Wie gefällt Ihnen der Artikel?
8
Wie gefällt Ihnen der Artikel?
8

E-Mail-Adresse schützen: So beugen Sie Spam vor

Das Telemediengesetz (TMG) verpflichtet gewerbliche Webseitenbetreiber in Deutschland dazu, durch ein Impressum Besuchern bestimmte Informationen zur Verfügung zu stellen. Dazu gehören laut § 5 Abs. 1 Nr. 2 TMG auch „Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit ihnen ermöglichen, einschließlich der Adresse der elektronischen Post“.

Die Veröffentlichung der E-Mail-Adresse ist somit ein Muss, birgt jedoch die Gefahr, Opfer von Spam-Attacken zu werden. Diese sind nicht nur lästig, sondern bilden in Form von Phishing-Mails ein ernstzunehmendes Sicherheitsrisiko. Dasselbe gilt auch für Schadprogramme, die Cyberkriminelle mit Vorliebe in E-Mail-Anhängen verstecken. Doch Not macht erfinderisch: Und so werden im Netz diverse Tricks präsentiert, mit denen Webseitenbetreiber den Zugriff von Spambots auf ihre Mail-Adressen beschränken können, ohne dabei die Informationspflichten gemäß TMG zu verletzen. Wir stellen die beliebtesten Methoden gegenüber und erläutern deren Vor- und Nachteile.

E-Mail-Harvesting: So gehen Spambots auf Beutefang

Unter E-Mail-Harvesting (deutsch: E-Mail-Ernte) versteht man die automatisierte Beschaffung von Mail-Adressen für unlautere Werbezwecke, Phishing-Attacken oder die Verbreitung von Schadsoftware. Diese erfolgt in der Regel softwaregestützt. Dazu durchsuchen spezialisierte Programme, sogenannte „E-Mail-Harvester“, Webseiten, Mailinglisten, Internet-Foren oder Social-Media-Plattformen nach E-Mail-Adressen. Hinweise auf die begehrten Kontaktinformationen liefert die charakteristische Syntax, der alle E-Mail-Adressen entsprechen. Und so fahnden einfache Suchmuster im Quelltext einer Website beispielsweise nach dem @-Zeichen. Dieses kommt in natürlichen Texten in der Regel nicht vor, wird innerhalb einer E-Mail-Adresse jedoch dazu verwendet, Benutzername und Domain voneinander abzugrenzen. Auch Umschreibungen bieten nur wenig Schutz. Raffiniertere Spambots beziehen oft auch gängige Alternativschreibweisen wie [at], [AT], (at), (AT) sowie Varianten mit d oder ä in die Suche ein:

benutzer@domain.de

benutzer[at]domain.de

Folgen dem @-Zeichen oder dessen Entsprechung zwei durch einen Punkt getrennte Zeichenfolgen, so ist dies für den Harvester ein klares Indiz, dass es sich hier um eine E-Mail-Adresse handelt. Auch eine Umschreibung des charakteristischen Punktes vor der Top-Level-Domain bietet einen vergleichsweise geringen Schutz, wirkt sich jedoch negativ auf die Lesbarkeit aus:

benutzer[AT]domain[PUNKT]de

Noch „verräterischer“ als das @-Zeichen ist der HTML-E-Mail-Verweis nach dem Schema "mailto:benutzer@domain.de". Dieser ermöglicht es Webseitenbesuchern, durch einen Mausklick ihr bevorzugtes E-Mail-Programm zu öffnen. Die Empfänger-Adresse wird dabei automatisch ins entsprechende Feld kopiert. Das ist praktisch, gibt jedoch auch Spambots klar zu verstehen, dass dort eine E-Mail-Adresse zu erbeuten ist. Webseitenbetreiber sind daher gut beraten, klassische Muster bei der Bereitstellung der elektronischen Kontaktmöglichkeit zu durchbrechen. Dabei sollte die Lesbarkeit für menschliche Seitenbesucher im besten Fall erhalten bleiben, um einen barrierefreien Zugang zur E-Mail-Adresse zu ermöglichen.

