Как запороть работу всего сервиса на емейлах

Лет 10 назад я со своим товарищем запустил небольшой стартап. Мы хорошо подготовились, но в первый день активной рекламной кампании в 4 утра по местному времени наш ресурс взломали. Утро было печальным: потеряли время, деньги, а проект закрыли. С тех пор, я много времени уделяю вопросам кибербезопасности и некоторыми советами поделюсь с вами.

Компании, даже в очень зрелой стадии, недостаточно внимания уделяют безопасности, связанной с доставкой электронных писем. В качестве примера посмотрим кусок кода письма от GitBook. В теле письма встречается три разных внешних ссылки. И одна из них потенциально может в какой-то момент начать фильтроваться, а пользователи перестанут получать письма от сервиса. Они не попадут даже в папку “Спам”.

Попробую объяснить некоторые риски формирования подобных писем.

Давайте представим ситуацию: компания начинает активно сжигать бюджет на маркетинг, а первое верификационное письмо не доходит до клиентов. Все метрики и финансовые показатели сразу ухудшаются. Команда пытается разобраться в чем дело, но не может найти ответа — большинство бесплатных почтовых служб не имеют поддержки.

Наиболее популярная проблема в таких случаях — письмо фильтруется почтовой службой и не попадает в инбокс или папку “Спам”. Открываемость писем — 0%.

Причиной этому чаще является фильтрация по определенным элементам, которые использовались для спам-рассылок:

Внешние ссылки
Сюда относятся вообще все ссылки, включая кнопки и ссылки на изображения. Внимательно изучайте тело письма на предмет сторонних ссылок, их не должно быть.

Однотипный контент
Если ваш заголовок и текст используется в спам-рассылке, далее он будет фильтроваться, даже если заменить внешние ссылки. Узнать использовался ли текст для спама невозможно, публичных баз у почтовых служб нет.

Редкие слова-триггеры
Самое страшное — фильтрация по новоиспеченным словам бренда. Выход сложный — смена названия сервиса или компании.

Плохой IP
Шлете с бесплатного аккаунта маркетингового сервиса? Можно не надеяться на качественную доставку писем. Рядом могут быть не самые благополучные соседи, а они также используют ваш адрес.

Есть и другие проблемы, в том числе и технического характера. Не буду в них вдаваться, можно почитать рекомендации для почтовых администраторов. Лучше расскажу вам, как решить проблему с доставкой писем, если вы с ней все же столкнулись.

План следующий:

1. Меняем заголовок письма. Проверяем доставку.
2. Далее меняем текст письма. Снова проверяем доставку.
3. Убираем из письма все ссылки, отправляем только текст. Проверяем доставку.

Если 3 пункт не дал результата и все технические требования выполнены (настроены DKIM, SPF и т. д.) , действуем так:

1. Регистрируем домен, похожий на основной.
Было site.com, стало site.io.

2. На официальном сайте пишем пост, что это также ваш домен и используется временно, пока не решится проблема с доставкой писем.

3. Переписываем письма. Можно использовать легкую синонимизацию. Все внешние ссылки должны быть строго на site. io (используйте редиректы) .

4. В подвале письма делаем маленькую ссылку на статью об изменении домена рассылки. Внимательные клиенты заметят ее. 90% не заметит даже изменения домена в поле “Отправитель”.

Теперь клиенты могут снова регистрироваться. Не забывайте, что клиент, который не получает верификационного письма, начинает взаимодействие с негативного опыта.

Данная методика позволяет в пределах рабочего дня вернуть функциональность работы сервиса. Процесс реанимации основного домена, который попал под фильтры, может занять более длительное время, иногда несколько месяцев.

Для сотрудников GitBook, а также всех любознательных граждан, создал телеграм-канал, в котором будут появляться светлые мысли о развитии стартапов. Обязательно попинайте в комментариях, начинающему автору необходимо дополнительное внимание.