Если вы работаете в этой сфере достаточно давно, вы, вероятно, слышали как минимум о нескольких серьёзных утечках данных, затронувших как малый и средний бизнес, так и крупные компании. Недавно были также взломаны такие сервисы, как Mailchimp, Klaviyo и Signal.

Учитывая объем персональных данных, необходимых для обеспечения CTR в 10% и более, неудивительно, что такие утечки данных приводят к страху клиентов и существенно ограничивают показы и доставляемость последующих маркетинговых писем.

Поскольку недостаточная безопасность может по-разному повлиять на доверие к бренду и вашу маркетинговую стратегию, крайне важно обеспечить безопасность каждого этапа маркетингового процесса — от вашей стороны до ваших клиентов.

В зависимости от характера используемой хакерами уязвимости, такие нарушения безопасности могут также привести к судебному разбирательству в связи с несоблюдением Закона о контроле за распространением нежелательной порнографии и маркетинга (CAN-SPAM). Общее регулирование защиты данных (ВВП), Канадское законодательство о борьбе со спамом (CASL) и т. д. Следовательно, вам следует придерживаться лучших практик, чтобы защитить свою маркетинговую стратегию, данные клиентов и доверие к вашей организации.

Достижимые цели безопасности: с чего начать

Хотя общеизвестно, что получатели электронных писем уязвимы для кибератак, часто упускается из виду, что те же самые методы можно использовать и в отношении email-маркетологов.

Когда это происходит, последствия становятся гораздо более серьёзными из-за огромного объёма конфиденциальных персональных данных, хранящихся в распоряжении email-маркетологов. Поэтому им следует принять меры для защиты от наиболее распространённых киберугроз, таких как вредоносное ПО, фишинг и скомпрометированные вложения.

Поэтому ваши усилия должны быть в первую очередь направлены на предотвращение утечки данных этими способами; вы же не хотите, чтобы ваши тексты и призывы к действию использовались во вредоносных целях. Кроме того, ваша инфраструктура безопасности должна учитывать системные недостатки, такие как нехватка протоколов безопасности электронной почты, средств шифрования и человеческого фактора (касающегося вашей маркетинговой команды и ваших клиентов).

Наконец, крайне важно интегрировать меры, устраняющие недостатки, присущие вашей текущей инфраструктуре электронной почты, включая вашего почтового клиента, поставщика услуг электронной почты, поставщика интернет-услуг и т. д.

Протоколы безопасности электронной почты

Без надежных мер безопасности протоколы безопасности электронной почты, такие как Simple Mail Transfer Protocol (SMTP), Internet Message Format (IMF), Internet Message Access Protocol 4 (IMAP4) и Post Office Protocol 3 (POP3), не смогут обеспечить защиту данных.

Лучший способ обеспечения безопасности электронной почты — это интеграция нескольких протоколов и инструментов безопасности электронной почты и их комплексное использование. Вот несколько решений, которые вы можете добавить в свою среду.

Структура политики отправителя (SPF)

SPF Позволяет создать запись, ограничивающую IP-адреса, с которых можно отправлять электронные письма потенциальным клиентам, используя ваш домен. Это предотвращает подмену электронной почты — метод, при котором злоумышленники используют ваш домен для отправки вредоносных писем. С помощью SPF вы можете указать, каким службам, серверам или поставщикам электронных услуг (ESP) разрешено отправлять электронные письма.

Значительное преимущество такого подхода заключается в том, что он повышает доверие клиентов, поскольку подтверждает, что отправитель имеет право на отправку письма. Следовательно, это может косвенно повысить вовлечённость, CTR и рентабельность инвестиций.

К сожалению, не все поставщики электронной почты/доменов поддерживают этот протокол, поскольку не все предоставляют необходимые DNS-данные для его настройки. Поэтому важно проверить, какие поставщики поддерживают функцию SPF.

