¿Por qué es una mala idea usar un correo electrónico del cliente como la dirección de origen?

29

Tengo una aplicación que envía correos electrónicos a los usuarios una vez que han completado un formulario. Utiliza a [email protected]como una dirección de origen. El cliente quiere que use el correo electrónico del formulario como la dirección de origen, que podría ser cualquier cosa. Me han dicho que esta es una mala idea debido a la suplantación de identidad / listas negras y el correo no deseado.

Me siento muy impreciso sobre la razón exacta de por qué esta es una mala idea, especialmente porque tengo que tratar de aconsejar al cliente que se salga de esto. ¿Alguien puede explicarme por qué es una mala idea?

Curiosamente, el cliente ha utilizado una cuenta de gmail como la dirección de origen como una demostración que no solo funciona bien, sino que ha permitido que la aplicación comience a enviar correos electrónicos (no lo haría antes con un correo electrónico que era [email protected]). Erm, ¿qué está pasando? Me dicen una cosa y lo contrario funciona.

Lo siento, sé que esto es básico, pero podría encontrar cualquier cosa en una búsqueda en Google. En gran parte pienso porque estoy teniendo problemas incluso para formular la pregunta.

EDITAR

Gracias a todos, excelentes respuestas. Curiosamente, el servidor que envía el correo electrónico y el buzón de correo que va a estar detrás del mismo firewall, por lo que el cliente dice que no le preocupa el spam. Oh bien.

email domain spam Cangrejo
fuente
"Curiosamente, el servidor que envía el correo electrónico y el buzón de correo que va a estar detrás del mismo firewall, por lo que el cliente dice que no le preocupa el spam". Eso está bien siempre que la aplicación también esté detrás del mismo firewall y no sea accesible por el resto de Internet. Con suerte, este buzón de correo dentro del firewall tampoco está disponible en Internet, ¡suena como un relé abierto!
Afrazier
Estoy de acuerdo con las otras respuestas. Como usuario (no como administrador del sitio web), estaría perplejo, preocupado e irritado si recibiera un correo electrónico de mí mismo cuando no lo hubiera enviado. En el pasado, he enviado correos electrónicos a spam sin leerlos y probablemente continuaré haciéndolo.
Paddy Landau

Respuestas:

46

Es una mala práctica por varias razones:

  • NO se le permite enviar un correo desde un dominio que no es de su propiedad. Como tal, podría concebirse como un intento de suplantación.
  • Es una práctica bastante común utilizada por los spammers y, como tal, con frecuencia se etiqueta con filtros de spam.
  • Es bastante común que los dominios bien mantenidos usen SPF o DKIM para proteger su reputación y ayudar a otros sistemas a identificar la suplantación de identidad y el correo no deseado. Obviamente, no podrá agregar el encabezado de correo DKIM o agregar su servidor SMTP en el registro DNS SPF del dominio, por lo que su correo se considerará (correctamente) como falsificado y rechazado.

La práctica adecuada es utilizar su dominio local como remitente, posiblemente utilizando una dirección no existente como nombre de usuario.

Stephane
fuente
2
Gran respuesta. Copió descaradamente parte de su texto para el correo electrónico del cliente. Gracias
Crab Bucket
3
¿El uso de una Sender:dirección no resolvería estos problemas? Eso es lo que hace Gmail cuando está configurado para enviar correos electrónicos desde otra cuenta.
TRiG
3
¿Por qué no está permitido? ¿Tiene alguna referencia a una RFC o al derecho internacional?
Nils
3
@Nils Aquí hay uno. RFC 1855 (Netiquette). "Las falsificaciones y las falsificaciones no son comportamientos aprobados". Aunque, eso está en una sección sobre listas de correo y noticias.
Kaz
3
@Kaz vea RFC 2822 de BlueRaja, esa es la referencia correcta. Está permitido si configura el SENDER al dominio de origen real.
Nils
48

En realidad, puede configurar la Fromdirección del correo electrónico de su cliente, siempre que configure correctamente el Sendercampo en su propia dirección. Esto es lo que PayPal no solía hacer!