Klassische Darstellung der E-Mail-Adresse ohne Schutz

Um eine E-Mail-Adresse optimal vor dem automatischen Auslesen durch E-Mail-Harvester schützen zu können, muss man sich vergegenwärtigen, wie diese üblicherweise in eine Webseite integriert wird. Eine einfache barrierefreie Darstellung der elektronischen Kontaktadresse lässt sich mit folgendem Codebeispiel in jede beliebige HTML-Seite einfügen:

<p>Bei Fragen und Anregungen schreiben Sie eine E-Mail an: 
<a href="mailto:benutzer@domain.de">benutzer@domain.de</a>.
</p>

Ruft ein Besucher eine Webseite mit diesem Code auf, zeigt der Webbrowser folgende Information inklusive anklickbarem mailto-Verweis:

Bei Fragen und Anregungen scheiben Sie eine E-Mail an: benutzer@domain.de.

Aus Nutzersicht ist dies eine ideale Darstellung der E-Mail-Adresse im Netz. Damit die Nutzerfreundlichkeit dieser Darstellungsform erhalten bleibt, zielen die beliebtesten Methoden, eine E-Mail-Adresse zu schützen, darauf ab, diese im Quelltext unkenntlich zu machen, ohne dabei die Ansicht im Browser zu verändern. Alternativ besteht die Möglichkeit, die E-Mail-Adresse von der eigentlichen Website zu separieren und mit einem serverseitigen Redirect auf den mailto-Verweis weiterzuleiten. Eine Umschreibung der E-Mail-Adresse in der Browseransicht findet man hingegen immer seltener. Die Gründe dafür sind der mangelnde Nutzerkomfort und die Ineffektivität dieser Methode im Rahmen der Spamprävention.

Effektive Tricks, mit denen sich E-Mail-Adressen vor Spam schützen lassen, setzen auf Ersetzungen, Maskierungen oder Verschlüsselungen im Quelltext, die lediglich den Spambot, nicht aber den Nutzer behindern.

Ersetzung der E-Mail-Adresse

Schutzstrategien, die auf Ersetzung basieren, tilgen die gesamte E-Mail-Adresse aus dem Quelltext und ersetzen diese entweder durch eine grafische Darstellung oder einen Weiterleitungslink auf den mailto-Verweis.

E-Mail-Adresse als Grafik einbinden

Wird eine E-Mail-Adresse als Grafik eingebunden, bleibt diese zwar für das menschliche Auge lesbar, für E-Mail-Harvester sind Texte als Grafik jedoch nur schwer zu erkennen. Es gibt vereinzelt durchaus Spambots, die Bildelemente mittels OCR (Optical Character Recognition) auf Textelemente untersuchen können, doch bilden diese eine absolute Minderheit. Das Einbinden von entsprechenden Kontaktinformationen als Grafik bietet daher einen vergleichsweise hohen Schutz gegen Spam. Diesen erkaufen sich Webseitenbetreiber jedoch mit starken Einschränkungen in Bezug auf die Nutzerfreundlichkeit ihrer Website. Folgender HTML-Code zeigt, wie sich eine einer E-Mail-Adresse als Grafikdatei in eine Website einbinden lässt.

<img src="Pfad/grafikdatei.png" with="120" height="20" alt="Bei Fragen und Anregungen schreiben Sie eine E-Mail an: benutzer@domain.de"> 

Webseitenbesucher bekommen in der Browseransicht somit folgende Grafik angezeigt:

Diese E-Mail-Darstellung ist für die meisten Menschen lesbar. Der Text lässt sich jedoch weder kopieren noch mit einem mailto-Verweis verlinken. Während es für einen Großteil der Nutzer zumindest mühsam sein dürfte, die E-Mail-Adresse manuell abzutippen, stehen Textinformationen in Grafiken Menschen mit Sehbehinderung oft gar nicht zur Verfügung. Die „Verordnung zur Schaffung barrierefreier Informationstechnik nach dem Behindertengleichstellungsgesetz“ (BITV 2.0) fordert daher Alternativtexte für Bildinformationen im alt-Attribut. Diese lassen sich von Screenreadern auslesen, stehen somit jedoch auch Spambots zur Verfügung. Die Schutzwirkung durch eine grafische Einbindung der E-Mail-Adresse steht demnach im direkten Widerspruch zu den Vorgaben der BITV 2.0. Diese Methode allein ist als Präventionsmaßnahme gegen Spam daher nicht zu empfehlen.

