BCC 邮件的绝佳替代方案

在之前的文章中，我们详细介绍了使用密件抄送（BCC）功能的优缺点，
参见：“如何发送和限制密件抄送（BCC）邮件”。

在结论部分，我们曾指出：

使用专用应用程序发送群发邮件。
这些专业系统配备了审批工作流
和分步控制功能，
旨在避免出现错误。

本文摘要：

• 工作原理
• GNU Mailman “单向” 邮件列表
• 关于 GNU Mailman 的简史
• VERP 跳转管理
• 发件人和“发件人”地址对齐

工作原理

电子邮件营销平台可能难以掌握，且技术支持也颇具挑战（如果您向客户提供此类服务的话）。

我们在此介绍的是利用开源软件“GNU Mailman”发送群发邮件的方案。
这一建议源于我们提供易于使用的“copymailapp”的亲身经验。

Mailman 的“单向”列表是一种用于发布新闻简报或公告的配置
，在此配置下，只有授权的版主可以发帖，而成员无法回复该列表。

具体操作如下：

1. 用户通过电子邮件客户端或网页邮箱将邮件发送至该邮件列表的地址：
   随后，用户需确认发送，系统将在服务器端将邮件分发给所有订阅者。

2. 系统会自动处理退信（被退回的邮件），并可在需要时取消订阅。
   订阅必须手动注册。

3. 该服务非常可靠，能够轻松处理数千个地址。
   邮件发送依赖于 RealSender 或其他 SMTP 服务器。

返回顶部

GNU Mailman “单向” 邮件列表

GNU Mailman 是一款广泛使用的软件，大多数互联网服务提供商都提供该服务。
互联网上有一些指南，详细介绍了如何配置和使用它进行群发邮件：

• 会员可通过在您的网站上填写表格（并回复确认邮件）加入
• 他们将收到一封欢迎邮件，其中不会提及如何向该邮件列表发帖
• 他们将收到您的电子报，页脚处会提供简单的退订说明
• 只有经授权的人员才能在该列表中发帖（发送通讯）

主要参考资料是这份文档，内容摘自 Barry Warsaw 在 mailman-users 邮件列表中的两篇帖子：
如何创建通讯/公告/单向列表？

该文本详细阐述了要点：

• 如何创建一个自定义的欢迎信息和列表信息页面，同时避免提及如何向该列表发帖
• 如何最大限度地减少此类邮件列表中常见的密码问题和退订问题
• 如何限制该列表，仅允许授权人员发帖
• 如何设置公告列表以回复某个联系地址
• 如何在公告列表中发帖

斯坦福大学的另一篇文章介绍了如何使用 Mailman
来设置一个“仅公告”的邮件列表：
如何设置“单向”的仅公告或通讯邮件列表 - 知识库文章 KB00010792

返回顶部

关于 GNU Mailman 的简史

邮件列表可以是讨论型，也可以是公告型。Mailman 软件是用 Python 语言编写的；在它发布之前，Python 社区使用的是 Majordomo，这是一个基于 Perl 的邮件列表管理器。

目前，Mark Sapiro 负责维护 2.1 稳定分支（
）， 而 Barry Warsaw 则专注于新的 3.X 版本。

对Mailman持续成功至关重要的两项核心原则：

• 任何信息都不应丢失
• 任何消息都不应被发送超过一次

在 Mailman 2 中，开发人员重新设计了邮件处理系统，以确保这两项原则始终被置于首要位置。该系统的这一部分至今已稳定运行了至少十年，这也是 Mailman 能像今天这样广泛应用的关键原因之一。

返回顶部

VERP 跳转管理

VERP 是“可变信封回传路径”（Variable Envelope Return Path）的缩写。 这是一种广为人知的技术，邮件列表通常利用它来明确识别退信的收件人地址。 当邮件列表收到退信时，可以采取相应的措施，例如禁用该退信地址或将其从列表成员中移除。

退信信息有统一的格式，称为“投递状态通知”。Mailman 使用了一个包含数十种退信格式规则的库，这些规则都是在 Mailman 问世的二十年间实际应用中观察到的。

VERP 利用了基础 SMTP 协议的一项要求，即通过将此类退信消息退还给信封发件人，来提供明确的退信检测。 这并非 发件人： 消息正文中的字段，但实际上该 发件人 该值是在 SMTP 对话过程中设置的。该值在投递过程中会被保留，根据标准规定，最终接收邮件服务器必须将退信发送至该地址。

如果 Mailman 服务器是 mylist@example.org，那么发送到的邮件列表帖子中，其VERP编码的信封发件人将是 anne@example.com 将是： mylist-bounce+anne=example.com@example.org. 退信将发送至经过VERP编码的收件人地址。随后，Mailman可以解析该 收件人： 通过解析该标头，将原始收件人识别为 anne@example.com

使用 VERP 要求 Mailman 向每位收件人发送且仅发送一份邮件。 VERP 要求每个收件人拥有一个唯一的 发件人 对于每位收件人，实现这一目标的唯一方法是发送消息的唯一副本。 这种方法也有助于防止消息被标记为垃圾邮件。

返回顶部

发件人和“发件人”地址对齐

在试用期间，默认“copymail 应用该配置使用我们提供的域名作为 发件人 地址（也称为退信/返回路径/信封地址），即退信邮件被退回的地址。这 发件人 该域名与 来自 发件人地址（收件人可见的发件人地址）。

在投入生产之前，必须对 DNS 进行一些修改，以便对使用 来自 域名。 最新的电子邮件标准允许您使用子域名作为 发件人 地址（例如， email.您的邮箱域名.com) 同时仍可将基础域名用作 发件人 地址（例如， info@youremaildomain.com)。更多详情请参见 电子邮件验证（高级） 页面。

在其他环境下也可能出现同样的情况。建议您向您的互联网服务提供商核实此事。

返回顶部

SMTP 服务器的反向代理

主要优势：

• 安全性 它能够拦截恶意请求、加密流量，
  并保护后端服务器免受直接攻击。
• 性能 它将传入的流量分配到多台服务器上，从而防止单台服务器过载
  并确保更高的可用性。
• 可扩展性 它允许您在不中断服务的情况下添加或移除后端服务器，
  从而能够应对不断增长的流量。

