E-posta tarayıcılarının “abonelikten çıkma” bağlantılarını etkinleştirmesini önleme stratejileri

10

Hizmetimin gönderdiği e-postaların altbilgisinde tek tıklamayla "Aboneliği iptal et" bağlantıları sağlamak istiyorum.

Açıkçası, birçok spam tarayıcı e-postaları tarar ve içeriklerini kötü amaçlı yazılımlara karşı taramak için e-postalarda bulunan bağlantıları izler. Şimdiye kadar kullandığım bir geçici çözüm:

  • HTTP GET aracılığıyla "Aboneliği iptal et" sayfası istenirse, basit bir onay formu ve formu sayfa yüklemesinde gönderen bir miktar JS oluşturur
  • HTTP POST aracılığıyla "Aboneliği iptal et" sayfası istenirse kullanıcının aboneliğini iptal ederiz

Bu şekilde, kullanıcı genellikle form üzerinde yalnızca tek bir tıklamaya ihtiyaç duyar ve "Aboneliği iptal ettiniz" iletisi alır. JS devre dışı bırakıldıysa yine de onay formunu manuel olarak gönderebilirler.

Şimdi sorun şu ki, Office365'in ATP'si gibi bazı tarayıcılar sayfaları açacak ve içindeki JS'yi çalıştıracaktır . JS çalıştırarak formu gönderir ve kullanıcının otomatik olarak aboneliğini iptal etmesine neden olurlar.

Otomatik gönderim JS mantığına çek eklemeyi düşündüm:

  • belirli kullanıcı aracıları için otomatik gönderme
  • belirli istemci IP aralıkları için otomatik gönderme
  • fare taşıma olayında otomatik gönder'i tetikle

Ancak bunların hepsi, e-posta tarayıcılarının taktiklerini değiştirdikçe kırılması gereken kırılgan yöntemler, en iyi hack'ler gibi görünüyor.

Eminim bu problemin önümde çok az insan var. Tek tıklama işlevinden vazgeçmenin yanı sıra bilinen makul çözümler var mı?

PS. RFC 8058 için destek ekledim, ancak kullanıcılar hala altbilgideki bağlantıları tıklayacak.

email  office365  spam  unsubscribe 
Pēteris Caune
kaynak
1
İlginç bir sorun, aklıma gelen bir şey, bu yeni Google'ın görünmez reCAPTCHA v3'ü, normalde, tamam görünüyorsa kullanıcıdan herhangi bir işlem gerektirmez.
Vladan
@Vladan "mutlu durumda" çalışabilir. ReCAPTCHA denetimi başarısız olursa (örneğin, sayfa Google çerezinin olmadığı e-posta istemcisinde açıldığı için), son kullanıcı için çok can sıkıcıdır. Ayrıca, veriler Google'a gider, bu nedenle bu konuda rahat olmanız, gizlilik politikasında vb. Belirtmeniz gerekir
Pēteris Caune
Aynı işlevselliğe sahibiz. Ancak, kullanıcılara gönderilen e-postaları oluşturmak için Emarsys'i kullanıyoruz ve altbilgide işi yapan basit bir bağlantı (kodlanmış) var. Şimdi beni merak ettiniz, kullanıcılarım e-posta tarayıcıları tarafından abonelikten çıkarılıyor mu?
Vedran Maricevic.

Yanıtlar:

7

Bu, M³AAWG'de (Mesajlaşma, Kötü Amaçlı Yazılım ve Mobil Kötüye Kullanım Karşıtı Çalışma Grubu) devam eden bir tartışma konusudur . Bu bir karmaşa ve kolay bir çözüm yok. Her şeyi doğru yaptığınıza benziyor, ancak bazı anti-spam sistemleri biraz fazla agresif.

Büyük sorun, yapabileceğiniz her şeyin küfürlü bir pazarlamacı veya spam gönderen tarafından da yapılabilmesidir.

Duyduğum en iyi teklif sadece eyleme bir zamanlayıcı koymak. Teslimattan sonraki 5 dakika içinde aboneliği iptal eden kullanıcılar için bir captcha ekleyin ve daha sonra captcha'yı kaldırın. (Do not da RFC 8058 List-aboneliğini-Yayın bağlantısı için bu uygulamaya.)

Bir sonraki favori teklifim, mesaja bir kanarya bağlantısı eklemektir. Bu, insan okuyucular için görünmez olmalıdır. Takip edilirse, en son tıklama etkinliğini bu IP'den geri alır ve IP'yi eylem tetikleyicilerinden bir süreliğine yasaklar.

Fikirlerinizi de beğendim, sadece Javascript devre dışı bırakılmışsa, kullanıcının bir onay düğmesine tıkladıktan sonra abonelikten çıkabileceğinden emin olun.

 

Bu yanlış pozitifleri isteyen bir parçam var (uyarı, spam karşıtı bir araştırmacıyım) . Umarım bu, akranlarıma böyle kötü bir iş yaptıklarını ve bu yükselişlerin onlara gelmeye devam edeceğini öğretecektir. Perspektifinize göre, buck'i geçeceksiniz (ancak süreçte birkaç aboneyi kaybedeceksiniz).

Spam algılama sistemleri, abonelik yönetimi bağlantılarından kaçınmaya dikkat etmelidir (en azından kötü adamlar yüklerini unuscribe bağlantıları olarak gizlemeye başlayana kadar).

Adam Katz
kaynak
Teşekkür ederim! Bunların ikisi de düşünmediğim iyi fikirler. Zamanlayıcı yaklaşımını deneyeceğim. Benim durumumda, "CAPTCHA" ekranın ortasında sadece tıklanması gereken basit bir düğmedir. Hızla açılan abonelikten çıkma bağlantıları için, bu düğmeyi otomatik olarak tıklamak üzere JS eklemeyeceğim. Bu, en azından bir e-posta gönderdikten sonra bir dakika içinde bağlantıları tarayan Office365 ATP'yi aşmalıdır. Kanarya bağlantılarının uygulanması oldukça zor olacaktır (geri alma eylemleri, yasaklı IP'leri izleme). Ayrıca, spam tarayıcıların görünmez bağlantılara sahip e-postaları spam / kötü amaçlı yazılım olarak işaretleme riski vardır.
Pēteris Caune
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.