Warum ist es eine schlechte Idee, eine Kunden-E-Mail als Absenderadresse zu verwenden?

29

Ich habe eine Anwendung, mit der Benutzer per E-Mail benachrichtigt werden, sobald sie ein Formular ausgefüllt haben. Es wird eine [email protected]Absenderadresse verwendet. Der Kunde möchte, dass die E-Mail aus dem Formular als Absenderadresse verwendet wird, bei der es sich um eine beliebige Adresse handeln kann. Mir wurde gesagt, dass dies aufgrund von Spoofing / Blacklisting und Spam eine schlechte Idee ist.

Der genaue Grund, warum dies eine schlechte Idee ist, ist mir sehr vage, zumal ich versuchen muss, den Klienten davon abzubringen. Kann mir jemand erklären, warum das eine schlechte Idee ist.

Interessanterweise hat der Kunde ein Google Mail-Konto als Absenderadresse als Demo verwendet, was nicht nur gut funktioniert, sondern der Anwendung auch ermöglicht hat, E-Mails zu senden (dies würde vorher bei einer E-Mail nicht der Fall sein [email protected]). Ähm - was ist los? Mir wurde eines gesagt und das Gegenteil funktioniert.

Entschuldigung - ich weiß, dass dies grundlegend ist, aber ich konnte bei einer Google-Suche alles finden. Im Großen und Ganzen denke ich, weil ich Probleme habe, die Frage überhaupt zu formulieren.

BEARBEITEN

Vielen Dank an alle - tolle Antworten. Interessanterweise befinden sich der Server, der die E-Mail sendet, und das zu sendende Postfach hinter derselben Firewall, sodass der Client angibt, dass er sich nicht um Spam kümmert. Naja.

email domain spam Krabben-Eimer
quelle
"Interessanterweise befinden sich der Server, der die E-Mail sendet, und das zu sendende Postfach hinter derselben Firewall, sodass der Client angibt, dass er sich nicht um Spam kümmert." Das ist in Ordnung, solange sich die Anwendung auch hinter derselben Firewall befindet und nicht über das restliche Internet erreichbar ist. Hoffentlich ist dieser Briefkasten in der Firewall auch nicht über das Internet erreichbar - es klingt wie ein offenes Relais!
afrazier
Ich stimme den anderen Antworten zu. Als Benutzer (kein Website-Administrator) wäre ich verwirrt, besorgt und irritiert, wenn ich eine E-Mail von mir selbst erhalten hätte, wenn ich sie nicht gesendet hätte. In der Vergangenheit habe ich solche E-Mails an Spam gesendet, ohne sie zu lesen, und werde dies wahrscheinlich auch weiterhin tun.
Paddy Landau

Antworten:

46

Es ist aus mehreren Gründen eine schlechte Praxis:

  • Sie dürfen KEINE E-Mails von einer Domain senden, die Sie nicht besitzen. Als solches könnte es als Versuch einer Imitation aufgefasst werden.
  • Es ist eine gängige Praxis, die von Spammern verwendet wird und als solche häufig von Spam-Filtern gekennzeichnet wird.
  • Gut gewartete Domains verwenden häufig SPF oder DKIM , um ihre Reputation zu schützen und anderen Systemen zu helfen, Identitätswechsel und Spam zu erkennen. Sie werden offensichtlich nicht in der Lage sein, den DKIM-Mail-Header oder Ihren SMTP-Server zum SPF-DNS-Eintrag der Domain hinzuzufügen, und Ihre Mail wird (zu Recht) als gefälscht und abgelehnt betrachtet.

In der Regel wird Ihre lokale Domain als Absender verwendet, wobei möglicherweise eine nicht vorhandene Adresse als Benutzername verwendet wird.

Stephane
quelle
2
Gute Antwort. Schamlos einen Teil Ihres Textes für die Kunden-E-Mail kopiert. Vielen Dank
Crab Bucket
3
Würde die Verwendung einer Sender:Adresse diese Probleme nicht umgehen? Dies ist, was Google Mail tut, wenn es so konfiguriert ist, dass E-Mails von einem anderen Konto gesendet werden.
TRiG
3
Warum ist das nicht erlaubt? Haben Sie einen Verweis auf ein RFC oder internationales Recht?
Nils
3
@Nils Hier ist einer. RFC 1855 (Netiquette). "Fälschungen und Spoofing sind kein genehmigtes Verhalten." Dies ist jedoch ein Abschnitt über Mailinglisten und Neuigkeiten.
Kaz
3
@ Kaz siehe RFC 2822 von BlueRaja - das ist die richtige Referenz. Es ist erlaubt, wenn Sie den SENDER auf die reale Ursprungsdomäne setzen.
Nils
48

Tatsächlich dürfen Sie die FromAdresse auf die E-Mail-Adresse Ihres Kunden setzen, solange Sie das SenderFeld korrekt auf Ihre eigene Adresse setzen. Dies ist , was Paypal ist zu tun pflegt!

