• Bezpieczeństwo działań sprzedażowych: 5 sposobów, by Twój zespół sprzedaży nie wyglądał jak oszuści

Bezpieczeństwo działań sprzedażowych: 5 sposobów, by Twój zespół sprzedaży nie wyglądał jak oszuści

Blog, Bezpieczeństwo poczty e-mail

Czy Twój zespół sprzedaży przypadkiem nie wygląda jak oszuści? Poznaj 5 sprawdzonych sposobów na zabezpieczenie e-maili marketingowych i zacznij trafiać do skrzynek odbiorczych.

Milena Baghdasaryan

Ostatnia aktualizacja:
6 czas czytania: 2 minuty
Bezpieczeństwo działań sprzedażowych: 5 sposobów, by Twój zespół sprzedaży nie wyglądał jak oszuści
Spis treści-

Najważniejsze wnioski:

  • Należy nie tylko wdrożyć, ale i egzekwować protokoły SPF, DKIM i DMARC – bezpieczeństwo wiadomości e-mailowych wykorzystywanych w działaniach sprzedażowych zaczyna się od ustawienia DMARC na p=reject
  • Wysyłanie wiadomości marketingowych z głównej domeny wiąże się z ryzykiem – dedykowana poddomena pozwala ograniczyć problemy związane z bezpieczeństwem takich wiadomości
  • Raporty DMARC RUA ujawniają wszystkie narzędzia wysyłające wiadomości z Twojej domeny, dzięki czemu są one niezbędne do kontroli luk w zabezpieczeniach wiadomości e-mailowych wykorzystywanych w działaniach sprzedażowych
  • Filtry antyspamowe nie potrafią odróżnić wiadomości phishingowej od źle napisanej wiadomości sprzedażowej – sformułowania sugerujące pilność, fałszywe wątki i nadmiar linków negatywnie wpływają na dostarczalność wiadomości
  • BIMI wyświetla Twoje zweryfikowane logo jeszcze przed otwarciem wiadomości e-mail, dzięki czemu bezpieczne wiadomości sprzedażowe są natychmiast rozpoznawalne dla potencjalnych klientów, z którymi nie nawiązano jeszcze kontaktu

Będę szczery – kiedy po raz pierwszy potencjalny klient odpowiedział na jeden z naszych e-maili z zimną akcją, pytając: „Czy to próba wyłudzenia danych?”, nie wiedziałem, czy się śmiać, czy wpaść w panikę. Nie zrobiliśmy nic złego. E-mail był autentyczny, oferta prawdziwa, a nasz przedstawiciel poświęcił czas na jej spersonalizowanie. Ale dla tego potencjalnego klienta? Spełniał wszystkie cechy typowe dla phishingu.

Ta chwila utkwiła mi w pamięci. Problemem nie był bowiem sam e-mail, ale wszystko, co się za nim kryło. Brak podpisu DKIM. Nieprawidłowy rekord SPF. DMARC ustawiony na p=none, zbierający kurz. Z punktu widzenia serwera pocztowego byliśmy praktycznie anonimowi.

Nie chodzi tu tylko o problem z dostarczalnością wiadomości. Raport FBI dotyczący przestępczości internetowej rok po roku wskazuje ataki typu „business email compromise” jako jedno z najkosztowniejszych zagrożeń cybernetycznych. Potencjalni klienci są tego świadomi. Zostali nauczeni, by podchodzić do wszystkiego z rezerwą, a Twoje wiadomości marketingowe – czy Ci się to podoba, czy nie – często spełniają te same kryteria, co wiadomości phishingowe.

Zabezpieczenie e-maili marketingowych to nie tylko kwestia techniczna – to kwestia przychodów. Jeśli Twoje wiadomości wyglądają jak próba wyłudzenia danych, nie ma znaczenia, jak dobry jest ich tekst. Oto więc, co naprawdę pomaga. Pięć działań, które może podjąć Twój zespół – zarówno technicznych, jak i związanych z zachowaniem – aby Twoje wiadomości były traktowane jako autentyczna korespondencja, jaką faktycznie są.

