31 votes

Crab Bucket avatar

Pourquoi est-ce une mauvaise idée d'utiliser l'adresse électronique d'un client comme adresse de départ ?

Demandé el 11 de Juin, 2013
Quand la question a-t-elle été
5484 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai une application qui envoie des courriels aux utilisateurs lorsqu'ils ont rempli un formulaire. Elle utilise un no-reply@customerdomain.com comme adresse de départ. Le client veut qu'il utilise l'adresse électronique du formulaire comme adresse de départ, qui peut être n'importe laquelle. On m'a dit que c'était une mauvaise idée en raison de l'usurpation d'identité, de la mise sur liste noire et du spam.

Je me sens vraiment vague quant à la raison exacte pour laquelle c'est une mauvaise idée, d'autant plus que je dois essayer de conseiller le client à ce sujet. Quelqu'un peut-il m'expliquer pourquoi c'est une mauvaise idée ?

Il est intéressant de noter que le client a utilisé un compte gmail comme adresse de départ dans le cadre d'une démonstration, ce qui non seulement fonctionne bien, mais a permis à l'application de commencer à envoyer des courriers électroniques (elle ne le faisait pas auparavant avec un courrier électronique qui était de la taille d'un compte gmail). no-reply@customerdomain.com ). Erm - que se passe-t-il ? On me dit une chose et l'inverse fonctionne.

Désolé - je sais que c'est basique mais je pourrais trouver n'importe quoi en faisant une recherche sur Google. Je pense que c'est surtout parce que j'ai du mal à formuler la question.

EDIT

Merci à tous - excellentes réponses. Il est intéressant de noter que le serveur qui envoie l'e-mail et la boîte aux lettres à laquelle il est destiné se trouvent tous deux derrière le même pare-feu, de sorte que le client dit ne pas se soucier du spam. Mais bon.

Demandé el 11 de Juin, 2013 par Crab Bucket

0 votes

Avatar de afrazier

"Il est intéressant de noter que le serveur qui envoie l'e-mail et la boîte aux lettres à laquelle il est destiné sont tous deux derrière le même pare-feu, de sorte que le client dit qu'il ne se soucie pas du spam." C'est très bien tant que l'application se trouve également derrière le même pare-feu et n'est pas joignable par le reste de l'internet. Espérons que cette boîte aux lettres à l'intérieur du pare-feu n'est pas non plus accessible depuis l'Internet - cela ressemble à un relais ouvert !

Commenté el 11 de Juin, 2013 par afrazier

0 votes

Avatar de Stevko

Je suis d'accord avec les autres réponses. En tant qu'utilisateur (et non administrateur de site web), je serais perplexe, inquiet et irrité si je recevais un courriel de ma part alors que je ne l'ai pas envoyé. Dans le passé, j'ai envoyé de tels courriels dans les spams sans les lire et je continuerai probablement à le faire.

Commenté el 12 de Juin, 2013 par Stevko

Réponses

Trop de publicités?

50voto

BlueRaja avatar
BlueRaja Points 946

En fait, vous êtes autorisé à définir le From à l'adresse électronique de votre client, à condition que vous régler correctement les Sender champ à votre propre adresse. C'est ce que Paypal fait qu'il avait l'habitude de faire !

FROM:   customer@yourCustomer.com
TO:     recipient@recipient.com
SENDER: you@yourCompany.com

La plupart des clients de messagerie rendront ce message comme "De you@yourCompany.com au nom de customer@yourCustomer.com" . Il ne devrait pas y avoir de problèmes avec SPF ou DKIM sur le domaine du client.

Vous devriez aussi probablement définir l'option Reply-to en-tête à l'adresse de votre client, de sorte que les réponses vont à l'adresse du client plutôt qu'à la vôtre.

Répondu el 11 de Juin, 2013 par BlueRaja (946 Points )

1 votes

Avatar de azure_ardee

+1 pour la mention Répondre à

Commenté el 11 de Juin, 2013 par azure_ardee

0 votes

Avatar de Nils

Je pense avoir vu ce point dans un RFC - pouvez-vous le citer ?

Commenté el 11 de Juin, 2013 par Nils

3 votes

Avatar de BlueRaja

@Nils : RFC 2822 §3.6.2 "Champs de l'expéditeur". "Le champ "From :" spécifie le ou les auteurs du message, c'est-à-dire la ou les boîtes aux lettres de la ou des personnes ou du ou des systèmes responsables de la rédaction du message. Le champ "Sender :" spécifie la boîte aux lettres de l'agent responsable de la transmission effective du message."

Commenté el 11 de Juin, 2013 par BlueRaja
Afficher 5 autres commentaires

47voto

Stephane avatar
Stephane Points 6344

C'est une mauvaise pratique pour plusieurs raisons :

  • Vous n'êtes PAS autorisé à envoyer un courrier électronique à partir d'un domaine qui ne vous appartient pas. En tant que tel, il pourrait être conçu comme une tentative d'usurpation d'identité.
  • Il s'agit d'une pratique assez courante utilisée par les spammeurs et, à ce titre, elle est fréquemment repérée par les filtres anti-spam.
  • Il est assez courant pour les domaines bien entretenus d'utiliser FPS o DKIM pour protéger leur réputation et aider les autres systèmes à identifier les usurpations d'identité et le spam. Vous ne pourrez évidemment pas ajouter l'en-tête de courrier DKIM ou ajouter votre serveur SMTP dans l'enregistrement DNS SPF du domaine et votre courrier sera donc (à juste titre) considéré comme faux et rejeté.