仅限HTTP的反向代理（第7层）

互联网上有多种工具可供使用；经过调研，我们首先排除了仅支持HTTP协议（第7层）的工具：

NO Apache
“哎呀。花点时间了解一下你正在使用的技术吧。电子邮件使用 SMTP。 Apache 使用 HTTP。Apache 对 SMTP 一无所知。如果你想处理电子邮件，就需要一种支持 SMTP 的技术。” ——EEAA 于 2016 年 8 月 18 日 2:49 发表评论

NO Caddy
“Caddy 无法代理 TCP，只能代理基于 TCP 的 HTTP。 请使用能够代理 TCP 的反向代理，例如 Traefik、Nginx 或 haproxy，或者使用这个实验性插件。” –ElevenNotes 于 2024 年 9 月 24 日发表评论

随后，我们重点关注了评论中推荐的三个选项： “Traefik、NginX 或 HAProxy”，并逐一进行了安装和测试。

Traefik 是首选。

大多数教程都是从 Docker 开始的，而我本想避开这个平台，转而选择一个简单的解决方案， 最好是基于某个 Linux 软件包管理器的方案，例如适用于 Fedora 和 CentOS 等基于 RPM 的发行版的 YUM， 或者适用于 Ubuntu 和 Debian 等基于 Debian 的发行版的 APT（Advanced Package Tool）。

经过一番漫长的搜索，我们找到了这篇最新文章，其中描述了我们正在寻找的安装方式： 将 Traefik 设置为 systemd 服务。

请注意：您需要将 SELinux 设置从“强制模式”更改为“容许模式”。

再次尝试了Udemy上的两门课程后，我们发现了这门优秀的课程： Traefik 速成课程（不使用 Docker） 我们通过复现课程中的示例，成功让它运行了起来。 视频临近结尾时，这位优秀的讲师明确表示了他对该工具的完全不认可： Traefik 速成课程 - 53:50 总结。
这让我们打消了继续测试的念头，于是转而尝试其他方案。

NginX 是第二选择

在这种情况下，安装过程更为简单，简而言之就是使用 YUM：
yum install epel-release nginx nginx-mod-stream nginx-mod-mail
注意：在 SELinux 中，您需要启用 relay：
setsebool -P httpd_can_network_relay 1

为了确保培训顺利进行，我们采取了稳妥的做法，邀请了上一期课程的同一位讲师： NginX 速成课程（第一部分大约一小时二十分钟后结束）。 讲师对这款应用也持保留态度，特别是它既充当Web服务器又充当反向代理这一设计： NginX速成课程 - 1:20:10 总结。
报告最后总结道：“我会选择HAProxy而非NginX”，因此我们也决定尝试一下HAProxy。

最后，我们还尝试了 HAProxy。

安装过程出乎意料地简单，因为这是一个非常常见的应用程序， 所有 Linux 软件包管理器中都有提供，例如：yum install haproxy

我们还咨询了我们信赖的指导老师： 《HAProxy速成指南》。

虽然能用，但遗憾的是，这并不适用于 SMTP 认证：
“无法通过这种方式配置 HAProxy，因为 HAProxy 完全不支持 SMTP。”
–lukastribus 发表于 2023年8月17日

将标准 SMTP 服务器用作反向代理

经过两周的测试，我们意识到，
最好将标准 SMTP 服务器用作其他 SMTP 服务器的反向代理。

它能正常工作，仅使用 SMTP 协议，能正确验证连接，
并可通过“smarhost”功能将请求转发至其他 SMTP 服务器。

在 Postfix 的 main.cf 文件中，如下所示：
relayhost = [智能主机地址]:端口

在 Sendmail 中，位于 sendmail.mc 文件中，如下所示：
define(`SMART_HOST',`mail.example.com')

返回顶部

如何提取电子邮件地址

有时，您可能从网站或业务软件中导出了数据
其中包含订单信息或客户详细信息。
而您可能只需要其中的电子邮件地址和订单日期。

一种方法是将所有数据导入 Excel，删除不需要的列
，然后导出剩余的数据。

This may not work well if the email field also contains the email address description,
for example: “Dave Martin <davemartin@bogusemail.com>”.

如果你必须重复执行这项任务多次
或者必须向别人解释所有步骤，那可能会很麻烦。

使用“正则表达式”提取所需数据

正则表达式（简称“regex”或“regexp”），
是一串字符，用于指定文本中的匹配模式。

一个非常简单的例子是在文本编辑器中查找一个有两种不同拼写方式的单词，
正则表达式 seriali[sz]e 同时匹配“serialise”和“serialize”。

更复杂的情况是文本中用于标识的语法

• 电子邮箱地址：
  [a-zA-Z0-9._-]+@[a-zA-Z0-9._-]+\.[a-zA-Z0-9_-]+
  来源： Stack Overflow - 使用正则表达式从字符串中提取电子邮件地址

• 日期：
  \d{4}-\d{2}-\d{1,2}
  来源： Stack Overflow - 从字符串中提取日期的正则表达式

正则表达式（Regex）教程

推荐的 YouTube 视频
“这38分钟花得值，绝对值得”：

如何匹配任意格式的文本
（从第25分钟开始讲解提取电子邮件地址的语法）

正则表达式速查表

RegExr 在线工具

在 Notepad++ 或 Atom 等高级文本编辑器中，通常支持正则表达式
。

此外，还有一些免费的在线工具可供使用，其中之一是：
https://regexr.com——一个用于学习、构建和测试正则表达式的在线服务。

Web 界面说明：
“表达式”字段用于输入正则表达式。
“文本”字段用于输入待分析的内容。
点击“工具 > 列表”可查看提取结果。

示例 1：仅提取电子邮件地址

表达：
[a-zA-Z0-9._-]+@[a-zA-Z0-9._-]+\.[a-zA-Z0-9_-]+

文本：

戴夫·马丁
615-555-7164
罗德岛州斯普林菲尔德市主街173号，邮编55924
davemartin@bogusemail.com

查尔斯·哈里斯
800-555-5669
弗吉尼亚州亚特兰蒂斯市海街969号，邮编34075
charlesharris@bogusemail.com

埃里克·威廉姆斯
560-555-5153
阿拉斯加州法克镇第一街806号，邮编86847
laurawilliams@bogusemail.com

工具 > 列表：
$&\n

结果：

davemartin@bogusemail.com
charlesharris@bogusemail.com
laurawilliams@bogusemail.com

