Piątek, 03 IX 2010

wersja do druku

Jak powinna działać e-mailowa lista dystrybucyjna - w/g M.A.P.S.

Poniższe jest tłumaczeniem strony zawierającej podstawowe wytyczne do zarządzania listami dystrybucyjnymi w celu przeciwdziałania nadużyciom w/g Mail Abuse Prevention System  

• Wstęp
• Podstawy funkcjonowania Internetu
• Zasady M.A.P.S.^SM
• Wskazówki praktyczne
• Od tłumacza - uzupełnienie

Wstęp

Listy mailowe mają w Internecie długą i szacowna historię. Mailing (wysyłka tematycznych biuletynów) jest doskonałym narzędziem do dostarczania specyficznych informacji do precyzyjnie określonej grupy odbiorców zainteresowanych konkretnym rodzajem informacji. Z tego względu listy mailowe były z powodzeniem używane jako wysoce efektywne narzędzie marketingowe. Niestety, listy mailowe są bardzo podatne na różne nadużycia. Aż nadto typowym przykładem jest sytuacja, w której ktoś zostaje wbrew swojej woli zapisany do rozlicznych list dystrybucyjnych i jest zmuszony do podjęcia czasochłonnych działań w celu wypisania się z tych list.

Również wiele osób zajmujących się marketingiem źle korzysta z list mailowych, często z powodu braku znajomości ugruntowanych internetowych zasad i zwyczajów, lub próbując zaadoptować znane sobie zasady wysyłki listów papierowych do realiów Internetu. Wytyczne spisane poniżej mają wspomóc administratorów list mailowych w ustalaniu podstawowych zasad obsługi tych list w taki sposób, aby uniknąć często spotykanych błędów. Ponadto właściwy sposób zarządzania mailową listą dystrybucyjną zwraca się poprzez znaczny pozytywny odzew ze strony odbiorców oraz redukcję kosztów związanych z obsługą protestów i reklamacji odnośnie działania tej listy.

Podstawy funkcjonowania Internetu

Osoby pragnące w odpowiedzialny sposób ustalić zasady obsługi swoich list mailowych winny być świadome pewnych podstawowych zasad nierozerwalnie związanych ze strukturą Internetu oraz funkcjonowaniem w Internecie komunikacji elektronicznej. Zasady związane z przedstawionymi dalej wytycznymi to w szczególności:

1. Przekazywanie ruchu internetowego następuje dzięki dwustronnej zgodzie. Internet nie jest jak opłacane z podatków drogi. Internet jest siecią sieci połączonych ze sobą na wiele sposobów. Większość tych sieci tworzących Internet ma prywatnych właścicieli. Kiedy ktoś włącza się do tego systemu, natychmiast staje się zależny od innych, bo od właścicieli innych sieci zależy czy generowany przez niego ruch dotrze do miejsca przeznaczenia. Z kolei właściciele tych sieci są zobowiązani wobec swoich firm czy udziałowców do utrzymywania przepustowości sieci i płynnego przekazywania informacji. Ten fakt sprawia, że właściciele takich podsystemów i sieci mają prawo decydować o tym, jaki ruch będzie przez ich sieć przepuszczany.^[1.]
2. Użytkownicy sieci są odpowiedzialni za swoje działania. Ruch internetowy przechodzi z jednej sieci do drugiej dzięki umowie o wymianie ruchu ^[2.], na mocy której każda z 2 sieci przesyła ruch należący do drugiej z nich. Internet tworzy wiele tak połączonych ze sobą węzłów sieci. Nie tylko należy oczekiwać od nich, ale wręcz jest to niezbędne, aby każdy z tych węzłów i wszystkich systemów do nich przyłączonych działał w sposób odpowiedzialny. Im większy jest dany system i im więcej ruchu on generuje, tym większa na nim spoczywa odpowiedzialność i wyższe są wobec niego wymagania.
3. Odbiorca dopłaca do kosztu przesłania wiadomości. To nie tak jak w wypadku listu czy paczki pocztowej, gdzie nadawca ponosi całkowity koszt doręczenia przesyłki. Każda skrzynka pocztowa należy albo do jakiejś osoby, albo do grupy, organizacji czy firmy. Jej istnienie jest najczęściej opłacane przez kogoś innego niż nadawcę wiadomości. Ten fakt daje odbiorcy pełne prawo decydowania o tym, jakie przesyłki zostaną przez niego zaakceptowane^[3.], i z tego też powodu M.A.P.S. podkreśla, że wszelka komunikacja wymaga zgody obu komunikujących się stron.

