Perché è una cattiva idea utilizzare l'e-mail del cliente come indirizzo di provenienza

29

Ho un'applicazione che invia email agli utenti dopo aver compilato un modulo. Utilizza un no-reply@customerdomain.comindirizzo come da. Il cliente desidera che utilizzi l'e-mail dal modulo come indirizzo di provenienza che potrebbe essere qualsiasi cosa. Mi è stato detto che questa è una cattiva idea a causa di spoofing / blacklist e spam.

Mi sento davvero vago circa il motivo esatto per cui questa è una cattiva idea, soprattutto perché devo provare a consigliare il cliente da questo. Qualcuno può spiegarmi perché questa è una cattiva idea.

È interessante notare che il client ha utilizzato un account Gmail come indirizzo di provenienza come una demo che non solo funziona bene ma ha consentito all'applicazione di iniziare a inviare e-mail (non lo avrebbe mai fatto prima con un'e-mail che era no-reply@customerdomain.com). Ehm, cosa sta succedendo. Mi è stato detto una cosa e il contrario funziona.

Spiacenti, lo so che è di base, ma ho trovato qualcosa su una ricerca su Google. In gran parte penso perché ho problemi anche a inquadrare la domanda.

MODIFICARE

Grazie a tutti - grandi risposte. È interessante notare che il server che invia l'e-mail e la casella di posta che sta per essere sono entrambi dietro lo stesso firewall, quindi il client dice che non si preoccupano dello spam. Oh bene.

email  domain  spam 
Benna Di Granchio
fonte
"È interessante notare che il server che invia l'e-mail e la casella di posta che sta per essere sono entrambi dietro lo stesso firewall, quindi il client dice che non si preoccupano dello spam". Va bene fintanto che l'applicazione si trova anche dietro lo stesso firewall e non è raggiungibile dal resto di Internet. Spero che questa casella di posta all'interno del firewall non sia disponibile da Internet - sembra un relay aperto!
Afrazier,
Sono d'accordo con le altre risposte. Come utente (non amministratore del sito Web), sarei perplesso, preoccupato e irritato se avessi ricevuto un'email da me stesso quando non l'avevo inviato. In passato, ho inviato tali e-mail allo spam senza leggerle e probabilmente continuerò a farlo.
Paddy Landau,

Risposte:

46

È una cattiva pratica per diversi motivi:

  • NON ti è permesso inviare una mail da un dominio di cui non sei il proprietario. Come tale, potrebbe essere concepito come un tentativo di imitazione.
  • È una pratica abbastanza comune utilizzata dagli spammer e, come tale, è spesso taggata dai filtri antispam.
  • È abbastanza comune per domini ben mantenuti utilizzare SPF o DKIM per proteggere la loro reputazione e aiutare altri sistemi a identificare la rappresentazione e lo spam. Ovviamente non sarai in grado di aggiungere l'intestazione di posta DKIM o aggiungere il tuo server SMTP nel record DNS SPF del dominio e quindi la tua posta sarà (giustamente) considerata falsa e respinta.

La pratica corretta è utilizzare il dominio locale come mittente, possibilmente utilizzando un indirizzo inesistente come nome utente.

Stephane
fonte
2
Bella risposta. Ho spudoratamente copiato parte del tuo testo per l'email del client. Grazie
Crab Bucket,
3
L'uso di un Sender:indirizzo non aggirerebbe questi problemi? Questo è ciò che fa Gmail quando è configurato per inviare e-mail da un altro account.
TRiG
3
Perché non è permesso? Hai qualche riferimento a una RFC o al diritto internazionale?
Nils,
3
@Nils Eccone uno. RFC 1855 (Netiquette). "Falsi e spoofing non sono comportamenti approvati." Anche se, questo è in una sezione su mailing list e notizie.
Kaz,
3
@Kaz vedi RFC 2822 di BlueRaja - questo è il riferimento corretto. È consentito, se si imposta SENDER sul dominio di origine reale.
Nils,
48

In realtà, sei autorizzato a impostare l' Fromindirizzo per l'e-mail del cliente, a condizione che tu abbia impostato correttamente il Sendercampo sul tuo indirizzo. Questo è ciò che faceva Paypal !

