Dlaczego używanie adresu e-mail klienta jako adresu nadawcy jest złym pomysłem?

29

Mam aplikację, która wysyła wiadomości e-mail do użytkowników po wypełnieniu formularza. Wykorzystuje [email protected]jako adres z. Klient chce, aby używał wiadomości e-mail z formularza jako adresu nadawczego, który może być dowolny. Powiedziano mi, że jest to zły pomysł z powodu fałszowania / czarnej listy i spamu.

Czuję się niejasno co do dokładnego powodu, dla którego jest to zły pomysł, szczególnie, że muszę spróbować doradzić klientowi w tym zakresie. Czy ktoś może mi wyjaśnić, dlaczego to zły pomysł.

Co ciekawe, klient użył konta Gmail jako adresu od jako demo, które nie tylko działa dobrze, ale umożliwiło aplikacji rozpoczęcie wysyłania wiadomości e-mail (wcześniej nie zrobiłby tego z e-mailem, który był [email protected]). Erm - co się dzieje. Powiedziano mi jedno, a wręcz przeciwnie działa.

Przepraszamy - wiem, że to podstawa, ale mogłem znaleźć wszystko w wyszukiwarce Google. W dużej mierze myślę, bo mam problem z sformułowaniem pytania.

EDYTOWAĆ

Dziękuję wszystkim - świetne odpowiedzi. Co ciekawe, zarówno serwer wysyłający wiadomość e-mail, jak i skrzynka pocztowa, znajdują się za tą samą zaporą ogniową, więc klient twierdzi, że nie martwi się spamem. No cóż.

email domain spam Wiadro Kraba
źródło
„Co ciekawe, serwer wysyłający wiadomość e-mail i skrzynka pocztowa, za którą ma zamiar, znajduje się za tą samą zaporą, więc klient twierdzi, że nie martwi się spamem”. To dobrze, o ile aplikacja znajduje się również za tą samą zaporą i nie jest dostępna dla reszty Internetu. Mam nadzieję, że ta skrzynka pocztowa w zaporze ogniowej nie jest również dostępna w Internecie - wygląda na otwarty przekaźnik!
afrazier
Zgadzam się z innymi odpowiedziami. Jako użytkownik (nie administrator strony internetowej) byłbym zdziwiony, zaniepokojony i zirytowany, gdybym otrzymał od siebie wiadomość e-mail, gdy jej nie wysłałem. W przeszłości wysyłałem takie e-maile do spamu bez ich czytania i prawdopodobnie nadal będę to robić.
Paddy Landau

Odpowiedzi:

46

Jest to zła praktyka z kilku powodów:

  • NIE możesz wysyłać wiadomości e-mail z domeny, której nie jesteś właścicielem. Jako taki może być pomyślany jako próba podszywania się.
  • Jest to dość powszechna praktyka stosowana przez spamerów i jako taka jest często oznaczana przez filtry antyspamowe.
  • Często utrzymywane domeny używają SPF lub DKIM, aby chronić swoją reputację i pomagać innym systemom w identyfikacji podszywania się i spamu. Oczywiście nie będzie można dodać nagłówka wiadomości DKIM ani dodać serwera SMTP do rekordu SPF DNS domeny, więc poczta zostanie (słusznie) uznana za sfałszowaną i odrzuconą.

Właściwą praktyką jest używanie domeny lokalnej jako nadawcy, być może przy użyciu nieistniejącego adresu jako nazwy użytkownika.

Stephane
źródło
2
Świetna odpowiedź. Bezwstydnie skopiowałem część tekstu na adres e-mail klienta. Dziękuję
Crab Bucket
3
Czy użycie Sender:adresu nie obejdzie tych problemów? Tak właśnie działa Gmail, gdy jest skonfigurowany do wysyłania wiadomości e-mail z innego konta.
TRiG,
3
Dlaczego to nie jest dozwolone? Czy masz jakieś odniesienia do RFC lub prawa międzynarodowego?
Nils
3
@Nils Oto jeden. RFC 1855 (Netykieta). „Fałszerstwa i fałszowanie nie są zachowaniami zatwierdzonymi”. Chociaż jest to sekcja poświęcona listom mailowym i aktualnościom.
Kaz
3
@Kaz patrz RFC 2822 od BlueRaja - to jest prawidłowe odniesienie. Jest to dozwolone, jeśli ustawisz SENDER na prawdziwą domenę pochodzącą.
Nils
48

W rzeczywistości możesz ustawić Fromadres e-mail klienta, o ile poprawnie ustawisz Senderpole na własny adres. To co Paypal nie czynili!

