best-practices-of-secure-email-design
17 червня 2024

Найкращі практики безпечного email-дизайну: перевірте оформлення своїх листів і зробіть його безпечним

Створити листи з безпечним дизайном
Зміст
  1. Які елементи email-дизайну можуть викликати проблеми з безпекою даних?
  2. Додаткові способи зробити email-дизайн безпечнішим
  3. На завершення
1.
Які елементи email-дизайну можуть викликати проблеми з безпекою даних?

У цій статті розглядаються найкращі практики створення розсилок із безпечним email-дизайном, який допомагає захистити дані підписників і поліпшити доставлюваність. Ви дізнаєтеся про основні концепції email-дизайну, завдяки яким шаблони листів матимуть чудовий вигляд і відповідатимуть стандартам безпеки.

Для успіху стратегії email-маркетингу під час розроблення шаблону листа важливо дотримуватися принципів безпеки та захисту даних, про які ми говорили в попередній статті.

У цій статті ви дізнаєтеся, на що потрібно звернути увагу email-маркетологам, щоб захистити дані підписників. Ще одна причина, з якої безпечний дизайн має велике значення: крім забезпечення захисту даних підписників, він безпосередньо впливає на доставлюваність листів, оскільки поштові клієнти аналізують кожен лист і, якщо він має підозрілий вигляд або може скомпрометувати дані підписників, то кидають його в спам і надсилають попередження.

Які елементи email-дизайну можуть викликати проблеми з безпекою даних?

Проблемні елементи в email-дизайні — це, зазвичай, частини листа, в яких пропонується залишити якісь дані або спонукати одержувача вивчити додаткову інформацію у файлі або за посиланням. Для email-маркетолога така взаємодія необхідна для залучення та отримання інформації для сегментації. Однак зловмисники можуть використовувати подібні блоки для отримання конфіденційних даних і поширення вірусів.

HTML та JavaScript

Проблема: кіберзлочинці використовують Flash, JavaScript і ActiveX для поширення вірусів, які потім збирають дані. Це також стосується заборонених стилів CSS і атрибутів HTML. Тому більшість поштових клієнтів не підтримують ці технології та з підозрою ставляться до листів, що містять їх, оскільки ті можуть містити вразливі елементи або використовуватися для запуску шкідливих скриптів.

Кілька порад щодо вирішення:

  1. Будьте обережні й не використовуйте Flash, JavaScript або ActiveX у своїх листах, якщо ви копіюєте код безпосередньо з сайту.
  2. При використанні HTML у листах дотримуйтесь структури HTML-документа. Не використовуйте потенційно небезпечні елементи, зокрема JavaScript, Java-аплети, ActiveX, VBScript і IFrames, які пов'язані з зовнішніми CSS або Meta Refresh сайтами.
  3. Якщо все ж потрібно додати динаміки своєму email-дизайну, замініть Flash-анімацію на GIF-ку.

Ось приклад листа з GIF-анімацією:

(Джерело: лист від Pandora)

Посилання 

Проблема: зловмисники використовують небезпечні посилання, редиректи або скорочувачі посилань, щоб приховати реальну адресу шкідливого сайту або скачуваного файлу .exe. Тому поштові клієнти відстежують такі посилання; одержувачі часто не довіряють їм і сприймають їх як небезпечні. Така ситуація може виникнути і за увімкненого трекінгу кліків, оскільки URL-адресу буде замінено на зашифроване посилання, і виникне невідповідність між URL-адресою та місцем призначення.

Кілька порад щодо вирішення:

  1. Завжди використовуйте посилання на офіційні домени компанії. Чітка URL-адреса допомагає користувачам перевірити справжність посилання.
  2. Не використовуйте сторонні сервіси (редиректори, скорочувачі посилань), щоб приховати реальну інформацію про посадкову сторінку.
  3. Не вказуйте повний URL у тексті листа — натомість вставте його у вигляді гіперпосилання в текст або зображення.
  4. Дизайн має чітко показувати, куди ведуть посилання. Наприклад, використовуйте текстові посилання з чітким описом замість «Клікніть тут».