После настройки SPF важно дать 2–3 рабочих дня на то, чтобы он отразился в ваших последующих новостных рассылках, приветственных письмах, ретаргетинговых письмах и т. д. После этого вы можете использовать диагностическое программное обеспечение SPF для анализа записи и подтверждения её корректной работы. Однако передовой опыт требует сочетать SPF с другими протоколами безопасности электронной почты из-за одного серьёзного недостатка SPF — невозможности ограничить авторизацию только добросовестными пользователями.

В связи с этим злоумышленники, обладающие достаточными техническими знаниями, могут найти домен и добавить запись SPF, разрешающую использование этого домена по их IP-адресу. Таким образом, SPF служит лишь основой вашей стратегии протокола, а DKIM должна дополнять использование SPF.

Почта с идентификационными ключами домена (DKIM)

DKIM SPF добавляет две функции к своей базовой функции: инфраструктуру шифрования и прикрепление к вашему тексту или контенту. Первый вариант гарантирует, что каждое ваше электронное письмо будет уникально идентифицировано двумя ключами шифрования: закрытым и открытым.

Первый тип связан с вашим агентом передачи сообщений (MTA) и не должен раскрываться, тогда как второй тип включается в запись DNS TXT, используемую для настройки протокола. Важно также отметить, что настройка DKIM несколько сложнее, чем SPF, поскольку для каждого домена электронной почты требуется отдельная запись.

Кроме того, прикрепляясь к копии или самому контенту, DKIM помогает дополнительно подтвердить личность исходного автора. Таким образом, если в предыдущем примере злоумышленники могли найти домен и загрузить поддельную DNS-запись SPF, то с DKIM это будет гораздо сложнее.

Более того, любой, кто получит электронное письмо якобы от вас, может использовать свободно доступный открытый ключ для проверки соответствия подписи вашего токена. Тем не менее, как и в случае с SPF, важно проверить, поддерживают ли поставщики DKIM. После установки DKIM период ожидания и процесс, необходимые для запуска диагностики, аналогичны SPF. Хотя DKIM не обладает очевидными недостатками SPF, реализация протокола остаётся на усмотрение поставщика вашей маркетинговой команды. Хотя большинство поставщиков реализуют протокол, как описано, они не обязаны это делать, поэтому существует необходимость в DMARC.

Аутентификация, отчетность и соответствие сообщений на основе домена (DMARC)

DMARC — это протокол безопасности электронной почты, обеспечивающий соблюдение SPF и DKIM-записей. По сути, DMARC анализирует электронное письмо на наличие SPF и DKIM, выполняет указанные вами инструкции при отсутствии любого из протоколов и сообщает вам (или вашему почтовому серверу) об этом отсутствии.

Хотя загрузить TXT-запись DMARC можно и без SPF, и без DKIM, рекомендуется сначала настроить последние два по причинам, о которых мы уже говорили. Аналогично протоколам безопасности, обсуждавшимся ранее, вам потребуется по отдельности перечислить все домены, уже использующие запись SPF или DKIM, и включить их в свою запись DMARC.

Особенно важно проводить процесс перехода на DMARC в течение нескольких недель, а не месяцев. Это позволит вам проверить, не слишком ли строги ваши правила внедрения (вы можете случайно пометить как спам даже подлинные письма, отправленные вашей маркетинговой командой).

В течение этих недель вам следует проанализировать отчёты DMARC, отправленные серверами получателей, и убедиться, что протокол работает должным образом или произошла ошибка. Также важно обращать внимание на внезапные, необъяснимые падения доставляемости и количества показов.

Постепенно вы можете ужесточать протокол, гарантируя при этом, что каждая инструкция будет выполняться должным образом. После этого ваши письма будут защищены от большинства атак на компромат деловой переписки (BEC).

Индикаторы бренда для идентификации сообщений (BIMI)

Бий похож на DMARC, но имеет важное отличие в том, что он позволяет вам отображать ваши бизнес логотип на серверах получателей электронной почты (после того, как эти письма будут проверены с помощью (SPF, DKIM и DMARC)). Это способствует повышению доверия, узнаваемости бренда и видимости в долгосрочной перспективе.

