Strategi untuk mencegah pemindai email dari mengaktifkan tautan "berhenti berlangganan"

10

Saya ingin memberikan satu klik tautan "Berhenti Berlangganan" di bagian bawah surel yang dikirim layanan saya.

Jelas, banyak pemindai spam akan memindai email, dan akan mengikuti tautan apa pun yang ditemukan dalam email untuk memindai konten mereka dari malware. Solusi yang saya gunakan sejauh ini:

  • Jika halaman "Berhenti Berlangganan" diminta melalui HTTP GET, itu membuat formulir konfirmasi sederhana dan sedikit JS yang mengirimkan formulir pada pemuatan halaman
  • Jika halaman "Berhenti Berlangganan" diminta melalui HTTP POST maka kami berhenti berlangganan pengguna

Dengan cara ini, pengguna biasanya hanya perlu satu klik pada formulir dan mereka akan mendapatkan pesan "Anda telah berhenti berlangganan". Jika JS mereka dinonaktifkan, mereka masih bisa mengirimkan formulir konfirmasi secara manual.

Sekarang masalahnya adalah, beberapa pemindai seperti ATP Office365 akan membuka halaman, dan mengeksekusi JS di dalamnya . Dengan mengeksekusi JS mereka mengirimkan formulir dan menyebabkan pengguna berhenti berlangganan otomatis.

Saya telah mempertimbangkan untuk menambahkan cek ke logika JS kirim otomatis:

  • jangan kirim otomatis untuk agen pengguna tertentu
  • jangan kirim otomatis untuk rentang IP klien tertentu
  • memicu ajukan otomatis saat perpindahan mouse

Tapi ini semua tampak seperti metode rapuh, hacks terbaik, yang pasti akan rusak ketika pemindai email mengubah taktik mereka.

Saya yakin masalah ini memiliki banyak orang sebelum saya. Adakah solusi yang diketahui masuk akal, selain dari hanya menyerahkan fungsionalitas sekali klik?

PS. Saya telah menambahkan dukungan untuk RFC 8058 tetapi pengguna masih akan mengklik tautan di catatan kaki.

Pēteris Caune
sumber
1
Masalah yang menarik, sesuatu yang muncul di benak saya adalah reCAPTCHA v3 baru Google yang tak terlihat ini, biasanya, tidak memerlukan tindakan apa pun dari pengguna jika terlihat ok.
Vladan
@Vladan bisa bekerja di "happy case". Jika pemeriksaan reCAPTCHA gagal (misalnya, karena halaman dibuka di dalam klien email di mana tidak ada cookie Google), maka itu sangat menjengkelkan bagi pengguna akhir. Juga, data masuk ke Google, jadi Anda harus merasa nyaman dengan itu, menyebutkannya dalam kebijakan privasi, dll.
Pēteris Caune
Kami memiliki fungsi yang sama. Tapi kami menggunakan Emarsys untuk membuat email yang dikirim ke pengguna, dan di catatan kaki ada tautan sederhana (disandikan) yang berfungsi. Sekarang Anda membuat saya bertanya-tanya, apakah pengguna saya berhenti berlangganan oleh pemindai email?
Vedran Maricevic.

Jawaban:

7

Ini adalah topik perdebatan yang sedang berlangsung di M³AAWG (The Messaging, Malware, dan Mobile Anti-Abuse Working Group). Ini berantakan dan tidak ada solusi yang mudah. Sepertinya Anda melakukan semuanya dengan benar, tetapi beberapa sistem anti-spam agak terlalu agresif.

Masalah besar adalah bahwa apa pun yang dapat Anda lakukan juga dapat dilakukan oleh pemasar yang kasar atau spammer.

Proposal terbaik yang pernah saya dengar adalah hanya menempatkan timer pada tindakan. Tambahkan captcha untuk pengguna yang berhenti berlangganan dalam waktu 5 menit setelah pengiriman dan hapus captcha sesudahnya. (Do tidak menerapkan ini untuk RFC Anda 8058 List-Unsubscribe-Post Link.)

Proposal favorit saya berikutnya adalah menambahkan tautan kenari ke pesan tersebut. Ini seharusnya tidak terlihat oleh pembaca manusia. Jika diikuti, ini akan mengembalikan aktivitas klik terbaru dari IP tersebut dan melarang IP dari pemicu tindakan untuk sementara waktu.

Saya juga menyukai ide-ide Anda, pastikan saja jika Javascript dinonaktifkan, pengguna masih dapat berhenti berlangganan setelah klik tombol konfirmasi.

 

Ada bagian dari diri saya (peringatan, saya seorang peneliti anti-spam) yang menginginkan hasil positif palsu ini. Mudah-mudahan itu akan mengajari rekan-rekan saya bahwa mereka melakukan pekerjaan yang buruk dan bahwa eskalasi ini akan terus datang kepada mereka. Dari sudut pandang Anda, Anda bisa melewati kesulitan (meskipun Anda akan kehilangan beberapa pelanggan dalam proses).

Sistem deteksi spam harus berhati-hati untuk menghindari tautan manajemen langganan (setidaknya sampai orang jahat mulai menyamarkan muatannya sebagai tautan yang tidak berlangganan).

Adam Katz
sumber
Terima kasih! Keduanya adalah ide bagus yang tidak pernah saya pikirkan. Saya akan mencoba pendekatan timer. Dalam kasus saya, "CAPTCHA" adalah tombol sederhana di tengah layar yang hanya perlu diklik. Untuk tautan berhenti berlangganan yang dibuka dengan cepat, saya tidak akan menyertakan JS untuk mengklik otomatis tombol itu. Ini setidaknya dapat menyiasati Office365 ATP, yang memindai tautan dalam satu menit setelah mengirim email. Tautan kenari akan lebih sulit diterapkan (membatalkan tindakan, melacak IP yang terlarang). Plus ada risiko bahwa pemindai spam dapat menandai email dengan tautan tak terlihat sebagai spam / malware.
Pēteris Caune