DA: customer@yourCustomer.com
A: recipient@recipient.com
Mittente: tu@tuaazienda.com

La maggior parte dei client di posta elettronica eseguirà il rendering come "Da te@tuaazienda.com per conto di cliente@tuoCustomer.com" . Non dovrebbero esserci problemi con SPF o DKIM sul dominio del cliente.

Probabilmente dovresti anche impostare l' Reply-tointestazione all'indirizzo del tuo cliente, quindi le risposte vanno all'indirizzo del cliente anziché al tuo.

BlueRaja
fonte
+1 per la menzione di Reply-to
Bobson l'
3
@Nils: RFC 2822 §3.6.2 "Campi del mittente" "Il campo" Da: "specifica l'autore o gli autori del messaggio, ovvero le cassette postali della persona o delle persone o dei sistemi responsabili per la scrittura del messaggio. Il campo "Mittente:" specifica la cassetta postale dell'agente responsabile della trasmissione effettiva del messaggio. "
BlueRaja,
1
(cont.) Quindi, si noti che se l'utente non ha effettivamente scritto il messaggio (OP non è chiaro su questo punto) , questo non sarà tecnicamente conforme a RFC e Reply-Todovrebbe essere usato solo. Ma anche in quel caso, Paypal e altre grandi aziende lo fanno comunque, quindi è altamente improbabile che si attivi alcun filtro antispam. Il fatto che si tratti di "una violazione della fiducia dell'utente" dipende dal messaggio / dall'applicazione effettiva (ad esempio, non credo che Paypal stia abusando della mia fiducia quando invia un messaggio "BlueRaja ti ha inviato un pagamento!" Per mio conto)
BlueRaja,
1
@Nils: Whoops, a quanto pare dovrebbe essere RFC 6854 , che è un aggiornamento di RFC 5322 , che è a sua volta la versione aggiornata di RFC 2822. Tuttavia, il passaggio rilevante non è cambiato.
BlueRaja,
2
PayPal non lo fa più, proprio perché è stata una cattiva pratica. Le loro e-mail attuali provengono member@paypal.com, con l'indirizzo e-mail dell'utente Reply-Tonell'intestazione.
Michael Hampton
12

TL; DR:

È una cattiva pratica utilizzare l'indirizzo e-mail dal modulo. Utilizzare invece un indirizzo e-mail utilizzato esclusivamente per questa mailing list.

Versione lunga:

Innanzitutto, vengono effettivamente utilizzati due indirizzi e-mail. Uno è il mittente della busta, l'altro è quello mostrato nella From:riga nell'e-mail.

Il mittente della busta è quello utilizzato dai server di posta elettronica per emettere avvisi di mancata consegna. Se stai eseguendo una mailing list, quell'indirizzo sarà solitamente a uno script che può cancellare gli indirizzi non funzionanti dalla mailing list.

L' From:indirizzo è quello che verrà utilizzato quando il destinatario della posta fa clic su Rispondi. In questo caso dovrebbe indicare a qualcuno che può effettivamente rispondere a qualsiasi domanda a cui il destinatario può rispondere (o almeno inoltrare a qualcuno che può).

Se si utilizza l'indirizzo di posta elettronica del destinatario come mittente della busta, è possibile che alcuni / molti server di posta rifiutino la posta o taggino tale posta come probabile spam - poiché le persone spesso non inviano messaggi a se stessi dal proprio indirizzo tramite un server esterno.

Se si utilizza l'indirizzo e-mail del destinatario come From:mittente, l'utente non sarà in grado di rispondere ai messaggi se necessario. Inserire un collegamento da qualche parte nel corpo del messaggio di posta non è sufficiente; le persone useranno comunque il pulsante Rispondi nel loro client di posta elettronica e si arrabbieranno quando non funzionerà.

Jenny D dice Reinstate Monica
fonte
Grazie per questo in particolare il punto in cui l'utente risponde a se stesso. Vorrei poter dare due risposte
Crab Bucket,
3
Non esattamente vero per l'utente che fa clic su Rispondi ... l'intestazione Rispondi (se esiste) verrà utilizzata per questo
JoelFan,
@JoelFan Aspetto positivo dell'intestazione Reply-To.
Jenny D dice Reinstate Monica il
8

Hai delle ottime risposte parlando dei problemi tecnici qui. In termini di vendita al cliente, può essere utile riformulare leggermente la domanda. Probabilmente il cliente ti sta chiedendo una variante di "funzionerà", a cui la risposta è "sì, puoi inviare e-mail così".