Приклад листа з безпечним посиланням

(Джерело: лист від StoryBrand)

Вкладення 

Проблема: кіберзлочинці надсилають великі вкладення або незвичні типи файлів, які містять шкідливі елементи або можуть бути інструментами для поширення шкідливого ПЗ. Водночас у тексті листа вони видають їх за щось важливе, корисне або цікаве. Email-дизайн може бути використаний для того, щоб приховати підозрілі елементи або надати їм нешкідливого вигляду.

Кілька порад щодо вирішення:

  1. Завантажте файл на хостинг і дайте підписнику посилання на нього в листі. Ось приклад того, як Stripo розташовує посилання на скачування PDF-файлу на кнопці:

    Як додати вкладення в лист

    (Джерело: лист від Stripo)

  2. Якщо ж необхідно прикріпити кілька невеликих файлів, переконайтеся, що їхній розмір не перевищує допустимий ліміт для різних поштових клієнтів — від 500 КБ до 5 МБ, залежно від бази адрес, на які ви надсилаєте лист.

Зображення 

Проблема: великі вбудовані зображення або листи, що містять лише зображення, вважаються небезпечними, оскільки зловмисники можуть використати їх для розташування на зображенні тексту з закликом надати конфіденційну інформацію або виконати будь-яку дію, необхідну для шахраїв. Водночас фільтри поштових клієнтів не можуть просканувати такий текст і попередити про небезпеку. У результаті такі листи активно потрапляють у спам.

Кілька порад щодо вирішення:

  1. Якщо для оформлення листа використовується одне зображення, розбийте його на кілька частин і додайте текст під кожною з них; збалансуйте використання зображень і тексту, щоб уникнути потрапляння в спам.
  2. Скористайтеся рекомендаціями з використання вбудованих зображень у листах із цієї статті.

Подивіться на цей приклад шаблону, створений дизайнером Stripo: він має вигляд листа з суцільним зображенням, але містить кілька картинок і текстових блоків.

Приклад листа з модулями зображення і тексту

(Джерело: шаблон Stripo)

Замаскований текст 

Проблема: використання невидимого тексту або тексту, що збігається з кольором фону, наприклад білого тексту на білому фоні, або тексту, що зливається з email-дизайном, — поширена тактика, що використовується спамерами і шахраями.

Зловмисники можуть приховувати шкідливі посилання, щоб уникнути миттєвого виявлення користувачами та засобами захисту. Користувачі можуть неусвідомлено взаємодіяти з цими прихованими елементами, що може поставити під загрозу їхні дані.

Крім того, замаскований текст може використовуватися для відображення одного набору контенту для користувачів, тоді як поштовий клієнт обробляє інший, небезпечніший набір інструкцій. Це може призвести до шахрайства, коли користувачів змушують надавати конфіденційну інформацію або скачувати шкідливі вкладення.

Порада щодо вирішення: з метою забезпечення захисту та цілісності листів уникайте використання замаскованого тексту. Тоді листи не будуть позначені як підозрілі, а підписники будуть захищені від витоку даних.

Пікселі відстеження та політика конфіденційності 

Проблема: піксель відстеження листів — це крихітний невидимий інструмент, який збирає цінну інформацію. Він повідомляє про те, коли і де було відкрито листа і на якому пристрої. Це дає змогу маркетологам дізнатися, як люди взаємодіють із листами, і зробити кампанії ефективнішими.

Кіберзлочинці можуть використовувати пікселі відстеження для досягнення своїх цілей. Піксель, налаштований шахраями, може передавати приватну інформацію на сторонній сервер, що дає змогу викрадати персональні дані користувачів. Пікселі відстеження також можуть використовуватися у фішингових кампаніях, дозволяючи хакерам збирати інформацію про свої цілі. Наприклад, якщо зловмисник знає, що електронна адреса валідна, а одержувач листа може її відкрити, то він може скористатися цією вразливістю, щоб завантажити в лист шкідливий контент.

Якщо компанія збирає дані без відома і згоди користувачів, вона також порушує їхню конфіденційність.

Кілька порад щодо вирішення:

  1. Обов'язково враховуйте всі закони та нормативні акти про конфіденційність даних, які впливають на збір інформації про поведінку користувачів у різних країнах та індустріях.
  2. Забезпечте прозорість методів збору та обробки даних і захист персональних даних.
  3. Додайте інформацію про політику конфіденційності та обробку даних у футері листа.
  4. Дизайн має передбачати чітку та просту можливість відписатися від розсилки, що також є юридичною вимогою відповідно до GDPR та інших нормативних актів.

