• Безопасность при работе с клиентами: 5 способов не допустить, чтобы ваша команда продаж выглядела как фишеры

Безопасность при работе с клиентами: 5 способов не допустить, чтобы ваша команда продаж выглядела как фишеры

Блог, Безопасность электронной почты

Не выглядит ли ваша команда продаж случайно как фишеры? Узнайте 5 проверенных способов обезопасить письма с предложениями и начать попадать в папку «Входящие».

Милена Багдасарян

Последнее обновление:
6 Время чтения: 6 минут
Безопасность при работе с клиентами: 5 способов не допустить, чтобы ваша команда продаж выглядела как фишеры
Оглавление-

Основные выводы:

  • SPF, DKIM и DMARC должны не просто объявляться, а строго соблюдаться — обеспечение безопасности рассылок в сфере продаж начинается с перехода DMARC на значение p=reject
  • Отправка холодных писем с вашего основного домена сопряжена с риском — использование отдельного субдомена позволяет свести к минимуму проблемы с безопасностью при рассылке писем
  • Отчеты DMARC RUA показывают все инструменты, отправляющие письма от имени вашего домена, что делает их незаменимым инструментом для выявления уязвимостей в безопасности рассылок с целью продвижения продаж
  • Фильтры спама не могут отличить фишинговое письмо от некачественно составленного рекламного письма — формулировки, создающие ощущение срочности, поддельные цепочки писем и переизбыток ссылок — все это негативно сказывается на доставляемости
  • BIMI отображает ваш подтвержденный логотип еще до того, как письмо будет открыто, благодаря чему надежные коммерческие письма сразу же становятся узнаваемыми для потенциальных клиентов, с которыми вы еще не контактировали

Буду честен: когда потенциальный клиент впервые ответил на одно из наших писем с холодным обращением вопросом «Это попытка фишинга?», я не знал, смеяться мне или паниковать. Мы не сделали ничего плохого. Письмо было вполне легитимным, предложение — реальным, а наш сотрудник потратил время на его персонализацию. Но для того потенциального клиента оно соответствовало всем признакам фишинга.

Этот момент запомнился мне надолго. Дело было не в самом письме, а во всем, что за ним стояло. Отсутствовала подпись DKIM. Запись SPF была некорректной. DMARC стоял с параметром p=none и просто пылился. С точки зрения почтового сервера мы были практически анонимны.

И дело здесь не только в проблемах с доставкой. В отчете ФБР о киберпреступлениях в Интернете «компрометация корпоративной электронной почты» из года в год отмечается как одна из самых дорогостоящих киберугроз. Потенциальные клиенты знают об этом. Их научили относиться ко всему с подозрением, и ваши письма с предложениями, нравится вам это или нет, часто вызывают те же подозрения, что и фишинговые письма.

Обеспечение безопасности писем с коммерческими предложениями — это не просто техническая проблема, а проблема, влияющая на доходы. Если ваши письма выглядят как попытка фишинга, не имеет значения, насколько хорош ваш текст. Вот что действительно помогает. Пять шагов, которые может предпринять ваша команда — как технических, так и поведенческих — чтобы ваши письма воспринимались как легитимные сообщения, которыми они и являются.

1. Обеспечить реальную работу SPF, DKIM и DMARC — а не просто их публикацию

1. Настройте SPF, DKIM и DMARC так, чтобы они действительно работали, а не просто были указаны в настроях--

Большинство команд, с которыми я общаюсь, «настроили» аутентификацию. Обычно это означает следующее: где-то есть запись SPF, на основном почтовом сервере включен DKIM, а для DMARC установлено значение p=none. Это не аутентификация, а лишь видимость аутентификации.

Вот что на самом деле делают эти три компонента, когда работают исправно:

  • SPF указывает почтовым серверам-получателям, с каких IP-адресов разрешена отправка писем от имени вашего домена. Если ваш инструмент для продаж не входит в этот список, его письма отправляются без разрешения, даже если вы настроили его самостоятельно.
  • DKIM добавляет криптографическую подпись к вашим электронным письмам. Это подтверждает, что сообщение не было изменено во время передачи и действительно было отправлено с вашей инфраструктуры.
  • DMARC — это уровень обеспечения соблюдения правил. Он определяет: если проверки SPF или DKIM завершились неудачно, необходимо предпринять следующие действия: отслеживать, помещать в карантин или отклонять. Кроме того, он отправляет отчеты, в которых точно указано, какие сообщения проходят, а какие — нет.