VON: [email protected]
AN: [email protected]
SENDER: [email protected]

Die meisten E-Mail-Clients geben dies als "Von [email protected] Im Namen von [email protected]" aus . Es sollte keine Probleme mit SPF oder DKIM in der Domäne des Kunden geben.

Sie sollten wahrscheinlich auch den Reply-toHeader auf die Adresse Ihres Kunden setzen, damit die Antworten an die Adresse des Kunden und nicht an Ihre Adresse gesendet werden.

BlueRaja
quelle
+1 Reply-to für die Erwähnung
Bobson
3
@Nils: RFC 2822 §3.6.2 "Absenderfelder" "Das Feld" Von: "gibt den Autor (die Autoren) der Nachricht an,
BlueRaja
1
(Forts.) Beachten Sie also, dass, wenn der Benutzer die Nachricht nicht tatsächlich geschrieben hat (OP ist in diesem Punkt unklar) , dies technisch nicht RFC-kompatibel ist und nur Reply-Toverwendet werden sollte. Aber auch in diesem Fall tun Paypal und andere große Unternehmen dies ohnehin, sodass es sehr unwahrscheinlich ist, dass Spam-Filter ausgelöst werden. Ob dies ein "Verstoß gegen das Vertrauen des Benutzers" ist, hängt von der tatsächlichen Nachricht / Anwendung ab (z. B. Ich habe nicht das Gefühl, dass Paypal mein Vertrauen missbraucht, wenn eine "BlueRaja hat Ihnen eine Zahlung gesendet!" - Nachricht in meinem Namen gesendet wird.)
BlueRaja
1
@Nils: Hoppla, anscheinend sollte dies RFC 6854 sein , ein Update für RFC 5322 , das wiederum die aktualisierte Version von RFC 2822 ist. Die relevante Passage hat sich jedoch nicht geändert.
BlueRaja
2
PayPal tut dies nicht mehr, gerade weil es eine so schlechte Praxis war. Ihre aktuellen E-Mails stammen von [email protected], wobei die E-Mail-Adresse des Benutzers in der Reply-ToKopfzeile steht.
Michael Hampton
12

TL; DR:

Es ist eine schlechte Praxis, die E-Mail-Adresse aus dem Formular zu verwenden. Verwenden Sie stattdessen eine E-Mail-Adresse, die speziell für diese Mailingliste verwendet wird.

Lange Version:

Erstens werden tatsächlich zwei E-Mail-Adressen verwendet. Einer ist der Absender des Umschlags, der andere ist derjenige, der From:in der E-Mail in der -Linie angegeben ist.

Der Umschlagsender ist derjenige, der von E-Mail-Servern verwendet wird, um Unzustellbarkeitsbenachrichtigungen auszugeben. Wenn Sie eine Mailingliste ausführen, handelt es sich bei dieser Adresse normalerweise um ein Skript, mit dem nicht funktionierende Adressen aus der Mailingliste entfernt werden können.

Die From:Adresse wird verwendet, wenn der Empfänger der E-Mail auf Antworten klickt. In diesem Fall sollte es auf jemanden verweisen, der tatsächlich jede Frage beantworten kann, mit der der Empfänger antworten kann (oder zumindest an jemanden weiterleiten, der dies kann).

Wenn Sie die E-Mail-Adresse des Empfängers als Absender des Umschlags verwenden, können Sie davon ausgehen, dass einige / viele Mailserver die E-Mail ablehnen oder als Spam einstufen, da die Leute ihre E-Mails nicht oft über eine E-Mail an sich selbst senden außerhalb des Servers.

Wenn Sie die E-Mail-Adresse des Empfängers als From:Absender verwenden, kann der Benutzer bei Bedarf nicht auf die Nachrichten antworten. Es reicht nicht aus, irgendwo in den Text der E-Mail-Nachricht einen Link einzufügen. Leute werden immer noch die Antwort-Taste in ihrem E-Mail-Programm benutzen und sich darüber aufregen, wenn es nicht funktioniert.

Jenny D sagt Reinstate Monica
quelle
Vielen Dank dafür, insbesondere den Punkt, dass der Benutzer sich selbst antwortet. Ich wünschte, ich könnte zwei Antworten geben
Crab Bucket
3
Nicht ganz richtig, wenn der Benutzer auf Antworten klickt ... der Reply-to-Header (falls vorhanden) wird dafür verwendet
JoelFan
@JoelFan Guter Punkt zum Reply-To-Header.
Jenny D sagt Reinstate Monica
8

Sie haben hier einige gute Antworten auf technische Fragen. Wenn Sie dies an Ihren Kunden verkaufen möchten, kann es hilfreich sein, die Frage etwas anders zu formulieren. Der Kunde fragt Sie wahrscheinlich nach einer Variante von "wird es funktionieren", auf die die Antwort lautet "Ja, so können Sie E-Mails senden".

