best-practices-of-secure-email-design
17 июня

Лучшие практики безопасного email-дизайна: проверьте оформление своих писем и сделайте его безопасным

Алина Самульская-Холина
Оглавление
  1. Какие элементы email-дизайна могут вызвать проблемы с безопасностью данных?
  2. Дополнительные способы сделать email-дизайн более безопасным
  3. В завершение
1.
Какие элементы email-дизайна могут вызвать проблемы с безопасностью данных?

Для успеха стратегии email-маркетинга при разработке шаблона письма важно соблюдать принципы безопасности и защиты данных, о которых мы говорили в предыдущей статье.

В этой статье вы узнаете, на что нужно обратить внимание email-маркетологам, чтобы защитить данные подписчиков. Еще одна причина, по которой безопасный дизайн имеет большое значение: помимо обеспечения безопасности данных подписчиков, он напрямую влияет на доставляемость писем, поскольку почтовые клиенты анализируют каждое письмо, и если оно выглядит подозрительно или может скомпрометировать данные подписчиков, то отправляют его в спам и присылают предупреждение.

Какие элементы email-дизайна могут вызвать проблемы с безопасностью данных?

Проблемные элементы в email-дизайне — это, как правило, части письма, в которых предлагается оставить какие-то данные или побудить получателя изучить дополнительную информацию в файле или по ссылке. Для email-маркетолога такое взаимодействие необходимо для вовлечения и получения информации для сегментации. Однако злоумышленники могут использовать подобные блоки для получения конфиденциальных данных и распространения вирусов.

HTML и JavaScript

Проблема: киберпреступники используют Flash, JavaScript и ActiveX для распространения вирусов, которые затем собирают данные. Это также относится к запрещенным стилям CSS и атрибутам HTML. Поэтому большинство почтовых клиентов не поддерживают эти технологии и с подозрением относятся к письмам, содержащим их, поскольку те могут содержать уязвимые элементы или использоваться для запуска вредоносных скриптов.

Несколько советов по решению: 

  1. Будьте осторожны и не используйте Flash, JavaScript или ActiveX в своих письмах, если вы копируете код непосредственно с сайта.
  2. При использовании HTML в письмах соблюдайте структуру HTML-документа. Не используйте потенциально опасные элементы, такие как JavaScript, Java-апплеты, ActiveX, VBScript и IFrames, которые связаны с внешними CSS или Meta Refresh сайтами.
  3. Если все же нужно придать динамику своему email-дизайну, замените Flash-анимацию на GIF-ку.

Вот пример письма с GIF-анимацией:

(Источник: письмо от Pandora)

Ссылки 

Проблема: злоумышленники используют небезопасные ссылки, редиректы или сокращатели ссылок, чтобы скрыть реальный адрес вредоносного сайта или скачиваемого файла .exe. Поэтому почтовые клиенты отслеживают такие ссылки; получатели часто не доверяют им и воспринимают их как опасные. Такая ситуация может возникнуть и при включенном трекинге кликов, поскольку URL-адрес будет заменен на зашифрованную ссылку, и возникнет несоответствие между URL-адресом и местом назначения.

Несколько советов по решению: 

  1. Всегда используйте ссылки на официальные домены компании. Четкий URL-адрес помогает пользователям проверить подлинность ссылки.
  2. Не используйте сторонние сервисы (редиректоры, сокращатели ссылок), чтобы скрыть реальную информацию о посадочной странице.
  3. Не указывайте полный URL в тексте письма — вместо этого вставьте его в виде гиперссылки в текст или изображение.
  4. Дизайн должен четко показывать, куда ведут ссылки. Например, используйте текстовые ссылки с четким описанием вместо «Кликните здесь».

Пример письма с безопасной ссылкой

(Источник: письмо от StoryBrand)

Вложения 

Проблема: киберпреступники отправляют большие вложения или необычные типы файлов, которые содержат вредоносные элементы или могут быть инструментами для распространения вредоносного ПО. В то же время в тексте письма они выдают их за нечто важное, полезное или интересное. Email-дизайн может быть использован для того, чтобы скрыть подозрительные элементы или придать им безобидный вид.