Многие упускают из виду необходимость перехода от настройки DMARC p=none. Да, начинать нужно именно с этого — прежде чем применять меры принудительного исполнения, необходимо обеспечить видимость. Но если вы навсегда останетесь на настройке p=none, это будет равносильно заявлению: «Я знаю, что происходит подделка адресов, и меня это устраивает». Стремитесь к настройке p=reject. Ваша доставляемость вам за это отблагодарит.

2. Используйте субдомен для рассылки холодных писем

Некоторым компаниям это сложно принять, но как только вы увидите, как кампания по холодным обращениям разрушает репутацию отправителя домена, вы больше никогда не вернётесь к прежним методам.

Ваш основной домен, с которого отправляются ваши письма с транзакционными уведомлениями, сообщения клиентам и информационные рассылки, слишком ценен, чтобы рисковать, используя его для холодных обращений к потенциальным клиентам. Достаточно одной неточно нацеленной рассылки, одного купленного списка адресов или одной неудачной кампании — и вы столкнетесь с всплеском жалоб на спам, который не ограничится только маркетинговыми рассылками. Это отразится на всех аспектах вашей деятельности.

Вместо этого настройте отдельный субдомен. Например, mail.yourcompany.com или outreach.yourcompany.com. Настройте для него отдельную аутентификацию с собственными записями SPF, DKIM и DMARC. Теперь ваши рассылки по холодным контактам будут работать в отдельном канале, и если что-то пойдет не так, ущерб будет локализован.

Большинство инструментов для взаимодействия с клиентами позволяют настроить это без особых сложностей. Гораздо сложнее, как правило, убедить команду, что это стоит потраченного времени. Но это действительно так.

3. Проведите проверку всех инструментов, отправляющих электронные письма с вашего домена

Вот вопрос: можете ли вы назвать все инструменты в вашем наборе, которые отправляют электронные письма с использованием вашего домена? Не только ваш основной почтовый сервис, а все инструменты. Ваши последовательности напоминаний в CRM. Письма с подтверждением из календаря. Ваш инструмент для «разогрева» аудитории. Ту интеграцию, которую кто-то настроил восемь месяцев назад и о которой уже никто не помнит.

Большинство команд не могут ответить на этот вопрос с уверенностью. И это проблема, потому что каждый из этих инструментов либо проходит надлежащую аутентификацию, либо нет. Если нет, то эти письма не проходят проверку SPF или DKIM, а это означает, что для принимающего сервера они выглядят как поддельные, независимо от того, что на самом деле написано в их тексте.

Общие отчеты DMARC (отчеты RUA) помогут вам это выяснить. В них отображаются все источники, отправляющие письма от имени вашего домена, с разбивкой по показателям успешности и неудач. Часто это вызывает удивление: вы обнаружите инструменты, о существовании которых уже забыли, старые интеграции, которые до сих пор работают, а также сторонние сервисы, которые никогда не добавлялись в вашу запись SPF.

  • Скачайте отчеты DMARC RUA и составьте список всех источников отправки
  • Для каждого из них: указан ли он в вашей записи SPF? Имеется ли подпись DKIM?
  • Если что-то не работает: исправьте запись или удалите источник

4. Ваши сотрудники рассылают фишинговые письма, даже не подозревая об этом

Я не имею в виду это в буквальном смысле, но с точки зрения спам-фильтра некоторые тексты рекламных рассылок практически неотличимы от настоящих писем. Спам-фильтры не распознают намерения, они анализируют шаблоны. А многие типичные шаблоны коммерческих писем совпадают с теми, что используют фишеры.