Eine bessere Frage, die sie sich stellen sollten, lautet: "Wird es ankommen? Werden unsere Kunden es sehen, wenn es so gesendet wird?". Die Antwort mit den meisten modernen Spam-Filtern lautet "Nein, wahrscheinlich nicht".

Rob Moir
quelle
4

Es gibt zwei Probleme, an die ich denken kann, das größte Problem ist, dass Sie E-Mails versenden, die möglicherweise nicht zugestellt werden können, und die Absenderadresse wird natürlich auch so sein, dass viele E-Mails warten müssen, bis das Zeitlimit abgelaufen ist . Das kleinere Problem könnte sein, dass einige dieser E-Mails in Spam enden, da die Server nach E-Mails von bestimmten Domänen suchen, die von bestimmten Computern stammen (gemäß DKIM-Regeln).

Ich würde die [email protected]Adresse erstellen und später entscheiden, was mit der E-Mail geschehen soll.

NickW
quelle
2

Es ist eine schlechte Idee, die eigene Adresse des Benutzers als Von: zu fälschen. Dies ist eine gute Möglichkeit, um sicherzustellen, dass die E-Mail den Benutzer nie erreicht, da Anti-Spam-Filter sie möglicherweise als Fälschung betrachten (was de facto so ist!).

Es ist durchaus sinnvoll und üblich, dass der SMTP-Server für "thisdomain" eine Anforderung "MAIL From: user @ thisdomain" ablehnt, die von einer TCP-Verbindung stammt, die sich außerhalb von "thisdomain" befindet. (Das Zulassen einer solchen Anfrage von lokalen Hosts ermöglicht es dem Benutzer innerhalb des "thisdomain" -Netzwerks, sich gegenseitig zu mailen.)

Eigentlich ist das auch [email protected]eine schlechte Idee:

Hier ist ein Konfigurations-Snippet von meinem SMTP-Server (Exim-Software), mit dem er so konfiguriert wird, dass Nachrichten von noreplyAbsendern abgewiesen werden:

deny
  message = Sorry, we do not accept SMTP traffic from "noreply" senders. \
            We believe that it is less than polite to send messages from \
            nonexistent e-mail addresses \
            which cannot be replied to! E-mail is a "two-way street". \
            If you want us to accept \
            your mail, then please accept replies.
  senders = ^noreply@.*

E-Mails sollten nur von echten Absendern versendet werden, die Antworten annehmen können.

Warum sollte ich auf alles hören, was Sie sagen, wenn Ihre Ohren gegen alles verstopft sind, was ich sage?

Einige Personen werden diese E-Mails trotzdem beantworten und sollten an das entsprechende Kunden-Support-Konto weitergeleitet werden.

Kaz
quelle
Danke für die Antwort. Sehr interessant über die keine Antwort. Wenn die nervige E-Mail tatsächlich existiert und wenn sie nur in eine Mailbox gelangt, die regelmäßig geleert wird, wäre das besser? Die nervige Mail macht für mich als Benutzer Sinn, denn wenn ich sie sehe, weiß ich, dass niemand zuhört. Wenn eine E-Mail jedoch keine Antwort erhalten soll, handelt es sich bestenfalls um Direktmarketing und im schlimmsten Fall um Spam. Ich glaube, ich habe mich aus dem Nichts geredet
Crab Bucket
Alter Thread, aber ... Ich kann mich nicht davon abhalten zu denken: Das Blockieren von E-Mails von Absendern mit dem Namen "noreply" erscheint bestenfalls sinnlos. Jeder, der missbräuchliche E-Mails senden möchte, verwendet nur eine andere nicht vorhandene Absender-E-Mail. Wenn die fragliche E-Mail wirklich "schreibgeschützt" ist, was könnte daran falsch sein, dies so offensichtlich wie möglich zu machen? "Hier ist die Wettervorhersage, die Sie bestellt haben: Morgen ist es sonnig. Antworten Sie nicht auf diese E-Mail, wir senden täglich sechs Millionen von ihnen, und wir können die verschiedenen Arten von Antworten, die sie zwangsläufig generieren, nicht verarbeiten."
Culme
-1

Der Kunde ist möglicherweise nicht über Spam besorgt, aber das vorrangige Problem ist, dass es ethisch falsch ist, die Domain des Kunden zu verwenden, wie in allen anderen Antworten hier angegeben.

Tim Sabin
quelle
Dies ist keine wirklich ethische Angelegenheit. Sie sind der einzige, der eher Ethik als realistische Fragen anspricht.
Ceejayoz