Una domanda migliore da prendere in considerazione è "arriverà", vedranno i nostri clienti se viene inviato in quel modo ". La risposta con i più moderni filtri antispam è "no, probabilmente no".

Rob Moir
fonte
4

Ci sono due problemi a cui riesco a pensare, il problema più grande è che invierai e-mail che potrebbe essere molto probabilmente non recapitabile, e ovviamente l'indirizzo di ritorno sarà anche così, il che significa che molte e-mail sono in attesa e in attesa di timeout . Il problema minore potrebbe essere che alcune di queste e-mail finiscono con lo spam, poiché i server stanno cercando e-mail da determinati domini provenienti da determinati computer (secondo le regole DKIM).

Vorrei creare l' no-reply@customerdomain.comindirizzo e decidere in seguito cosa fare dell'email.

NickW
fonte
2

Lo spoofing dell'indirizzo dell'utente come Da: è una cattiva idea. È un buon modo per garantire che la posta non raggiunga mai l'utente, poiché i filtri antispam possono considerarlo un falso (che è di fatto !)

È abbastanza ragionevole e comune per il server SMTP che "thisdomain" rifiuti una richiesta "MAIL From: user @ thisdomain" che proviene da una connessione TCP esterna a "thisdomain". (Consentire tale richiesta dagli host locali consente all'utente all'interno della rete "thisdomain" di scambiarsi messaggi.)

In realtà, noreply@customerdomain.comè una cattiva idea anche:

Ecco uno snippet di configurazione dal mio server SMTP (software Exim), che lo configura per far rimbalzare i messaggi dai noreplymittenti:

deny
  message = Sorry, we do not accept SMTP traffic from "noreply" senders. \
            We believe that it is less than polite to send messages from \
            nonexistent e-mail addresses \
            which cannot be replied to! E-mail is a "two-way street". \
            If you want us to accept \
            your mail, then please accept replies.
  senders = ^noreply@.*

Le e-mail devono essere inviate solo da mittenti reali che possono accettare risposte.

Perché dovrei ascoltare qualsiasi cosa tu dica se le tue orecchie sono collegate a qualsiasi cosa io dica?

Alcune persone risponderanno comunque a queste e-mail e dovranno essere indirizzate all'account di assistenza clienti appropriato.

Kaz
fonte
Grazie per la risposta. Molto interessante per la mancata risposta. Se l'e-mail non comune esistesse davvero, e sarebbe solo meglio quando in una casella di posta che veniva periodicamente svuotata? La posta ordinaria ha senso per me come utente da quando le vedo so che nessuno sta ascoltando. Ma quando un'e-mail non vuole una risposta, allora è il marketing diretto nella migliore delle ipotesi e lo spam nella peggiore. Penso di essermi sentito fuori dalla non risposta lì
Crab Bucket,
Vecchio thread ma ... Non riesco a smettere di pensare: bloccare la posta elettronica dai mittenti chiamati "noreply" sembra inutile al massimo. Chiunque desideri inviare e-mail offensive utilizzerà semplicemente un'altra e-mail di mittente inesistente. Se l'e-mail in questione è davvero "sola lettura", cosa potrebbe esserci di sbagliato nel renderlo il più ovvio possibile? "Ecco le previsioni del tempo che hai ordinato: domani sarà soleggiato. Non rispondere a questa e-mail, ne inviamo sei milioni ogni giorno e non è possibile elaborare i vari tipi di risposte che inevitabilmente generano."
Culme,
-1

Il client potrebbe non essere preoccupato per lo spam, ma il problema principale qui è che è eticamente sbagliato usare il dominio del cliente, come citato da tutte le altre risposte qui.

Tim Sabin
fonte
Questo non è davvero un problema etico di alcun tipo. Sei l'unico a menzionare l'etica piuttosto che questioni realistiche.
Ceejayoz,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.