HTML-E-Mail-Verweis per Redirect

Um E-Mail-Adressen effektiv vor Harvesting zu schützen, bietet es sich an, diese von der Website zu separieren. Dabei kommt in der Regel ein Skript zum Einsatz, das menschliche Nutzer erst nach einem Klick auf einen Link per Redirect auf den mailto-Verweis weiterleitet. Dieser öffnet das E-Mail-Programm des Nutzers und gibt dort die Adresse aus. Für Spambots, die den Quellcode einer Website scannen, sieht ein solcher Link wie ein Verweis auf eine Datei aus. Ein automatisches Auslesen wird somit unterbunden. Umsetzen lässt sich dieser Schutzmechanismus beispielsweise als Link auf eine PHP-Datei, die den Redirect beinhaltet:

<p>Bei Fragen und Anregungen schreiben Sie uns eine 
<a href="redirect-mailto.php">E-Mail</a>.
</p>

Der Inhalt der Datei redirect-mailto.php ist ein Skript, das auf den eigentlichen mailto-Verweis per Redirect umleitet:

<?php
header("Location: mailto:benutzer@domain.de"); 
?>

Da PHP serverseitig verarbeitet wird, haben Spambots, die den Quellcode einer Website auslesen, keine Chance, an die E-Mail-Adresse zu gelangen. Ist es notwendig, dass die E-Mail-Adresse visuell auf der Website dargestellt wird, empfiehlt es sich, diese Methode mit einer grafischen Einbindung der E-Mail-Adresse zu kombinieren.

Der Nachteil dieser Lösung zur Spamprävention ist, dass Nutzer einen Handler für mailto: benötigen, um an die E-Mail-Adresse zu gelangen. In der Praxis ist das in der Regel ein E-Mail-Programm wie Outlook oder Thunderbird. Auf neueren Browsern lassen sich als Handler jedoch auch Webmailer eintragen.

Maskierung der E-Mail-Adresse

Soll eine E-Mail-Adresse nicht komplett durch eine Grafik oder einen Link auf den mailto-Verweis ersetzt werden, bieten sich alternativ Strategien an, die es ermöglichen, die E-Mail-Adresse zu codieren, durch das Einfügen von zusätzlichen Elementen zu maskieren oder auf Basis von JavaScript erst im Browser dynamisch zusammenzustellen. Eine simple Codierung lässt sich beispielsweise durch HTML-Entities sowie durch URL- oder HEX-Encoding umsetzen. Einfache Maskierungsstrategien setzten auf die Kommentarfunktion, HTML-Elemente und CSS. Etwas komplexer hingegen ist eine E-Mail-Maskierung durch die dynamische Komposition der Adresse.

Von einer bloßen Umschreibung charakteristischer Zeichen grenzen sich diese Methoden dadurch ab, dass die Manipulation der Adresse im Quellcode erfolgt und sich nicht auf die Darstellung im Browser auswirkt.

Maskierung durch Zeichencodierung

Gängige Zeichencodierungen, die bei der Maskierung von E-Mail-Adressen im Quelltext zum Einsatz kommen, stützen sich auf HTML-Entities, HEX-Code oder die Prozentdarstellung des URL-Encodings. Diese Umschreibungen wurden ursprünglich für die Darstellung von Sonderzeichen durch Standardzeichen entwickelt. Für eine Maskierung von E-Mail-Adressen bietet sich diese Art der Codierung an, da die jeweiligen Referenzzeichen in der Browseransicht automatisch übersetzt werden.