DE: [email protected]
PARA: [email protected]
ENVIADOR: [email protected]

La mayoría de los clientes de correo electrónico mostrarán esto como "De [email protected] en nombre de [email protected]" . No debería haber ningún problema con SPF o DKIM en el dominio del cliente.

Probablemente también debería establecer el Reply-toencabezado a la dirección de su cliente, por lo que las respuestas van a la dirección del cliente en lugar de la suya.

BlueRaja
fuente
+1 por mencionar Reply-to
Bobson
3
@Nils: RFC 2822 §3.6.2 "Campos de origen" "El campo" De: "especifica los autores del mensaje, es decir, el buzón de la (s) persona (s) o sistema (s) responsable (s) para escribir el mensaje. El campo "Remitente:" especifica el buzón del agente responsable de la transmisión real del mensaje ".
BlueRaja
1
(cont.) Entonces, tenga en cuenta que si el usuario realmente no escribió el mensaje (OP no está claro en este punto) , técnicamente no será compatible con RFC, y solo Reply-Todebe usarse. Pero incluso en ese caso, Paypal y otras grandes empresas lo hacen de todos modos, por lo que es muy poco probable que active filtros de spam. Si esto es "una violación de la confianza del usuario" depende del mensaje / aplicación real (por ejemplo, no creo que Paypal esté abusando de mi confianza cuando envía un mensaje "¡BlueRaja le ha enviado un pago!" En mi nombre)
BlueRaja
1
@Nils: Vaya, aparentemente debería ser RFC 6854 , que es una actualización de RFC 5322 , que a su vez es la versión actualizada de RFC 2822. Sin embargo, el pasaje relevante no ha cambiado.
BlueRaja
2
PayPal ya no hace esto, precisamente porque era una mala práctica. Sus correos electrónicos actuales provienen [email protected], con la dirección de correo electrónico del usuario en el Reply-Toencabezado.
Michael Hampton
12

TL; DR:

Es una mala práctica usar la dirección de correo electrónico del formulario. En su lugar, use una dirección de correo electrónico que se use específicamente para esta lista de correo solamente.

Versión larga:

Primero, en realidad se usan dos direcciones de correo electrónico. Uno es el remitente del sobre, el otro es el que se muestra en la línea From:en el correo electrónico.

El remitente del sobre es el que usan los servidores de correo electrónico para emitir avisos de no entrega. Si está ejecutando una lista de correo, esa dirección generalmente será un script que puede borrar las direcciones que no funcionan de la lista de correo.

La From:dirección es la que se utilizará cuando el destinatario del correo haga clic en Responder. En este caso, debe apuntar a alguien que realmente pueda responder cualquier pregunta que el destinatario pueda responder (o al menos reenviar a alguien que pueda).

Si utiliza la propia dirección de correo electrónico del destinatario como remitente del sobre, puede esperar que algunos / muchos servidores de correo rechacen el correo o lo etiqueten como probable correo no deseado, porque las personas no suelen enviarse correos desde su propia dirección a través de un servidor externo

Si utiliza la propia dirección de correo electrónico del destinatario como el From:remitente, el usuario no podrá responder a los mensajes si fuera necesario. Poner un enlace en algún lugar del cuerpo del mensaje de correo no es suficiente; las personas seguirán usando el botón Responder en su cliente de correo electrónico y se molestarán cuando no funcione.

Jenny D dice Reinstate Monica
fuente
Gracias por ese punto en particular sobre el usuario que se responde a sí mismo. Me gustaría poder dar dos respuestas
cangrejo cubo
3
No es exactamente cierto acerca de que el usuario haga clic en Responder ... el encabezado Responder a (si existe) se usará para eso
JoelFan
@JoelFan Buen punto sobre el encabezado Reply-To.
Jenny D dice Reinstate Monica
8

Tienes algunas excelentes respuestas hablando de los problemas técnicos aquí. En términos de vender esto a su cliente, puede ser útil reformular ligeramente la pregunta. El cliente probablemente le esté pidiendo una variación de "funcionará", a lo que la respuesta es "sí, puede enviar un correo electrónico así".

