Frage Warum ist es eine schlechte Idee, eine Kunden-E-Mail als Absenderadresse zu verwenden?


Ich habe eine Anwendung, die Benutzer per E-Mail benachrichtigt, sobald sie ein Formular ausgefüllt haben. Es verwendet a no-reply@customerdomain.com als eine von Adresse. Der Kunde möchte, dass er die E-Mail aus dem Formular als Absenderadresse verwendet, die alles Mögliche sein kann. Mir wurde gesagt, dass dies eine schlechte Idee ist, wegen Spoofing / Blacklisting und Spam.

Ich fühle mich sehr vage über den genauen Grund, warum dies eine schlechte Idee ist, besonders da ich versuchen muss, den Klienten davon zu beraten. Kann mir jemand erklären, warum das eine schlechte Idee ist?

Interessanterweise hat der Kunde ein Gmail-Konto als Absenderadresse als Demo verwendet, was nicht nur gut funktioniert, sondern es der Anwendung ermöglicht, mit dem Versenden von E-Mails zu beginnen (vorher würde es das nicht mit einer E-Mail tun, die es war) no-reply@customerdomain.com). Ähm - was ist los? Mir wird eine Sache gesagt und das Gegenteil funktioniert.

Sorry - ich weiß, das ist einfach, aber ich könnte alles bei einer Google-Suche finden. Hauptsächlich denke ich, weil ich Schwierigkeiten habe, die Frage selbst zu gestalten.

BEARBEITEN

Danke euch allen - tolle Antworten. Interessanterweise ist der Server, der die E-Mail und die E-Mail-Box sendet, beide hinter derselben Firewall, sodass der Client sagt, dass sie sich nicht um Spam kümmern. Naja.


28
2018-06-11 12:08


Ursprung


"Interessanterweise ist der Server, der die E-Mail und die Mailbox sendet, beide hinter der gleichen Firewall, so dass der Client sagt, dass sie sich nicht um Spam kümmern." Das ist in Ordnung, solange die Anwendung auch hinter der gleichen Firewall und nicht vom Rest des Internets erreichbar ist. Hoffentlich ist diese Mailbox innerhalb der Firewall auch nicht aus dem Internet verfügbar - es klingt wie ein offenes Relay! - afrazier
Ich stimme den anderen Antworten zu. Als Benutzer (kein Website-Administrator) wäre ich verwirrt, besorgt und irritiert, wenn ich eine E-Mail von mir erhalten hätte, wenn ich sie nicht gesendet hätte. In der Vergangenheit habe ich solche E-Mails an Spam versandt, ohne sie zu lesen, und werde das wahrscheinlich auch weiterhin tun. - Paddy Landau


Antworten:


Es ist aus mehreren Gründen schlecht:

  • Sie dürfen KEINE E-Mails von einer Domain senden, die Sie nicht besitzen. Als solche könnte es als ein Versuch der Nachahmung konzipiert werden.
  • Es ist eine gängige Praxis, die von Spammern verwendet wird und wird daher häufig von Spamfiltern getaggt.
  • Es ist ziemlich üblich für gut gepflegte Domains zu verwenden SPF oder DKIM um ihre Reputation zu schützen und anderen Systemen dabei zu helfen, Identitätsdiebstahl und Spam zu erkennen. Es ist Ihnen natürlich nicht möglich, den DKIM-E-Mail-Header hinzuzufügen oder Ihren SMTP-Server in den SPF-DNS-Eintrag der Domäne aufzunehmen, sodass Ihre E-Mails (zu Recht) als gefälscht und zurückgewiesen gelten.

Die richtige Vorgehensweise besteht darin, Ihre lokale Domäne als Absender zu verwenden und möglicherweise eine nicht vorhandene Adresse als Benutzernamen zu verwenden.


45
2018-06-11 12:35



Gute Antwort. Schamlos kopiert einige Ihrer Texte für die Client-E-Mail. Vielen Dank - Crab Bucket
Wäre nicht mit einem Sender: Adresse umgehen diese Probleme? Das ist es, was Gmail macht, wenn es so konfiguriert ist, dass es E-Mails von einem anderen Konto sendet. - TRiG
Warum ist das nicht erlaubt? Haben Sie einen Hinweis auf ein RFC oder internationales Recht? - Nils
@ Nils Hier ist einer. RFC 1855 (Netiquette). "Fälschungen und Spoofing sind kein genehmigtes Verhalten." Obwohl, das ist in einem Abschnitt über Mailinglisten und Nachrichten. - Kaz
@Kaz siehe RFC 2822 von BlueRaja - das ist die richtige Referenz. Dies ist zulässig, wenn Sie den Absender auf die echte Ursprungsdomäne festlegen. - Nils


Eigentlich darfst du das einstellen From Adresse an die E-Mail-Adresse Ihres Kunden, solange Sie richtig einstellen Sender Feld zu deiner eigenen Adresse. Das ist was Paypal tut verwendet, um zu tun!

