如何安全地通过电子邮件发送用户生成的内容

已发表: 2015-02-17

通过内容共享和邀请来发展您的服务——但要安全地做

您是否正在构建允许用户通过电子邮件共享信息的系统? 您是否分发“邀请朋友”或“与朋友分享”电子邮件? 高增长的在线服务使用创造性的方法来挖掘他们的用户群,以增加社区参与并发展他们的品牌。 如果做得好,这可以促进采用并增加创意传播,但也存在可能严重损害您的品牌的下行风险。 善意的共享系统可能会被垃圾邮件发送者和欺诈艺术家滥用。 您可以通过在“用户生成内容”(UGC) 共享系统中构建安全措施来限制风险。

改善用户生成电子邮件的 11 个技巧

使用 UGC 发送电子邮件特别危险,原因有两个。 首先,与您的常规电子邮件营销活动和交易电子邮件不同,您无法完全控制内容。 其次,您的用户选择将内容发送给谁。 这两种元素形成挥发性混合物。 不要让它爆炸。 以下是 SendGrid 的交付咨询和反垃圾邮件团队的一些指导方针和实用建议:

  1. 知道谁在发送- 唯一标识发件人。 不要让他们欺骗他人的身份(例如为他们设置“发件人”地址;不要允许任意“发件人”地址,甚至是“友好发件人”字段,这通常是移动客户端显示的所有内容。)标签出站消息与发件人的身份,以便您可以将滥用与源相关联。
  2. 仔细聆听——建立一个反馈机制,让你知道不需要的 UGC 会从你的防御中溜走。 (配置您的 SendGrid 帐户以将垃圾邮件投诉转发到您监控的邮箱,或者更好的是,使用我们的 Event Webhook 将投诉事件实时发布到您的系统,以便您可以识别和阻止明显不需要的邮件。)
  3. 知道谁是坏人或好人——为 UGC 的发件人建立声誉。 将信誉与发件人的身份联系起来。 未知/不可信发件人的阈值较低。 (例如,较慢的发送,交错发送之间的较长暂停,列表大小的较低上限。)
  4. 控制流——一旦发件人收到太多糟糕的反馈,就会中断或限制消息流,从而降低他们的声誉。
    1. 对出站 UGC 的流量进行速率限制。 未知或不受信任的发件人应该比受信任的发件人受到更多的限制。
    2. 为某人可以“共享”的收件人数量设定一个合理的上限。 他们的“分享名单”是否以合理的速度(有机地)增长,还是突然变大?
    3. 错开较大的发送。 将一些消息涓涓细流,等待反馈以退回/投诉的形式回流。 如果OK,再滴一些。 冲洗,重复。 (活动规模越大,您需要越小心。)
  5. 管理消息内容
    1. 不允许用户将 URL 放入他们的 UGC 中。
    2. 不允许使用附件或用户生成的图像。 (还记得“图片垃圾邮件”的风潮吗?)
    3. 考虑对消息的 UGC 部分设置字符限制,以帮助限制不必要的内容。
    4. 扫描垃圾邮件。 在发送之前,使用专门构建的网络评论垃圾邮件检测系统(如 http://akismet.com/)预筛选 UGC。
  6. 将向发件人发送 UGC 的成本(和后果)转移——不要让滥用者通过您的服务轻松发送大型电子邮件活动,从而导致滥用。 在可行的情况下,将传播 UGC 电子邮件的成本转回给发件人。 一种方法是使用“share-by-email 功能”,该功能启动要从用户自己的电子邮件客户端发送的预填充电子邮件(即通过 mailto: URL)。
  7. 防止邮件炸弹——跟踪您的系统向特定收件人发送 UGC 或邀请的次数。 限制任何单个收件人在特定时间段内将/可以收到的 UGC 数量。
  8. 取消订阅- 在所有 UGC 电子邮件的页脚中放置一个有效的取消订阅链接。 此外,请确保您已经实现了 list-unsubscribe 标头。
  9. 遵守法律——加拿大反垃圾邮件法 (CASL) 对未经请求的电子邮件进行了严格限制。 加拿大当局已与外国机构(包括美国)建立了互惠关系。 诉讼当事人的判决可以在国外执行。
  10. 隔离您的邮件流- 谨防通过与您的基本邮件相同的 IP 和域/子域发送风险更高的消息(如 UGC)(如注册通知、密码重置等)通过单独的 IP 和子域发送您的 UGC 以限制UGC 的风险会导致您的基本邮件流出现可传递性问题。 如果您的 UGC 表单由第三方管理,请为发送 UGC 的不同品牌/网站/活动设置不同的子用户。
  11. 防止注册滥用——预防胜于治疗。
    1. 知道谁在注册您的服务。 通过审查新注册来筛选麻烦制造者。 要大规模执行此操作,请自动评估新注册和升级帐户的风险。 (我们在 e-hawk.net 上的朋友让这一切变得简单。)
    2. 对于不同级别的注册风险,您的注册流程应该有不同的“路径”。 注册的风险越大,您的审查/注册过程就应该越彻底。 必要时在您的注册过程中添加适当的摩擦。 可能性包括向您的注册流程添加验证码、SMS 验证、电话回拨、多因素身份验证或信用卡验证。
    3. 劝阻雪鞋行走。 不要让同一个人、设备或 IP 轻松注册多个帐户。 他们将尝试通过并行发送许多低强度的垃圾邮件流来绕过您的阈值。 (琐事:这种垃圾邮件发送者策略被称为雪鞋行走,因为它将他们的活动的重量分散到更大的表面区域。)
    4. 当心机器人。 通过跟踪和审核用户 ID 中的模式以及注册期间的活动时间来检测自动脚本(机器人)注册。 您的注册表填写速度是否比人类可能的更快? 随机重新排列注册表单的字段和流程,或使用验证码阻止脚本式注册。
    5. 垃圾邮件发送者可能会让一些帐户处于休眠状态,希望您比新帐户更信任旧帐户。 如果您的信誉系统对待新帐户的方式与已建立的帐户不同,请巧妙地定义“新”。

如果您已经在使用 UGC 共享系统,或者如果您希望开发“邀请朋友”或“与朋友分享”消息来发展您的品牌,请记住这些提示。 请记住,您有责任确保您的 UGC 电子邮件符合您为电子邮件程序设置的严格标准。 如果您意识到风险,您可以准备您的程序并保护您的用户。