サイト上のフォーム-不本意なスパマー

専門のメールマーケティングコミュニティのCMSサポートに特化したフォーラムの会議では、スパム攻撃の問題があらゆる場所で活発に議論されており、その安定したベクトルはWebサイトのフォームへのテキストの挿入です。 この方法は、スパムを送信したり、個々のメールボックスで作業を麻痺させたりする高度に標的を絞った攻撃を行うために使用されます。



フォームを使用してスパムを送信する最も一般的な例を紹介します。 example.comサイトがあり、その上にニュースレター購読フォームがあります。 スパマーは、i.ivanov @ mail.exampleなどのデータベースから「犠牲者」ボックスを取得し、それを「電子メールアドレス」フィールドに挿入し、「名前」フィールドに同様のコンテンツのテキストを入力します。 / arendakvartirdaom 「」をクリックし、「購読」をクリックします。 もちろん、これはすべて、スパマーによってではなく、キャプチャを通過する彼のスクリプトによって行われます。 数秒後、イヴァン・イワノフは「こんにちは、モスクワのアパートを借りるのは安価ですgoo.gl/arendakvartirdarom ！ example.comポータルニュースを購読しました！ "...



Anti-Spam Mail.Ruチームは日常的にこのような攻撃に遭遇し、豊富なフィルタリングエクスペリエンスを蓄積してきました。また、推奨事項を共有し、さまざまな方法の有効性を比較したいと考えています。 以下では、最も一般的な攻撃ベクトルを示し、どのフォームがスパムに最も敏感であるか、何もしなければ何のリスクがあなたを待っているかを説明します。 そして、もちろん、マーケティング担当者、所有者、サイト管理者へのこのメールの処理方法。

フォームを介したスパムは安価です

スパムは、広告の種類の1つとして存在し、経済的に実現可能な限り存在します。 スパムは、合法的な販売チャネルに入るように注文された商品やサービスを宣伝するためにあまり一般的に使用されていません;そのような違法なトラフィックのほとんどはバナーネットワークに移行しています。 しかし、メールチャネルに戻ります。 スパムメールによる評判の低下を気にしないが、コストが基本的な「ビジネス」は常に存在します。



したがって、スパマーはコストを最小限に抑えることも求めています。 また、既存のサイトのフォームは、この目的に最適です-他人のドメイン、他人のIP、他人の手紙の構成-他のすべて。 必要なのはスクリプトのみであり、実装が最も難しくありません。 安さは、スパマーが他の人のサイトに寄生する2つの主な理由の最初の理由です。



2番目の重要な理由は、配信可能性です。 問題は、他の誰かのフォームを使用して、攻撃者が無料のリソースだけでなく、MBP（メールボックスプロバイダー）からこのサイト/ IPの評判も受け取ることです。 スパムは、ドメイン、IP、有効なSPF、DKIM、さらには非常に厳しいDMARCポリシー（メーリングリストを何度もスプーフィングから保護します）から発生しますが、この場合は役に立ちません。

ビジネスのリスクは何ですか？

フォームを介して攻撃が実装された場合、問題はサイト管理者やサービスのメールマーケティング担当者の頭にあることは明らかですが、リスクを負うのはビジネスです。 これらのリスクが測定されます。

• 結果と問題自体を排除するための工数。
• MBPの評判と成果の低下による利益の損失。
• あなたの評判を失う可能性（現在および潜在的なユーザーがあなたからスパムを受信する可能性があります）。

そして、サービスが大きいほど、これらのリスクのコストは高くなります。 その場合、この資料を最後まで読む必要があります。

• あなたのサービスはメールを送信します—メーリング。
• サイトには、次のフォーム（すべて）があります。
  
  
  • 登録
  • アカウントにデータを入力する;
  • フィードバック;
  • リクエスト情報;
  • 招待状を送信します。
  • およびその他のタスク。
• CRMから連絡先に手紙を送信します。

指紋によるスパムの仕組み

多くの二次的要因を破棄すると、スパムはメッセージの形成に使用されるUGC（ユーザー生成コンテンツ）を介してメッセージに入ります。 そのようなコンテンツは次のように分類されます。

• 見出し
• 件名;
• 手紙の本文。

より詳細な議論は、最も一般的なオプションから始まります。

サービスの新規ユーザーの登録、サブスクリプション

To：％username％<％useremail％>

件名：％ユーザー名％、メールを確認

Hello％username％！

おなじみのデザイン？ スパマーとスパム対策も。 数年前、「パーソナライゼーション」という言葉が、自尊心のあるマーケティング担当者の辞書にしっかりと入りました。 コミュニティの専門家の努力にもかかわらず、多くの神話や解釈で大きくなりすぎたため、その多くは道徳的に時代遅れですが、ベストプラクティスとして提示され続けています。 主な神話は、パーソナライズは多くの場合、名前でサブスクライバーを参照するものと理解されるということです。 ここで何がもたらされるのか、なぜマーケティングの観点から機能しないのかを読むことができます。これについては、Dmitry Kudrenkoの記事で既に詳しく説明されています。



合計：メールベース、スクリプト、サブスクリプション/登録フォームを受け取り、名前フィールドにスパムコンテンツを入力します-そして、スパム-サイトからのメール送信の準備ができました。