VON: Kunde@IhrKunden.com
Zu: Empfänger@Recipient.com
SENDER: du@ihrUnternehmen.com

Die meisten E-Mail-Clients rendern dies als "Von you@yourCompany.com Im Auftrag von customer@yourCustomer.com". Es sollte keine Probleme mit SPF oder DKIM auf der Domain des Kunden geben.


Du solltest auch das einstellen Reply-to Header an die Adresse Ihres Kunden, so antworten die Antworten auf die Adresse des Kunden statt auf Ihre Adresse.


48
2018-06-11 18:05



+1 für die Erwähnung von Reply-to - Bobson
@ Nils: RFC 2822 §3.6.2 "Absenderfelder" "Das Feld" Von: "gibt den / die Autor (en) der Nachricht an, dh die Mailbox (en) der Person (en) oder Systeme, die für das Schreiben der Nachricht verantwortlich sind. Das Feld" Absender: " Gibt das Postfach des Agenten an, der für die eigentliche Übertragung der Nachricht verantwortlich ist. " - BlueRaja
(Forts.)  Beachten Sie also, dass der Benutzer die Nachricht nicht wirklich geschrieben hat (OP ist in diesem Punkt unklar), das wird rein technisch nicht RFC-konform sein Reply-To sollte benutzt werden. Aber auch in diesem Fall tun es Paypal und andere große Unternehmen sowieso, daher ist es sehr unwahrscheinlich, dass Spam-Filter ausgelöst werden. Ob das so ist "eine Verletzung des Benutzervertrauens" hängt von der eigentlichen Nachricht / Anwendung ab (Ich denke nicht, dass Paypal mein Vertrauen missbraucht, wenn es eine "BlueRaja hat dir eine Zahlung gesendet hat!" Nachricht in meinem Namen) - BlueRaja
@Nils: Whoops, anscheinend sollte das sein RFC 6854, das ist ein Update für RFC 5322, die wiederum die aktualisierte Version von RFC 2822 ist relevante Passage hat sich jedoch nicht geändert. - BlueRaja
PayPal macht das nicht mehr, gerade weil es so schlecht war. Ihre aktuellen E-Mails kommen von member@paypal.commit der E-Mail-Adresse des Benutzers in der Reply-ToHeader. - Michael Hampton♦


TL; DR:

Es ist eine schlechte Übung, die E-Mail-Adresse aus dem Formular zu verwenden. Verwenden Sie stattdessen eine E-Mail-Adresse, die nur für diese Mailingliste verwendet wird.

Lange Version:

Zuerst werden tatsächlich zwei E-Mail-Adressen verwendet. Der eine ist der Absender des Umschlags, der andere ist der auf dem From:-Linie in der E-Mail.

Der Absender des Briefumschlags ist derjenige, der von E-Mail-Servern verwendet wird, um Unzustellbarkeitsnachrichten auszugeben. Wenn Sie eine Mailingliste betreiben, handelt es sich normalerweise um ein Skript, das nicht funktionierende Adressen aus der Mailingliste entfernen kann.

Das From: Adresse ist diejenige, die verwendet wird, wenn der Empfänger der Mail auf Antworten klickt. In diesem Fall sollte es auf jemanden verweisen, der tatsächlich jede Frage beantworten kann, mit der der Empfänger antworten kann (oder zumindest an jemanden weiterleiten, der es kann).

Wenn Sie die E-Mail-Adresse des Empfängers als Envelope-Absender verwenden, können Sie davon ausgehen, dass einige / viele Mail-Server die E-Mail ablehnen oder als Spam markieren - weil sich die Leute nicht oft über eine eigene Adresse an ihre eigene Adresse senden externer Server.

Wenn Sie die E-Mail-Adresse des Empfängers als From:- Absender, der Benutzer wird nicht in der Lage sein, auf die Nachrichten zu antworten, wenn sie es brauchen sollten. Es reicht nicht aus, einen Link irgendwo im Text der Mail-Nachricht anzubringen. Leute werden immer noch den Reply-Button in ihrem E-Mail-Client benutzen und sich ärgern, wenn es nicht funktioniert.


12
2018-06-11 12:25



Vielen Dank dafür besonders der Punkt über den Benutzer, der sich selbst antwortet. Ich wünschte, ich könnte zwei Antworten geben - Crab Bucket
Nicht ganz richtig, wenn der Benutzer auf Antworten klickt ... der Header Reply-to (falls vorhanden) wird dafür verwendet - JoelFan
@JoelFan Guter Punkt über den Reply-To-Header. - Jenny D


Sie haben einige gute Antworten, die hier über die technischen Probleme sprechen. In Bezug auf den Verkauf an Ihren Kunden kann es hilfreich sein, die Frage etwas anders zu formulieren. Der Kunde fragt Sie wahrscheinlich eine Variation von "wird es funktionieren", auf die die Antwort ist "Ja, Sie können E-Mail so senden".

