31 votes

Pourquoi est-ce une mauvaise idée d'utiliser l'adresse électronique d'un client comme adresse de départ ?

J'ai une application qui envoie des courriels aux utilisateurs lorsqu'ils ont rempli un formulaire. Elle utilise un no-reply@customerdomain.com comme adresse de départ. Le client veut qu'il utilise l'adresse électronique du formulaire comme adresse de départ, qui peut être n'importe laquelle. On m'a dit que c'était une mauvaise idée en raison de l'usurpation d'identité, de la mise sur liste noire et du spam.

Je me sens vraiment vague quant à la raison exacte pour laquelle c'est une mauvaise idée, d'autant plus que je dois essayer de conseiller le client à ce sujet. Quelqu'un peut-il m'expliquer pourquoi c'est une mauvaise idée ?

Il est intéressant de noter que le client a utilisé un compte gmail comme adresse de départ dans le cadre d'une démonstration, ce qui non seulement fonctionne bien, mais a permis à l'application de commencer à envoyer des courriers électroniques (elle ne le faisait pas auparavant avec un courrier électronique qui était de la taille d'un compte gmail). no-reply@customerdomain.com ). Erm - que se passe-t-il ? On me dit une chose et l'inverse fonctionne.

Désolé - je sais que c'est basique mais je pourrais trouver n'importe quoi en faisant une recherche sur Google. Je pense que c'est surtout parce que j'ai du mal à formuler la question.

EDIT

Merci à tous - excellentes réponses. Il est intéressant de noter que le serveur qui envoie l'e-mail et la boîte aux lettres à laquelle il est destiné se trouvent tous deux derrière le même pare-feu, de sorte que le client dit ne pas se soucier du spam. Mais bon.

0 votes

"Il est intéressant de noter que le serveur qui envoie l'e-mail et la boîte aux lettres à laquelle il est destiné sont tous deux derrière le même pare-feu, de sorte que le client dit qu'il ne se soucie pas du spam." C'est très bien tant que l'application se trouve également derrière le même pare-feu et n'est pas joignable par le reste de l'internet. Espérons que cette boîte aux lettres à l'intérieur du pare-feu n'est pas non plus accessible depuis l'Internet - cela ressemble à un relais ouvert !

0 votes

Je suis d'accord avec les autres réponses. En tant qu'utilisateur (et non administrateur de site web), je serais perplexe, inquiet et irrité si je recevais un courriel de ma part alors que je ne l'ai pas envoyé. Dans le passé, j'ai envoyé de tels courriels dans les spams sans les lire et je continuerai probablement à le faire.

50voto

BlueRaja Points 946

En fait, vous êtes autorisé à définir le From à l'adresse électronique de votre client, à condition que vous régler correctement les Sender champ à votre propre adresse. C'est ce que Paypal fait qu'il avait l'habitude de faire !

FROM:   customer@yourCustomer.com
TO:     recipient@recipient.com
SENDER: you@yourCompany.com

La plupart des clients de messagerie rendront ce message comme "De you@yourCompany.com au nom de customer@yourCustomer.com" . Il ne devrait pas y avoir de problèmes avec SPF ou DKIM sur le domaine du client.


Vous devriez aussi probablement définir l'option Reply-to en-tête à l'adresse de votre client, de sorte que les réponses vont à l'adresse du client plutôt qu'à la vôtre.

1 votes

+1 pour la mention Répondre à

0 votes

Je pense avoir vu ce point dans un RFC - pouvez-vous le citer ?

3 votes

@Nils : RFC 2822 §3.6.2 "Champs de l'expéditeur". "Le champ "From :" spécifie le ou les auteurs du message, c'est-à-dire la ou les boîtes aux lettres de la ou des personnes ou du ou des systèmes responsables de la rédaction du message. Le champ "Sender :" spécifie la boîte aux lettres de l'agent responsable de la transmission effective du message."

47voto

Stephane Points 6344

C'est une mauvaise pratique pour plusieurs raisons :

  • Vous n'êtes PAS autorisé à envoyer un courrier électronique à partir d'un domaine qui ne vous appartient pas. En tant que tel, il pourrait être conçu comme une tentative d'usurpation d'identité.
  • Il s'agit d'une pratique assez courante utilisée par les spammeurs et, à ce titre, elle est fréquemment repérée par les filtres anti-spam.
  • Il est assez courant pour les domaines bien entretenus d'utiliser FPS o DKIM pour protéger leur réputation et aider les autres systèmes à identifier les usurpations d'identité et le spam. Vous ne pourrez évidemment pas ajouter l'en-tête de courrier DKIM ou ajouter votre serveur SMTP dans l'enregistrement DNS SPF du domaine et votre courrier sera donc (à juste titre) considéré comme faux et rejeté.

