Mengapa ide buruk untuk menggunakan email pelanggan sebagai alamat dari

29

Saya punya aplikasi yang mengirim email kepada pengguna setelah mereka mengisi formulir. Ini menggunakan [email protected]sebagai alamat dari. Pelanggan ingin menggunakan email dari formulir sebagai alamat dari yang bisa berupa apa saja. Saya telah diberitahu bahwa ini adalah ide yang buruk karena spoofing / daftar hitam dan spam.

Saya merasa sangat tidak jelas tentang alasan pasti mengapa ini adalah ide yang buruk terutama karena saya harus mencoba untuk menasihati klien dari ini. Dapatkah seseorang menjelaskan kepada saya mengapa ini adalah ide yang buruk.

Menariknya klien telah menggunakan akun gmail sebagai alamat dari sebagai demo yang tidak hanya berfungsi dengan baik tetapi telah memungkinkan aplikasi untuk mulai mengirim email (itu tidak akan melakukannya sebelumnya dengan email yang dulu [email protected]). Mm - apa yang terjadi. Saya diberitahu satu hal dan sebaliknya bekerja.

Maaf - saya tahu ini dasar tetapi saya dapat menemukan apa pun di pencarian google. Sebagian besar saya pikir karena saya mengalami masalah bahkan membingkai pertanyaan.

EDIT

Terima kasih semuanya - jawaban yang bagus. Yang menarik, server yang mengirim email dan kotak surat itu akan berada di belakang firewall yang sama sehingga klien mengatakan mereka tidak peduli tentang spam. Baiklah.

email domain spam Ember Kepiting
sumber
"Yang menarik, server yang mengirim email dan kotak surat itu akan berada di belakang firewall yang sama sehingga klien mengatakan mereka tidak peduli tentang spam." Tidak apa-apa asalkan aplikasinya juga berada di belakang firewall yang sama dan tidak dapat dijangkau oleh internet. Semoga kotak surat ini di dalam firewall juga tidak tersedia dari internet - kedengarannya seperti relay terbuka!
afrazier
Saya setuju dengan balasan lainnya. Sebagai pengguna (bukan administrator situs web), saya akan bingung, khawatir dan jengkel jika saya menerima email dari diri saya sendiri ketika saya belum mengirimnya. Di masa lalu, saya telah mengirim email semacam itu ke spam tanpa membacanya dan mungkin akan terus melakukannya.
Paddy Landau

Jawaban:

46

Ini adalah praktik buruk karena beberapa alasan:

  • Anda TIDAK diperbolehkan mengirim email dari domain yang bukan milik Anda. Dengan demikian, itu bisa dianggap sebagai upaya peniruan.
  • Ini adalah praktik yang cukup umum digunakan oleh spammer dan, karenanya, sering ditandai oleh filter spam.
  • Sangat umum bagi domain yang dikelola dengan baik untuk menggunakan SPF atau DKIM untuk melindungi reputasi mereka dan membantu sistem lain mengidentifikasi peniruan dan spam. Anda jelas tidak akan dapat menambahkan header surat DKIM atau menambahkan server SMTP Anda ke dalam catatan DNS SPF domain dan karenanya surat Anda akan (dengan tepat) dianggap sebagai dipalsukan dan ditolak.

Praktik yang tepat adalah menggunakan domain lokal Anda sebagai pengirim, mungkin menggunakan alamat yang tidak ada sebagai nama pengguna.

Stephane
sumber
2
Jawaban yang bagus Tanpa malu-malu menyalin beberapa teks Anda untuk email klien. Terima kasih
Crab Bucket
3
Tidakkah menggunakan Sender:alamat untuk mengatasi masalah ini? Itu yang dilakukan Gmail ketika dikonfigurasi untuk mengirim email dari akun lain.
TRiG
3
Mengapa itu tidak diizinkan? Apakah Anda memiliki referensi ke RFC atau hukum internasional?
Nils
3
@Nils Ini satu. RFC 1855 (Netiket). "Pemalsuan dan spoofing bukan perilaku yang disetujui." Meskipun, itu ada di bagian tentang milis dan berita.
Kaz
3
@Kaz lihat RFC 2822 dari BlueRaja - itu adalah referensi yang benar. Diizinkan, jika Anda mengatur PENGIRIM ke domain asli yang asli.
Nils
48

Sebenarnya, Anda diizinkan mengatur Fromalamat ke email pelanggan Anda, selama Anda menyetel Senderbidang dengan benar ke alamat Anda sendiri. Ini adalah apa Paypal yang digunakan untuk melakukan!