Это также устраняет необходимость в DNS-запросах, описанных ранее с использованием открытых и закрытых ключей. Однако для использования BIMI необходимо реализовать политику DMARC, которая либо помечает подозрительные письма как возможный спам и возвращает их в ваш домен, либо полностью блокирует доставку таких писем.

Кроме того, у вас должна быть хорошая репутация IP-адреса как признанного оператора массовых рассылок, необходимые предварительные данные для создания записи подтверждения BIMI (BAR) и логотип в формате SVG.

К сожалению, по состоянию на октябрь 2022 года BIMI поддерживают только Apple Mail, Fastmail, Pobox, Gmail, Google Workspace, La Poste, Yahoo, AOL, Netscape и Zone. Кроме того, Gmail требует сертификата Verified Mark для отображения вашего логотипа на своих серверах.

После настройки BIMI вы можете использовать процесс, аналогичный процессу для вашей записи SPF, чтобы проанализировать ее и убедиться, что она функционирует должным образом.

Репутация IP и домена

Как упоминалось ранее, Репутация IP Это важно для безопасности email-маркетинга, и на то есть веская причина. IP-адреса с низкой репутацией, как известно, отправляют больше подозрительных писем, а значит, способствуют большему количеству фишинговых атак. Identity Theft попытки и подделки электронных писем.

Помимо влияния на доверие к бренду и возможность доставки, использование таких IP-адресов может также подвергнуть ваши малые, средние и мелкие предприятия или юридические лица риску компрометации корпоративной деловой корпораций, поскольку злоумышленники получат легкий доступ к данным, размещенным на ваших серверах.

Следовательно, переход на IP-адрес с хорошей репутацией положительно скажется на безопасности ваших клиентов и бизнесе. Также важно отметить, что смена провайдера с платформы Klaviyo на Convertkit может повысить показатели доставляемости.

Ещё один важный показатель, на который следует обратить внимание, — это репутация домена. Стоит отметить, что протоколы безопасности, подобные описанным выше, могут косвенно повышать этот показатель. Поэтому для повышения рейтинга домена не всегда требуется смена домена.

В идеале, чтобы гарантировать безопасность и доверие к вашим копиям, вам следует стремиться к репутации IP-адреса и домена на уровне 70 или выше. Существуют различные авторитетные инструменты диагностики репутации IP-адресов, позволяющие выявить IP-адреса с сомнительной репутацией и рекомендовать проверенных поставщиков.

Многофакторная аутентификация (MFA)

Хотя выбор надежного пароля электронной почты является приоритетом, хакеры все равно могут расшифровать эти пароли, используя информацию, полученную в результате утечек данных и сложных фишинговых атак. MFA добавляет дополнительные уровни безопасности к вашему паролю электронной почты и предотвращает взлом вашей учётной записи злоумышленниками, даже если они получат доступ к вашим данным для входа. В частности, для этого требуются дополнительные методы проверки, такие как использование случайного и уникального буквенно-цифрового кода, универсальных двухфакторных аутентификации (U2F) и биометрических данных.

В U2F используются физические устройства, не требующие подключения к интернету и требующие физического подключения к персональному компьютеру. В то же время биометрические данные удобнее обрабатывать на мобильных устройствах и используют преимущества широкой доступности сканеров отпечатков пальцев.

Сделать MFA обязательным требованием для вашей маркетинговой команды — хорошая идея, поскольку она превосходит двухфакторную аутентификацию, которая ограничена только одним добавленным методом.

Безопасные шлюзы электронной почты (SEG)

SEG отслеживают входящий и исходящий трафик с ваших почтовых серверов. Это программное обеспечение эффективно блокирует атаки BEC и вредоносное ПО, предотвращая их доступ к вашим почтовым серверам. SEG можно использовать локально, если ваша организация достаточно крупная, или в облаке, если в ней много удалённых или гибридных сотрудников.

Помимо входящих угроз, SEG также эффективны в предотвращении утечек исходящих данных и диагностической аналитике, помогающей дополнительно оптимизировать безопасность входящей и исходящей электронной почты для отдельных серверов.