Sollen die charakteristischen Zeichen der E-Mail-Adresse benutzer@domain.de mit Hilfe von HTML-Entities maskiert werden, werden diese zunächst in die alternative Schreibweise übertragen.

&commat; = @

&period; = . (Punkt)

In die E-Mail-Adresse eingefügt ergibt sich folgende Darstellung im Quellcode:

<p>Bei Fragen und Anregungen schreiben Sie eine E-Mail an: 
<a href="mailto:benutzer&commat;domain&period;de"> benutzer&commat;domain&period;de</a>
</p>

Da HTML-Entities nur für Sonderzeichen definiert wurden, lässt sich mit dieser Zeichencodierung weder die gesamt E-Mail-Adresse noch der signifikante Textstring mailto: verschlüsseln. Alternativ bietet sich daher eine Darstellung mittels HEX-Encoding an. Dabei wird die Unicode-Zeichennummer herangezogen und in folgendem Grundschema notiert:

&#Zeichennummer;

Üblicherweise benutzt man die durch ein kleines "x" gekennzeichnete Hex-Nummer des betreffenden Zeichens. Der Buchstabe "m" ließe sich somit "&#x6d;" oder dezimal "&#109;" notieren. So ergibt sich für die E-Mail-Adresse benutzer@domain.de inklusive mailto-Verweis folgende Darstellung:

<p>Bei Fragen und Anregungen schreiben Sie uns eine
<a href="&#x6d;&#x61;&#x69;&#x6c;&#x74;&#x6f;&#x3a;&#x62;&#x65;&#x6e
;&#x75;&#x74;&#x7a;&#x65;&#x72;&#x40;&#x64;&#x6f;&#x6d;&#x61;&#x69;
&#x6e;&#x2e;&#x64;&#x65;">E-Mail</a>.
</p>

Die entsprechenden Referenzzeichen für eine Übersetzung der E-Mail-Adresse lassen sich frei zugänglichen Listen im Netz entnehmen. Eine übersichtliche Darstellung findet man beispielsweise auf htmlarrows.com. Möchte man die komplette E-Mail-Adresse codieren, empfehlen sich Encoding-Programme, die als Webanwendung auf zahlreichen Webseiten kostenlos angeboten werden.

Eine weitere Möglichkeit, E-Mail-Adressen vor Spam zu schützen, bietet das URL-Encoding. Dieses Verfahren wurde ursprünglich entwickelt, um Sonderzeichen in einer URL in eine vom Browser interpretierbare Darstellung zu übertragen. Dabei kommen dreistellige Zeichenkombinationen zum Einsatz, die aus dem zweistelligen ASCII-Hexadezimalcode des jeweiligen Zeichens und einem vorangestellten Prozentzeichen bestehen. Eine Maskierung des für E-Mail-Adressen charakteristischen @-Zeichens durch URL-Encoding zeigt folgendes Beispiel:

<p>Bei Fragen und Anregungen schreiben uns eine 
<a href="mailto:benutzer%40domain.de">E-Mail</a>.
</p>

Grundsätzlich lässt sich eine Maskierung der E-Mail-Adresse durch Zeichencodierung schnell umsetzen. Die Schutzwirkung ist heutzutage jedoch vergleichsweise gering, da die meisten Spambots mittlerweile so programmiert werden, dass sie diese einfache Form der Verschlüsselung problemlos entziffern können.

Maskierung durch Ergänzung

Grundsätzlich ist es möglich, eine E-Mail-Adresse vor Spambots zu verstecken, indem diese durch zusätzliche Zeichen unterbrochen wird. Programme nehmen die Adresse dann im besten Fall nicht mehr als Ganzes wahr, wodurch ein automatisches Auslesen unterbunden wird. Eine einfache Möglichkeit, dies zu realisieren, bieten HTML-Kommentare.

<!-- Kommentar -->

Im Idealfall beinhalten diese dabei gerade die Zeichen, die für Mail-Adressen charakteristisch sind.