自動応答によるスパム

非常にまれなケース（サービスで自動応答があまり使用されないという理由だけで）。 仕組みはもう少し複雑ですが、スパマーにはさらに選択肢があります。 フィードバックフォーム、サポートの申請、見積りのリクエスト-多くの場合、サービスはユーザーへの自動応答の送信を構成します。 そして、ここで再びUGCが登場します：「あなたの魅力で、あなたは書いた...」。 しかし、それが訴えではなく、バイアグラの広告であり、疑いを持たない人のメールボックスが電子メールフィールドに入力された場合、再びあなたは無意識にスパムを送信する危険があります。

招待状

幸いなことに、この機能はインターネット上ではほとんど見られませんが、これまでのところ「友人へのサービスの推奨」および「招待テキストの入力」というフォームを見つけることができます。 また、サイトからのUGCは、疑いを持たないユーザーにクラッシュします。

個人データの変更

むしろ、退化したケースですが、それでも発生するので、それについて書く必要があります。 シナリオは次のとおりです。

• スパマーはボットサービスに登録します。
• プロファイル設定でメールを変更し、スパムコンテンツを個人データに挿入します。
• データ変更に関する手紙が指定されたメールに送信され、サービスはこの手紙にデータを追加することがよくあります（この場合はスパムになります）。

サブスクリプション爆弾攻撃

このタイプのスパムは独立しています。 攻撃の目的は、単一のボックス（または会社全体）の使用を麻痺させることです。 攻撃者は、標的メールボックスを数千のサービスに登録します。 それらは、確認メール、ウェルカムレターなどをこのメールボックスに送信し始めます。 その結果、被害者の箱には何千もの未読の手紙がいっぱいになり、新しい手紙が絶えず届きます。 さらに、厳密に言えば、これらの手紙はすべてスパムではありません。 攻撃されたボックスを使用することは難しくなります。 このタイプの攻撃は、電子メールだけでなく、ソーシャルネットワークやインスタントメッセンジャー（サブスクリプション、友人への追加など）にも特徴的です。

どうする？

おそらくこのレビューの重要な章。 インターネットでどのようなヒントを見つけることができ、スパム対策の観点からその有効性は何ですか？

1. CAPTCHA 。 それらの多くがあります-写真、テキスト、数字、入力の有無にかかわらず、単純で複雑です。 しかし、キャプチャは管理します。 簡単です。 インストールする必要がないというわけではなく、フォームを介してスパムを送信するのは少し高価です（複雑になりませんが、コストが増加します）。 「クマより速く走る必要はなく、あなたより速く走る必要がある」という原則は今でも機能します。隣人にキャプチャがない場合、サイトにキャプチャがあれば、スパマーはおそらく隣人に落ち着きます。
2. 検証 （たとえば、UGCフィールドのURLの正規表現）。 現代のスパム対策では、コンテンツベースの署名属性とブロック方法は信頼できると見なされていません。それらは不安定すぎるため、攻撃者が簡単に処理できます。 さらに、この方法の有効性は技術的な実装に大きく依存します。
3. 非表示フィールド （スクリプトには表示されますが、ユーザーには表示されません）。 残念ながら、この方法の有効性はほぼゼロです。
4. モデレーション 。 クラブとして信頼できる、闘争の方法ですが、非常に面倒です-非常に小さなサービスにのみ適しています。
5. アクティビティの監視 。 むしろ、この方法は他の方法を補完します。問題を発見するまで、問題の解決を開始することはできません。 登録のスケジュール、他のフォームを使用するスケジュール-問題を検出するための信頼できるツールだけでなく、楽しいボーナスとして、優れた製品メトリックがあります。 低速のスパムでは機能しません-疑わしいアクティビティがオーガニックトラフィックのほんの一部である場合。
6. サイトからのメールトラフィックの監視 （何らかの理由でこれがまだ行われていない場合）-Postmasterで統計の表示を構成し、FBLレポート（フィードバックループ）の受信を有効にします-対処的な手段ですが、問題の特定に役立ちます。 ここを読んで 、 ここに接続できます 。
7. 最も簡単で効果的な方法。 未確認のメールボックス（ダブルオプトイン手順に合格していないメールボックス）のメールでは、ユーザー生成コンテンツを使用しないでください 。 あいさつも、自動的に答えるときの引用符でもない-どこでも。 UGCには文字がなく、厳格なDMARCポリシーがあり、DOIは実装されていません。また、サイトを代表して、Viagraを宣伝することはできません。 これは、100％の効率をもたらす唯一の手段です。

しかし、市場はどうですか？

今では、サイトの所有者や管理者ではなく、実際の業界の専門家、つまりESP（Email Service Provider）-メーリングサービスとその代表者に取り組んでいます。 もちろん、このタイプのスパム攻撃は、大きな損害と業界全体の評判を引き起こします。 さらに何ができますか？

• 啓発：顧客に伝え、リスクを説明します。
• フローの分離：登録レターの割り当て、個別の監視、登録フローに関するFBLレポートのより徹底的な分析。
• 未確認のメールボックスへのレターでUGCを根絶する一貫したポリシー。

あとがき

フォームを介したスパムの問題は、かつてないほど重要です。 世界中の決済システム、銀行、通信事業者、大規模なポータル、小さなオンラインストアはすでに被害を受けています。 問題の解決策は非常に単純で効果的であり、実現されるリスクの価格はどのビジネスにとっても非常に高くなります。 簡単な保護方法を実装し、迷惑メール送信の意図しない参加者にならないようにします。