La bonne pratique consiste à utiliser votre domaine local comme expéditeur, en utilisant éventuellement une adresse inexistante comme nom d'utilisateur.

3 votes

Excellente réponse. J'ai copié sans vergogne une partie de votre texte pour l'e-mail du client. Je vous remercie.

0 votes

Pas de problème. N'hésitez pas à copier autant que vous le souhaitez. C'est du domaine public :)

0 votes

Excellente réponse. Certains fournisseurs de services d'hébergement empêchent l'envoi d'e-mails à partir d'un site ou d'une application php hébergée si l'adresse de départ n'est pas celle d'un domaine qui leur appartient.

11voto

Jenny D Points 26978

TL;DR :

C'est une mauvaise pratique d'utiliser l'adresse électronique du formulaire. Utilisez plutôt une adresse électronique qui est spécifiquement utilisée pour cette liste de diffusion uniquement.

Version longue :

Tout d'abord, il y a en fait deux adresses électroniques utilisées. L'une est celle de l'expéditeur de l'enveloppe, l'autre est celle qui figure sur l'étiquette de l'enveloppe. From: dans l'e-mail.

L'expéditeur de l'enveloppe est celui utilisé par les serveurs de messagerie pour émettre des avis de non-livraison. Si vous gérez une liste de diffusion, cette adresse sera généralement destinée à un script qui peut effacer les adresses non fonctionnelles de la liste de diffusion.

El From: est celle qui sera utilisée lorsque le destinataire du courrier cliquera sur Répondre. Dans ce cas, elle doit pointer vers quelqu'un qui peut réellement répondre à toute question que le destinataire pourrait poser (ou au moins transmettre à quelqu'un qui le peut).

Si vous utilisez la propre adresse électronique du destinataire comme expéditeur de l'enveloppe, vous pouvez vous attendre à ce que certains ou plusieurs serveurs de messagerie rejettent le courrier ou le marquent comme étant probablement du spam, car les gens ne s'envoient pas souvent des courriers à eux-mêmes depuis leur propre adresse via un serveur externe.

Si vous utilisez l'adresse électronique du destinataire en tant que From: -L'utilisateur ne sera pas en mesure de répondre aux messages s'il en a besoin. Il ne suffit pas de placer un lien quelque part dans le corps du message ; les gens utiliseront toujours le bouton "Répondre" de leur client de messagerie et seront mécontents si cela ne fonctionne pas.

0 votes

Je vous remercie, en particulier pour le point concernant l'utilisateur qui se répond à lui-même. J'aimerais pouvoir donner deux réponses

3 votes

Ce n'est pas tout à fait vrai si l'utilisateur clique sur Répondre... l'en-tête Répondre-à (s'il existe) sera utilisé pour cela.

0 votes

@JoelFan Bon point concernant l'en-tête Reply-To.

9voto

Rob Moir Points 31534

Vous avez obtenu d'excellentes réponses concernant les questions techniques. En termes de vente à votre client, il peut être utile de reformuler légèrement la question. Le client vous demande probablement une variante de "est-ce que ça va marcher", à laquelle la réponse est "oui, vous pouvez envoyer des e-mails comme ça".

Il serait préférable qu'ils se posent la question suivante : "Est-ce qu'il "arrivera", est-ce que nos clients le verront s'il est envoyé de cette façon ? Avec la plupart des filtres anti-spam modernes, la réponse est "non, probablement pas".

4voto

NickW Points 10133

Il y a deux problèmes auxquels je pense, le plus important est que vous enverrez des e-mails qui pourraient très probablement ne pas être distribués, et évidemment l'adresse de retour le sera aussi, ce qui signifie que beaucoup d'e-mails resteront en attente. Le plus petit problème pourrait être que certains de ces e-mails finissent dans les spams, car les serveurs recherchent des e-mails provenant de certains domaines et provenant de certaines machines (selon les règles DKIM).

Je créerais le no-reply@customerdomain.com et de décider ce qu'il faut faire de l'e-mail plus tard.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X