Internet to nie świat idealny. Spam, phishing, ataki „man-in-the-middle”, spoofing – lista podejrzanych typów w sieci i ich wyrafinowanych metod jest długa. A w prawie wszystkich przypadkach chodzi o medium, z którego chętnie korzystają osoby odpowiedzialne za branding i sprzedaż internetową: e-mail.
Ze zrozumiałych powodów cyberprzestępcy nie używają własnej tożsamości jako nadawcy by osiągnąć swoje cele. Lubią raczej podszywać się pod renomowane firmy i marki, często banki, operatorów płatności online, sklepów internetowych lub firm dostawczych. W zasadzie jednak, każda firma jest potencjalnym celem.
Mnogość pułapek sprawia, że odbiorcy e-maili stają się podejrzliwi. Tak podejrzliwi, że wielu dostawców usług internetowych (Internet Service Provider; ISP) dokładnie sprawdza pocztę przed przekazaniem jej swoim klientom, odbiorcom poczty. Szczególnie mniejsze firmy ISP chronią swoich odbiorców metodą „szarej listy” (ang. greylisting) posuwając się nawet do odrzucenia wszystkich przychodzących maili w nadziei, że poważni nadawcy rozpoczną drugą próbę doręczenia. Inni dostawcy usług internetowych wymagają uwierzytelnienia przez nadawców poczty lub certyfikacji nadawców poczty na białej liście (np. z Certified Senders Alliance; CSA) w celu dostarczenia wiadomości e-mail.
Takie działania dla zapewnienia bezpieczeństwa odbiorcom poczty elektronicznej są jednak problemem dla marek. W końcu bardzo zależy im na tym, aby ich e-maile docierały do adresatów. Co można więc zmienić? Drzwi do dostawców usług internetowych otwiera zaufanie. Jeśli ci bowiem klasyfikują nadawcę poczty jako godnego zaufania, jest bardzo prawdopodobne, że wiadomość przez nich przesyłana zostanie również dostarczona do skrzynki odbiorczej. Na to zaufanie, które Tobias Herkula, Manager Anti Spam Research Team w Cyren, nazywa „zaufaniem obliczeniowym”, trzeba jednak najpierw zapracować. I tu w grę wchodzi metoda tzw. wyrównywania domen (domain alingment), którą w skrócie można przyrównać do wysyłania zwykłego listu.
Wyrównanie domen oznacza, że domeny używane w typowych specyfikacjach uwierzytelniania poczty, jak np. SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail) muszą przynajmniej częściowo odpowiadać adresowi nadawcy wiadomości (ang. from-address), który jest wyświetlany u odbiorcy e-maila. Czyli prościej mówiąc: jak w klasycznym liście pocztowym adres nadawcy, który widnieje na kopercie powinien odpowiadać adresowi nadawcy w liście oraz jego podpisowi pod listem. Bo przecież nie zaufałbyś listowi z odmiennymi adresami na kopercie i w liście?
Ta synchronizacja nie jest jednak taka prosta w przypadku poczty elektronicznej. Wielu marketerów korzysta bowiem z usług zewnętrznych dostawców poczty elektronicznej, tzw. E-Mail-Service-Provider; ESP) by wysyłać swoje wiadomości. I najpóźniej wtedy adres nadawcy w nagłówku wiadomości i adres fizyczny nie są już zgodne, a opisane wyżej wyrównanie domen nie jest zachowane. W takim przypadku Sebastian Kluth, dyrektor techniczny Certified Senders Alliance (CSA), zaleca właścicielowi domeny, czyli pierwotnemu nadawcy korzystanie z subdomeny w celu wysyłania wiadomości e-mail za pośrednictwem operatorów poczty (ESP), gdyż wtedy konfiguracja i wyrównania domen jest łatwiejsze do przeprowadzenia. I jeżeli to dostosowanie domen zostanie zapewnione, samo z siebie wzbudzi określoną dozę zaufania u dostawców usług internetowych.
Wyrównywanie domen jest również obowiązkowym warunkiem wstępnym wdrożenia kolejnej procedury uwierzytelniania, mianowicie DMARC (Domain-based Message Authentication, Reporting and Conformance). Jest ona wspierana przez wielu dużych dostawców usług internetowych, takich jak AOL, Microsoft czy Google. DMARC opiera się na popularnych specyfikacjach SPF i DKIM, dzięki czemu poczta jest wyraźnie rozpoznawalna dla dostawców usług internetowych. Ponadto nadawca (marka) może określić, w jaki sposób dostawca usług internetowych powinien obsługiwać pocztę, która wydawałoby się, że pochodzi od niego.
Wniosek: Dla marketerów w e-mail marketingu wiarygodność jest niezwykle ważna, ponieważ ma ona bezpośredni wpływ na dostarczanie wiadomości e-mail oraz podnosi reputację marki dla której oni pracują. Poprzez wdrożenie DMARC i związane z tym ujednolicenie domen, marki mogą upewnić się, że ich tożsamość nie jest nadużywana i w ten sposób zabezpieczają się przed szkodami spowodowanymi utratą reputacji. Specjaliści e-mail marketingu powinni zatem omówić kwestię DMARC ze swoim dostawcą usług poczty elektronicznej a dalsze informacje na temat DMARC i wyrównywania domen są również dostępne na stronie Certified Senders Alliance pod adresem https://certified-senders.org/library/.
Autorka tekstu: Julia Janßen-Holldiek, dyrektor CSA.