示例 2：提取电子邮件地址和日期

表达：
","(.*?)([a-zA-Z0-9._-]+@[a-zA-Z0-9._-]+\.[a-zA-Z0-9_-]+)(.*?)",".*",(\d{2}\.\d{2}\.\d{4})

文本：

"lorem ipsum dolor sit amet","Robert Farrell <rmfarrell@bogusemail.com>","",02.01.2024, ,5379,
"consectetur adipiscing elit","""Mesa, Rene <rmesa@bogusemail.com>""","",04.01.2024, ,20826,
"sed do eiusmod tempor incididunt","Antonio Bugan <antonio@bogusemail.com>","",04.01.2024, ,2856,
"ut labore et dolore magna aliqua","Crawley Down Tennis Club <hello@bogusemail.com>","",05.01.2024, ,4453,

工具 > 列表：
$2,$4\n

结果：

rmfarrell@bogusemail.com,02.01.2024
rmesa@bogusemail.com,04.01.2024
antonio@bogusemail.com,04.01.2024
hello@bogusemail.com,05.01.2024

正则表达式速查表

.       - Any Character Except New Line
\d      - Digit (0-9)
\D      - Not a Digit (0-9)
\w      - Word Character (a-z, A-Z, 0-9, _)
\W      - Not a Word Character
\s      - Whitespace (space, tab, newline)
\S      - Not Whitespace (space, tab, newline)

\b      - Word Boundary
\B      - Not a Word Boundary
^       - Beginning of a String
$       - End of a String

[]      - Matches Characters in brackets
[^ ]    - Matches Characters NOT in brackets
|       - Either Or
( )     - Group

Quantifiers:
*       - 0 or More
+       - 1 or More
?       - 0 or One
{3}     - Exact Number
{3,4}   - Range of Numbers (Minimum, Maximum)

来源：GitHub 代码片段

返回顶部

如何保护“NO-MAIL”域名

大多数企业和公共机构都会注册多个域名。
企业通常会购买多个域名，以防用户输入错误，并保护其品牌。
有时则是为了推广那些值得特别宣传的活动或项目。

单次活动的域名数量可能从几十个到几百个不等。
其数量范围从大城市的一个区约两百个，到法拉利 和高盛的数千个不等。

如果统计注册域名的总数，数字更是令人瞠目结舌，
据Verisign称，截至2022年底，这一数字已达到3.5亿个域名。

其中许多域名仅作为“展示窗口”使用。网站上未列出任何电子邮件地址。
联系请求通常会被重定向至需填写的表单或社交媒体渠道。

电子邮件发送的管理工作，包括必要的身份验证（SPF、DKIM、DMARC 等），正变得日益复杂。
因此，通常只有一个域名会被实际用于通过电子邮件进行官方对外沟通。

然而，保护个人网络形象的想法可能是一把双刃剑。
配置不当的“展示域名”很容易被恶意攻击者利用。

他们常常利用发件人的知名身份，以此赢得收件人的信任，并诱使收件人采取某些行动
，例如泄露机密信息或打开链接及附件。

收件人面临系统安全受损的风险，
这将使外部的网络犯罪团伙得以入侵。

上述复杂的身份验证系统也有其积极的一面。
DMARC 协议旨在应对伪造电子邮件，
以防止未经授权的个人或组织冒用我们的发件人身份发送邮件。

通过快速配置，您可以声明某个域名当前未被使用，
并提醒收件人拒收来自该域名的任何邮件。
只需在该域名的 DNS 中添加一条记录（单行），注明如下内容即可：

_dmarc.yourdomain.com. TXT "v=DMARC1; p=reject"

该规则是否适用取决于接收邮件的系统。
好消息是，DMARC协议自2015年3月起已成为IETF批准的标准。
大多数在线邮件服务都已实施该协议，以保护其用户。

来自“NO-MAIL”域名的邮件将被自动退回。

这样一来，除了保护贵公司免受滥用之外，还能防止那些已不再具备发送权限且未经认证的“旧”域名（例如
）被误用。

企业为何使用短信

问题：未读邮件、未接来电

消费者的收件箱里充斥着各种争夺其注意力的信息，
这使得企业更难引起现有客户和潜在客户的注意。

让别人阅读一封重要的电子邮件（甚至让他们接听电话）
正变得越来越难。

48% 的消费者收件箱中积压了超过 50 封未读邮件。
大多数消费者不愿清理未读邮件，因此邮件不断堆积。
– 来源：ZipWhip《为什么你的客户不再阅读你的邮件了》（PDF 15 MB）

某些更新非常紧急，甚至可能至关重要。通过电子邮件发送这些更新存在风险，
即邮件可能未被阅读或被归入垃圾邮件文件夹。

当被问及“你有多少个电子邮件账户？”时，77%的人回答“两个或更多”。
通常智能手机上只配置了一个。

给客户打电话却无人接听
或者电话转入语音信箱
的情况正变得越来越普遍。

97%的消费者承认会忽略来自企业及未知号码的来电。
– 来源：ZipWhip《为什么你的客户不再接电话了》（PDF 15 MB）

解决方法：发短信给我

新冠疫情导致电子设备的使用量增加，
64%的受访者表示：“我花在手机上的时间变多了”。

58%的消费者表示，短信是企业快速联系他们的最有效方式。
– 来源：ZipWhip《2021年短信使用状况报告》（PDF，21 MB）

即使在电子商务领域，注册通常也需要提供电子邮件地址，
但包括亚马逊在内的一些大型公司也提供了通过手机号码注册的选项。

解释：发短信的五个好理由

1. 效果立竿见影
   短信几乎总会被阅读，通常在收到后的几秒内。
   打开率超过95%（在这95%中，90%发生在送达后的三分钟内）。
   短信简短精炼，沟通内容直击要点且即时。