Zasady M.A.P.S.^SM

Wskazówki praktyczne

Następujące wytyczne proponuje się jako standard internetowy i aktualnie najlepsza praktyka zarządzania listami mailowymi.

1. Zgoda nowego subskrybenta musi być w pełni zweryfikowana przed rozpoczęciem mailingu. ^[4.] Zazwyczaj jest to realizowane poprzez list wysłany na adres subskrybenta na który musi odpowiedzieć, lub poprzez załączony w liście URL, który musi odwiedzić w celu zakończenia procesu subskrypcji. Jakkolwiek zostanie to rozwiązane, fundamentalnym wymaganiem wobec każdej listy jest weryfikacja wszystkich nowych subskrypcji.
2. Musi istnieć prosta metoda zakończenia subskrypcji. Administrator listy mailowej musi zapewnić subskrybentowi prostą metodę rezygnacji z subskrypcji, oraz musi zapewnić czytelne i poprawne instrukcje do realizacji tej rezygnacji. Wysyłka mailingów musi zakończyć się szybko po rezygnacji z subskrypcji.
3. Powinny istnieć alternatywne metody zakończenia subskrypcji. Administrator listy powinien zapewnić również "niestandardową" procedurę (np. adres mailowy na który można wysłać list w celu uzyskania kontaktu mailowego lub telefonicznego), dostępne dla osób chcących zakończyć subskrypcję, ale nie mających możliwości lub nie chcących postępować według zautomatyzowanych reguł.
4. Nieosiągalne adresy muszą być usuwane z listy mailowej. Administrator listy musi zagwarantować, że wpływ jego mailingu na sieć i inne jej węzły będzie minimalizowany. Jedną z metod, jaką się to osiąga, jest czyszczenie listy z nieprawidłowych lub powodujących zwroty adresów.
5. Wielkość mailingu musi uwzględniać wydolność systemów odbiorców. Administrator listy musi podjąć kroki w celu zapewnienia, że mailing nie utrudni pracy mniej wydajnych węzłów lub sieci. Na przykład, jeśli lista mailowa zawiera znaczną liczbę adresów w określonej domenie, administrator tej listy powinien skontaktować się z administratorem danej domeny i uzgodnić sprawy związane z wysyłką.
6. Należy przedsięwziąć kroki zabezpieczające listę przed nadużyciami. Smutną rzeczywistością jest używanie list mailiowych przez osoby trzecie jako narzędzia zemsty lub złośliwego żartu. Administrator listy mailingowej musi zapewnić sobie sposoby na uniemożliwianie takich działań. Jednym ze sposobów może być przechowywanie "listy wykluczeń" zawierającej adresy, których wszelkie zapisy na listę są odrzucane. Dany adres może być wpisany na taką listę na życzenie prawowitego użytkownika tego adresu, a celem jej istnienia jest zapobieganie sfałszowanych wpisów na listę dystrybucyjną, dokonywanych przez osoby trzecie bez wiedzy użytkownika danego adresu. Taka "lista wykluczeń" powinna również umożliwić administratorowi określonej domeny internetowej zablokowanie możliwości wpisywania na listę dystrybucyjną wszelkich adresów z podległej mu domeny. ^[5.]
7. Sposób i okoliczności wykorzystywania adresu wpisanego na listę muszą być jasno określone. ^[6.] Administrator listy mailingowej musi zadbać o to, by osobie wpisującej się na listę jasno i dokładnie objaśnić, do czego dany adres będzie wykorzystywany, a w szczególności czy będzie odsprzedawany lub inaczej przekazywany dalej. Regulamin opisujący wszelkie warunki korzystania z tego adresu musi być określony i czytelny dla osoby wpisującej się na listę. 2 linijki tekstu na ten temat zaszyte gdzieś w głębi umowy licencyjnej nie stanowią tak określonego, czytelnie przedstawionego regulaminu.
8. Pozyskane spisy adresów mailowych mogą być wykorzystywane wyłącznie do swojego pierwotnego celu. Ktoś, kto stał się posiadaczem^[7.] takiego spisu musi przeanalizować regulamin, na podstawie którego dokonane zostały wpisy na listę mailingową. Musi być pewien, że jest to lista typu Opt-In ^[8.], na którą dobrowolnie i świadomie wpisały się wszystkie te osoby, których adresów stał się posiadaczem.
9. Należy ściśle określić charakter i częstość mailingów. Administrator listy musi określić w szczególności jaka będzie tematyka i charakter wysyłanych materiałów, częstość wysyłki i rozmiar listów. Zasadnicza zmiana któregoś z tych parametrów może powodować konieczność utworzenia oddzielnej listy mailingowej, wymagającej dokonania przez odbiorców odrębnego wpisu.
10. Jedna subskrypcja - jedna lista. Żaden adres nie może być dodawany do innej listy bez uprzedniej, w pełni zweryfikowanej zgody użytkownika danego adresu. Nigdy nie wolno zakładać, że osoba zapisana do jednej listy na temat "A" będzie chciała być zapisana do innej listy na temat "A" ^[9.], nie mówiąc już o liście na temat "B". Rozesłanie informacji o utworzeniu nowej listy mailingowej jak najbardziej może być właściwe, natomiast nigdy nie można nikogo automatycznie do nowej listy zapisywać.

