كبيرة من الحسابات باستخدام عدد قليل من عناوين Gmail ولا ينشرون فيها إلا بعد أشهر.

بالنسبة للحل باستخدام حجب التعابير النمطية (regex)، فإن حجب علامة الزائد (+) سيكون غير ضار إلى حد كبير، بينما حجب النقاط (.) من المرجح أن يحجب عددًا كبيرًا من عناوين البريد الإلكتروني المشروعة مثل john.smith@gmail.com. حجب العناوين التي تحتوي على أكثر من نقطة واحدة قد يتسبب في أضرار جانبية ضئيلة، رغم أنه سيظل يسمح بعدة تباديل لعنوان Gmail، لكن أقل بكثير مقارنة بـ نقطتين أو أكثر.

في رأيي، التنفيذ السابق هو الأمثل وليس غير معقول لتنفيذه كإجراء حماية اختياري، حيث أن معظم مواقع التواصل الاجتماعي الشهيرة لا تسمح بالتسجيل باستخدام عدة تباديل لـ Gmail بسبب استغلالها بكثافة من قبل المحتالين.

شكرًا

@sam، أشعر بقوة بأنه يجب السماح للمواقع بتنفيذ هذا المستوى الاختياري من تقييد عناوين البريد الإلكتروني باستخدام التعابير النمطية إذا كانت تحتاج إليه. وإلا فإننا سنخالف أحد المبادئ الأساسية لمنصة Discourse، وهو أن تكون “آمنة افتراضيًا”.

يمكننا إنجاز هذا للإصدار القادم، إلا أنني ما زلت أؤمن بتنفيذتي الأصلية، حيث إن التطبيع هو الحل الأكثر ودية لمشغلي المواقع؛ فأنت تفعل خانة واحدة وتنتهي المشكلة. أما مع التعبيرات النمطية، فتتعلم التعبيرات النمطية (مما يستغرق 5 ساعات) وتنتهي بحل يسمح بحسابات البريد العشوائي بالتسلل أو يكون معادياً للمستخدم (بدون نقاط، بدون علامات زائد) أو يكون حل وسط.

ومع ذلك، بالتأكيد يمكننا إدراج دعم التعبيرات النمطية للإصدار القادم.

لا، الأمر سهل حقًا، يكفي أن نقول: «لا يُسمح برسائل البريد الإلكتروني التي تحتوي على علامة زائد أو نقطة»، وهو ما يُعترف به كقيود صارمة جدًا، وبشكل واضح لا نرغب في تفعيله افتراضيًا. لكن الأمر يشبه مسألة «باموار»: سيظل هناك دائمًا عدد كافٍ من الفاعلين الخبيثين مما يفرض وجود زر الإطلاق النووي، حتى لو لم نرغب في استخدامه.

إنه يشبه الحرب النووية. بمجرد وضع القنابل النووية على الطاولة، لم تعد الخيارات «الصديقة للمستخدم» ممكنة بعد الآن، ويصبح عليك فقط أن تأمل في أن لا تحتاج إلى اللجوء إليها في معظم الأوقات.