2. 很简单
   它们无需网络连接即可送达收件人手中。
   这使您的品牌能够触达那些不擅长使用科技产品的受众群体。
   其使用方式类似于视频内容（快速、即时，且内容可控制在160个字符内）。

3. 它无处不在
   短信与地球上每一部手机都兼容，无需安装新应用。
   智能手机（或老式手机）就像钱包和家门钥匙一样，总是随身携带。
   通过可靠的渠道，无论客户身在何处，都能与其进行互动。

4. 价格低廉
   发送短信的成本很低。
   发送的短信平均长度不超过155个字符（单条短信的上限为160个字符）。
   在与客户沟通时，将短信与电话或电子邮件结合使用可以节省时间。

5. 它具有互动性
   沟通通过“无负担”的渠道进行，不会造成“强迫感”，也不会带来“压力”。
   短信通常被视为更重要的信息，因此更可能被打开并阅读。收件人回复的可能性也更高。
   短信的语言简洁，能促进互动。回复率高达45%。

如何处理退信

退信（或简称“bounce”）是指邮件传输代理（MTA）自动发送给发件人的邮件，
用于通知发件人，
该邮件未能被收件人正确接收

邮件主题通常为“退回邮件：详情请参见邮件正文”。
邮件正文中包含退信说明信息，即带描述的代码。

“状态码”应明确标识导致邮件退回的错误类型
但通常各电子邮件服务提供商所使用的代码和描述
必须经过分析和解读，才能正确分类退信。

• 退信会带来哪些风险？
  • 你不能忽视他们
  • 你应该理解它们的意思
  • 你应该了解跳转处理的原理
• 检查弹跳次数
• 跳转处理的新趋势
• 退信状态代码

退信会带来哪些风险？

向错误或已停用的收件人发送邮件被视为“垃圾邮件行为”。

你不能忽视他们

如果您想联系列表中的其余联系人，最好停止向列表中“无效”的部分发送邮件。
有时这也被称为“列表维护”。

你应该理解它们的意思

投递状态通知（DSN）分为三种类型： 成功 - 电子邮件已送达（仅在发件人要求时发送通知）
硬退信 - 发生永久性错误
软退信 - 发生临时性错误

硬退信（状态码 5.XXX.XXX）：该电子邮件地址引发了永久性错误
例如“550 5.1.1 … 用户不存在”或“5.1.2 … 主机不存在”
永久性错误表明您不应再向该收件人发送邮件。
单次退信就应触发邮箱地址屏蔽。

软退信（状态码 4.XXX.XXX）：该邮箱地址产生了临时错误
例如“452 4.2.2 … 邮箱已满”
临时错误表示您可以在未来重试投递。
在几天内出现至少三次退信，应触发邮箱地址屏蔽。

你应该了解跳转处理的原理（以及如何调整它）

• 所有返回的消息均由应用程序下载
  这些数据会提供给人工审核，既可以通过应用程序界面进行，也可以通过 JSON 文件进行
  
  
  
• 该分类遵循一些规则，这些规则可以进行编辑
  
  
  
• 这些选项用于定义何时将软退信“升级”为硬退信
  
  

» 返回顶部

检查弹跳次数

有时，发件方和收件方双方都存在配置错误
可能会导致软退信，甚至硬退信。

养成一个好习惯，定期查看过去一周的退信数量
以确认数值是否与之前一致，或是否有异常情况。
如果出现问题，您会立即察觉。 阅读退信详情将有助于您找出原因。

某些系统允许您设定天数（例如 180 天）
，超过该时限后，订阅者的退信信息将被删除。
这样，SMTP 服务器就会尝试再次联系该收件人。

误触发的封锁将自动解除
但这可能会损害 SMTP 服务器的声誉。

» 返回顶部

跳转处理的新趋势

一句话概括：防患于未然。

为了避免损害其SMTP服务器的声誉，
越来越多的电子邮件服务提供商（ESP）开始使用“电子邮件屏蔽列表”
该列表会在邮件到达收件人邮箱之前发挥作用。

当任何客户发送的电子邮件导致硬退信时，
该退信的电子邮件地址将被添加到屏蔽列表中。

屏蔽列表适用于所有客户。换句话说，
如果其他客户试图向屏蔽列表中的某个地址发送电子邮件，
SMTP 服务器将不会发送该邮件，因为该电子邮件地址已被屏蔽。

使用配备独立 IP 的 SMTP 服务器可以避免一些与声誉共享相关的问题。
例如，“电子邮件屏蔽列表”只能针对您的 IP 地址生效，
因此，如果其他客户导致 SMTP 服务器被列入黑名单并产生相关退信，
您的邮件发送将不会受到影响。

» 返回顶部

退信状态代码

用于识别硬退信和软退信的状态码采用以下语法：
status-code = class “.” subject “.” detail

状态码由三个以“.”分隔的数字字段组成

• 第一个子代码（类别）表示分发尝试是否成功
• 第二个子代码（主题）指明了任何投递异常的可能来源
• 第三个子代码（详细信息）表示一种具体的错误状况

子代码（类别）对状态进行了总体分类。
RFC 3463和RFC 6522 中对各类别所列值的定义如下：

2.XXX.XXX 成功（除非发件人要求，否则不发送）
“成功”表示 DSN 报告了一次成功的投递操作。
详细子代码可能会通知投递所需的转换操作。

4.XXX.XXX 持续性临时故障
持续性临时故障是指所发送的消息本身有效，
但某些临时状况的持续存在导致了发送尝试被放弃或延迟。 
如果此代码伴随投递失败报告出现，未来重发可能成功。