<!-- abc@def -->

<!-- @abc.de -->

Werden solche Kommentare in die E-Mail-Adresse eingefügt, stoßen Spambots, die die Website scannen, auf folgenden Code:

<p>Für Fragen und Anregungen schreiben Sie eine E-Mail an: 
ben<!-- abc@def -->utzer@domai<!-- @abc.de -->n.de. 
</p>

In der Browserdarstellung hingegen sind die HTML-Kommentare unsichtbar.

Alternativ können beliebige Zeichen auch ohne Kommentarfunktion eingefügt werden, wenn diese per CSS in der Browseransicht ausgeblendet werden. In folgendem Beispiel ist die E-Mail-Adresse durch ein span-Element unterbrochen. Der Inhalt zwischen Start- und End-Tag wird aufgrund der Eigenschaft display mit dem Wert none in der Browserdarstellung nicht berücksichtigt.

<style type="text/css">
span.spamschutz {display:none;}
</style>

<p>Für Fragen und Anregungen schreiben Sie eine E-Mail an: 
benutzer<span class="spamschutz">ZEICHENFOLGE</span>@domain.de. 
</p>

Während ein menschlicher Nutzer im Webbrowser die korrekte E-Mail-Adresse angezeigt bekommt, liest ein Spambot den ausgeblendeten Text im span-Element voraussichtlich mit aus. Das gibt Webseitenbetreibern die Möglichkeit, die E-Mail-Adresse benutzerZEICHENFOLGE@domain.de als sogenannten Honeypot zu nutzen, um Absenderadressen von Spamattacken ausfindig zu machen und zu blockieren.

Nachteil der Maskierung durch Ergänzung ist, dass die E-Mail-Adresse bei dieser Methode nicht mit einem HTML-E-Mail-Verweis verlinkt werden kann. Nutzer müssen die Adresse in diesem Fall manuell in Ihr E-Mail-Programm kopieren.

Umkehrung der Zeichenfolge

CSS lässt sich nicht nur dazu verwenden, zusätzliche Zeichen im Quellcode auszublenden, möglich ist auch eine Umkehrung der Zeichenfolge. Dies erlaubt Webseitenbetreibern, E-Mail-Adressen im Quellcode in falscher Reihenfolge zu hinterlegen, um Spambots zu täuschen.

<style type="text/css">
span.ltrText {unicode-bidi: bidi-override; direction: rtl}
</style>
<p>Für Fragen und Anregungen schreiben Sie eine E-Mail an: 
<span class="ltrText">ed.niamod@reztuneb</span>.
</p>

Während Spambots im Quellcode die Zeichenfolge ed.niamod@reztuneb vorfinden, sorgt die CSS-Eigenschaft unicode-bidi mit dem Wert bidi-override dafür, dass alle Zeichen innerhalb des entsprechend ausgezeichneten span-Elements vom Browser so ausgelesen werden, wie es die Eigenschaft direction vorgibt – in diesem Fall von rechts nach links (right to left, rtl).

Diese Maskierung bricht zwar mit dem gängigen Muster, nach dem E-Mail-Adressen normalerweise dargestellt werden. Fortschrittlichere Spambots lassen sich durch diesen Trick jedoch nicht täuschen.

Dynamische Komposition mit JavaScript

Eine weitere Möglichkeit, die korrekte E-Mail-Adresse erst in der Browserdarstellung auszuliefern, bietet JavaScript. Dabei wird die Adresse in mehrere Teile gegliedert, die während des Seitenaufrufs vom Browser dynamisch zusammengesetzt werden.

