Strategi untuk mencegah pemindai email dari mengaktifkan tautan "berhenti berlangganan"

Saya ingin memberikan satu klik tautan "Berhenti Berlangganan" di bagian bawah surel yang dikirim layanan saya.

Jelas, banyak pemindai spam akan memindai email, dan akan mengikuti tautan apa pun yang ditemukan dalam email untuk memindai konten mereka dari malware. Solusi yang saya gunakan sejauh ini:

• Jika halaman "Berhenti Berlangganan" diminta melalui HTTP GET, itu membuat formulir konfirmasi sederhana dan sedikit JS yang mengirimkan formulir pada pemuatan halaman
• Jika halaman "Berhenti Berlangganan" diminta melalui HTTP POST maka kami berhenti berlangganan pengguna

Dengan cara ini, pengguna biasanya hanya perlu satu klik pada formulir dan mereka akan mendapatkan pesan "Anda telah berhenti berlangganan". Jika JS mereka dinonaktifkan, mereka masih bisa mengirimkan formulir konfirmasi secara manual.

Sekarang masalahnya adalah, beberapa pemindai seperti ATP Office365 akan membuka halaman, dan mengeksekusi JS di dalamnya . Dengan mengeksekusi JS mereka mengirimkan formulir dan menyebabkan pengguna berhenti berlangganan otomatis.

Saya telah mempertimbangkan untuk menambahkan cek ke logika JS kirim otomatis:

• jangan kirim otomatis untuk agen pengguna tertentu
• jangan kirim otomatis untuk rentang IP klien tertentu
• memicu ajukan otomatis saat perpindahan mouse

Tapi ini semua tampak seperti metode rapuh, hacks terbaik, yang pasti akan rusak ketika pemindai email mengubah taktik mereka.

Saya yakin masalah ini memiliki banyak orang sebelum saya. Adakah solusi yang diketahui masuk akal, selain dari hanya menyerahkan fungsionalitas sekali klik?

PS. Saya telah menambahkan dukungan untuk RFC 8058 tetapi pengguna masih akan mengklik tautan di catatan kaki.

Ini adalah topik perdebatan yang sedang berlangsung di M³AAWG (The Messaging, Malware, dan Mobile Anti-Abuse Working Group). Ini berantakan dan tidak ada solusi yang mudah. Sepertinya Anda melakukan semuanya dengan benar, tetapi beberapa sistem anti-spam agak terlalu agresif.

Masalah besar adalah bahwa apa pun yang dapat Anda lakukan juga dapat dilakukan oleh pemasar yang kasar atau spammer.

Proposal terbaik yang pernah saya dengar adalah hanya menempatkan timer pada tindakan. Tambahkan captcha untuk pengguna yang berhenti berlangganan dalam waktu 5 menit setelah pengiriman dan hapus captcha sesudahnya. (Do tidak menerapkan ini untuk RFC Anda 8058 List-Unsubscribe-Post Link.)

Proposal favorit saya berikutnya adalah menambahkan tautan kenari ke pesan tersebut. Ini seharusnya tidak terlihat oleh pembaca manusia. Jika diikuti, ini akan mengembalikan aktivitas klik terbaru dari IP tersebut dan melarang IP dari pemicu tindakan untuk sementara waktu.

Saya juga menyukai ide-ide Anda, pastikan saja jika Javascript dinonaktifkan, pengguna masih dapat berhenti berlangganan setelah klik tombol konfirmasi.

Ada bagian dari diri saya (peringatan, saya seorang peneliti anti-spam) yang menginginkan hasil positif palsu ini. Mudah-mudahan itu akan mengajari rekan-rekan saya bahwa mereka melakukan pekerjaan yang buruk dan bahwa eskalasi ini akan terus datang kepada mereka. Dari sudut pandang Anda, Anda bisa melewati kesulitan (meskipun Anda akan kehilangan beberapa pelanggan dalam proses).

Sistem deteksi spam harus berhati-hati untuk menghindari tautan manajemen langganan (setidaknya sampai orang jahat mulai menyamarkan muatannya sebagai tautan yang tidak berlangganan).