Od tłumacza

Przypisy

^[1.] Istotna różnica między przesyłaniem e-maila przez sieć a wysłaniem listu pocztą polega na tym, że Poczta Polska przyjmując list i pobierając opłatę za jego dostarczenie bierze na siebie obowiązek zadbania o to, by przesyłka dotarła do rąk odbiorcy. Zupełnie inaczej ma się rzecz w Internecie:

• Nadawca e-maila ma umowę ze swoim ISP-em (Internet Service Provider - Dostawca Usług Internetowych) tylko na to, że przyjmie on przesyłkę i przekaże do następnego serwera na drodze między nim a serwerem odbiorcy, o ile przesyłka ta spełnia warunki regulaminu ISP-a nadawcy, tj. nie jest na przykład spamem.
• Na to, co się dalej dzieje z tą przesyłką nie ma żadnego wpływu ani nadawca, ani jego ISP. Może ona zostać zablokowana (skasowana) lub zwrócona nadawcy przez każdy serwer pośredniczący w przekazywaniu jej do serwera odbiorcy, o ile właściciel tego serwera uzna, że nie chce z jakiegoś powodu przekazywać dalej tej przesyłki (np. dlatego, że "poprzedni" serwer jest open-relayem przesyłającym duże ilości spamu).
• ISP odbiorcy przekazuje tę przesyłką właściwemu odbiorcy, ale znów pod warunkiem, że spełnia ona warunki umowy podpisanej między odbiorcą a jego ISP-em. Umowa ta może bowiem dawać odbiorcy prawo wyboru przesyłek jakie chce otrzymywać. Innymi słowy, ISP odbiorcy może dać mu możliwość filtrowania niezamawianych przesyłek komercyjnych, a odbiorca może z tej możliwości skorzystać, nie przyjmując żadnych listów od określonych nadawców lub z określonych serwerów. Nadawca przesyłki nie jest stroną tej umowy między odbiorcą a jego ISP-em i nie ma nic do powiedzenia na temat tego, co się z jego przesyłką stanie.
• Odbiorca zaś przesyłki jest jej dysponentem w takim samym stopniu jak jaj nadawca i jeśli uzna, że jest ona dla niego obraźliwa lub uciążliwa, może ją np. upublicznić, by przestrzec innych przed przyjmowaniem następnych przesyłek od określonego odbiorcy.

^[2.] Umowa taka jest najczęściej dorozumiana, a nie zawarta na piśmie. Jednak w najmniejszym stopniu nie umniejsza to jej wagi - ktoś, kto zasypuje inny serwer spamem blokując jego pracę, może liczyć się nawet z oskarżeniem o atak typu Denial of Service.

^[3.] Trzeba tu zauważyć, że spam stanowi coraz większe obciążenie sieci. W roku 2002 spam stanowił aż 40% wszystkich e-maili przesyłanych w Internecie - w/g firm Brightmail (UK) oraz MessageLabs (USA). Z tego względu również dostawcy usług internetowych są coraz bardziej (proporcjonalnie) obciążani nieuzasadnionymi kosztami przesyłania spamu, między innymi kosztami dzierżawy łączy - a są to koszta niemałe.