DARI: [email protected]
UNTUK: [email protected]
SENDER: [email protected]

Sebagian besar klien email akan merender ini sebagai "Dari Anda@perusahaanAnda Atas Nama [email protected]" . Seharusnya tidak ada masalah dengan SPF atau DKIM di domain pelanggan.

Anda mungkin juga harus mengatur Reply-totajuk ke alamat pelanggan Anda, jadi jawab pergi alamat pelanggan daripada milik Anda.

BlueRaja
sumber
+1 untuk menyebut Balas-ke
Bobson
3
@Nils: RFC 2822 §3.6.2 "Bidang Originator" "The" From: "bidang menentukan penulis pesan, yaitu, kotak surat orang atau sistem yang bertanggung jawab untuk penulisan pesan. Kolom "Pengirim:" menentukan kotak surat agen yang bertanggung jawab atas pengiriman pesan yang sebenarnya. "
BlueRaja
1
(lanjt.) Jadi, perhatikan bahwa jika pengguna tidak benar-benar menulis pesan (OP tidak jelas tentang hal ini) , ini secara teknis tidak akan sesuai dengan RFC, dan hanya Reply-Toharus digunakan. Tetapi bahkan dalam kasus itu, Paypal dan perusahaan besar lainnya melakukannya, jadi sangat kecil kemungkinannya untuk memicu filter spam. Apakah ini merupakan "pelanggaran kepercayaan pengguna" tergantung pada pesan / aplikasi yang sebenarnya (mis. Saya tidak merasa bahwa Paypal menyalahgunakan kepercayaan saya ketika mengirim pesan "BlueRaja telah mengirimi Anda pembayaran!" Atas nama saya)
BlueRaja
1
@Nils: Ups, tampaknya itu seharusnya RFC 6854 , yang merupakan pembaruan untuk RFC 5322 , yang pada gilirannya adalah versi terbaru dari RFC 2822. Namun, bagian yang relevan tidak berubah.
BlueRaja
2
PayPal tidak lagi melakukan ini, justru karena itu adalah praktik yang buruk. Email mereka saat ini berasal [email protected], dengan alamat email pengguna di Reply-Toheader.
Michael Hampton
12

TL; DR:

Merupakan praktik yang buruk untuk menggunakan alamat email dari formulir. Sebagai gantinya, gunakan alamat email yang khusus digunakan untuk milis ini saja.

Versi panjang:

Pertama, sebenarnya ada dua alamat email yang digunakan. Salah satunya adalah pengirim amplop, yang lain adalah yang ditunjukkan pada From:-line di email.

Pengirim amplop adalah yang digunakan oleh server email untuk mengeluarkan pemberitahuan tidak terkirim. Jika Anda menjalankan milis, alamat itu biasanya untuk skrip yang dapat menghapus alamat yang tidak berfungsi dari milis.

The From:alamat adalah salah satu yang akan digunakan ketika penerima surat mengklik Reply. Dalam hal ini harus menunjuk ke seseorang yang benar-benar dapat menjawab pertanyaan yang mungkin dijawab oleh penerima (atau setidaknya diteruskan ke seseorang yang bisa).

Jika Anda menggunakan alamat email penerima sendiri sebagai pengirim amplop, Anda mungkin berharap bahwa beberapa / banyak server email akan menolak surat tersebut atau menandainya sebagai spam - karena orang tidak sering mengirim email ke diri mereka sendiri dari alamat mereka sendiri melalui alamat server luar.

Jika Anda menggunakan alamat email penerima sendiri sebagai From:-pengirim, pengguna tidak akan dapat menanggapi pesan jika mereka perlu. Menempatkan tautan di suatu tempat di badan pesan email tidak cukup; orang masih akan menggunakan tombol Balas di klien email mereka dan menjadi marah ketika itu tidak berfungsi.

Jenny D kata Reinstate Monica
sumber
Terima kasih untuk itu terutama poin tentang balasan pengguna untuk diri mereka sendiri Saya berharap saya bisa memberikan dua jawaban
Crab Bucket
3
Tidak sepenuhnya benar tentang pengguna yang mengklik Balas ... header Balas-ke (jika ada) akan digunakan untuk itu
JoelFan
@ JoelFan Poin bagus tentang header Balas-Ke.
Jenny D mengatakan Reinstate Monica
8

Anda sudah mendapat jawaban yang bagus berbicara tentang masalah teknis di sini. Dalam hal menjual ini kepada pelanggan Anda, mungkin akan membantu untuk mengulangi sedikit pertanyaan. Pelanggan mungkin bertanya kepada Anda variasi "apakah akan berhasil", yang jawabannya adalah "ya, Anda dapat mengirim email seperti itu".