OD: [email protected]
DO: [email protected]
SENDER: [email protected]

Większość klientów poczty e-mail wyświetli to jako „Od [email protected] w imieniu [email protected] . W domenie klienta nie powinno być żadnych problemów z SPF ani DKIM.

Prawdopodobnie powinieneś również ustawić Reply-tonagłówek na adres swojego klienta, więc odpowiedzi będą kierowane raczej na adres klienta niż na adres klienta.

BlueRaja
źródło
+1 za wzmiankę o odpowiedzi na
pytanie
3
@Nils: RFC 2822 §3.6.2 „Pola inicjatora” „Pole„ Od: ”określa autora (-ów) wiadomości, czyli skrzynkę (-y) osoby odpowiedzialnej (-ych) lub systemu (-ów) do pisania wiadomości. Pole „Nadawca:” określa skrzynkę pocztową agenta odpowiedzialnego za faktyczną transmisję wiadomości. ”
BlueRaja,
1
(cd.) Tak więc, zauważ, że jeśli użytkownik tak naprawdę nie napisał wiadomości (OP jest niejasny w tym punkcie) , nie będzie to technicznie zgodne z RFC i Reply-Topowinno się jej używać. Ale nawet w takim przypadku Paypal i inne duże firmy robią to tak czy inaczej, więc jest bardzo mało prawdopodobne, aby uruchomić filtry antyspamowe. To, czy jest to „naruszenie zaufania użytkownika”, zależy od faktycznej wiadomości / aplikacji (np. Nie sądzę, aby Paypal nadużywał mojego zaufania, gdy wysyła wiadomość „BlueRaja wysłała ci płatność!” W moim imieniu)
BlueRaja,
1
@Nils: Ups, najwyraźniej powinien to być RFC 6854 , który jest aktualizacją do RFC 5322 , która z kolei jest zaktualizowaną wersją RFC 2822. Jednak odpowiedni fragment się nie zmienił.
BlueRaja,
2
PayPal już tego nie robi, właśnie dlatego, że była to taka zła praktyka. Ich bieżące wiadomości e-mail pochodzą z [email protected]adresu e-mail użytkownika w Reply-Tonagłówku.
Michael Hampton
12

TL; DR:

Używanie adresu e-mail z formularza jest złą praktyką. Zamiast tego użyj adresu e-mail, który jest specjalnie używany tylko dla tej listy mailingowej.

Długa wersja:

Po pierwsze, faktycznie używane są dwa adresy e-mail. Jeden to nadawca koperty, drugi to ten pokazany na linii From:w e-mailu.

Nadawca koperty jest używany przez serwery e-mail do wysyłania powiadomień o niedostarczeniu. Jeśli prowadzisz listę mailingową, adres ten zwykle będzie zawierał skrypt, który może usunąć niedziałające adresy z listy mailingowej.

From:Adres jest taki, który będzie stosowany, gdy odbiorca kliknie Odpowiedz pocztą. W takim przypadku powinna wskazywać osobę, która może odpowiedzieć na każde pytanie, na które odbiorca może odpowiedzieć (lub przynajmniej przekazać komuś, kto może).

Jeśli użyjesz własnego adresu e-mail odbiorcy jako nadawcy koperty, możesz oczekiwać, że niektóre / wiele serwerów pocztowych odrzuci pocztę lub oznaczy ją jako spam - ponieważ ludzie często nie wysyłają do siebie wiadomości e-mail z własnego adresu za pośrednictwem serwer zewnętrzny.

Jeśli użyjesz własnego adresu e-mail odbiorcy jako From:nadawcy, użytkownik nie będzie w stanie odpowiedzieć na wiadomości, jeśli zajdzie taka potrzeba. Umieszczenie linku w treści wiadomości nie wystarczy; ludzie nadal będą używać przycisku Odpowiedz w swoim kliencie e-mail i denerwują się, gdy nie działa.

Jenny D mówi Przywróć Monikę
źródło
Dziękuję za to szczególnie za to, że użytkownik odpowiada sobie. Chciałbym dać dwie odpowiedzi
Crab Bucket,
3
Nie do końca prawda o kliknięciu przez użytkownika odpowiedzi ... zostanie do tego użyty nagłówek odpowiedzi (jeśli istnieje)
JoelFan
@JoelFan Dobra uwaga na temat nagłówka Reply-To.
Jenny D mówi Przywróć Monikę
8

Masz tutaj świetne odpowiedzi na temat problemów technicznych. Jeśli chodzi o sprzedaż tego klientowi, pomocne może być nieco sformułowanie pytania. Klient prawdopodobnie pyta Cię o wariant „czy to zadziała”, na który odpowiedź brzmi „tak, możesz wysłać taki e-mail”.