5.XXX.XXX 永久性失败
永久性失败是指以当前形式重发消息不太可能解决的问题。
必须对消息或目的地进行某些更改才能成功投递。

一些代码和说明示例：

2.0.0：已发送（消息已接受并准备投递）

4.2.2：超出配额
4.4.5：磁盘空间不足

5.0.0：域名无效
5.1.1：用户不存在
5.7.1：消息内容被拒

» 返回顶部

如何检查我的 SMTP 是否安全

随着2020年代勒索软件攻击数量的增加
作为我们在互联网上的主要沟通渠道，电子邮件安全吗？

SMTP 服务器是一项特别敏感的基础设施。
它们可以代表我们发送电子邮件，
而我们的通信对象会将其视为来自可信发件人，
因为这些邮件已通过发送服务器的正确身份验证。

SMTP 服务器是一种特别敏感的基础设施。
它们代表我们发送电子邮件，
而我们的通信对象会将其视为来自可信发件人，
因为这些邮件已通过发件人的 SMTP 服务器进行了正确的身份验证。

如果有人使用您的 SMTP 服务器会怎样？
如何检查我的 SMTP 服务器是否安全？

在互联网上使用敏感基础设施
需要采取高水平的保护措施，以防止滥用。

如果您尝试通过 smtp.gmail.com
发送邮件， 您的操作将被阻止，并收到以下“严重安全警报”：

安全级别较低的应用已被拦截  
Google 拦截了您尝试使用的应用，
因为它不符合我们的安全标准。[...]

唯一的替代方案是使用 OAuth2，这是一种不共享密码数据的协议
而是通过授权令牌来验证身份。

互联网上使用最广泛的邮件服务器（2021年8月数据）是：
Exim（58%）、Postfix（35%）、Sendmail（4%）

若要继续使用您自己的邮件服务器
以降低被黑客攻击的风险， 您需要确认的最低要求如下：

1. 仅接受安全认证
   用户名和密码必须通过安全连接传输，
   通常为 587 端口+TLS、25 端口+TLS或465 端口+SSL
   已禁用明文敏感数据通信

2. 必须对“Mail-From”地址（发件人）进行验证，
   只有您授权的地址才能通过

3. 配置 Fail2ban 以阻止所有外部攻击
   以防止有人试图突破您的防护措施。
   特别是，Fail2ban 应阻止所有重复尝试：

• 因用户名或密码错误而无法登录
• 以未经授权的发件人身份发送电子邮件
• 在身份验证过程中中断 SMTP 连接
  （多次连接中断会导致 SMTP 服务对合法用户不可用）

该封禁通常在尝试登录3至10次后触发
并将源IP地址封禁3至24小时。

验证这些要点并判断您的 SMTP 基础设施是否需要进行安全升级，其实非常简单。

Fail2ban 可保护您的服务器免受暴力破解/DDoS 攻击。
它的运作原理就像是当陌生人敲门时，
敲击一定次数后，门就会消失。

来自Hacker News 的一个用户评论：

我管理自己的邮件服务器已有数年，我想这里许多人也
使用Mail-in-a-box、mailcow、Mailu等解决方案

在新冠疫情之前，我的邮件服务器从未出现过大问题，但最近几周
我收到了非常庞大的入站流量——这超出了我服务器的承受能力，我不得不每次都手动重启它……

[...] 编辑：我修改了fail2ban的设置，发现自己主要遭受的是
暴力破解攻击，而像fail2ban这样的工具应该能帮助我抵御此类攻击

Fail2ban 是一款日志解析应用程序，用于监控系统日志
以查找自动化攻击的迹象。

当检测到攻击尝试时，Fail2ban 会根据预设参数（
） 向防火墙（iptables 或 firewalld）（
） 添加一条新规则，以阻止攻击者的 IP 地址，阻止时长可以是预设的时间，也可以是永久性的（
）。 Fail2ban 还可以通过电子邮件向您发出警报，告知正在发生攻击。

Fail2ban 主要针对 SSH 攻击，但可以通过进一步配置
来保护任何使用日志文件且可能遭到入侵的服务。

它被广泛使用。在谷歌上搜索，很容易找到用于保护邮件服务器的
配置示例。

用于发送电子邮件的 DNS 设置

发送电子邮件需要哪些域名 DNS 设置？

电子邮件服务提供商通常要求您在使用其 SMTP 服务器之前，先验证发件人的域名
。这样做有两个原因：

1. 验证域名所有权
   通过管理 DNS，您可以证明您控制着发件人的域名
   这意味着您没有使用他人的域名（冒充）

2. 发送经过身份验证的电子邮件
   通过设置 SPF 和 DKIM 身份验证，您的邮件
   会被收件人识别为来自“真实”发件人
   如果您的域名和 SMTP 服务商信誉良好
   邮件应能送达收件人的收件箱

摘要：

• 电子邮件服务提供商：对经过验证的发件人的要求
• 为什么经过验证的发件人如此重要？
• 什么是域名对齐？
• CNAME 记录和 TXT 记录，哪个更好？
• 什么是专用 IP 地址？
• 我们应该直接管理公司的域名DNS设置吗？

电子邮件服务提供商：对经过验证的发件人的要求

以下是我们测试过的部分主要服务商，按字母顺序排列。
2021年7月底，我们测试了开始发送电子邮件所需的基本设置。
经过验证的域名是“emailperfect.com”。该域名注册于2012年，此前从未用于发送电子邮件。

* = 我们向以下每个邮箱发送了一条消息，并记录了是否有任何迹象表明需要再次检查：
Gmail、Hotmail、Yahoo、Gmx、Aruba、Tiscali、Exchange Online

为什么经过验证的发件人如此重要？

在 2021 年，我们认为必须对发件人的域名进行认证
，以便收件人能够确认发件人的电子邮件地址未被伪造。
预先进行的认证检查也能大大降低发送系统被滥用的风险。

因此，我们已将以下提供商从列表中“移除”：
该提供商在允许其发送消息前，并不要求进行域名验证。

什么是域名对齐？

发送消息时，我们需要处理两个域：

1. 发件人的“发件人”地址，该地址对收件人可见
2. 在“Mail-From”地址（也称为“信封发件人”或“返回路径”）中，
   该地址被隐藏，并由邮件服务提供商（ESP）直接管理，用于接收退回的邮件

