Studie: 97 % e-shopů nechrání svoji reputaci v e-mailingu!

Opakuju to na každé své přednášce: “nedoručitelný e-mail neprodá”. A i přesto je to pořád u většiny tuzemských e-shopů s nastavením základních parametrů pro lepší doručitelnost bída. Já to nakonec i chápu. Jakmile někde vyslovím SPF, DKIM, DMARC, tak se marketérům (a nejednou i administrátorům) zatmí před očima a přestávají vnímat. Jenže pak se stane, že přijde podvržený e-mail, který se tváří jako oficiální e-mail od banky:Myslíte si, že jsou IT v UniCredit Bank neschopní? To těžko, svěřujete jim přece svoje peníze a nechcete o ně přijít. A i přesto je možné, že se někdo “vozí” na jejich dobrém jménu a posílá výše uvedené e-maily. A já se ptám – jak víte, že se to neděje i vám? Nebo že nebudete obětí podobného útoku zítra? Pokud by v UniCredit Bank měli správně nastavené SPF a DMARC, tak se podobný e-mail nedoručí a neudělá škodu! Jak jste na tom vy? A jak na tom jsou vaše e-shopy?

Metodika

Ve spolupráci s firmou Dmarcian.com jsme zkontrolovali 35432 e-shopů, resp. jejich DNS záznamů. Ověřovali jsme následující (jednotlivé pojmy vysvětlíme v dalších kapitolách):

  1. jestli vůbec mají vyplněný SPF záznam,
  2. pokud ano, tak jestli je vyplněný správně,
  3. jestli mají vyplněný DMARC záznam,
  4. pokud ano, tak jestli je vyplněný správně.

SPF záznam je úplný základ

Když to trochu zjednoduším, tak Sender Policy Framework slouží k ochraně serverů, které fyzicky odesílají vaše e-maily – prostě v něm jen vyjmenujete IP adresy nebo rozsahy IP vámi dedikovaných serverů. Nicméně je to celé trochu složitější, existuje řada pravidel a k nim ještě pár výjimek, takže raději doporučujeme svěřit kontrolu do rukou těm, kdo tomu opravdu rozumí. To nejmenší, co můžete pro svůj klid udělat je spustit si validátor, kam zadáte celou doménu, ze které odesíláte vaši poštu. Ale pozor, je v tom trochu háček, ty domény jsou totiž celkem dvě, než se tady pouštět do hlubších rozborů, tak raději zkontrolujte a nechte nastavit obě dvě: 

  • jednu najdete snadno – to je doména, ze které jste ten e-mail poslali, je uvedená v hlavičce jako “From”
  • tu druhou už musíte chvíli hledat, je to doména e-mailové služby, která fyzicky tu zprávu poslala, v hlavičce ji nejčastěji najdete jako “Return-path”.

Např. u newsletteru od Ondry Ilinčeva (zdravím :-)), který používá pro rozesílky MailChimp, najdete: 

  • Return-Path: <bounce-mc.us10_38278277.1239237-a5f4f12af3@mail140.atl81.rsgsv.net>
  • From: <o@ilincev.com>

Do validátoru zadáte postupně obě dvě a vyjde vám:

Kromě toho, že používá zbytečně benevolentní politiku, která určuje, co se má udělat se zprávami, které SPF nastavení nesplňují (to je ta hláška za vykřičníkem :-)), tak na něm není nic špatně. 

Ještě taková jedna pomůcka. Pokud používáte Gmail nebo GSuite, tak se výsledek kontroly SPF dozvíte z hlavičky příchozího e-mailu. Konkrétně u Ondry tam vidím: 

Received-SPF: pass (google.com: domain of bounce-mc.us10_38278277.1239237-a5f4f12af3@mail140.atl81.rsgsv.net designates 198.2.129.140 as permitted sender) client-ip=198.2.129.140;

Jedna z věcí, která z toho vyplývá, je ta, že SPF by měl mít správně nastavený i e-mailový nástroj, který jste si vybrali pro rozesílky vašich marketingových newsletterů. 

U MailChimpu je tedy všechno v pořádku. Jak ale dopadly naše testované e-shopy? Porovnali jsme data z loňského roku a vyšlo nám, že:

4348 e-shopů změnilo během roku svůj SPF záznam

Důvodem takové změny může být stěhování infrastruktury, změna providera pro posílání e-mailů nebo nástroje pro e-mail marketing. 

Důvodem taky může být snaha “spravit” si původně rozbitý SPF záznam. Z výše uvedeného počtu si 367 firem opravila SPF. Mimo jiné to byly firmy jako Datart, Sportisimo, Kosmas, Deichmann, Spokojený pes, Globus, ZOOT nebo Baumax. Tady pochopitelně chválíme! 