^[4.] Trzeba zauważyć, że trywialny sposób potwierdzenia wpisania e-maila na listę poprzez przesłanie linku do skryptu w którym w sposób jawny podaje się adres e-mailowy podlegający potwierdzeniu - np. rozwiązanie typu "kliknij na link http://lista/skrypt?login@domena" nie zdaje egzaminu i nie może być uważane za pełną weryfikację adresu. Metoda taka umożliwia każdemu dowcipnisiowi "pozytywne zweryfikowanie" dowolnej liczby adresów mailowych - wystarczy zarejestrować dowolny adres, a następnie, wiedząc co powinien otrzymać właściciel danego maila - samemu wykonać takie potwierdzenie. Z tego względu system musi być tak zorganizowany, by osoba zapisująca się nie mogła wiedzieć jaki będzie kod potwierdzający. Jako godne polecenia wydają się wszystkie systemy oparte na jednej z zasad:

• Kod jest wygenerowany losowo i zapisany w powiązaniu z e-mailem. Osoba potwierdzająca dostaje tylko ten kod i ma go zwrócić do administratora listy mailowej.
• Kod powstaje poprzez zakodowanie w taki sposób, by nie można go było odkodować - np. za pomocą 'crypt'. ( Implementacja w PHP : 'crypt'; W takim wypadku jednym z argumentów może być zgłaszany email, drugim (salt) - dowolny ciąg znaków, znany tylko właścicielowi skryptu. Po otrzymaniu zwrotu wygenerowanego kodu, kod ten jest porównywany z drugim kodem, ponownie wygenerowanym z adresu nadawcy potwierdzenia, przy użyciu tego samego argumentu salt. )

Nie zawsze jednak potrzebna jest metoda tak "wysublimowana technoligicznie" ;-). Najprostszy sposób weryfikacji, to zwyczejne przekierowanie zgłoszeń na skrzynkę pocztową i "ręczne" ich obsługiwanie. Z doświadczenia wiem, że w typowym serwisie zgłasza się nie więcej niż kilka osób dziennie, co nie stnowi dużego obciążenia, a pozwala na wyłapanie wszelkich nietypowych przypadków. Przykładowy skrypt pozwalający na wysłanie emailem przez sewerer danych z formularza można znaleźć w serwisie boaddrink.com.

Więcej detali na temat weryfikacji adresu, wraz z dokładnie opisaną przykładową procedurą weryfikacyjną, znajdziesz na stronie firmowej Kajetana Mroczka: Jak weryfikować swoją bazę adresową.
A jeśli ktoś twierdzi, że taki sposób weryfikacji jest uciążliwy, ponieważ wymaga od osoby zapisującej się wykonania podwójnego potwierdzenia (double opt-in) - to ten ktoś jest spamerem.

^[5.] Ponadto wydaje się konieczne, by właściciel listy odnotowywał dane wszystkich osób dokonujących zapisów - IP komputera, ewentualne serwery proxy pośredniczące w połączeniu, możliwie pełne dane na temat komputera osoby zgłaszającej, dokładna data i godzina wypełnienia formularza.

W identyfikacji nadawcy może dopomóc taki na przykład fragment kodu PHP:

<?php
/* ..... */
$body ="Date       : ".date("d.m.Y G:i:s") ."\n";
$body.="-----------------------------------------------\n";
$body.="Remote host: ".getenv("REMOTE_HOST")."\n";
$body.="Remote IP  : ".getenv("REMOTE_ADDR")."\n";
$body.="Forwarded  : ".getenv("HTTP_X_FORWARDED_FOR")."\n";
$body.="Host via   : ".getenv("HTTP_VIA")."\n";
$body.="Referer    : ".getenv("HTTP_REFERER")."\n";
$body.="Request_URI: ".getenv("REQUEST_URI")."\n";
$body.="-----------------------------------------------\n";
$body.="User-Agent : ".getenv("HTTP_USER_AGENT")."\n";
$body.="Accept_Lang: ".getenv("HTTP_ACCEPT_LANGUAGE")."\n";
/* ..... */
?>

Rzecz jasna, wartość tak utworzoneego łańcucha $body należy dodać do wysłanego wpisu subskrybcyjnego. Należy też pamiętać, że nie zapewnia ona identyfikacji nadawcy, jeśli korzysta on anonimizera lub serwera open-proxy. Z tego względu można przyjąć taktykę odrzucania wszelkich zgłoszeń nadsyłanych poprzez OP lub przez maszyny 'zombie'. Do weryfikacji OP dobrze nadaje się np. RBL Blitzed OPML lub Reynolds 'Type 1' BL(ten ostatni zawiera znacznie więcej niz tylko OP), a adresy zombie zbiera (lub stara się zbierać...) SORBS.