“域名一致性”的要求可概括为以下这句话：
“当发件人使用 SPF 和/或 DKIM 对电子邮件进行身份验证时，
至少有一个域名必须与发件人域名一致”

CNAME 记录和 TXT 记录，哪个更好？

对于 DKIM 认证，CNAME 记录更易于实现。
虽然添加一个 2048 位 TXT 记录也能达到相同的效果，但操作更为复杂。
此外，通过 CNAME 委派 DKIM 记录，可让您的服务提供商
在出于安全考虑需要时修改其密钥。

对于使用 CNAME 记录的 SPF 认证，这意味着“Mail-From”地址
将是一个由您的电子邮件服务提供商管理的子域名，例如：bounce.your-company-name.org。
该提供商将同时处理 SPF 认证和退信。

对于 Zimbra 或 Exchange 等邮件服务器，SPF 认证的 TXT 记录是最佳选择，
因为每个发件人都会直接收到退信。
域名认证仅需一条 TXT 记录，
如果您管理多个 SMTP 服务器，维护起来可能会比较困难。

什么是专用 IP 地址？

“互联网协议地址”或“IP地址”
类似于您家里的座机或移动设备的电话号码。

大多数 SMTP 服务都会为客户提供“共享”IP 地址。
每次发送邮件时，都会分配一个不同的 IP 地址。

“专用 IP 地址”是指您的邮件发送 IP 地址不会随时间变化。
这能让您更好地掌控发件人声誉，避免因他人使用而受到损害。

我们应该直接管理公司的域名DNS设置吗？

不一定，因为这需要一些技术技能。

公司管理层应意识到，对 DNS 设置
进行的一些更改 可能会导致以下严重后果：

• 将网站访问者引导至另一台网络服务器
• 将收到的邮件转发到另一台邮件服务器
• 破坏电子邮件认证，导致邮件被视为垃圾邮件或被拒收

» 返回顶部

如何管理邮件列表

如何高瞻远瞩地管理邮件列表？

1. 首先：为什么要使用邮件列表管理工具？
   
   CRM系统（如Salesforce和Microsoft CRM）
   以及企业邮箱（如Office 365和Google Apps Gmail）
   并不适合群发邮件。
   
   它们原本是为一对一沟通而设计的。
   为了防止滥用，这些系统通常会设置每日发送上限。
   
   很多时候，企业需要向大部分联系人或某些选定群体发送电子邮件。
   群发邮件必须通过专用系统进行管理，
   这些系统需具备处理大量邮件及自动退订功能。

2. 第二步：去哪里寻找这些解决方案？
   
   最简单的答案是关注“SaaS”（软件即服务）解决方案
   （Mailchimp 是最著名的系统，Inxmail 知名度较低，但被大型企业广泛采用）。
   
   本地部署与云服务始终是一个重要的选择。
   我们的观点是，本地部署有助于“重新掌控电子邮件”，这也是我们所倡导的。
   
   即使您决定使用云端的自托管应用程序，
   这也能让您在保持相同解决方案的同时，轻松更换供应商。

3. 有三个解决方案值得一提：
   

• Sendy 功能成熟，但属于“闭源”且需付费。
  
  
• Listmonk 是一个开源项目。其 1.0 版于 2021 年发布。该项目使用 Go 语言开发，
  它以独立二进制文件的形式发布，唯一的依赖项是 Postgres 数据库。在GitHub上，该项目获得了 5.4k 个星标
  
  
• Mailtrain 也是开源的。其首个版本于 2016 年发布，第 2 版于 2021 年发布。
  它使用 MySQL 数据库。在GitHub上，该项目获得了 4.8k 个星标

为了追求简洁的界面、以列表为核心的解决方案、易于维护
以及在出现问题时易于恢复，我们认为 listmonk 是最佳选择。

listmonk 是一款自托管的高性能邮件列表和电子报管理工具。
它以独立二进制文件的形式提供，唯一的依赖项是 Postgres 数据库。

申请的第一步

这是Hacker News 上的原始公告：

knadh 于 2019 年 7 月 12 日 [–]

我是作者。先说明一下开发 listmonk 的背景：在工作中（受监管的金融业务），
我们需要定期向 150 多万客户发送电子邮件，主要是重要更新。
我们长期使用 phpList，后来尝试过 MailTrain 和 Sendy，但在遇到一系列问题后，最终决定重新开发
自己的解决方案，其中几个重要问题如下所述。

- 性能。发送电子邮件耗时过长。
  phpList的性能已恶化到处理一次邮件活动需要数天的时间。
  listmonk可以创建N个goroutine（类似于线程），并将邮件推送到多个SMTP服务器。
  在普通EC2实例上，我们能在几小时内发送150多万封电子邮件。

- 订阅者导入极其缓慢。直接集成以保持订阅者与外部 CRM 同步的过程十分繁琐。
  由于表结构复杂，直接数据库插入操作十分繁琐。listmonk 能在普通 EC2 实例上以每秒 1 万条记录的速度将数据导入 Postgres 数据库。

- 用户分群。我们经常需要根据自定义属性与条件快速对用户进行分群，并向其推送更新。
  listmonk 支持 SQL 表达式，可基于定义为任意 JSON 映射的用户属性进行分群（得益于 Postgres 的 JSONB 类型）。

- 缺乏动态模板。listmonk 模板支持 Go 模板表达式，因此可以在消息中编写逻辑以实现动态化。

Kailash Nadi 是自由及开源软件（FOSS）领域的一位非常活跃的开发者。
他供职于印度最大的证券经纪商Zerodha。
Zerodha 技术团队的博客发布在zerodha.tech 上。