Несколько советов по решению: 

  1. Загрузите файл на хостинг и дайте подписчику ссылку на него в письме. Вот пример того, как Stripo размещает ссылку на скачивание PDF-файла на кнопке:

    Как добавить вложение в письмо

    (Источник: письмо от Stripo)

  2. Если необходимо прикрепить несколько небольших файлов, убедитесь, что их размер не превышает допустимый лимит для разных почтовых клиентов — от 500 КБ до 5 МБ, в зависимости от базы адресов, на которые вы отправляете письмо.

Изображения 

Проблема: большие встроенные изображения или письма, содержащие только изображения, считаются опасными, поскольку злоумышленники могут использовать их для размещения на изображении текста с призывом предоставить конфиденциальную информацию или совершить какое-либо действие, необходимое мошенникам. В то же время фильтры почтовых клиентов не могут просканировать такой текст и предупредить об опасности. В результате такие письма активно попадают в спам.

Несколько советов по решению:

  1. Если для оформления письма используется одно изображение, разбейте его на несколько частей и поместите текст под каждой из них; сбалансируйте использование изображений и текста, чтобы избежать попадания в спам.
  2. Воспользуйтесь рекомендациями по использованию встроенных изображений в письмах из этой статьи.

Посмотрите на этот пример шаблона, созданный дизайнером Stripo: он выглядит как письмо со сплошным изображением, но содержит несколько картинок и текстовых блоков.

Пример письма с модулями изображения и текста

(Источник: шаблон Stripo)

Замаскированный текст 

Проблема: использование невидимого текста или текста, совпадающего с цветом фона, например белого текста на белом фоне или текста, сливающегося с email-дизайном, — распространенная тактика, используемая спамерами и мошенниками.

Злоумышленники могут скрывать вредоносные ссылки, чтобы избежать мгновенного обнаружения пользователями и средствами защиты. Пользователи могут неосознанно взаимодействовать с этими скрытыми элементами, что может поставить под угрозу их данные.

Кроме того, замаскированный текст может использоваться для отображения одного набора контента для пользователей, в то время как почтовый клиент обрабатывает другой, более опасный набор инструкций. Это может привести к обману, когда пользователей вынуждают предоставлять конфиденциальную информацию или скачивать вредоносные вложения.

Совет по решению: в целях обеспечения безопасности и целостности писем избегайте использования замаскированного текста. Тогда письма не будут отмечены как подозрительные, а подписчики будут защищены от утечки данных.

Пиксели отслеживания и политика конфиденциальности 

Проблема: пиксель отслеживания писем — это крошечный невидимый инструмент, который собирает ценную информацию. Он сообщает о том, когда и где было открыто письмо и на каком устройстве. Это позволяет маркетологам узнать, как люди взаимодействуют с письмами, и сделать кампании более эффективными.

Киберпреступники могут использовать пиксели отслеживания для достижения своих целей. Пиксель, настроенный мошенниками, может отправлять личную информацию на сторонний сервер, что позволяет похищать персональные данные пользователей. Пиксели отслеживания также могут использоваться в фишинговых кампаниях, позволяя хакерам собирать информацию о своих целях. Например, если злоумышленник знает, что электронный адрес валиден, а получатель письма может его открыть, то он может воспользоваться этой уязвимостью, чтобы загрузить в письмо вредоносный контент.

Если компания собирает данные без ведома и согласия пользователей, она также нарушает их конфиденциальность.

Несколько советов по решению:

  1. Обязательно учитывайте все законы и нормативные акты о конфиденциальности данных, которые влияют на сбор информации о поведении пользователей в разных странах и индустриях.
  2. Обеспечьте прозрачность методов сбора и обработки данных и безопасность персональных данных.
  3. Разместите информацию о политике конфиденциальности и обработке данных в футере письма.
  4. Дизайн должен предусматривать четкую и простую возможность отписаться от рассылки, что также является юридическим требованием в соответствии с GDPR и другими нормативными актами.