Кроме того, SEG позволяют пользователям хранить электронные письма, которые могут стать доступными в случае потери данных всей системы из-за вредоносных атак.

Виртуальные частные сети (VPN)

VPN помогают обеспечить анонимность почтового трафика, изменяя местоположение источника данных. Помимо того, что VPN позволяет специалистам анализировать, как их маркетинговые усилия отображаются и работают в совершенно другом регионе, VPN обеспечивает конфиденциальность и защиту от атак по электронной почте и вредоносной социальной инженерии, направленных непосредственно на ваш почтовый клиент.

Кроме того, VPN-сети скрывают данные, передаваемые по интернет-сетям, в которых они используются. Таким образом, защищая пакеты данных, содержащие конфиденциальные данные клиентов, и способствуя соблюдению требований CAN-SPAM, GDPR и CASL.

Более того, безопасность VPN не ограничивается только злоумышленниками; VPN также препятствует интернет-провайдерам получать доступ к данным, которые вы отправляете по своей сети, благодаря эффективности технологии аутентификации.

Однако использование VPN без VPN не является оптимальной практикой, поскольку VPN защищает только соединение между двумя фиксированными конечными точками. Следовательно, VPN не защищает от атак, направленных непосредственно на ваше устройство до передачи данных. Более того, данные часто доступны VPN-сервису, что представляет угрозу безопасности в случае компрометации баз данных третьих лиц.

Обучение кибербезопасности

Обучение кибербезопасности помогает решить самую уязвимую проблему защиты данных — человеческий фактор. Правильное внутрикорпоративное обучение кибербезопасности — самый эффективный способ предотвращения атак с использованием социальной инженерии. Умение анализировать темы писем, доверенные домены и контент крайне важно.

Кроме того, крайне важно с осторожностью относиться к любым вложениям и гиперссылкам, поскольку именно они чаще всего используются для осуществления кибератак.

Однако осведомлённость о кибербезопасности не должна ограничиваться обучением сотрудников. Ваша маркетинговая стратегия должна включать меры, направленные на предупреждение потенциальных клиентов о возможном спаме, вредоносном ПО и фишинговых письмах. Это также следует учитывать на целевых страницах.

В целом, уделяя особое внимание кибербезопасности, а также SPF, DKIM, DMARC и BIMI, вы сможете позиционировать свой бизнес как законное и заслуживающее доверия учреждение, способное защищать данные клиентов и заботящееся о том, чтобы эти клиенты не подвергались вредоносным атакам.

Это приведёт к росту узнаваемости бренда, доверия к нему и коэффициентов конверсии. Однако для максимального повышения ключевых показателей эффективности (KPI) крайне важно интегрировать блочное и многовариантное тестирование в маркетинговые кампании.

Шифрование

Это необходимо для обеспечения безопасности электронной почты. Прямое шифрование данных и использование VPN помогают преодолеть некоторые ограничения мер безопасности, основанных исключительно на VPN. В частности, это лишает сторонних поставщиков VPN доступа к пакетам данных.

Для внутренней связи лучше всего использовать асимметричное шифрование, поскольку для доступа к данным получателям необходимо заранее предоставить открытый и закрытый ключи. Для исходящей связи можно использовать шифрование при передаче.

Takeaways

Каждая команда email-маркетологов должна иметь набор передовых практик и стратегий, которые она использует для предотвращения утечек данных. Это способствует защите данных компании, повышению доверия к бренду и обеспечению долгосрочной доставляемости.

Эти практики должны быть ориентированы на технические и человеческие аспекты безопасности электронной почты, уделяя особое внимание маркетинговой команде и получателям писем. В первую очередь, необходимы протоколы безопасности электронной почты, в первую очередь BIMI, DKIM, DMARC и BIMI.

Помимо вышеперечисленных методов, в инфраструктуру безопасности следует интегрировать VPN, обучение кибербезопасности, шифрование данных, MFA, SEG и переключение на надежный IP-адрес.