Gmail, jeden ze światowych liderów w kontekście poczty e-mail, z którego usług globalnie korzysta prawie 1/3 wszystkich użytkowników poczty elektronicznej, od przyszłego roku zaostrzy wymagania stawiane przed osobami i firmami, które wysyłają pocztę, używając własnej domeny.

Nie będzie to dla Ciebie problem, jeśli masz klasyczne konto Gmail i piszesz do znajomych lub klientów, ale będzie miało znaczenie, jeśli masz własną domenę, firmę, czy newsletter.

Zaostrzone wymagania będą dotyczyć osób, wysyłających więcej, niż 5000 wiadomości dziennie, ale, nawet jeśli nie jesteś w tej grupie (wysyłasz mniej), to już teraz możesz dostrzegać problemy z dostarczalnością Twoich wiadomości.

Dostarczalność to stosunek wiadomości wysłanych i tych, które zostały zaklasyfikowane jako SPAM lub nie dotarły do odbiorcy.

Tak czy inaczej — zapraszam do dzisiejszego artykułu. Opowiem Ci, co zrobić, żeby Twoje wiadomości cześciej docierały do odbiorców, a rzadziej trafiały do zakładki SPAM.

Droga wiadomości przez sieć

Zanim zagłębimy się w technikalia, chciałem Cię zaprosić do krótkiej wycieczki. Razem z przykładowym listem, przebędziemy drogę od Ciebie, nadawcy, do odbiorcy i zastanowimy się, co może pójść nie tak.

Dzięki temu będziesz w stanie lepiej zrozumieć, do czego służą zabezpieczenia, o których będę opowiadał Ci za moment.

Załóżmy, że wysyłasz tradycyjny list. Piszesz go, wkładasz do koperty, naklejasz znaczek i idziesz na pocztę. List wędruje pomiędzy sortowniami, trafia do listonosza doręczającego, a w końcu — do adresata.

Tylko skąd adresat wie, że to naprawdę Ty wysłałeś list?

Ulubiony punkt pocztowy

Jednym z pierwszych kroków na drodze do rozwiązania tego problemu byłoby określenie, w jakiego punktu pocztowego wysyłamy nasze listy i poinformowanie o tym naszych znajomych.

Poczta, po przyjęciu od nas koperty, odbija na niej swój stempel. Jeśli nasi znajomi wiedzą, w jakim mieście mieszkamy i zgadza się to ze stemplem – wszystko jest ok. Jeśli jednak list jest podpisany naszym imieniem i nazwiskiem, ale stempel pocztowy pochodzi z drugiego końca Polski — coś jest nie tak.

W przypadku poczty elektronicznej takimi punktami pocztowymi są serwery. Mówimy światu: wiadomości z mojej domeny mogą być wysyłane tylko z tego, konkretnego serwera. Informację na ten temat zapisujemy w konfiguracji naszej domeny. Takie zabezpieczenie nazywa się SPF (tak, jak na kremach z filtrem 😅).

Przychodzi oszust na pocztę…

Na tę samą pocztę może jednak przyjść inna osoba, która chce się pod nas podszyć. W jej liście będziemy wpisani jako adresat, stempel będzie się zgadzał, list będzie wyglądał wiarygodnie. Z tą różnicą, że nie będzie pochodził od nas.

Dlatego niedługo po wprowadzeniu kremów z filtrem (;)) pomyślano o dodatkowym zabezpieczeniu. Chodzi o zalakowanie listu i odbicie na liście naszej prywatnej, unikalnej, niemożliwej do podrobienia pieczęci.

W przypadku e-maili pomyślano o tym dopiero pod koniec pierwszej dekady XXI wieku (2007 rok). Pojawił się wtedy standard, który miał pozwolić na generowanie takich wirtualnych pieczęci i uwiarygadnianie wiadomości e-mail przez ich podpisanie / zapieczętowanie.

