서비스에서 보내는 이메일 바닥 글에 한 번의 클릭으로 “구독 취소”링크를 제공하고 싶습니다.
분명히 많은 스팸 스캐너가 전자 메일을 검사하고 전자 메일에있는 링크를 따라 해당 내용을 검사합니다. 내가 지금까지 사용한 해결 방법 :
- “구독 취소”페이지가 HTTP GET을 통해 요청되면 간단한 확인 양식과 페이지로드시 양식을 제출하는 약간의 JS가 렌더링됩니다.
- “가입 취소”페이지가 HTTP POST를 통해 요청되면 사용자의 가입을 취소합니다
이 방법으로 사용자는 일반적으로 양식을 한 번만 클릭하면 “가입 취소되었습니다”라는 메시지가 표시됩니다. JS가 비활성화 된 경우에도 확인 양식을 수동으로 제출할 수 있습니다.
이제 문제는 Office365의 ATP와 같은 일부 스캐너가 페이지를 열고 내부에서 JS를 실행 한다는 것 입니다. JS를 실행함으로써 양식을 제출하고 사용자가 자동으로 구독 취소되도록합니다.
자동 제출 JS 논리에 검사를 추가하는 것을 고려했습니다.
- 특정 사용자 에이전트에 자동 제출하지 않습니다
- 특정 클라이언트 IP 범위에 대해 자동 제출하지 마십시오
- 마우스 이동 이벤트에서 자동 제출을 트리거합니다
그러나이 모든 것은 전자 메일 스캐너가 전술을 변경함에 따라 깨지기 쉬운 취하기 쉬운 방법 인 것처럼 보입니다.
나는이 문제가 내 앞에 약간의 사람들이 있다고 확신합니다. 클릭 한 번으로 기능을 포기하는 것 외에 합리적인 해결 방법이 있습니까?
추신. RFC 8058에 대한 지원을 추가 했지만 사용자는 여전히 바닥 글의 링크를 클릭합니다.
답변
이 주제는 M³AAWG (메시징, 멀웨어 및 모바일 안티-남용 실무 그룹) 에서 진행중인 토론 주제입니다 . 혼란스럽고 쉬운 해결책이 없습니다. 모든 작업을 올바르게 수행하는 것처럼 들리지만 일부 스팸 방지 시스템은 너무 공격적입니다.
가장 큰 문제는 당신이 할 수있는 모든 일이 혹독한 마케팅 담당자 나 스패머가 수행 할 수 있다는 것입니다.
내가 들었던 최고의 제안은 행동에 타이머를 두는 것입니다. 배송 후 5 분 이내에 구독을 취소하는 사용자를 위해 보안 문자를 추가하고 나중에 보안 문자를 제거합니다. (DO는 하지 귀하의 RFC 8058 목록 수신 거부 포스트 링크에 대해이 작업을 구현합니다.)
내가 가장 좋아하는 제안은 메시지에 카나리아 링크를 추가하는 것입니다. 이것은 인간 독자에게는 보이지 않아야합니다. 이를 준수하면 해당 IP의 최근 클릭 활동을 되돌리고 IP를 동작 트리거에서 한동안 금지합니다.
귀하의 아이디어도 좋아합니다. Javascript가 비활성화되어 있어도 확인 버튼을 클릭 한 후에도 사용자가 구독을 취소 할 수 있는지 확인하십시오.
이러한 오 탐지 를 원하는 부분이 있습니다 (경고, 스팸 방지 연구자입니다) . 잘하면 그것은 내 동료들에게 그들이 그렇게 나쁜 일을하고 있으며 이러한 에스컬레이션이 계속 그들에게 올 것이라고 가르 칠 것입니다. 당신의 관점에서, 당신은 벅을 통과하게됩니다 (물론 프로세스에서 몇 명의 가입자를 잃을지라도).
스팸 탐지 시스템은 구독 관리 링크를 피하도록주의해야합니다 (적어도 나쁜 사람들이 페이로드를 위장 취소 링크로 위장하기 시작할 때까지).