Lepszym pytaniem do rozważenia jest to, czy „dotrze”, czy nasi klienci zobaczą, czy zostanie wysłany w ten sposób ”. Odpowiedź w przypadku większości nowoczesnych filtrów antyspamowych brzmi „nie, prawdopodobnie nie”.

Rob Moir
źródło
4

Są dwa problemy, o których myślę, największym problemem jest to, że będziesz wysyłać wiadomości e-mail, które mogą być niemożliwe do dostarczenia, i oczywiście adres zwrotny również będzie taki, co oznacza, że ​​wiele e-maili siedzi i czeka na przekroczenie limitu czasu . Mniejszy problem może polegać na tym, że niektóre z tych e-maili kończą się spamem, ponieważ serwery szukają wiadomości e-mail z niektórych domen pochodzących z niektórych komputerów (zgodnie z regułami DKIM).

Utworzę [email protected]adres i później zdecyduję, co zrobić z e-mailem.

NickW
źródło
2

Sfałszowanie własnego adresu użytkownika jako From: to zły pomysł. Jest to dobry sposób, aby upewnić się, że poczta nigdy nie dociera do użytkownika, ponieważ filtry antyspamowe mogą uznać ją za fałszerstwo (co w rzeczywistości jest!)

Serwer SMTP jest dość rozsądny i często odrzuca żądanie „tadomena” od „MAIL Od: użytkownik @ tadomena”, które pochodzi z połączenia TCP znajdującego się poza „tadomena”. (Zezwolenie na takie żądanie od lokalnych hostów umożliwia użytkownikowi w sieci „ta domena” wzajemne wysyłanie wiadomości.)

W rzeczywistości [email protected]jest to również zły pomysł:

Oto fragment konfiguracji z mojego serwera SMTP (oprogramowanie Exim), który konfiguruje go tak, aby odrzucał wiadomości od noreplynadawców:

deny
  message = Sorry, we do not accept SMTP traffic from "noreply" senders. \
            We believe that it is less than polite to send messages from \
            nonexistent e-mail addresses \
            which cannot be replied to! E-mail is a "two-way street". \
            If you want us to accept \
            your mail, then please accept replies.
  senders = ^noreply@.*

E-maile powinny być wysyłane tylko przez prawdziwych nadawców, którzy mogą akceptować odpowiedzi.

Dlaczego mam słuchać wszystkiego, co mówisz, jeśli twoje uszy są zatkane od czegoś, co mówię?

Niektóre osoby i tak odpowiedzą na te e-maile i powinny zostać przekierowane na odpowiednie konto obsługi klienta.

Kaz
źródło
Dziękuję za odpowiedź. Bardzo ciekawe o braku odpowiedzi. Gdyby jednak ten e-mail nie istniał, a kiedy trafiałby do skrzynki pocztowej, która była okresowo opróżniana, czy byłoby lepiej? Ta poczta ma sens jako użytkownik, ponieważ kiedy ją widzę, wiem, że nikt nie słucha. Ale kiedy e-mail nie chce odpowiedzi, to w najlepszym wypadku jest to marketing bezpośredni, aw najgorszym spam. Wydaje mi się, że wypowiedziałem się bez odpowiedzi
Crab Bucket
Stary wątek, ale ... Nie mogę się powstrzymać od myślenia: Blokowanie wiadomości e-mail od nadawców o nazwie „noreply” wydaje się w najlepszym wypadku bezcelowe. Każdy, kto chce wysyłać obraźliwe wiadomości e-mail, po prostu użyje innego nieistniejącego adresu e-mail nadawcy. Jeśli dany e-mail naprawdę jest „tylko do odczytu”, co może być złego w uczynieniu go tak oczywistym, jak to możliwe? „Oto zamówiona prognoza pogody: jutro będzie słonecznie. Nie odpowiadaj na tego e-maila, wysyłamy ich sześć milionów każdego dnia i nie ma możliwości, abyśmy mogli przetworzyć różnego rodzaju odpowiedzi, które nieuchronnie generują”.
Culme
-1

Klient może nie martwić się spamem, ale nadrzędnym problemem jest to, że korzystanie z domeny klienta jest etycznie niewłaściwe, jak przytaczają wszystkie inne odpowiedzi tutaj.

Tim Sabin
źródło
To nie jest tak naprawdę kwestia etyczna. Jako jedyny wspominasz o etyce, a nie o realistycznych kwestiach.
ceejayoz