Od tego momentu poza tym, że sprawdzamy, czy zgadza się stempel poczty, to weryfikujemy, czy kształt odciśnięty w miejscu na pieczęć rzeczywiście należy do nas. Na kopercie nie ma odbitej naszej pieczęci? Oho, trzeba uważać.

Takie zabezpieczenie w świecie cyfrowych wiadomości ma skrót DKIM. Polega na zapisaniu w konfiguracji domeny informacji na temat wzoru naszej pieczęci, a później odciskaniu jej na wszystkich wiadomościach.

Zwykle działa to w ten sposób, że usługa, z której wysyłamy wiadomości, generuje automatycznie dla nas taką pieczęć i to ona jest odpowiedzialna za odpowiedni odcisk.

Halo, Policja?

Co jednak zrobić, jeśli ktoś dostanie od nas list, ale któryś z elementów nie będzie się w nim zgadzał? Dzwonić na policję? Informować adresata? Wyrzucić do śmieci?

Dobrze by było, abyśmy jako nadawca (bo to pod nas ktoś się podszywa), mieli możliwość podjęcia decyzji.

Dlatego w podobny sposób, w który wcześniej informowaliśmy cały świat, z której poczty wysyłamy listy albo jak wygląda nasza pieczęć, tak w pewnym momencie zyskaliśmy możliwość określania, co chcemy zrobić w sytuacji, gdy ktoś się pod nas podszywa.

Ten mechanizm nazywa się DMARC i polega na możliwości określenia akcji podejmowanej automatycznie w przypadku wykrycia nieprawidłowości.

Domyślnie stosuje się w nim wartość pustą (gdy zobaczysz podejrzaną wiadomość, to nie rób nic szczególnego), ale dla „poważniejszych” instytucji warto rozważyć bardziej ścisłe zasady.

Trzech jeźdźców dostarczalności

Te trzy kwestie (SPF, DKIM i DMARC) to podstawa wysokiej dostarczalności wiadomości e-mail. Bez nich nikt nie będzie chciał z nami gadać (a przynajmniej wymieniać elektronicznej poczty).

Na szczęście w wielu przypadkach o te aspekty dba dla nas ktoś inny (szczególnie gdy korzystasz ze skrzynki pocztowej w tym samym miejscu, gdzie jest Twoja strona internetowa). Nie jest to jednak regułą, więc zawsze lepiej zweryfikować, jak to wygląda w naszym przypadku.

Przed czym chronią te zabezpieczenia?

SPF, DKIM i DMARC przede wszystkim mają chronić przed oszustwami, w których ktoś inny podaje się za kogoś, kim nie jest.

Chodzi o to, aby mieć pewność, że wiadomość wysłana np. przez Facebooka, na temat resetu hasła do Twojego konta, faktycznie pochodzi od Facebooka.

Jeżeli system pocztowy po sprawdzeniu nadawcy zobaczy, że wiadomość nie została wysłana z konkretnego miejsca lub nie posiada prawidłowego podpisu, to będzie ją traktować jako niebezpieczną i odrzuci z naszej skrzynki.

Wciąż jednak mogą do nas docierać takie wiadomości. Zwykle jednak ich nadawcą nie jest adres e-mail w domenie np. @facebook.com, tylko innej. Pomyśl o tym w ten sposób — każda osoba może dla własnej domeny ustawić te wszystkie parametry.

Możemy dostać wiadomość z adresu [email protected]. Nasza skrzynka sprawdzi, czy wiadomość została wysłana z serwera przypisanego do domeny oszust.com, czy zgadza się jej podpis i wszystko będzie OK. Z tym, że w treści wiadomości będzie fałszywe ostrzeżenie o blokadzie konta Facebook.

I co teraz?

Co tam wieziesz, kierowniku?

Drugą warstwą zabezpieczeń jest analiza samej treści wiadomości. Takie sprawdzenie jest dokonywane nie tyle po drodze, ile już po przyjęciu poczty do Twojej skrzynki.