详情

Listmonk针对标准用户（通过网页界面）和开发者（通过 API）提供了详尽的文档。

该解决方案既适用于大型列表（最多可达数百万订阅者），也适用于小型群体。
借助“查询和细分订阅者”功能，
您可以根据订阅者的个人资料和属性进行筛选，并导出选定的订阅者。
提取的数据可轻松导入到新的定向邮件列表中。

它缺少某些重要功能，例如邮件退信处理。
但该功能预计将在下一个主要版本中推出：
退信处理 #166
退信处理功能预览截图

技术考量

我们之前使用过另一个 Go 应用程序：RealSender - DMARC REPORTS。
来源：dmarc-report-converter。它一用就成功，毫无麻烦。

“PostgreSQL 数据库管理系统历经二十余年的发展，
如今已成为全球最先进的开源数据库。”
——《PostgreSQL 简史》 - https://www.postgresql.org/docs/9.3/history.html

我们在过去部署 Inxmail Professional 服务器时曾有过一些相关经验。
2017 年，Inxmail GmbH 宣布将仅支持 PostgreSQL，并停止支持所有其他数据库：

自 2019 年 1 月 1 日起，我们将专注于提供最优的技术基础，并停止对 
Windows 服务器以及 MySQL、Oracle 和 MS SQL Server 数据库的支持。
这意味着我们将仅为基于 Linux 服务器和 PostgreSQL 的 Inxmail Professional 提供支持。
-- Inxmail Professional 许可方案：系统支持变更
   https://www.inxmail.de/files/files/de/downloads/Inxmail-Professional-licence-solution-EN.pdf

这对新手来说无疑是个不错的选择，也是一项值得投资的知识储备。
Udemy 的在线课程可以协助您完成 PostgreSQL 的初始安装和维护工作。

开源存在风险：一个于2019年启动的最新项目，未来还能得到维护吗？
没人知道，也许最坏的情况下会有其他开发者接手，但是：

• 从其特性来看，这似乎是必不可少的；但如果过于复杂，就会难以维护
• 我们为 listmonk提交了一份错误报告，并在两小时内收到了开发者的回复
• 作者供职于一家大型企业，该公司在内部使用该系统

电子邮件送达率

电子邮件送达率，问答：

hemancuso 于 2019 年 7 月 12 日 [–]
像这样的项目听起来是个好主意，但送达率似乎是个大问题，
除非你有相当丰富的经验，否则很难衡量这一点。
如果要使用此类项目并希望确保合理的送达率，
在选择或使用邮件服务提供商（ESP）时有哪些最佳实践？

knadh 于 2019年7月12日 [–]
我是楼主。我们公司（受监管的金融企业）已在生产环境中使用 listmonk 
发送电子邮件更新（包括监管通知）超过 6 个月。
我们通过 Postal 在 EC2 实例上托管自己的 SMTP 服务器，从未遇到过送达率问题。
如果是合法的电子邮件，我认为这并不是什么大问题。

我们同意，向客户发送预期的邮件应有助于避免大多数投递问题。
根据我们的经验，数量越大，出现问题的可能性就越高。
AWS EC2 服务器经常被 Gmail 列入黑名单——所有发送的邮件都会被送入垃圾邮件文件夹。

RealSender 提供专用 IP SMTP 服务器，
这些服务器运行在可靠且受持续监控的环境中。

关于名称

goberoi 于 2019 年 7 月 13 日 [–]
随便问一下：这个名字是怎么取的？

knadh 于 2019 年 7 月 13 日 [–]
我记不太清了，但我想当时的思路大概是
“轻松无忧、平和的列表管理”。

我们来试试吧

您只需几分钟即可使用 Docker 镜像完成一个可运行的演示安装。
或者向 RealSender 申请一个 listmonk 演示账户。

» 返回顶部

如何发送电子简报

被列入黑名单后，某大型反垃圾邮件服务的客户支持通常会回复：
“请审核您的邮件列表质量，以确保收件人对您的邮件感兴趣”。

“列表维护”和“收件人兴趣”涉及多个方面：

A -在“机器”端 - “列表卫生”

1. 妥善管理订阅和退订
   订阅者必须已验证其电子邮件地址（双重确认），
   收件人应能够轻松且明确地退订（选择退出）

2. 仅向“活跃”且高度参与的收件人发送邮件
   不要反复向无效地址或邮箱已满的收件人发送邮件
   停止向不活跃的收件人发送邮件，如果他们没有互动，这显然表明他们不感兴趣

3. 内容必须分页清晰（不能是一张图片），并且具有“响应式”设计，以便在多种设备上都能正常显示
   否则，垃圾邮件过滤器可能会在邮件到达收件人收件箱之前将其拦截

4. 确保服务器能够识别谁在发送
   电子邮件认证使目标邮件服务器能够识别出哪些邮件是由可信发件人发送的

B -从“人”的角度来看 - “受益人的利益”

1. 订阅者应期待收到相关内容
   收件人应期待并珍视您的信息

2. 应妥善处理用户的反馈
   有时可能会出现问题，或者某些收件人需要与您联系
   也许只是想告诉您，他不想再接收任何消息，即使邮件中提供了退订链接

MACHINE 侧 - “列表卫生”

对于只有几百名收件人的小型邮件列表，上述要点很容易管理。
通常发件人会单独认识这些收件人，因为他们是客户或某个协会的成员。

当收件人名单规模扩大，涉及数千名收件人时，情况就会变得复杂
而且参与邮件发送工作的人员也更多。
在这种情况下，必须使用专业工具。

互联网上有许多专业的电子邮件营销解决方案，例如
其中国际上最知名的是MailChimp
许多网站也列出了MailChimp 的替代方案。

EmailTrends 的使命是“夺回电子邮件控制权”，
因此，我们建议采用另一种方法。

据W3Techs统计，WordPress支撑着互联网上40%的网站
并且它是整个互联网开源类别中最受欢迎的技术。

Mailpoet
拥有超过 20 万个活跃安装量， 是使用最广泛的 WordPress 电子报插件之一。

MailPoet 是一款开源软件，自 2020 年底起，
已成为 Automattic（WordPress 的母公司）旗下关联公司的一部分。

以下截图可让您了解各项要求是如何满足的：

Mailpoet 采用“免费增值”盈利模式，您可以选择以下选项：
“我只想购买不包含发送功能的 Premium 套餐”。

RealSender 专用 SMTP 服务器可通过“Send With… > Other”选项进行配置。
“Bounce Handler MailPoet”插件配合RealSender 提供的电子报邮箱
将确保所发送的电子邮件能够正确通过身份验证。