Część tych danych powinna być chyba dołączana do prośby o potwierdzenie subskrybcję, a z całą pewnością wszystkie muszą być przechowywane przez właściciela skryptu, aby uniemożliwić wpisywanie zbyt wielu osób przez jednego "dowcipnisia" lub bombardowanie jakiegoś odbiorcy "powiadomieniami" o fałszywej subskrybcji, a także aby umożliwić ściganie sprawców takich nadużyć. Mogą się też przydać przy wykazywaniu, że dana osoba zapisywała się rzeczywiście, na wypadek gdyby ktoś o tym zapomniał i niesłusznie uważał otrzymany biuletyn za spam.

^[6.] Oczywiste przy tym, że regulamin ów musi być bezwzględnie przestrzegany szczególnie przez administratora listy.

^[7.] Na przykład na skutek przekształceń firm, zmiany formy działania, itp. - lub przez zakup listy adresów.

• W pierwszym wypadku właścicielem listy mailowej może się stać wyłącznie następca prawny firmy pierwotnej (w zakresie zarządzania tą listą). W wypadkach wątpliwych lista musi być zlikwidowana i ewentualnie utworzona na nowo, od zera.
• W drugim wypadku, na nabywcy spoczywa szczególna odpowiedzialność za to, by był pewien, iż osoby wpisane na listę wiedziały, że ich adresy zostaną sprzedane (wymienione, lub inaczej przekazana), oraz że użytkownicy tych adresów wyrazili na to zgodę. W przeciwnym wypadku, właśnie nabywca poniesie konsekwencje wynikające z rozsyłania spamu zamiast uprawnionego mailingu.

^[8.] Określenie opt-in oznacza, że subskrybentowi umożliwiono samodzielne zapisanie się na listę, na którą nikt inny go nie zapisał. Opt-out oznacza umożliwienie wypisania się z listy, na którą ktoś został bez swojej wiedzy zapisany.
Metoda Opt-out nigdy nie sprawdza się w praktyce, ponieważ w najlepszym wypadku oznacza zasypanie odbiorców setkami list z których musieliby się nieustannie wypisywać, często zresztą wielokrotnie z tych samych (bo jeśli adres został usunięty listy, nic go nie zabezpieczy przed ponownym dopisaniem) - zaś najczęściej jest potwierdzeniem dla spamera, że poczta z danego adresu jest czytana, można więc ten adres usunąć z tej konkretnej listy i zapisać do 100 innych. Więcej na temat różnic pomiędzy opt-in a opt-out oraz o interpretacji tych terminów przez spamerów stronie Mailing Lists -vs- Spam Lists w witrynie Spamhaus Steve'a Linforda.

^[9.] W szczególności, zmiana adresu nadawcy może zostać przez odbiorców potraktowana jako nieuprawniony mailing z innej listy, choć na ten sam temat "A". Z tego względu zmiana adresu nadawcy powinna być anonsowana odbiorcom mailingu z odpowiednim wyprzedzeniem.

Przydatne adresy

• Jak prowadzić masową wysyłkę przez e-mail?
• Introduction to web marketing and promotion - jak prowadzić działania marketingowe w Internecie skutecznie i nie tracąc przy tym dobrego imienia
• RFC 3098 - How to Advertise Responsibly Using E-Mail and Newsgroups
• Internet Marketing Basics - Podstawy marketingu w Internecie.
• Six Ways to Build an Opt-In List (From Zero) - 6 sposobów na zbudowanie listy Opt-In od zera.
• Permission Marketing - artykuł na temat książki pod tym samym tytułem autorstwa pioniera marketingu w Internecie, Setha Godina.
• Direct E-mail Marketing - artykuł Suresh'a Ramasubramanian'a , szefa Indyjskiego oddziału CAUCE
• Ready, Aim, Fire: Targeting Your E-Biz Message - artykuł Charlyn K. Chisholm w E-Commerce Times.
• Opt-in vs. Opt Out - czym się różną te dwa sposoby tworzenia list wysyłkowych i jakie są ich skutki.

Data ostatniej modyfikacji: 03 VI 2006

wersja do druku