Bohužel, jak už to tak chodí, když se do něčeho “vrtá”, tak se to může i rozbít. Takže máme i opačné případy: 330 firem si původně funkční SPF záznam rozbilo a momentálně může mít problém s doručitelností. A jsou mezi nimi opět i velká jména: Knihy Dobrovský, OKAY, About You, Agátin svět, Pietro Filipi a další… 

Takže celkově nám vychází:

wdt_ID Stav Počet e-shopů Podíl e-shopů
1 Vyplněný SPF záznam 13.663 38,60
2 100% validní SPF záznam 12.752 36,00

Pokud se ale podíváme na skupinu e-shopu, které mají alespoň nějak vyplněný SPF záznam a změříme, v jakém procentu případů došlo k meziročnímu zlepšení, budeme moci e-shopy pochválit. Z 66 % správně vyplněných SPF záznamů jsme se v roce 2019 dostali na 93,3 %.

 

Dalšími příklady velkých firem, které mají nevalidní SPF jsou např. Mall.cz, Decathlon nebo MegaKnihy, kteří mají ten SPF záznam rozbitý už více než rok (a evidentně jim to moc nevadí).

Pavel Pola na konferenci Reshoper 2019 o e-mailingu
Pavel Pola na konferenci Reshoper 2019 o e-mailingu

DMARC vám řekne, kdo vám škodí

Když to zjednoduším, tak Domain-based Message Authentication, Reporting & Conformance slouží ke dvěma věcem:

  1. Poskytne vám podrobný přehled o tom, co se děje na vaší doméně s e-maily (z jakých IP jsou posílané, jak často, jestli jsou správně podepsané, jestli splňují SPF/DKIM, apod.). Díky tomu je pak možné nejen napravit tyto nedostatky, ale obecně získat kontrolu nad infrastrukturou pro odesílání pošty. Zvláště u větších organizací se pomocí DMARC často zjistí, odkud odevšad z firemní sítě chodí jaká pošta.
  2. Umí zablokovat příjem e-mailu, který nesplňuje potřebné parametry (a zabránit tak např. doručení phishingu, spamu, virů a dalších podvodných e-mailů vaším jménem).

Mělo by tedy být cílem každého rozumného člověka mít svoji doménu pod kontrolou – aby se např. nestalo to, co jsem psal v úvodu u UniCredit Bank, jejíž DMARC záznam vypadá takhle:

 

Díky nevalidnímu DMARC záznamu nemohl být příchozí SPAM (nebo možná i virus) odmítnut.

1324 e-shopů změnilo během roku svůj DMARC záznam

Stejně jako v případě SPF se některé změny povedly k lepšímu a některé naopak situaci zhoršily:

  • jen 81 e-shopů “spravilo” svůj rozbitý DMARC záznam (např. Baumax, 4Camping, apod.)
  • 25 e-shopů svůj původně fungující DMARC naopak rozbilo (např. SportFotbal.cz)

Ale bohužel, pořád je stav akceptace DMARC mezi českými e-shopy velmi špatný.

wdt_ID Stav DMARC záznamu New column Podíl e-shopů
1 Nevyplněno 32.494 91,70
2 Vyplněný DMARC záznam 2.938 8,30
3 Validní DMARC záznam 2.849 8,00

Znovu je potřeba zopakovat, že validátor označí jako validní i tyto záznamy:

v=DMARC1; p=none

Ty ale nemají vůbec žádnou hodnotu, protože ve zkratce říkají “žádnou politiku ochrany nepoužij a žádné reporty nikam neposílej”. Tomu já říkám záznam pro záznam. Tohle vám reputaci nezachrání. Podobných záznamů je bohužel mezi výše uvedenými ještě dost. 

Tj. DMARC záznamů, které mají nějaký smysl, je jen 1044! A to je tragicky malé číslo!

Jen 2,95 % e-shopů má DMARC záznam s nějakou přidanou hodnotou!

Jak je na tom TOP 300 e-shopů?

Pojďme se ještě inspirovat u největších. Vybrali jsme 300 největších e-shopů dle jejich organické návštěvnosti v Google (viz metodika) a podívali jsme se, v jakém % mají tyto e-shopy správně SPF a DMARC a porovnali to se zbytkem trhu. 

 

Jak je vidět, největší e-shopy mají SPF záznam v pořádku více než 2x častěji, u DMARCu je to dokonce více než 8x tak často. Nechcete se i vy inspirovat u těch, kdo to evidentně umí? 

Chcete mít svoje logo v inboxu?

Znáte to, schránka přetéká desítkami a stovkami e-mailů, jak se odlišit, abyste byli vidět? Ale hlavně, jak potvrdit, že jste ten e-mail poslali opravdu vy a že to není nějaký podvrh? K tomu přesně slouží nový standard BIMI, což je zkratka pro Brand Indicators for Message Identification. S jeho pomocí můžete mít vedle vámi odeslaných e-mailů i svoje firemní logo. 

