Email 正在注册到我的网站的随机电子邮件地址

在过去的几个月里，随机的电子邮件地址，其中一些在已知的垃圾邮件列表中，已经以每天2到3个的速度添加到我的网站上

我知道他们不是真正的人类——首先，该网站位于一个非常狭窄的地理区域，其中许多电子邮件显然来自不同的国家，其他电子邮件是从网站上获取的info@地址，而不是人类用来注册网站的地址

我不明白的是，有人这样做的原因是什么？除了具有模糊的破坏性外，我看不出对外部方有什么好处。（我不想在这里链接到该网站，它只是一个文本框，您可以在其中输入电子邮件并按join）

---

这些电子邮件从未被验证过——我的问题不是如何防止这种情况发生，而是为什么有人会这样做的一些正当理由是什么。我认为理解恶意用户为什么这么做很重要。

这可能是一次列表轰炸攻击，这肯定是无效的。我能想到的唯一有效的用途是用于安全研究，这是一个极端情况

列表炸弹 我怀疑这是攻击的一部分，即有人使用工具或服务恶意向受害者注册尽可能多的垃圾邮件。我从事反垃圾邮件的工作，看到了受害者对这一点的看法：几乎所有的选择加入验证，这意味着每项服务的损失只有一次。听起来你在（COI）阵营，恭喜你，情况可能更糟

对于列表轰炸，我们没有好的解决方案。有太多的问题要处理一个最近选择进入列表的散列电子邮件的全球数据库（因此列表维护者可以查找地址，断定地址被炸了，并拒绝邀请）。从理论上讲，一个选择不使用批量邮件的全球散列邮件数据库（如美国或现在已不存在的，但没有垃圾信息发送者部分的争议DDoS）可以在这种能力下工作，尽管仍有许多障碍需要清除

目前，您可以做的最好的事情是对限制进行评级（该攻击者足够精明，可以避免这一点）并使用CAPTCHA。你可以根据COI电子邮件中链接的点击率来衡量你的成功；如果它仍然很低，你仍然有一个问题

在您的特定情况下，在没有默认设置的情况下，要求用户通过下拉列表标识区域，可以为您提供拒绝订阅或触发更复杂验证码的简单方法

如果您对一种更为研究驱动的方法感兴趣，您可以尝试对订阅请求进行指纹识别，看看您是否可以识别该工具（如果是客户端运行的，我相信大多数是）或服务（如果是云运行的，在这种情况下，您可以只将一些CIDR范围列入黑名单）。注意请求者的HTTP头，尤其是引用者。浏览器识别它自己的军备竞赛；看看EFF或Brian Kreb的作品

安全研究 <> P>我所能考虑的唯一有效的案例是安全研究（这是我的研究领域），其有效性值得商榷。当我得到一个可能的网络钓鱼链接时，我会将其匿名化。这意味着我将输入假数据，而不是透露我的来源。我从来没有刻意追求订阅机制（至少对于一封我无法控制的电子邮件），但我想自动化可能会意外地遇到这种情况

您可以通过要求POST请求订阅来避免这种情况。没有（设计良好的）订阅机制应该接受没有参数的GET请求或操作链接（尽管有很多这样做）。任何（设计良好的）用于搜索、存档或安全的网络爬虫都不应该生成POST请求，至少在没有几个控件来确保其可接受的情况下（例如已经得出结论认为它是一个糟糕的参与者的站点）。我会很慷慨，不会让我认识的任何安全供应商这么做