Jak już wiesz, samo określenie, czy wiadomość jest odpowiednio podpisana to jednak za mało, żeby określić, czy wiadomość jest niechciana i czy rzeczywiście jest bezpieczna. Innymi słowy, jeżeli wiadomość nie spełnia tych wcześniejszych wymagań, to jest niebezpieczna, ale ich spełnienie nie gwarantuje bezpieczeństwa.

Dlatego skrzynki pocztowe sprawdzają też treść wiadomości pod kątem np. słów kluczowych, stosunku tekstu do grafik w wiadomości, stopnia zaciemnienia treści (np. wykorzystania innego alfabetu), używania HTMLa, obecności linków zewnętrznych i wielu innych parametrów, które pozwalają określić, czy wiadomość jest oszustwem / SPAMem, czy jest OK.

Każda skrzynka pocztowa posiada swój własny zestaw reguł, dlatego nigdy nie ma gwarancji, że akurat nasza wiadomość u kogoś nie trafi do SPAMu. Możemy jednak minimalizować ilość takich sytuacji, odpowiednio obchodząc się z wysyłanymi wiadomościami.

Będzie to polegać na:

1. Wysyłaniu wiadomości tylko do odbiorców, którzy się na to zgodzili;
2. Dodawaniu wersji tekstowej do wiadomości wysyłanych w formacie HTML;
3. Unikaniu tworzenia wiadomości składających się tylko z grafik;
4. Ograniczeniu słów kluczowych uważanych za łączone z oszustwami (utrudnione zadanie mamy np. gdy piszemy o finansach, czy inwestycjach);
5. Umożliwieniu rezygnacji z otrzymywania wiadomości przez kliknięcie linku wypisania się (w przypadku newsletterów);
6. Unikaniu wysyłania tej samej treści do wielu odbiorców, o ile nie jest to newsletter;
   

W praktyce, jeśli piszemy klasyczne wiadomości, własnoręcznie, do osób, które zgodziły się na ich otrzymywanie (newsletter) lub do pojedynczych osób (np. potencjalnych klientów), to wszystko powinno być na tym etapie ok.

Jak sprawdzić jakość Twoich wiadomości?

Istnieje kilka serwisów, które pozwalają sprawdzić, czy Twoje wiadomości spełniają standardy i wymagania narzucane przez dzisiejsze usługi pocztowe. Sprawdzają one z jednej strony konfigurację Twojej domeny, a z drugiej samą wiadomość, pod kątem klasyfikacji jako SPAM.

Jedną z takich usług jest Mail-Tester.com, inną MailChecker.net. Obie są darmowe, do podstawowego użytku.

Osobiście najczęściej korzystam z tego pierwszego. Sprawdzam w nim przed wysłaniem każde wydanie newslettera i niejednokrotnie już otrzymałem informację, że muszę poprawić coś, o czym przez nieuwagę zapomniałem.

Jak sprawdzić Twoją wiadomość? Najpierw ją przygotuj. Może to być na przykład ostatnie (lub kolejne) wydanie Twojego newslettera, czy wiadomość z treścią, którą zwykle piszesz do swoich klientów.

Następnie wejdź pod adres Mail-Tester.com i skopiuj adres e-mail, który tam znajdziesz.

Wyślij przygotowaną wiadomość na ten adres, po czym kliknij przycisk „następnie sprawdź wynik”.

Po około 15 sekundach zobaczysz ocenę i szczegółowy raport dotyczący Twojej wiadomości.

W raporcie łatwo zidentyfikować miejsca szczególnie problematyczne (będą świecić się na czerwono). Aplikacja sugeruje też od razu możliwe rozwiązania i akcje, które możesz podjąć, żeby poprawić dany parametr.