Aby to ale bylo možné, musíte splnit pár dalších věcí (mimo jiné):

  1. musíte mít správně implementovaný DMARC,
  2. musíte mít nastavenou policy alespoň na úroveň quarantine, lépe ale na reject,
  3. musíte mít správně připravené podklady pro stažení loga ve vašem DNS,
  4. musíte mít dobrou reputaci odesílatele a angažované zákazníky – výše uvedené technické náležitosti jsou jen jednou z podmínek, konečné rozhodnutí, jestli vaše logo bude nebo nebude vidět je na poskytovateli e-mailových schránek. V tuto chvíli BIMI standard plně podporuje pouze OATH/Yahoo, ale Google, jakožto jeden z členů pracovní skupiny, přislíbil podporu v Gmailu během tohoto roku (2020).

Aktualizace: používáte Heuréku (Ověřeno zákazníky)?

Na základě komentáře od Vládi Vody jsem si uvědomil, že jsem zapomněl zmínit speciální případ, když používáte Heuréku pro zasílání hodnocení spokojenosti v programu Ověřeno zákazníky. V takovém případě je silně doporučeno přidat do SPF ještě jejich servery a je nezbytně nutné přidat jejich DKIM klíč (viz nápověda). Pokud to neuděláte, můžou e-maily s hodnocením padat do SPAMu (nebo nemusí dorazit vůbec, pokud např. používáte DMARC v úrovni reject), protože neprojde kontrola DKIM podpisu, jako se to stalo v případě Mountfieldu.

Authentication-Results: mx.google.com;
dkim=temperror (no key for signature) header.i=@mountfield.cz header.s=heureka header.b=dLYN1LNB;
spf=pass (google.com: domain of heureka@heureka.cz designates 185.68.70.207 as permitted sender)

A co dál?

  1. Pokud byste si o nastavení DNS záznamů, doručitelnosti nebo obecně e-mail marketingu chtěli popovídat osobně, tak Pavel Pola bude fungovat jako konzultant na našem veletrhu – stačí se zdarma zaregistrovat
  2. Zkontrolujte si SPF záznam (vyplňte (sub)doménu, ze které rozesíláte e-maily)
  3. Zkontrolujte si DMARC záznam (vyplňte top-level doménu vašeho e-shopu)
  4. Napište, kdybyste potřebovali vaše DNS zkontrolovat nebo pomoct s jejich nastavením. Opakovaně se nám ukazuje, že ani IT administrátoři ve firmách (viz UniCredit Bank) neumí nastavit ty záznamy správně a pak to vypadá jak to vypadá. 

Data byla zpracována validátorem firmy Dmarcian.com, který generuje krásné DMARC reporty a poskytuje poradenství po celém světě.

Už máte svou vstupenku na Reshoper – 30. ledna v Praze?

Získejte přehled o novinkách ze světa e-commerce, potkejte se s desítkami potenciálních partnerů, získejte nové kontakty nebo třeba konzultaci zdarma přímo od autora tohoto článku. Stačí se zaregistrovat zdarma zde. Těšíme se na vás již 30. ledna v PVA Letňany Praha.

6 komentářů

  1. Nejprve by bylo dobré si zjistit, z jakých domén (popř. subdomén) Agátin svět rozesílá, než vypouštět do světa hoaxy

    1. Ahoj Vláďo,

      jsem opravdu rád, že čteš moje články! 🙂 A jsem rád, že ses ozval, aspoň si to můžeme vysvětlit.

      SPF je důležité pro jakékoliv e-maily, nikoliv jen marketingové! To, že na hlavní doméně nemají SPF správně (a ty sám víš, že je chyba, když jsou tam dva!), tak to není dobře pro firmu jako celek. Troufám si tvrdit, že z @agatinsvet.cz odchází minimálně firemní pošta. Když se tak dívám, tak z téhle domény odesílají docela dost e-mailů např. i z Heuréky (a díky za upozornění, zapomněl jsem to do článku napsat, že je potřeba tam přidat i jejich servery), docela dost se tam opakuje Google, ačkoliv nepoužívají Google GSuite. Napočítal jsem celkem 32 IP adres, přes které chodí e-maily z @agatinsvet.cz. Takže i přesto, že marketing posíláte z domény newsletter.agatinsvet.cz, kde to máte nastavené správně, tak byste měli klientovi doporučit, aby si spravil i ten TLD (tj. aby tam měl jen jeden SPF záznam, aby tam přidal tu Heuréku – viz https://sluzby.heureka.cz/napoveda/overeno-jak-aktivovat/#padanidospamu a aby vyřešili příp. i ten Google, který tam chodí často a přitom ho nemají ani v SPF ani v MX).

      A chválím, že jste za poslední půlrok ani jednou nespadli na Seznamu do SPAMu. 🙂

      Pavel

        1. Dobrý den,

          díky za super dotaz, počkejte si do příštího týdne, v dalším pokračování najdete odpověď… 🙂

          Hezký den,

          Pavel Pola

Leave a Comment

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *