Mail+Channel: adicione canais ao seu e-mail de sempre para rastrear spam e phishing

 (keepwork.ing)
2 pontos por keepworking 2024-06-27 | 4 comentários | Compartilhar no WhatsApp

Recentemente descobri o truque do + no e-mail.
É um recurso que permite definir um rótulo com + após o ID de e-mail existente, e pensei que, se isso fosse bem aproveitado, poderia ajudar a prevenir spam ou e-mails de phishing, além de permitir prever quais sites tiveram vazamento de dados pessoais, então decidi criar, como uma espécie de POC simples, uma função para gerar canais para usar no e-mail.

A ideia central do Mail+Channel é: "se quiser me enviar um e-mail, tem que dizer de onde conseguiu meu endereço!"

Depois do +, entra um código gerado de forma irregular, e não um texto legível por humanos. Se o nome do canal fosse uma frase simbólica, talvez alguém pudesse descobrir o canal correto enviando e-mails com expressões conhecidas, como em um dictionary attack, então decidi usar uma sequência aleatória.

Claro que apenas gerar canais para anexar ao ID não é suficiente; se houver adicionalmente um sistema que use a API de uma plataforma de e-mail como o Gmail para gerenciar os canais gerados, manter em whitelist apenas os canais criados ou descartá-los, o uso ficaria muito mais fácil.

Achei que era uma ideia razoavelmente boa, então fiz uma POC simples e gostaria de saber a opinião de vocês.

Leituras relacionadas

4 comentários

 
olivecake 2024-06-29

Eu também costumo me cadastrar de um jeito parecido, colocando o domínio do site em que estou me registrando no endereço de e-mail. Às vezes, infelizmente, alguns sites não permitem usar o caractere + no e-mail, então acabo tendo que me cadastrar com o e-mail normal.
 
shw00 2024-06-27

Eu também já tinha usado esse truque quando criei meu Apple ID no passado. Na época, eu não conhecia exatamente as regras, então fazia algo como id@gmail.com, id+1@gmail.com, id+2@gmail.com, id+3@gmail.com e memorizava associando cada número a um país.
 
keepworking 2024-06-27

Como não sou muito bom escrevendo, acho que acabou ficando um pouco confuso.

Como é um texto sobre uma metodologia para aplicar o truque do +, não existe exatamente uma regra definida.

É um projeto que criei com a ideia de que, ao se cadastrar em sites ou assinar listas de e-mail usando o método gerado dessa forma, talvez seja possível rastrear de onde vêm os spams e e-mails de phishing!
 
wedding 2024-06-27

Estou usando isso ao criar contas do Apple ID por região e também ao fazer encaminhamento de e-mails no Cloudflare.