<script type="text/javascript">
var part1 = "benutzer";
var part2 = Math.pow(2,6);
var part3 = String.fromCharCode(part2);
var part4 = "domain.de"
var part5 = part1 + String.fromCharCode(part2) + part4;
document.write("Für Fragen und Anregungen schreiben Sie eine E-Mail an: 
<href=" + "mai" + "lto" + ":" + part5 + ">" + part1 + part3 + part4 + "</a>.");
</script>

In Zeile 2 bis 6 werden die einzelnen Teilstücke der E-Mail-Adresse definiert. Die Definition des @-Zeichens erfolgt dabei in zwei Teilschritten. Die Funktion Math.pow(2,6) in part2 bestimmt die Nummer des Zeichens in ASCII-kompatiblen Zeichensätzen (26 = 64). Dieser wird in part3 durch die Funktion String.fromCharCode(part2) in das entsprechende Zeichen konvertiert. Die Ausgabe der in part1 bis part5 definierten Teilstücke erfolgt in Zeile 7 und 8 durch die Funktion document.write(). Die E-Mail-Adresse wird somit erst nach clientseitiger Ausführung des Skripts komplett verfügbar. Möglich ist zudem eine Variante, bei der das Skript erst nach einem Klick durch den Nutzer gestartet wird.

Antispam-Methoden, die Skripts zur dynamischen Komposition nutzen, basieren auf der Annahme, dass E-Mail-Harvester JavaScript nicht vollständig interpretieren können. Ist dies der Fall, kann tatsächlich von einer hohen Schutzwirkung ausgegangen werden. Nachteil dieser Methode ist jedoch, dass Nutzer, die JavaScript in ihrem Browser deaktiviert haben, die im TMG geforderte Kontaktinformation nicht ausgespielt bekommen. Dies trifft heutzutage jedoch auf die wenigsten Nutzer zu. Um sicherzugehen, dass den gesetzlichen Forderungen in jedem Fall genüge getan wird, empfiehlt es sich daher, zusätzlich eine grafische Darstellung der E-Mail-Adresse zur Verfügung zu stellen.

Verschlüsselung der E-Mail-Adresse

Mit JavaScript lassen sich E-Mail-Adressen nicht nur aus Einzelteilen zusammenfügen, die Skriptsprache ermöglicht zudem auch eine Verschlüsslung der E-Mail-Adresse, um diese vor Spam zu schützen. Ein gängiges Verfahren zur E-Mail-Verschlüsselung ist ROT13, das sich bereits mit wenigen Zeilen JavaScript umsetzen lässt.

<script type="text/javascript">
function decode(a) {
  return a.replace(/[a-zA-Z]/g, function(c){
    return String.fromCharCode((c <= "Z" ? 90 : 122) >= (c = c.charCodeAt(0) + 13) ? c : c - 26);
  })
}; 
function openMailer(element) {
var y = decode("znvygb:orahgmre@qbznva.qr");
element.setAttribute("href", y);
element.setAttribute("onclick", "");
element.firstChild.nodeValue = "E-Mail-Software öffnet sich";
};
</script>
<a id="email" href=" " onclick='openMailer(this);'>E-Mail: bitte klicken</a>

Der Beispielcode zeigt in Zeile 9 die verschlüsselte Version der E-Mail-Adresse benutzer@domain.de inklusive mailto-Textstring (znvygb:orahgmre@qbznva.qr) sowie in den Zeilen 2 bis 7, wie dieser Code zu entschlüsseln ist. Die Funktion in Zeile 8 bis 13 öffnet das bevorzugte E-Mail-Programm des Nutzers und schreibt die entschlüsselte Adresse in die Empfängerzeile.

Gestartet wird das Skript durch einen Klick auf einen Link mit dem Ankertext „E-Mail: bitte klicken(Zeile 15 bis 16). Dieser zeigt nach dem Klick den Text „E-Mail-Software öffnet sich“ (Zeile 12).

Wie die JavaScript-basierte Komposition der E-Mail-Adresse basiert auch die Verschlüsselungsmethode auf der Annahme, dass Spambots die clientseitige Skriptsprache nicht oder nur unvollständig interpretieren können. Theoretisch könnte die verschlüsselte E-Mail-Adresse als Honeypot verwendet werden. In diesem Fall sollte die Domain nicht verschlüsselt werden.