Этичное использование данных является приоритетом, а баланс между гиперперсонализированным опытом, которого жаждут клиенты, и конфиденциальностью пользователей может быть непростой задачей.

Кристен Хейнс

Кристен Хейнс,

CEO компании MailCon, Chief Events Officer в Phonexa.

Встроенные формы

Проблема: проблема использования встроенных форм в письмах для получения информации заключается в том, что злоумышленники могут легко подделать такие формы, затрудняя получателям возможность отличить подлинные формы от фальшивых. Клик по таким поддельным формам может привести к фишинговым атакам, заражению вредоносным ПО и краже данных.

Кроме того, подписчики, отправляющие конфиденциальную информацию с помощью таких форм, могут быть более уязвимы для перехвата или несанкционированного доступа.

Несколько советов по решению (если вы все еще хотите использовать встроенную форму письма):

  1. Запрашивайте только те данные, которые вам нужны. Дизайн формы подписки и ввода данных должен сводить к минимуму количество запрашиваемых персональных данных.
     

    Важно не хранить и не запрашивать ненужную информацию. Сбор только тех данных, которые необходимы для сегментации, помогает защитить конфиденциальность пользователей.

    Кит Кузманофф

    Кит Кузманофф,

    Ведущий специалист по стратегии email-маркетинга.
  2. Используйте шифрование (HTTPS) для передачи данных, чтобы предотвратить их перехват.
  3. Используйте безопасный интерактивный модуль «Опросник» в генераторе интерактивных модулей Stripo, чтобы легко создать форму без необходимости кодинга.

Готовый интерактивный модуль в редакторе Stripo

Эти формы Stripo учитывают все требования безопасного email-дизайна, и помимо AMP- и HTML-версий у них есть фолбек, который позволяет отображать интерактивный опросник во всех почтовых клиентах и безопасно собирать данные. Вы получаете возможность отслеживать эффективность этих фолбеков — все данные тщательно собираются и хранятся в нашем сервисе данных.

Вам также может понравиться

upgrade-of-the-game-module-generatorГарантированная вовлеченность для всех: необходимые нормы фолбэка в геймифицированном email-маркетинге

Интерактивные элементы 

Проблема: интерактивные элементы в письмах, особенно AMP (Accelerated Mobile Pages), которые используются для создания таких механик, как карусели, аккордеоны и различные виды геймификации, могут создавать риски для безопасности. Динамическим контентом можно манипулировать для фишинговых атак, когда пользователи могут взаимодействовать с вредоносными формами или ссылками, не выходя из почтового клиента.

Проверка AMP-писем позволяет Google защитить пользователей от таких угроз, как фишинг, вредоносное ПО и утечка данных. Они проверяют и блокируют все сообщения электронной почты, которые кажутся им подозрительными.

Что делают почтовые клиенты, ESP и конструкторы писем:

  1. Отправлять письма на основе AMP могут только компании из белого списка. И Gmail, и Yahoo тщательно проверяют каждый бренд, прежде чем добавить его в свой белый список.
  2. Когда Gmail и Verizon решают, показывать ли получателям AMP-версию письма, они проверяют хедеры CORS. Если требования CORS не соблюдены, отображается фолбек. AMP-контент не может быть переадресован.
  3. Для безопасности писем блок AMP имеет срок действия. Почтовый клиент перестает отображать его через 30 дней, если пользователь отвечает, пересылает AMP-письмо или обновляет кэш.
  4. ESP и конструкторы писем, в свою очередь, проверяют код AMP-писем. Они используют ограничение скорости. Если с одного IP-адреса отправляется много запросов, система вручную проверяет контент таких писем.

Несколько советов по решению:

  1. Соблюдайте строгие правила настройки хедеров CORS.
  2. Используйте интерактивный фолбек, тогда подписчики всегда будут видеть интерактивную версию письма.
  3. Удалите неиспользуемые скрипты AMP и убедитесь, что все ресурсы загружаются только через https.
  4. Используйте готовые интерактивные модули, чтобы избежать ошибок и рисков.

Для более простого решения этих проблем можно использовать генератор интерактивных модулей Stripo, который позволяет создавать динамический контент без проблем с кодом.

Вот один из примеров геймификации — игра «Найдите пару», которую можно создать с помощью генератора интерактивных модулей:

Шаблон письма с игрой «Найдите пару»

Дополнительные способы сделать email-дизайн более безопасным

В этом разделе представлены советы и методики, которые помогут вам предотвратить угрозу — создавать email-дизайн, который сложно имитировать, и информировать своих подписчиков о том, как сохранить данные в безопасности.

Антифишинговый email-дизайн

Email-дизайн может стать отличным оружием в борьбе с фишинговыми атаками и защитить бренд от репутационных потерь, а подписчиков — от утечки конфиденциальных данных. 

Вот несколько возможных тактик:

  • официальные логотипы, корпоративные цвета и шрифты, которые ассоциируются у пользователей с брендом, в оформлении писем;
  • уникальные графические или дизайнерские элементы, которые сложно подделать;
  • персонализация писем — использование имени получателя и другой персонализированной информации, доступной только вам и пользователю;
  • подпись письма и контактная информация;
  • одинаковые формат, структура и тон в каждом письме, чтобы пользователям было легче распознать поддельные письма, не соответствующие привычной коммуникации;
  • мобильная оптимизация и темный режим — если письма выглядят одинаково хорошо как на десктопах, так и на мобильных устройствах в светлом и темном режимах, это говорит о серьезном отношении. Мошенники не тратят время на такие тонкости.

Учебные материалы

Предупрежден — значит, вооружен. Напомните подписчикам о необходимости распознавать фишинг и другие угрозы безопасности информации, а также защищать свои данные. Этот подход особенно актуален для компаний, предоставляющих конфиденциальные данные пользователей — банков, страховых служб и т. д. Им необходимо обучать своих подписчиков и напоминать им, что они не просят пароли или доступ.

Отличный способ продемонстрировать поддержку — добавить в свои email-рассылки информацию о том, как пользователи могут сообщать о подозрительных письмах. Это может быть специальный электронный адрес или форма на сайте.

В завершение

Безопасность email-дизайна имеет решающее значение для защиты подписчиков от потенциальных угроз. Внешние скрипты, встроенные формы, большие вложения, небезопасные ссылки, чрезмерное количество изображений и замаскированный текст могут значительно повысить риск утечки данных и фишинговых атак. Устранив эти рискованные элементы, email-маркетологи могут снизить вероятность того, что их письма будут отмечены как опасные, и повысить общую безопасность коммуникации.

Безопасный email-дизайн защищает данные пользователей и укрепляет доверие между брендом и подписчиками. Внедрение современных методов обеспечения безопасности писем помогает поддерживать положительную репутацию и гарантирует, что маркетинговые усилия достигнут целевой аудитории без ущерба для нее. В конечном счете, приоритет безопасности писем важен для создания надежной и защищенной email-среды, приносящей пользу организации и ее подписчикам.

Создавайте письма с безопасным дизайном с помощью Stripo
Была ли статья полезна?
Tell us your thoughts
Спасибо за ваш отзыв!
0 комментариев
Тип
Индустрия
Сезоны
Интеграции
Редактор Stripo
Упростите процесс создания писем.
Плагин Stripo
Интегрируйте Drag-n-Drop редактор Stripo в свое веб-приложение.
Заказать шаблон
Наша команда может разработать и сверстать его для вас. Просто заполните бриф, и мы свяжемся с вами в ближайшее время.

Редактор Stripo

Для команд специалистов по email-маркетингу и индивидуальных разработчиков писем.

Плагин Stripo

Для продуктов, которые могут эффективно использовать интегрированный white label конструктор писем.