1. Zadbaj o to, by protokoły SPF, DKIM i DMARC faktycznie działały – a nie tylko były wdrożone

1. – Jak sprawić, by SPF, DKIM i DMARC naprawdę działały – a nie tylko były wdrożone –

Większość zespołów, z którymi rozmawiam, „wdrożyła” uwierzytelnianie. Zazwyczaj oznacza to, że gdzieś istnieje rekord SPF, w głównym dostawcy usług e-mailowych włączono DKIM, a DMARC ma ustawioną wartość p=none. To nie jest uwierzytelnianie, a jedynie pozory uwierzytelniania.

Oto, jak te trzy elementy faktycznie działają, gdy funkcjonują prawidłowo:

  • Funkcja SPF informuje serwery pocztowe odbierające wiadomości, które adresy IP mają uprawnienia do wysyłania wiadomości w imieniu Twojej domeny. Jeśli Twoje narzędzie sprzedażowe nie znajduje się na tej liście, jego wiadomości e-mail są wysyłane bez upoważnienia, nawet jeśli sam je skonfigurowałeś.
  • DKIM umieszcza podpis kryptograficzny w Twoich wiadomościach e-mail. Potwierdza to, że treść wiadomości nie została zmieniona podczas przesyłania i że rzeczywiście pochodzi ona z Twojej infrastruktury.
  • DMARC stanowi warstwę egzekwowania. Określa on, co należy zrobić w przypadku niepowodzenia weryfikacji SPF lub DKIM: monitorować, poddać kwarantannie lub odrzucić. Ponadto generuje raporty, które dokładnie pokazują, które wiadomości przechodzą kontrolę, a które nie.

Wiele osób pomija etap, w którym należy przejść od ustawienia p=none w DMARC. Tak, warto zacząć od tego – przed wprowadzeniem restrykcji trzeba najpierw uzyskać wgląd w sytuację. Jeśli jednak na zawsze pozostaniesz przy ustawieniu p=none, w zasadzie mówisz: „Wiem, że dochodzi do fałszowania adresów, i nie mam nic przeciwko temu”. Staraj się przejść do ustawienia p=reject. Twoja dostarczalność będzie Ci za to wdzięczna.

2. Wykorzystaj subdomenę do wysyłania wiadomości e-mailowych do nowych kontaktów

Niektórym zespołom trudno to przekazać, ale gdy raz zobaczysz, jak kampania cold outreach’owa rujnuje reputację nadawcy domeny, nigdy nie wrócisz do starych metod.

Twoja główna domena – ta, z której wysyłane są e-maile transakcyjne, wiadomości do klientów i biuletyny – jest zbyt cenna, by narażać ją na ryzyko związane z akcjami marketingowymi skierowanymi do nieznanych odbiorców. Wystarczy jedna źle ukierunkowana sekwencja wiadomości, jedna zakupiona lista adresowa lub jedna nieudana kampania, a będziesz musiał zmierzyć się z gwałtownym wzrostem liczby skarg dotyczących spamu, który nie ograniczy się tylko do działań marketingowych. Problem ten przeniesie się na wszystkie obszary działalności.

Zamiast tego skonfiguruj osobną subdomenę. Na przykład mail.twojafirma.com lub outreach.twojafirma.com. Zabezpiecz ją osobno, tworząc własne rekordy SPF, DKIM i DMARC. Dzięki temu Twoje działania związane z nawiązywaniem kontaktów z nowymi klientami będą przebiegać w oddzielnym kanale, a jeśli coś pójdzie nie tak, szkody będą ograniczone.

Większość narzędzi do zarządzania kontaktami handlowymi pozwala skonfigurować to bez większych trudności. Trudniej jest zazwyczaj przekonać zespół, że warto poświęcić czas na tę konfigurację. A naprawdę warto.