Zapoznanie się z wynikiem, wprowadzenie sugerowanych zmian i osiągnięcie oceny co najmniej 9/10 spowoduje, że Twoje wiadomości rzadziej będą traktowane jako SPAM i częściej będą trafiać do skrzynek Twoich adresatów.

W dalszej części artykułu omówimy typowe problemy, które mogą się tam pojawić.

Najczęstsze problemy

Nieprawidłowa konfiguracja SPF, DKIM lub DMARC

Jeżeli Twoja konfiguracja SPF, DKIM lub DMARC jest niepoprawna, to zobaczysz w raporcie informację na ten temat oraz sugestię kroków do podjęcia.

Zmiany tych parametrów trzeba wprowadzić w konfiguracji DNS Twojej domeny i może to być zagadnienie nieco trudniejsze technicznie. Warto skonsultować się np. z Twoją firmą hostingową (w której masz swoją stronę internetową).

W SPF musisz uwzględnić wszystkie serwery, z których wysyłasz wiadomości — czyli, jeżeli prowadzisz newsletter, ale jednocześnie masz też skrzynki pocztowe dla pracowników, to musisz w nim uwzględnić oba miejsca.

Warto również pamiętać, że zbyt zamknięta polityka może spowodować, że Twoje wiadomości przestaną docierać do odbiorców. Musisz zawsze upewnić się, że wpisy uwzględniają Twoją aktualną sytuację i potrzeby.

Informację o prawidłowym wpisie DKIM lub DMARC powinieneś/aś otrzymać od serwisu, z którego wysyłasz wiadomości (jest duża szansa, że może być on prawidłowo skonfigurowany już na początku).

Brak wymaganych elementów wiadomości

Trudno, żeby w wiadomości ręcznie pisanej do Twojego klienta, uwzględniać link do anulowania subskrypcji. Jeżeli zobaczysz w raporcie informację o jego braku, a jednocześnie testujesz inny rodzaj wiadomości, niż newsletter, to takie ostrzeżenie możesz zignorować.

Jeżeli jednak testujesz wiadomość z newslettera, to będzie to czerwona lampka, którą trzeba wziąć pod uwagę.

Sprawdź konfigurację swojego konta w usłudze do wysyłki newslettera i upewnij się, że jest ono odpowiednio skonfigurowane. Zawsze też możesz skontaktować się z zespołem pomocy technicznej tej usługi.

Obecność na czarnych listach SPAMowych serwerów

Może się też zdarzyć tak, że ostrzeżenie zobaczysz w sekcji czarnych list serwerów. Oznacza to, że Twój serwer został sklasyfikowany jako SPAMerski.

Jak to możliwe, jeśli nie wysyłasz SPAMu?

Wiele miejsc, z których korzystamy do wysyłki poczty (jak np. firma, w której utrzymujemy naszą stronę internetową), agreguje wielu nadawców na jednym serwerze (w jednym „punkcie pocztowym”). Możliwe, że SPAM wysyłał ktoś, kto otrzymał konto na tym samym serwerze.

W takim przypadku zawsze warto skontaktować się z dostawcą danej usługi i przedyskutować ten problem.

Ostatecznie czasami lepiej jest z firmową pocztą przenieść się do innego miejsca (np. Google Workspace, Microsoft 365, czy Zoho Mail).

Wrażliwe słowa kluczowe

Jeśli masz taką możliwość, to unikaj też słów, które potencjalnie mogą być odczytane jako podejrzane. Dotyczy to szczególnie kryptowalut (jeśli nie jesteś firmą kryptowalutową), informacji finansowych, czy preparatów leczniczych.

Zdarza się, że w treści używa się jakiegoś potocznego wyrażenia, które zostanie źle odebrane przez filtry. Zastąpienie takich wyrażeń bezpieczniejszymi może znacznie poprawić dostarczanie Twoich wiadomości.

Nieprawidłowa struktura wiadomości

Lepiej unikać wysyłania wiadomości, które składają się tylko z obrazka/obrazków. Należy zachować odpowiednią proporcję i treści tekstowe jednak zawierać w formie tekstu, a nie grafiki z tekstem.