Una mejor pregunta para que consideren es "llegará", "lo verán nuestros clientes si se envía de esa manera". La respuesta con la mayoría de los filtros de spam modernos es "no, probablemente no".

Rob Moir
fuente
4

Hay dos problemas en los que puedo pensar, el mayor problema es que enviará un correo electrónico que posiblemente no se pueda entregar, y obviamente la dirección de retorno también lo será, lo que significará una gran cantidad de correos electrónicos en espera y tiempo de espera . El problema más pequeño podría ser que algunos de esos correos electrónicos terminan en spam, ya que los servidores buscan correo electrónico de ciertos dominios que provienen de ciertas máquinas (según las reglas de DKIM).

Crearía la [email protected]dirección y decidiría qué hacer con el correo electrónico más tarde.

NickW
fuente
2

La suplantación de la propia dirección del usuario como De: es una mala idea. Es una buena manera de garantizar que el correo nunca llegue al usuario, ya que los filtros antispam pueden considerarlo una falsificación (¡lo cual es de facto !)

Es bastante razonable y común para el servidor SMTP que "thisdomain" rechace una solicitud de "MAIL From: user @ thisdomain" que proviene de una conexión TCP que está fuera de "thisdomain". (Permitir tal solicitud de los hosts locales permite que el usuario dentro de la red "thisdomain" se envíe por correo).

En realidad, [email protected]es una mala idea también:

Aquí hay un fragmento de configuración de mi servidor SMTP (software Exim), que lo configura para que devuelva los mensajes de los noreplyremitentes:

deny
  message = Sorry, we do not accept SMTP traffic from "noreply" senders. \
            We believe that it is less than polite to send messages from \
            nonexistent e-mail addresses \
            which cannot be replied to! E-mail is a "two-way street". \
            If you want us to accept \
            your mail, then please accept replies.
  senders = ^noreply@.*

Los correos electrónicos solo deben ser enviados por remitentes reales que puedan aceptar respuestas.

¿Por qué debería escuchar todo lo que dices si tus oídos están tapados contra algo que digo?

Algunas personas responderán a estos correos electrónicos de todos modos y deben ser enrutados a la cuenta de atención al cliente adecuada.

Kaz
fuente
Gracias por la respuesta. Muy interesante sobre la no respuesta. Sin embargo, si el correo electrónico de no respuesta realmente existiera y solo en un buzón que se vació periódicamente, ¿sería mejor? El correo de no respuesta tiene sentido para mí como usuario ya que cuando los veo sé que nadie está escuchando. Pero luego, cuando un correo electrónico no quiere una respuesta, es marketing directo en el mejor de los casos y spam en el peor. Creo que me he convencido de que no hay respuesta allí
Crab Bucket
Hilo antiguo pero ... No puedo evitar pensar: bloquear el correo electrónico de los remitentes llamados "noreply" parece inútil en el mejor de los casos. Cualquiera que quiera enviar correos electrónicos abusivos simplemente usará otro correo electrónico remitente no existente. Si el correo electrónico en cuestión es realmente "solo lectura", ¿qué podría estar mal al hacerlo tan obvio como sea posible? "Aquí está el pronóstico del tiempo que ordenó: mañana estará soleado. No responda a este correo electrónico, enviamos seis millones de ellos todos los días y no hay forma de que podamos procesar los diversos tipos de respuestas que inevitablemente generan".
Culme
-1

El cliente puede no estar preocupado por el correo no deseado, pero el problema principal aquí es que es éticamente incorrecto usar el dominio del cliente, como se menciona en todas las otras respuestas aquí.

Tim Sabin
fuente
Esto no es realmente una cuestión ética de ningún tipo. Eres el único que menciona cuestiones éticas en lugar de cuestiones realistas.
ceejayoz