3. Sprawdź wszystkie narzędzia wysyłające wiadomości e-mail z Twojej domeny

Mam pytanie: czy potrafisz wymienić wszystkie narzędzia w swoim zestawie, które wysyłają wiadomości e-mail z wykorzystaniem Twojej domeny? Nie chodzi tylko o głównego dostawcę usług e-mailowych, ale o każde narzędzie. Sekwencje działań następczych w systemie CRM. E-maile z potwierdzeniami z kalendarza. Narzędzie do rozbudowywania bazy kontaktów. A także tę integrację, którą ktoś skonfigurował osiem miesięcy temu i o której nikt już nie pamięta.

Większość zespołów nie potrafi udzielić na to pytanie pewnej odpowiedzi. A to stanowi problem, ponieważ każde z tych narzędzi jest albo prawidłowo uwierzytelnione, albo nie. Jeśli nie jest, wiadomości te nie przechodzą weryfikacji SPF lub DKIM, co oznacza, że dla serwera odbiorczego wyglądają na sfałszowane, niezależnie od tego, co faktycznie zawierają.

Odpowiedź znajdziesz w zbiorczych raportach DMARC (raportach RUA). Przedstawiają one wszystkie źródła wysyłające wiadomości w imieniu Twojej domeny, w podziale na wskaźniki zgodności i niezgodności. Często może to być zaskakujące – odkryjesz narzędzia, o których istnieniu zapomniałeś, stare integracje, które wciąż działają, oraz usługi zewnętrzne, które nigdy nie zostały dodane do Twojego rekordu SPF.

  • Pobierz raporty DMARC RUA i sporządź listę wszystkich nadawców
  • W przypadku każdego z nich: czy jest on uwzględniony w rekordzie SPF? Czy jest podpisany za pomocą DKIM?
  • W przypadku jakichkolwiek nieprawidłowości: popraw zapis lub usuń źródło

4. Twoi przedstawiciele handlowi wysyłają wiadomości phishingowe, nie zdając sobie z tego sprawy

Nie mam tu na myśli dosłownego znaczenia, ale z punktu widzenia filtra antyspamowego niektóre treści w wiadomościach marketingowych są nie do odróżnienia od prawdziwych. Filtry antyspamowe nie odczytują intencji, tylko wzorce. A wiele typowych wzorców e-maili sprzedażowych pokrywa się z tymi, których używają phisherzy. Staje się to jeszcze ważniejsze, gdy zespoły zaczynają wykorzystywać zimne e-maile z narzędziami AI, aby zwiększyć zasięg działań. Chociaż sztuczna inteligencja może przyspieszyć personalizację, może również nieumyślnie powielać wzorce przypominające phishing, jeśli nie zostaną dokładnie sprawdzone.

Oto kilka zachowań przedstawicieli handlowych, które naprawdę szkodzą skuteczności dostarczania wiadomości:

  • Sztuczka z fałszywym wątkiem — tematy wiadomości typu „Re: nasza rozmowa” lub „W nawiązaniu do naszej rozmowy”, mimo że wcześniej nie było żadnej korespondencji. Potencjalni klienci tego nie znoszą, filtry antyspamowe to blokują, a to szybko podważa zaufanie.
  • Wykorzystywanie poczucia pilności — sformułowania typu „Oferta ograniczona czasowo”, „Zdecyduj się już teraz” czy „Nie przegap tej okazji” zawarte w wiadomości e-mail od nieznanego odbiorcy. Klasyczne sformułowania stosowane w phishingu.
  • Przeciążenie linkami — trzy linki z funkcją śledzenia, osadzony kalendarz i załącznik PDF w pierwszym e-mailu do nieznanego odbiorcy. To nie jest nawiązywanie kontaktu, to sygnał ostrzegawczy.
  • Czarne listy — wysyłanie wiadomości do niezweryfikowanych lub zakupionych adresatów powoduje wzrost wskaźnika odrzuceń i liczby skarg. Oba te czynniki mają destrukcyjny wpływ na reputację nadawcy.