Eine bessere Frage, die für sie in Frage kommt, lautet: "Wird es ankommen", werden unsere Kunden es sehen, wenn es auf diese Weise gesendet wird. Die Antwort mit den meisten modernen Spamfiltern ist "Nein, wahrscheinlich nicht".


8
2018-06-11 15:31





Es gibt zwei Probleme, die ich mir vorstellen kann, das größte Problem ist, dass Sie E-Mail senden werden, die möglicherweise unzustellbar sein könnte, und natürlich wird die Rücksendeadresse auch so sein, was viele E-Mails bedeutet, die sitzen und auf eine Auszeit warten . Das kleinere Problem könnte sein, dass einige dieser E-Mails zu Spam werden, da die Server nach E-Mails von bestimmten Domänen suchen, die von bestimmten Computern stammen (nach DKIM-Regeln).

Ich würde das schaffen no-reply@customerdomain.com Adresse und entscheiden Sie später, was Sie mit der E-Mail tun möchten.


4
2018-06-11 12:25





Spoofing der eigenen Adresse des Benutzers als das Von: ist eine schlechte Idee. Es ist ein guter Weg, um sicherzustellen, dass die E-Mails den Benutzer nie erreichen, da Anti-Spam-Filter es als Fälschung betrachten können (die es de facto ist!)

Es ist durchaus sinnvoll und üblich, dass der SMTP-Server für "thisdomain" eine Anfrage "MAIL From: user @ thisdomain" zurückweist, die von einer TCP-Verbindung kommt, die außerhalb von "thisdomain" liegt. (Durch das Zulassen einer solchen Anfrage von lokalen Hosts kann sich der Benutzer innerhalb des Netzwerks "thisdomain" gegenseitig mailen.)

Eigentlich noreply@customerdomain.com ist auch eine schlechte Idee:

Hier ist ein Konfigurations-Snippet von meinem SMTP-Server (Exim-Software), der es konfiguriert, um Nachrichten von zu prellen noreply Absender:

deny
  message = Sorry, we do not accept SMTP traffic from "noreply" senders. \
            We believe that it is less than polite to send messages from \
            nonexistent e-mail addresses \
            which cannot be replied to! E-mail is a "two-way street". \
            If you want us to accept \
            your mail, then please accept replies.
  senders = ^noreply@.*

E-Mails sollten nur von echten Absendern gesendet werden, die Antworten annehmen können.

Warum sollte ich auf alles hören, was du sagst, wenn deine Ohren gegen etwas stoßen, was ich sage?

Einige Leute antworten auf diese E-Mails trotzdem und sie sollten an das entsprechende Kundenbetreuungskonto weitergeleitet werden.


2
2018-06-11 18:15



Danke für die Antwort. Sehr interessant wegen der fehlenden Antwort. Wenn die Noreply-E-Mail tatsächlich existierte und es gerade in ein Postfach war, das regelmäßig geleert wurde, wäre das besser? Die Noreply-Mail macht für mich als Benutzer Sinn, denn wenn ich sie sehe, weiß ich, dass niemand zuhört. Aber wenn eine E-Mail keine Antwort wünscht, dann ist es im besten Fall Direktmarketing und im schlimmsten Fall Spam. Ich glaube, ich habe mich aus der Antwort heraus redet - Crab Bucket
Alter Thread, aber ... Ich kann nicht aufhören zu denken: Blockieren von E-Mails von Absendern namens "Noreply" scheint im besten Fall sinnlos. Jeder, der missbräuchliche E-Mails senden möchte, verwendet einfach eine andere nicht vorhandene Absender-E-Mail. Wenn die fragliche E-Mail wirklich schreibgeschützt ist, was könnte daran liegen, das so offensichtlich wie möglich zu machen? "Hier ist der Wetterbericht, den du bestellt hast: Morgen ist es sonnig. Antworte nicht auf diese E-Mail, wir schicken täglich sechs Millionen davon und es gibt keine Möglichkeit, die verschiedenen Arten von Antworten zu verarbeiten, die sie unweigerlich erzeugen." - Culme


Der Client mag sich nicht um Spam kümmern, aber das vorrangige Problem hier ist, dass es ethisch falsch ist, die Domäne des Kunden zu verwenden, wie sie von allen anderen Antworten hier zitiert wird.


-1
2018-06-11 17:10



Dies ist nicht wirklich ein ethisches Problem. Sie sind der Einzige, der Ethik statt realistischer Themen erwähnt. - ceejayoz