CAPTCHAs

Auch CAPTCHAs bieten die Möglichkeit, eine E-Mail-Adresse vor Spam zu schützen. Dabei werden verschlüsselte E-Mail-Adressen erst in Klartext angezeigt, wenn sich ein Nutzer durch eine Prüfung als menschlich ausgewiesen hat. Diese Prüfungen können Aufgaben wie das Abtippen einer Buchstaben- oder Zahlenkombination beinhalten. Auch kurze Rechenaufgaben, Kombinationsübungen oder Puzzles sind möglich.

Einen kostenlosen CAPTCHA-Service bietet beispielsweise Google mit reCAPCHA.

CAPTCHAs bieten einen vergleichsweise hohen Schutz vor Spam, da E-Mail-Adressen in diesem Fall gar nicht oder nur verschlüsselt im Quellcode angezeigt werden. Durch umfangreiche Gestaltungsmöglichkeiten fügen sich CAPTCHAs inzwischen zudem gut in das Design einer Website ein. Der zusätzliche Aufwand, der erforderlich ist, um an die E-Mail-Adresse zu gelangen, wirkt sich jedoch negativ auf die Nutzerfreundlichkeit der Website aus und steht der Forderung nach einem barrierefreien Zugang zu wichtigen Kontaktinformationen entgegen.

Alternative: Feedback-Formular?

Statt eine E-Mail-Adresse auf der Website preiszugeben, bietet zahlreiche Webseitenbetreiber ein Feedback-Formular an, in das Besucher ihre Nachrichten inklusive Name und Absenderadresse eintragen können. Diese werden im Hintergrund an eine hinterlegte Empfängeradresse weitergeleitet. Die Integration in die Website erfolgt mithilfe serverseitiger Programmiersprachen wie PHP. Um Spambots am automatischen Versand von E-Mail-Formularen zu hindern, werden diese in der Regel durch CAPTCHAs gesichert. Ob ein Feedback-Formular den Informationspflichten gemäß TMG gerecht wird, ist jedoch strittig. Wortwörtlich fordert der Gesetzgeber eine „Adresse der elektronischen Post“. In der Vergangenheit kamen deutsche Gerichte daher zu dem Urteil, dass ein Kontaktformular allein den rechtlichen Forderungen nicht genüge. Webseitenbetreiber, die lediglich diese Möglichkeit der elektronischen Kontaktaufnahme bereitstellen, laufen Gefahr, abgemahnt zu werden.

Fazit

Welche Strategie zum Schutz der E-Mail-Adresse zum Einsatz kommen sollte, richtet sich in erster Linie danach, welchen Ansprüchen die Darstellung der elektronischen Kontaktmöglichkeit gerecht werden muss und welche technischen Möglichkeiten zur Verfügung stehen. Eine gute Schutzwirkung verspricht der Redirect auf den mailto-Verweis via PHP oder vergleichbare serverseitige Programmiersprachen. Diese müssen dazu jedoch von der Hosting-Grundlage der Website unterstützt werden. Ist ein Webseitenbetreiber gemäß TMG verpflichtet, eine Adresse der elektronischen Post auf der Website aufzuführen, empfiehlt sich eine ergänzende Darstellung der E-Mail-Adresse als Grafik.

Vergleichsweise wenig Schutz hingegen bieten einfache Umschreibungen sowie die Codierung durch HTML-Entities, HEX-Code oder URL-Encoding. Letzte bieten sich jedoch als Vorstufe für eine anschließende Verschlüsselung an. Eine Maskierung oder Verschlüsselung via JavaScript bietet einen verlässlichen Schutz vor Spambots. Um sich vor möglichen Abmahnungen zu schützen, sollten Webseitenbetreiber, die zur Angabe der elektronischen Kontaktadresse verpflichtet sind, jedoch auch hier eine ergänzende grafische Darstellung der E-Mail-Adresse einbinden. Dies gilt insbesondere dann, wenn die Adresse nicht auf der Website, sondern nur im mailto-Handler erzeugt wird.

Von einem Feedback-Formular als Alternative zur E-Mail-Adresse ist abzuraten, da selbiges nicht von allen Gerichten als gleichwertiger Ersatz zur Angabe der Mail-Adresse eingestuft wird.

Verschlüsselung JavaScript Sicherheit