Das Portal an Deiner Seite.

Wie wir E-Mail-Adressen vor Harvesting-Bots schützen

von Peter Eppich

Wer Immobilien anbietet, muss erreichbar sein – aber nicht für Spam-Bots. Deshalb haben wir für immonika.de eine mehrstufige Lösung entwickelt, die E-Mail-Adressen unserer Makler und Anbieter zuverlässig vor automatisiertem Abgreifen schützt. Hier zeigen wir, wie das funktioniert.

Das Problem: Email-Harvesting

Auf einem Immobilienportal wie immonika.de sind Kontaktdaten das Herzstück jeder Anfrage. Makler und Anbieter müssen erreichbar sein. Gleichzeitig durchsuchen Harvesting-Bots systematisch Webseiten nach mailto:-Links und Klartext-E-Mail-Adressen. Die gesammelten Adressen landen in Spam-Datenbanken.

Klassische Gegenmaßnahmen wie das Ersetzen von @ durch [at] oder einfache ROT13-Verschleierung sind für moderne Bots trivial zu umgehen. Auch CSS-basierte Tricks wie direction: rtl oder das Einfügen unsichtbarer Zeichen bieten keinen zuverlässigen Schutz mehr. Wir wollten es besser machen.

Unser Ansatz: Mehrstufige Verschlüsselung

Bei immonika.de steht der Schutz unserer Partner an erster Stelle. Unsere Lösung kombiniert mehrere Schutzmechanismen zu einem Gesamtkonzept:

  1. Serverseitige Verschlüsselung – E-Mail-Adressen werden bei der HTML-Generierung verschlüsselt und niemals im Klartext ausgeliefert
  2. Clientseitige Entschlüsselung – Erst im Browser des Besuchers wird die Adresse wiederhergestellt
  3. Visueller Entschlüsselungseffekt – Eine Animation signalisiert dem Nutzer den Entschlüsselungsvorgang
  4. Dynamische Mailto-Generierung – Der mailto:-Link wird erst bei Benutzerinteraktion erzeugt

Im HTML-Quelltext einer Seite findet sich zu keinem Zeitpunkt eine E-Mail-Adresse im Klartext oder ein mailto:-Link. Bots, die nur den statischen HTML-Code analysieren, finden keine verwertbaren Daten.

Die Verschlüsselungsschicht

Für die Verschlüsselung verwenden wir eine kryptographische Hash-Funktion in Kombination mit einem symmetrischen Verfahren. Der Ablauf:

  1. Aus einem geheimen Schlüssel und einem seitenspezifischen Salt wird mittels SHA-256 ein abgeleiteter Schlüssel erzeugt
  2. Das Ergebnis wird in eine alphanumerische Darstellung (Base62) kodiert, damit der verschlüsselte Text im HTML als normaler Text erscheint

Zusätzlich wird für jede E-Mail-Adresse ein individueller Salt generiert, der aus dem Domainnamen und einem Zeitstempel abgeleitet wird. Dadurch erzeugt dieselbe E-Mail-Adresse auf verschiedenen Seiten unterschiedliche Chiffretexte.

Die verschlüsselten Adressen werden dynamisch bei jedem Seitenaufbau aus der Datenbank berechnet.

Der visuelle Entschlüsselungseffekt

Wenn ein verschlüsseltes E-Mail-Element in den sichtbaren Bereich des Browsers scrollt, wird die Entschlüsselung durch einen IntersectionObserver ausgelöst. Der Effekt läuft wie folgt ab:

  1. Der verschlüsselte Text (alphanumerische Zeichen) wird als Platzhalter angezeigt
  2. Bei Sichtbarkeit beginnt eine Animation: Jedes Zeichen durchläuft mehrere zufällige Buchstaben und Ziffern
  3. Nach und nach „rasten" die Zeichen in ihre entschlüsselte Position ein
  4. Am Ende steht die vollständige E-Mail-Adresse als klickbarer Link

Die Animation dauert konfigurierbar zwischen einer und fünf Sekunden. Die Zeichenwechsel-Frequenz liegt bei mehreren Wechseln pro Sekunde, was einen an Filmszenen erinnernden Effekt erzeugt.

Dynamische Mailto-Generierung

Nach der Entschlüsselung wird die E-Mail-Adresse als klickbarer Link dargestellt. Der mailto:-Link wird dabei erst bei Klick dynamisch erzeugt – er existiert zu keinem Zeitpunkt im DOM als statisches Element.

Bei Exposee-Seiten werden dem Mailto-Link automatisch relevante Informationen mitgegeben:

  • Betreff: Enthält die Objektnummer und den Titel der Immobilie
  • Text: Enthält die Kontaktdaten des Interessenten (aus dem Formular) sowie Objektdetails

So kann der Makler die Anfrage direkt zuordnen – und der Interessent spart sich das mühsame Abtippen von Objektdaten. Das Portal an Deiner Seite eben.

Integration in die Seitengenerierung

immonika.de generiert alle Seiten serverseitig als dynamisches HTML – ohne externe Dienste, ohne Tracking, ohne Kompromisse beim Datenschutz. Die E-Mail-Verschlüsselung ist nahtlos in diesen Prozess integriert:

  1. Beim Import einer Immobilie werden alle E-Mail-Adressen des Anbieters verschlüsselt
  2. Die verschlüsselten Werte werden als data-Attribute in die HTML-Templates eingesetzt
  3. Das Entschlüsselungs-JavaScript wird als separate Datei eingebunden
  4. Die Entschlüsselung erfolgt vollständig clientseitig – der Server liefert niemals Klartext-Adressen aus

Dieser Ansatz ist vollständig DSGVO-konform: Es werden keine externen Dienste eingebunden, keine Daten an Dritte übermittelt und keine Cookies für die Entschlüsselung benötigt.

Fazit

Die Kombination aus serverseitiger Verschlüsselung, Viewport-getriggerter clientseitiger Entschlüsselung mit visuellem Effekt und dynamischer Mailto-Generierung bietet einen robusten Schutz gegen automatisiertes Email-Harvesting – ohne dass unsere Makler und Anbieter etwas dafür tun müssen.

Die Methode funktioniert ohne externe Abhängigkeiten und ist vollständig datenschutzkonform. Alle Komponenten werden auf unseren eigenen Servern gehostet. So schützen wir die Erreichbarkeit unserer Partner, ohne ihre Privatsphäre zu gefährden.

Wir dokumentieren unsere technischen Lösungen hier im Blog offen und transparent. Nachahmung ist ausdrücklich erwünscht – das Internet wird besser, wenn weniger E-Mail-Adressen in Spam-Datenbanken landen.