Вот некоторые действия представителей, которые я наблюдал и которые наносят реальный ущерб доставляемости:

  • Уловка с поддельной цепочкой писем — темы писем типа «Re: наш чат» или «В продолжение нашего разговора», когда никакого предыдущего общения не было. Потенциальные клиенты это ненавидят, спам-фильтры отмечают такие письма, а доверие к вам быстро исчезает.
  • Создание ощущения срочности — фразы типа «Время ограничено», «Действуйте прямо сейчас», «Не упустите эту возможность» в холодном письме от человека, о котором получатель никогда не слышал. Классические приемы фишинга.
  • Перегрузка ссылками — три отслеживаемые ссылки, встроенный календарь и вложение в формате PDF в первом холодном письме. Это не продвижение, а сигнал тревоги.
  • «Черные списки» — рассылка на адреса непроверенных или купленных контактов приводит к росту показателя отказов и числа жалоб. И то, и другое наносит серьезный ущерб репутации отправителя.

30-минутное занятие с вашей командой продаж, посвященное этим шаблонам, сразу же даст свои плоды в виде повышения показателей открываемости и доставляемости. Объясните им, что это действительно так: от этого напрямую зависит, попадут ли их письма в папку «Входящие» или окажутся в корзине.

5. Используйте BIMI, чтобы ваши письма выглядели как у вас ещё до того, как их откроют

5. Используйте BIMI, чтобы ваши письма выглядели как вы еще до того, как их откроют

До сих пор речь шла о том, чтобы не выглядеть подозрительно. BIMI же позволяет активно выглядеть заслуживающим доверия, и в этом есть разница.

BIMI (Brand Indicators for Message Identification) размещает проверенный логотип вашего бренда рядом с именем отправителя в папке «Входящие». Еще до того, как потенциальный клиент прочитает хоть одно слово, он увидит ваш логотип. Это мгновенное визуальное распознавание имеет огромное значение при холодном обращении, когда получатель не имеет с вами никаких предыдущих отношений и мгновенно решает, стоит ли ему тратить время на это письмо.

Стоит также отметить, что для работы BIMI необходимо, чтобы ваша политика DMARC была настроена на p=quarantine или p=reject. Таким образом, внедрение BIMI естественным образом заставляет вас довести до конца то, что вы начали в области аутентификации — это хороший встроенный стимул.

Настройка включает в себя публикацию записи BIMI в DNS, указывающей на SVG-версию вашего логотипа, а также получение сертификата Verified Mark Certificate (VMC), если вы хотите, чтобы логотип отображался в Gmail и других популярных почтовых клиентах. Это требует большего, чем просто нажать на кнопку, но сигнал доверия, который создается благодаря этому, является подлинным и усиливается со временем, по мере того как ваш бренд становится узнаваемым в почтовых ящиках получателей.

Вывод: проблема не в ваших сотрудниках, а в инфраструктуре

Когда этот потенциальный клиент спросил, не является ли наше письмо попыткой фишинга, представитель компании почувствовал себя неловко. Но это была не его вина. Само письмо было в порядке. Проблема заключалась во всем том, что оставалось за кадром: в системе аутентификации, настройках домена и методах отправки, из-за которых вполне легитимное письмо выглядело как угроза.

Наладьте инфраструктуру, и проблема в основном решится сама собой. Настройте SPF, DKIM и DMARC на уровень обязательного применения. Перенаправьте рассылку холодных писем через специальный субдомен. Проведите аудит всех инструментов, которые взаимодействуют с вашим доменом. Обучите своих сотрудников распознавать модели поведения, которые негативно влияют на доставляемость. И, когда будете готовы, добавьте BIMI.

Всё это — далеко не престижная работа. Но именно в этом заключается разница между отделом продаж, письма которого попадают в папку «Входящие», и тем, который гадает, почему на его письма никто не отвечает.

Последние сообщения Милены Багдасарян (см. все)
Последнее обновление:
Неверный формат серийного номера SOA: причины и способы устраненияФормат серийного номера SOA неверный — причины и способы устраненияОбзор MXtoolbox — функции, отзывы пользователей, плюсы и минусы (2026)Обзор MXtoolbox: функции, отзывы пользователей, плюсы и минусы (2026)