30-minutowe spotkanie z zespołem sprzedaży poświęcone tym schematom przynosi natychmiastowe korzyści w postaci wyższego wskaźnika otwarć i lepszej dostarczalności. Powiedz im wprost: ma to bezpośredni wpływ na to, czy ich e-maile trafią do skrzynki odbiorczej, czy wpadną w kosz.

5. Wykorzystaj BIMI, aby Twoje wiadomości e-mail wyglądały na Twoje, zanim jeszcze zostaną otwarte

5. Skorzystaj z BIMI, aby Twoje wiadomości e-mail wyglądały na Twoje, zanim jeszcze zostaną otwarte

Do tej pory chodziło o to, żeby nie wzbudzać podejrzeń. W przypadku BIMI chodzi o to, by aktywnie budować zaufanie, a to jest różnica.

BIMI (Brand Indicators for Message Identification) umieszcza zweryfikowane logo Twojej marki obok nazwy nadawcy w skrzynce odbiorczej. Zanim potencjalny klient przeczyta choćby jedno słowo, widzi Twoje logo. To trwające ułamek sekundy rozpoznanie wizualne ma ogromne znaczenie w przypadku zimnych kontaktów, gdzie odbiorca nie ma z Tobą wcześniejszych relacji i błyskawicznie ocenia, czy ta wiadomość e-mail jest warta jego czasu.

Warto również zwrócić uwagę na to, jakie warunki musi spełniać BIMI, aby działało: polityka DMARC musi być ustawiona na p=quarantine lub p=reject. Wdrożenie BIMI w naturalny sposób zmusza więc do doprowadzenia do końca tego, co zaczęto w zakresie uwierzytelniania – to miła, wbudowana zachęta.

Konfiguracja polega na opublikowaniu rekordu DNS BIMI, który odsyła do pliku SVG z Twoim logo, oraz na uzyskaniu certyfikatu Verified Mark Certificate (VMC), jeśli chcesz, aby logo wyświetlało się w Gmailu i innych popularnych klientach pocztowych. Nie jest to tak proste jak naciśnięcie przycisku, ale sygnał zaufania, jaki to generuje, jest autentyczny i z czasem zyskuje na znaczeniu, w miarę jak Twoja marka staje się rozpoznawalna w skrzynkach odbiorczych odbiorców.

Podsumowanie: Problemem nie są Twoi przedstawiciele handlowi, lecz infrastruktura

Kiedy ten potencjalny klient zapytał, czy nasz e-mail to próba wyłudzenia danych, przedstawiciel poczuł się źle. Ale to nie była jego wina. Sam e-mail był w porządku. Problem tkwił w tym, czego nie widać: w warstwie uwierzytelniania, konfiguracji domeny oraz praktykach wysyłania wiadomości, które sprawiły, że legalny e-mail wyglądał jak zagrożenie.

Napraw infrastrukturę, a problem w dużej mierze rozwiąże się sam. Ustaw SPF, DKIM i DMARC na poziom egzekwowania. Kieruj działania typu cold outreach przez dedykowaną subdomenę. Przeprowadź audyt każdego narzędzia, które ma kontakt z Twoją domeną. Przeszkol swoich przedstawicieli handlowych w zakresie wzorców, które negatywnie wpływają na dostarczalność. A kiedy będziesz gotowy, dodaj do tego BIMI.

Nie jest to żadna prestiżowa praca. Ale to właśnie od tego zależy, czy zespół sprzedaży trafia do skrzynek odbiorczych, czy też zastanawia się, dlaczego nikt nie odpowiada na jego wiadomości.

Najnowsze posty autorstwa Milena Baghdasaryan (zobacz wszystkie)
Ostatnia aktualizacja:
Nieprawidłowy format numeru seryjnego SOA: przyczyny i sposoby rozwiązaniaFormat numeru seryjnego SOA jest nieprawidłowy – przyczyny i sposoby rozwiązania problemuRecenzja MXtoolbox – funkcje, wrażenia użytkowników, zalety i wady (2026)Recenzja MXtoolbox: funkcje, wrażenia użytkowników, zalety i wady (2026)