2008年3月3日 星期一

進退兩難的寄件者(Dilemmatic Sender)

垃圾郵件(SPAM)除了收到的人痛苦之外,被誤認為發送者的人(SPAMMER)也不好受,尤其是靠電子信箱來維繫營運的單位,衝擊更大。

在先前我有寫過一篇《廣告信(SPAM)的兩三事》,其實要不被認定為SPAMMER,老實說還挺困難的,尤其是不同部門對於電子郵件的需求也不盡相同。

有時行銷部門需藉由發送E-DM來達到宣傳目的,容易讓整個DOMAIN的MAIL名單,被列入黑名單的風險激增,不讓他們寄送又說不過去,讓它們寄送又得經常去解開被黑名單鎖定的狀況。如果是交給外面的廠商寄送,又有個人資料散佈的問題(況且被人告發,一樣有連帶責任),我想這應該是很多網路管理者的夢魘...

如果你手上的MAIL SERVER是自己手動刻出來的(SENDMAILPOSTFIX...),通常都是自己透過某些某些黑名單的機構來做認證。(例:http://cbl.abuseat.org),所以你要選擇何種方式來防範垃圾信件,或者是要透過白名單(White-list)來新增信任的郵件資料,全都操之你手。(先不論上游是否有相關設定)

如果貴公司是使用代管主機,無論服務端是在國內還是國外,是否有阻檔垃圾郵件的相關機制?其實要面臨的問題就會多出許多。

因為代管主機商它們也要維護其他人的使用權利,通常也會有一套自己防範垃圾郵件的機制,所以有時信件無故消失,也不一定能夠查得到蹤跡。這時候也只能詢問服務端,是否有發現信件延送阻擋,甚至是被丟棄的訊息,還是請對方在白名單上,幫你加上特定DOMAIN的MAIL ADDRESS。(也得是固定往來的機構才有用,潛在客戶就...)

我們知道黑名單的機制,只要是其中一個轉發的MAIL SERVER有相關設定,就有可能被攔下,至於每個攔下的訊息內容都會傳給使用者(Client)嗎?還是只回報給系統管理者,端看主機端的設定為何,也有可能SERVER會直接把退信的訊息給丟掉(Purge),如此一來就變得死無對證,想查也查不到。

這時候你就只能去黑名單的機構找找(DNSBL),查看自己MAIL SERVER的IP是否已被寫入,還是自己的DNS設定不夠完善(現在對於SPAM的判定,常和DNS的相關設定是否完善有關,例:反解的設定)。

如此說來,自己架設MAIL SERVER會比較好掌控相關情況,不過你還得考慮是否有足夠的頻寬設備維護人力等因素,不然很容易陷入裡外不是人的窘境,別以為一切自己來就能夠高枕無憂。

當使用者提出問題時,管理者必須很快地判斷問題出自何方,是否能夠尋求最快的管道來解決?這些都會成為自己對於環境熟悉度實際經驗的一種挑戰,因為最大的挑戰是:「使用者遇到的狀況無法預測」。排除了使用者口誤的敘述之外,還有對方的網路管理者使用者是否有提供足夠的資訊,讓我們能夠判斷整個情勢。

舉例來說:公家機關的投標機制,如果是採取線上的投標機制,通常會鎖定MAIL ADDRESS,也就是說:「只接受申請時的MAIL ADDRESS」。如果廠商的電子郵件,不慎被列入該主機的黑名單中(或列入
參考的驗證主機中),就有可能會永遠都收不到相關訊息。

只要一有人沒收到信(無論公、私事),網路管理者這時候就會被推到最前線,被質疑說:「為什麼我們的信箱,收不到某公家機關發送的信件?」、「為什麼我們寄去的標單,對方說沒有收到?」,這時候我們總不能說:「因為誰誰誰寄送了E-DM?」、「誰誰誰用公司信箱轉寄了太多信件給親朋好友」,害我們被列入黑名單?通常這種不能馬上拿出實據或是不方便拿出實據的事,大多數的網路管理者都是選擇忍氣吞聲(淚往肚裡吞)居多。

如果把MAIL主機的使用者權限縮小,僅允許內部人員透過EMAIL來傳遞資料訊息,又會有人怨聲載道,況且這樣子與外界的信件往來,也會變得極不方便,所以在便利與安全之間,要如何取捨,端看各家公司在資訊政策上的擬定為何。(可惜的是...沒有多少公司會擬定到這麼細)

一般使用者會想到這麼多嗎?

捫心自問,如果我現在的身份也是一般使用者,我也不會在意(雖然我不愛轉寄郵件),除了公事往來的需求之外,我也很少透過公司對外的信箱發送什麼信件,頂多是發送內部公告停機通知這一類的訊息。

在我與行銷人員的溝通往來之間,很多時候還是得把「醜話說在前頭」,就算自己主機能夠允許大量的信件發送,對方主機也不一定允許你這麼做。只要有其中一台主機認定發送端異常,你就會發現送往該主機的信件就會被打入垃圾信或擋回,如果你寫信去詢問對方的話,大多數收到的回應都是:「我們並沒有針對特定使用者或來源做阻擋,請檢查您的....」這一類的官方語言

其實嚴格說起來,它們的說法也沒有錯,如果它是透過第三方來驗證黑名單,的確不是它們所主導,如果是大型的服務提供者,就有自己的過濾條件(例:HTML格式、同一來源發送相同文件超過20封...),不過這也是一個「不能說的秘密」。(自由心證居多)

所以寄件者(郵件寄送)的作法,就決定了未來可能引發的問題有多少?限制與控管只是為了保護公司大多數使用者的權益,實際的作法還是得依輕重緩急而定,畢竟,EMAIL只是一種聯絡工具,這也告訴我們一件事,千萬別只用一種通訊方式來聯絡,否則它帶來的風險絕對比你享受的好處大得多。可惜的是,大多數人還是只看見EMAIL在「節省資源」這部份的優點,忘了它所帶來的風險。

防範SPAM的方式,除了上述以外,還有SPF,或是在主機RELAY的設定上加以控管(SMTP認證...等),這些都能夠減少SPAM的量,不過,最大的來源應該是在做電子行銷的地下組織(應該見不得光吧!?),現在一收信,超過八成都是垃圾郵件,如果能夠減少一半,我相信就能有更多的網路資源讓我們取用。不過也有人說:「垃圾信件也有它的文化!」(別懷疑...有人很愛看廣告信。)

不過,它的確是提供了動力,讓更多人投入信件過濾的相關技術,究竟是已經發生的事比較危險,還是未知的領域比較危險?誰知道呢?