Stratégies pour empêcher les scanners d’e-mails d’activer les liens de « désinscription »
C’est un sujet de débat permanent au M3AAWG (The Messaging, Malware, and Mobile Anti-Abuse Working Group). C’est compliqué et il n’y a pas de solutions simples. Il semble que vous fassiez tout correctement, mais certains systèmes anti-spam sont un peu trop agressifs.
Le problème principal est que tout ce que vous pouvez faire peut également être fait par un marketeur abusif ou un spammeur.
La meilleure proposition que j’ai entendue consiste simplement à mettre un délai sur l’action. Ajoutez un captcha pour les utilisateurs qui se désinscrivent dans les 5 minutes suivant la livraison et supprimez le captcha ensuite. (N’implémentez pas cela pour votre lien List-Unsubscribe-Post RFC 8058.)
Ma deuxième proposition préférée est d’ajouter un lien « canari » au message. Celui-ci devrait être invisible pour les lecteurs humains. S’il est suivi, il annule l’activité de clic récente de cette IP et bannit temporairement cette IP des déclencheurs d’action.
J’aime également vos idées, assurez-vous simplement que si JavaScript est désactivé, l’utilisateur puisse toujours se désinscrire après un clic sur un bouton de confirmation.
Il y a une partie de moi (attention, je suis chercheur anti-spam) qui souhaite ces faux positifs. J’espère que cela apprendra à mes pairs qu’ils font un travail si médiocre et que ces escalades continueront à leur revenir. De votre point de vue, vous pouvez transférer la responsabilité (bien que vous perdiez quelques abonnés dans le processus).
Les systèmes de détection de spam doivent faire attention à éviter les liens de gestion d’abonnement (au moins jusqu’à ce que les malfaiteurs commencent à déguiser leurs charges utiles en liens de désinscription).