Етичне використання даних є пріоритетом, а баланс між гіперперсоналізованим досвідом, якого жадають клієнти, і конфіденційністю користувачів може бути складним завданням.

Крістен Гейнс

Крістен Гейнс,

CEO компанії MailCon, Chief Events Officer у Phonexa.

Вбудовані форми

Проблема: проблема використання вбудованих форм у листах для отримання інформації полягає в тому, що зловмисники можуть легко підробити такі форми, ускладнюючи одержувачам можливість відрізнити справжні форми від фальшивих. Клік на такі підроблені форми може призвести до фішингових атак, зараження шкідливим ПЗ і крадіжки даних.

Крім того, підписники, які надсилають конфіденційну інформацію за допомогою таких форм, можуть бути більш уразливими для перехоплення або несанкціонованого доступу.

Кілька порад щодо вирішення (якщо ви все ще хочете використовувати вбудовану форму листа):

  1. Запитуйте тільки ті дані, які вам потрібні. Дизайн форми підписки і введення даних повинен зводити до мінімуму кількість запитуваних персональних даних.
     

    Важливо не зберігати і не запитувати непотрібну інформацію. Збирання тільки тих даних, які необхідні для сегментації, допомагає захистити конфіденційність користувачів.

    Кіт Кузманофф

    Кіт Кузманофф,

    Провідний спеціаліст зі стратегії email-маркетингу.
  2. Використовуйте шифрування (HTTPS) для передачі даних, щоб запобігти їх перехопленню.
  3. Використовуйте безпечний інтерактивний модуль «Опитувальник» у генераторі інтерактивних модулів Stripo, щоб легко створити форму без необхідності кодингу.

Готовий інтерактивний модуль у редакторі Stripo

Ці форми Stripo враховують усі вимоги безпечного email-дизайну, і крім AMP- і HTML-версій у них є фолбек, який дає змогу відображати інтерактивний опитувальник у всіх поштових клієнтах і безпечно збирати дані. Ви отримуєте можливість відстежувати ефективність цих фолбеків — усі дані ретельно збираються і зберігаються в нашому сервісі даних.

Вам також може сподобатися

upgrade-of-the-game-module-generatorГарантована залученість для всіх: необхідні норми фолбеку в гейміфікованому email-маркетингу

Інтерактивні елементи 

Проблема: інтерактивні елементи в листах, особливо AMP (Accelerated Mobile Pages), які використовуються для створення таких механік, як каруселі, акордеони та різні види гейміфікації, можуть створювати ризики для безпеки. Динамічним контентом можна маніпулювати для фішингових атак, коли користувачі можуть взаємодіяти зі шкідливими формами або посиланнями, не виходячи з поштового клієнта.

Перевірка AMP-листів дає змогу Google захистити користувачів від таких загроз, як фішинг, шкідливе ПЗ і витік даних. Вони перевіряють і блокують усі повідомлення електронної пошти, які здаються їм підозрілими.

Що роблять поштові клієнти, ESP і конструктори листів:

  1. Надсилати листи на основі AMP можуть тільки компанії з білого списку. І Gmail, і Yahoo ретельно перевіряють кожен бренд, перш ніж додати його до свого білого списку.
  2. Коли Gmail і Verizon вирішують, чи показувати одержувачам AMP-версію листа, вони перевіряють хедери CORS. Якщо вимог CORS не дотримано, відображається фолбек. AMP-контент не може бути переадресований.
  3. Для безпеки листів блок AMP має термін дії. Поштовий клієнт перестає відображати його через 30 днів, якщо користувач відповідає, пересилає AMP-листа або оновлює кеш.
  4. ESP і конструктори листів, зі свого боку, перевіряють код AMP-листів. Вони використовують обмеження швидкості. Якщо з однієї IP-адреси надсилається багато запитів, система власноруч перевіряє контент таких листів.

Кілька порад щодо вирішення:

  1. Дотримуйтесь суворих правил налаштування хедерів CORS.
  2. Використовуйте інтерактивний фолбек, тоді підписники завжди бачитимуть інтерактивну версію листа.
  3. Видаліть невикористовувані скрипти AMP і переконайтеся, що всі ресурси завантажуються тільки через https.
  4. Використовуйте готові інтерактивні модулі, щоб уникнути помилок і ризиків.

Для простішого розв'язання цих проблем можна використовувати генератор інтерактивних модулів Stripo, який дає змогу створювати динамічний контент без проблем із кодом.

Ось один із прикладів гейміфікації — гра «Знайдіть пару», яку можна створити за допомогою генератора інтерактивних модулів:

Шаблон листа з грою «Знайдіть пару»

Додаткові способи зробити email-дизайн безпечнішим

У цьому розділі пропонуються поради та методики, які допоможуть вам запобігти загрозі — створювати email-дизайн, який складно імітувати, та інформувати своїх підписників про те, як зберегти дані в безпеці.

Антифішинговий email-дизайн

Email-дизайн може стати чудовою зброєю в боротьбі з фішинговими атаками і захистити бренд від репутаційних втрат, а підписників — від витоку конфіденційних даних. 

Ось кілька можливих тактик:

  • офіційні логотипи, корпоративні кольори та шрифти, які асоціюються у користувачів з брендом, в оформленні листів;
  • унікальні графічні або дизайнерські елементи, які складно підробити;
  • персоналізація листів — використання імені одержувача та іншої персоналізованої інформації, доступної тільки вам і користувачеві;
  • підпис листа і контактна інформація;
  • однакові формат, структура і тон у кожному листі, щоб користувачам було легше розпізнати підроблені листи, які не відповідають звичній комунікації;
  • мобільна оптимізація і темний режим — якщо листи мають однаково гарний вигляд як на десктопах, так і на мобільних пристроях у світлому і темному режимах, це свідчить про серйозне ставлення. Шахраї не витрачають час на такі тонкощі.

Навчальні матеріали

Хто попереджений — той озброєний. Нагадайте підписникам про необхідність розпізнавати фішинг та інші загрози безпеці інформації, а також захищати свої дані. Цей підхід особливо актуальний для компаній, що надають конфіденційні дані користувачів — банків, страхових служб тощо. Їм необхідно навчати своїх підписників і нагадувати їм, що вони не просять паролі або доступ.

Чудовий спосіб продемонструвати підтримку — додати у свої email-розсилки інформацію про те, як користувачі можуть повідомляти про підозрілі листи. Це може бути спеціальна електронна адреса або форма на сайті.

На завершення

Безпека email-дизайну має вирішальне значення для захисту підписників від потенційних загроз. Зовнішні скрипти, вбудовані форми, великі вкладення, небезпечні посилання, надмірна кількість зображень і замаскований текст можуть значно підвищити ризик витоку даних і фішингових атак. Усунувши ці ризиковані елементи, email-маркетологи можуть знизити ймовірність того, що їхні листи будуть позначені як небезпечні, і підвищити загальну безпеку комунікації.

Безпечний email-дизайн захищає дані користувачів і зміцнює довіру між брендом і підписниками. Впровадження сучасних методів забезпечення захисту листів допомагає підтримувати позитивну репутацію і гарантує, що маркетингові зусилля досягнуть цільової аудиторії без шкоди для неї. Зрештою, пріоритет безпеки листів важливий для створення надійного і захищеного email-середовища, що приносить користь організації та її підписникам.

Створюйте листи з безпечним дизайном за допомогою Stripo
Чи була ця стаття корисна?
Tell us your thoughts
Дякуємо за ваш відгук!
0 коментарів
Тип
Індустрія
Сезони
Інтеграції
Редактор Stripo
Спростіть процес створення листів.
Плагін Stripo
Інтегруйте Drag-n-Drop редактор Stripo у свій веб-додаток.
Замовити власний шаблон
Наша команда може розробити і зверстати його для вас. Просто заповніть бриф, і ми зв'яжемося з вами найближчим часом.

Редактор Stripo

Для команд фахівців з email-маркетингу та індивідуальних розробників листів.

Плагін Stripo

Для продуктів, які можуть ефективно використовувати інтегрований white label конструктор листів.