La bonne pratique consiste à utiliser votre domaine local comme expéditeur, en utilisant éventuellement une adresse inexistante comme nom d'utilisateur.

Répondu el 11 de Juin, 2013 par Stephane (6344 Points )

3 votes

Avatar de Crab Bucket

Excellente réponse. J'ai copié sans vergogne une partie de votre texte pour l'e-mail du client. Je vous remercie.

Commenté el 11 de Juin, 2013 par Crab Bucket

0 votes

Avatar de Stephane

Pas de problème. N'hésitez pas à copier autant que vous le souhaitez. C'est du domaine public :)

Commenté el 11 de Juin, 2013 par Stephane

0 votes

Avatar de Yves

Excellente réponse. Certains fournisseurs de services d'hébergement empêchent l'envoi d'e-mails à partir d'un site ou d'une application php hébergée si l'adresse de départ n'est pas celle d'un domaine qui leur appartient.

Commenté el 11 de Juin, 2013 par Yves
Afficher 8 autres commentaires

11voto

Jenny D avatar
Jenny D Points 26978

TL;DR :

C'est une mauvaise pratique d'utiliser l'adresse électronique du formulaire. Utilisez plutôt une adresse électronique qui est spécifiquement utilisée pour cette liste de diffusion uniquement.

Version longue :

Tout d'abord, il y a en fait deux adresses électroniques utilisées. L'une est celle de l'expéditeur de l'enveloppe, l'autre est celle qui figure sur l'étiquette de l'enveloppe. From: dans l'e-mail.

L'expéditeur de l'enveloppe est celui utilisé par les serveurs de messagerie pour émettre des avis de non-livraison. Si vous gérez une liste de diffusion, cette adresse sera généralement destinée à un script qui peut effacer les adresses non fonctionnelles de la liste de diffusion.

El From: est celle qui sera utilisée lorsque le destinataire du courrier cliquera sur Répondre. Dans ce cas, elle doit pointer vers quelqu'un qui peut réellement répondre à toute question que le destinataire pourrait poser (ou au moins transmettre à quelqu'un qui le peut).

Si vous utilisez la propre adresse électronique du destinataire comme expéditeur de l'enveloppe, vous pouvez vous attendre à ce que certains ou plusieurs serveurs de messagerie rejettent le courrier ou le marquent comme étant probablement du spam, car les gens ne s'envoient pas souvent des courriers à eux-mêmes depuis leur propre adresse via un serveur externe.

Si vous utilisez l'adresse électronique du destinataire en tant que From: -L'utilisateur ne sera pas en mesure de répondre aux messages s'il en a besoin. Il ne suffit pas de placer un lien quelque part dans le corps du message ; les gens utiliseront toujours le bouton "Répondre" de leur client de messagerie et seront mécontents si cela ne fonctionne pas.

Répondu el 11 de Juin, 2013 par Jenny D (26978 Points )

0 votes

Avatar de Crab Bucket

Je vous remercie, en particulier pour le point concernant l'utilisateur qui se répond à lui-même. J'aimerais pouvoir donner deux réponses

Commenté el 11 de Juin, 2013 par Crab Bucket

3 votes

Avatar de JoelFan

Ce n'est pas tout à fait vrai si l'utilisateur clique sur Répondre... l'en-tête Répondre-à (s'il existe) sera utilisé pour cela.

Commenté el 11 de Juin, 2013 par JoelFan

0 votes

Avatar de Jenny D

@JoelFan Bon point concernant l'en-tête Reply-To.

Commenté el 12 de Juin, 2013 par Jenny D

9voto

Rob Moir avatar
Rob Moir Points 31534

Vous avez obtenu d'excellentes réponses concernant les questions techniques. En termes de vente à votre client, il peut être utile de reformuler légèrement la question. Le client vous demande probablement une variante de "est-ce que ça va marcher", à laquelle la réponse est "oui, vous pouvez envoyer des e-mails comme ça".

Il serait préférable qu'ils se posent la question suivante : "Est-ce qu'il "arrivera", est-ce que nos clients le verront s'il est envoyé de cette façon ? Avec la plupart des filtres anti-spam modernes, la réponse est "non, probablement pas".

Répondu el 11 de Juin, 2013 par Rob Moir (31534 Points )

4voto

NickW avatar
NickW Points 10133

Il y a deux problèmes auxquels je pense, le plus important est que vous enverrez des e-mails qui pourraient très probablement ne pas être distribués, et évidemment l'adresse de retour le sera aussi, ce qui signifie que beaucoup d'e-mails resteront en attente. Le plus petit problème pourrait être que certains de ces e-mails finissent dans les spams, car les serveurs recherchent des e-mails provenant de certains domaines et provenant de certaines machines (selon les règles DKIM).

Je créerais le no-reply@customerdomain.com et de décider ce qu'il faut faire de l'e-mail plus tard.

Répondu el 11 de Juin, 2013 par NickW (10133 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X