Как зарегистрировать пользователя и не попасть в спам?

Question

[batman1010]

Предположим ситуация: есть SPF, DKIM, настроена политика DMARC, mail-tester хвалит тестовое письмо с оценкой 10/10.

И вот ты гордо идешь пилить систему регистрации, сделал всё по красоте: регулярки на фронт-енде, которые проверяют введенное значение еще до попытки отправки, самые жестокие капчи, отсылка подтверждения пользователю - и только потом рассылка рассылок.

Но вот вдруг хостер твоего shared-сервера заблокировал возможность отправки писем, потому что кто-то очень усердно вводил свой несуществующий адрес в форму регистрации. А что если таких людей сотни?
upd: чего все так пристали к этому shared'u?) пример явно гиперболизирован

Даже хостера не обвинишь, потому что если провернуть такое на своём сервере, то рано или поздно будешь отшит сторонним почтовиком из-за большого количества неудачных отправок. А ведь на нем могут быть и другие, более внимательные юзеры.

И вот мне просто стало интересно: как с этим справляются нормальные люди? Сам с таким никогда не сталкивался, программно существование ящика не проверить, а сервисы для этого далеко не точные. Тем не менее на крупных сайтах даже представить наличие подобных проблем трудно.

Answer 1

[Александр Фалалеев]

А что если таких людей сотни?

Если у Вас сверх-популярный ресурс (так как процент вредителей строго меньше 1% всегда) то какой нафиг

shared-сервер

?

А метод борьбы он вообщем-то стандартный, но к сожалению по-последствиям а не предупреждающий:

1. Три-четыре МХ записи (с приоритетом 10, 20, 30, 40) и к ним 3-4 разных IP

2.

рано или поздно будешь отшит сторонним почтовиком

- попал в черный список - временно его МХ отключаешь и начинаешь долгую, нудную процедуру "очистки репутации" либо сам (письма жалостливые в адрес забанившего почтовика) либо с помощью хостера которому IP принадлежат. Когда выйдет из спама этот IP снова в МХ включаешь и так по кругу вечная борьба бобра с ослом :)

Comments

[batman1010]

Александр Фалалеев Что-то я не догоняю насчет движения с MX записями. На них почта приходит, а уходит она через SMTP сервер или локально без авторизации. По сути они в отправке не участвуют, и никто не будет блочить MX'ы — будут блочить SMTP или отправляющий сервер.

Правильно ли я понимаю, что по вашей логике нужно иметь несколько SMTP или несколько отправляющих серверов? Так в таком случае нужен один проксирующий балансировщик, который будет между ними выбирать, и никому не помешает заблочить его. Должно быть что-то более элегантное, что-то неизвестное обычным смертным)

[Александр Фалалеев]

batman1010, блочить будут не

SMTP или отправляющий сервер

а IP и да, конечно на отправку тоже IP несколько нужно и можно в самом postfix/exim указать что отправка с разных IP будет (не нужно

несколько SMTP или несколько отправляющих серверов

и

проксирующий балансировщик

)

Answer 2

[Владимир Дубровин]

1. Убедитесь, что все проверяется не только в браузере но и серверсайдно при подписке формы, потому что спамеры будут дергать ваш API без браузера. Это касается и введенных данных и прохождения капчи (убедитесь, что конец который отправляет письмо невозможно дернуть без прохождения капчи) В частности убедитесь, что в письме с проверкой адреса невозможно вставить произвольный текст, иначе получится такое https://habr.com/en/company/vk/blog/354310/
2. Не используйте прямую отправку с shared hosting'а, даже если у вас все хорошо, может быть плохо у кого-то другого и на доставляемость ваших писем будет влиять репутация других клиентов. Пользуйтесь либо специализированными сервисами (прмиеры уже написали) либо поднимайте собственный почтовый сервер с выделенным адресом.
3. Делайте рейтлимиты по пользователям (не давайте одному пользователю отправить несколько писем) и по IP (не давайте с одного IP отправить много писем)

Answer 3

[CityCat4]

А что если таких людей сотни?

Но вот вдруг хостер твоего shared-сервера

Противоречие, не?

Если таких людей сотни - ни о каком shared-сервере речи не идет - только дедик. Хотя бы в виде VPS, но дедик. С собственным IP (и его репутацией), собственным почтвым сервером, собственным доменом etc.

"У нее все свое - и белье, и жилье..." (С) Владимир наш Семенович

Как справляются - так также как обычно. Попал в черный список - ищем форму разблокировки, параллельно даем в бубен тому, из-за которого попали. Разблокировали - работаем дальше. Да, и списочек с чекерами черных списков и адресами сайтов типа smapcop, spamhaus, barracuda - держим в закладках...

Answer 4

[Сергей Соколов]

Как вариант, пользоваться для отправки почтовым сервисом, строго соблюдая их правила.
SendInBlue, MailChimp, Amazon SES и т.п.

Answer 5

[AUser0]

Разумеется форма перед отправкой проверочного письма рассылателю - проверяет regexp-валидность, MX-запись и существование такого E-Mail аккаунта (через SMTP-сессию).

Существование всех E-Mail адресов, куда будет сделана рассылка - это да, это проблема. Но и их можно проверять (в SMTP-сессии), ценой быстроты самой отправки, конечно.

Ну и разумеется сразу нужно бронировать побольше IP-адресов для SMTP-сервера, потому что с ними будут бороться (согласие на получение рассылок лично вам никто не давал, так?).

Comments

[galaxy]

+ хороший план.
Разве что от шаред хостинга надо уходить, там, скорее все, даже исходящий 25 порт закрыт.
Ну и проверить существования аккаунта в SMTP далеко не всегда возможно. Если бы они, подлецы, в ответ на RCPT TO ошибку выдавали, а то ведь они после отправки часто. А то и дня через 3.

Answer 6

[Adamos]

Неделю назад объяснял Таймвебу, что их робот заблокировал нам почту именно по этому сценарию. Сразу разблокировали, живем дальше. Такая ситуация случилась второй, по-моему, раз за десять лет существования сайта с 100к пользователями. Ничего критичного...