Jeśli wysyłasz wiadomość w formacie HTML, to zawsze zadbaj też o wersję tekstową, która będzie miała zbliżoną treść.

Dzięki temu filtry będą na Twoje wiadomości patrzeć bardziej przychylnie, a wiadomości będą łatwiejsze w czytaniu w miejscach, które nie obsługują HTMLa.

Teoria teorią, ale…

Niestety nie wszystkie skrzynki pocztowe trzymają się dokładnie zdefiniowanych w standardach. Systemy wykrywające SPAM nie są idealne, a niektórzy dostawcy poczty wydają się wprowadzać własne, ciche zasady, o których jawnie nie informują.

Z doświadczenia wiem, że taki problem dotyczy np. niektórych polskich portali, posiadających funkcję poczty e-mail.

Wszystko, co możemy zrobić w takim przypadku, to dbać o prawidłową konfigurację po naszej stronie i mieć nadzieję, że z czasem również te bardziej problematyczne serwisy będą poprawiały jakość swoich usług.

Sprawdzenie omówionych tutaj aspektów i wprowadzenie odpowiednich konfiguracji spowoduje, że Twoje wiadomości będą lepsze w oczach algorytmów. Niemożliwym jest jednak wyeliminowanie problemu całkowicie.

Czego będzie wymagać Google I Yahoo?

Na początku powiedziałem, że od przyszłego roku Google (i Yahoo) zaostrzą zasady dotyczące masowej wysyłki wiadomości e-mail. Co trzeba zrobić, żeby nie zostać zablokowanym?

1. Twoje wiadomości nie powinny być oznaczane jako SPAM przez odbiorców. Jeżeli duży procent odbiorców określi wiadomości jako SPAM, to nie kolejne nie będą dostarczane;
2. Musisz mieć skonfigurowany SPF i DKIM;
3. Twoja wiadomość musi zawierać możliwość rezygnacji z subskrypcji najlepiej jednym kliknięciem (idealnie w formie odpowiedniego nagłówka w samej wiadomości);
   

Obostrzenia będą dotyczyć większych podmiotów, wysyłających więcej, niż 5000 wiadomości dziennie. Nawet jeśli teraz się do tego grona nie zaliczasz to i tak warto wprowadzić zmiany opisane w tym artykule.

Podsumowanie

Zrozumienie mechaniki działania zabezpieczeń, które mają dbać o jakość wiadomości e-mail, ma dwa benefity.

Po pierwsze, poprawnie skonfigurujesz swoją domenę i ograniczysz sytuacje, w których Twoje wiadomości nie będą docierać do odbiorców.

Po drugie, otrzymując wiadomość e-mail, będziesz wiedzieć, na co zwrócić uwagę i dlaczego zawsze warto sprawdzić, kto jest nadawcą wiadomości.

Świat nie jest jednak czarno-biały, na rynku jest wiele różnych usług poczty elektronicznej i nawet mimo stosowania najlepszych praktyk będą zdarzać się sytuacje, w których nasze wiadomości nie trafią do swoich adresatów.

Dbanie o jakość konfiguracji i komunikacji pomaga jednak w tym, aby takich sytuacji było jak najmniej.

—

Źródła

• Udział klientów e-mail w rynku:https://www.oberlo.com/statistics/most-used-email-clients
• Google i Yahoo zapowiadają wprowadzenie nowych wymagań dla masowych nadawców e-mail: https://blog.google/products/gmail/gmail-security-authentication-spam-protection/
• Zalecenia Google na temat dostarczania wiadomości e-mail: https://support.google.com/mail/answer/81126
• Wyjaśnienie działania SPF: https://www.proofpoint.com/us/threat-reference/spf
• Wyjaśnienie działania DKIM: https://www.proofpoint.com/us/threat-reference/dkim