Pertanyaan yang lebih baik bagi mereka untuk dipertimbangkan adalah "akankah" tiba ", apakah pelanggan kami akan melihatnya jika dikirim seperti itu". Jawaban dengan sebagian besar filter spam modern, adalah "tidak, mungkin tidak".

Rob Moir
sumber
4

Ada dua masalah yang dapat saya pikirkan, masalah terbesar adalah bahwa Anda akan mengirim email yang sangat mungkin tidak terkirim, dan jelas alamat pengirim juga akan begitu yang berarti banyak email duduk dan menunggu waktu habis. . Masalah yang lebih kecil mungkin beberapa email tersebut berakhir dengan spam, karena server mencari email dari domain tertentu yang berasal dari mesin tertentu (sesuai aturan DKIM).

Saya akan membuat [email protected]alamatnya, dan memutuskan apa yang akan saya lakukan dengan email nanti.

NickW
sumber
2

Memalsukan alamat pengguna sendiri sebagai Dari: adalah ide yang buruk. Ini adalah cara yang baik untuk memastikan bahwa surat tidak pernah mencapai pengguna, karena filter anti-spam mungkin menganggapnya sebagai pemalsuan (yang memang faktanya !)

Ini cukup masuk akal dan umum untuk server SMTP untuk "domain ini" untuk menolak permintaan "MAIL Dari: user @ thisdomain" yang berasal dari koneksi TCP yang berada di luar "domain ini". (Mengizinkan permintaan seperti itu dari host lokal memungkinkan pengguna dalam jaringan "domain ini" untuk saling mengirim email.)

Sebenarnya, itu [email protected]adalah ide yang buruk juga:

Berikut ini cuplikan konfigurasi dari server SMTP saya (perangkat lunak Exim), yang mengonfigurasinya untuk memantulkan pesan dari noreplypengirim:

deny
  message = Sorry, we do not accept SMTP traffic from "noreply" senders. \
            We believe that it is less than polite to send messages from \
            nonexistent e-mail addresses \
            which cannot be replied to! E-mail is a "two-way street". \
            If you want us to accept \
            your mail, then please accept replies.
  senders = ^noreply@.*

E-mail hanya boleh dikirim oleh pengirim sungguhan yang dapat menerima balasan.

Mengapa saya harus mendengarkan apa pun yang Anda katakan jika telinga Anda terhubung dengan apa pun yang saya katakan?

Beberapa orang akan tetap membalas email ini dan mereka akan diarahkan ke akun dukungan pelanggan yang sesuai.

Kaz
sumber
Terima kasih atas jawabannya. Sangat menarik tentang no reply. Jika email noreply benar-benar ada dan hanya ketika masuk ke kotak surat yang secara berkala dikosongkan, apakah itu lebih baik? Email noreply masuk akal bagi saya sebagai pengguna karena ketika saya melihat mereka, saya tahu bahwa tidak ada yang mendengarkan. Tetapi ketika sebuah email tidak menginginkan balasan maka itu adalah pemasaran langsung terbaik dan spam paling buruk. Saya pikir saya sudah berbicara sendiri tanpa jawaban di sana
Crab Bucket
Utas lama tapi ... Saya tidak bisa berhenti berpikir: Memblokir email dari pengirim yang bernama "noreply" sepertinya tidak ada gunanya. Siapa pun yang ingin mengirim email kasar hanya akan menggunakan email pengirim lain yang tidak ada. Jika email yang dimaksud benar-benar "hanya baca", apa yang salah dengan menjadikannya sejelas mungkin? "Ini ramalan cuaca yang Anda pesan: Besok akan cerah. Jangan balas email ini, kami mengirim enam juta setiap hari dan tidak mungkin kami bisa memproses berbagai jenis balasan yang pasti akan mereka hasilkan."
Culme
-1

Klien mungkin tidak peduli tentang spam, tetapi masalah utama di sini adalah bahwa secara etis salah menggunakan domain pelanggan, seperti dikutip oleh semua jawaban lain di sini.

Tim Sabin
sumber
Ini bukan masalah etika apa pun. Anda satu-satunya yang menyebutkan etika daripada masalah realistis.
ceejayoz