» 返回顶部

“人”的一面——“受益人的利益”

人性化的一面更难做到，
但这也正是关键所在，
尤其当技术管理不够完善时。

“保持相关性”
是几年前电子邮件营销中使用的一句口号。

当你向那些
经过长时间交流后你已十分了解的人发送重要信息时，
无论格式多么糟糕
或者邮件被归入垃圾邮件文件夹，都无所谓。

他们总是会原谅技术上的瑕疵，
他们会期待收到你的邮件，请阅读这些邮件
如有必要，请点击“不是垃圾邮件”按钮。

» 返回顶部

如何发送私人邮件

如何发送私密且加密的电子邮件？

电子邮件既不私密也不安全。
它在设计之初就未将隐私或安全纳入考量。

任何在传输过程中处理您电子邮件的人都可以阅读它，
包括您的互联网服务提供商、黑客，甚至是美国国家安全局（NSA）。

摘要：

• 电子邮件隐私：当前状况
• 在“法律”方面
• 属于“非法”的一方
  
  
• 电子邮件隐私：面临的挑战
• 匿名性与保密性
• 端到端加密
  
  
• 电子邮件隐私：解决方案
• < technical >  Pretty Good Privacy - also known as PGP
• < technical >  How to use PGP encryption
• < easy >  Alternatives to PGP encryption

今天发生了什么

在“法律”方面

“任何一条信息的价值，只有当你能将其
与未来某个时间点出现的信息联系起来时，才会显现。
既然无法将不存在的点连接起来，这就迫使我们陷入一种状态，
即我们本质上试图收集一切，并永远将其保留下来。”

• - 中情局前特工格斯·亨特谈大数据，刊载于《赫芬顿邮报》
• - 中情局特工格斯·亨特谈大数据，YouTube视频

“他们说那只是元数据，只是元数据，[…]
你和谁通话、何时通话、去过哪里。
这些都是元数据事件。
‘棱镜’计划针对的是内容。[…] 他们都能看到，因为这些内容是未加密的。”

• - 爱德华·斯诺登 - TED 2014

数十项心理学研究证明
当人们知道自己可能被监视时，
其行为会变得更加顺从和服从。
[…] 大规模监控在人们心中筑起了一座监狱 […]

• - 格伦·格林沃尔德 - TEDGlobal 2014

属于“非法”的一方

诈骗分子还可能利用恶意软件渗透到公司的计算机网络中
并查阅有关财务事项的电子邮件往来。

• - 欺诈资源中心 - 企业电子邮件被劫持

企业邮箱欺诈（BEC）——也称为邮箱账户欺诈（EAC）
是造成经济损失最严重的网络犯罪之一。
在BEC诈骗中，犯罪分子会发送一封看似来自可信来源的电子邮件
提出正当请求 […]

• - 诈骗与安全 - 企业邮箱被劫持

返回顶部

挑战

匿名性与保密性

匿名性与保密性不同
[…] 我们对消息进行加密
这样即使有人看到我们发送了消息
他们也无法读取消息内容
但有时我们甚至不希望别人看到我们发送了消息

• - TOR 的工作原理 - Computerphile

在互联网上实现匿名性并非易事。
这需要你对所选工具有深入的了解。

这份指南或许能让你了解其复杂程度：
私有电子邮件服务商

保密性更容易获得。

即使你没有什么可隐瞒的，使用加密技术
也有助于保护你的通信对象的隐私
，并让大规模监控系统难以得逞。

如果你确实有重要事情需要隐瞒，你并不孤单；
这些正是举报人用来保护自身身份的工具
同时，他们也借此揭露侵犯人权、腐败及其他犯罪行为。

至关重要的第一步是保护好自己
并尽可能让他人难以监视你的通信。

• - 电子邮件自卫指南——利用 GnuPG 加密对抗监控

端到端加密

电子邮件的端到端（e2ee）加密可用于确保
只有消息的发件人和收件人能够阅读其内容。

如果没有这种保护，网络管理员、
电子邮件服务提供商和政府机构很容易就能读取您的邮件。

要实现端到端加密，发送方和接收方都必须格外谨慎。
参与方中的任何一方只要出现一次失误，就足以破坏端到端加密的安全性。

电子邮件的元数据（例如发件人邮箱、收件人邮箱、日期和时间）无法通过端到端加密（e2ee）进行保护。
即使使用了端到端加密，邮件的主题也可能无法受到保护，且容易被读取。

• - Thunderbird 中的端到端加密是什么？

返回顶部

解决方案

< technical >  Pretty Good Privacy - also known as PGP

PGP 软件遵循 OpenPGP 加密标准（
标准（RFC 4880））来对数据进行加密和解密。

• - 维基百科上的“Pretty Good Privacy”

PGP 会将您的邮件正文加密成一串代码
，只有收件人才能解密并阅读。

PGP 几乎可以在任何电脑或智能手机上运行。
它采用自由许可协议，完全免费。

每个用户都有一个唯一的公钥和私钥，
它们是由数字组成的随机字符串。

您的公钥与实体钥匙不同，因为它存储在在线目录中，其他人可以下载它。
人们会使用您的公钥配合 PGP，对发给您的电子邮件进行加密。

您的私钥更像是一把实体钥匙，因为您将其保存在自己手中（即您的计算机上）。
您使用 PGP 和您的私钥来解码他人发送给您的加密电子邮件。

如果一封使用PGP加密的电子邮件落入坏人手中，它看起来只会像一堆乱码。
如果没有真正的收件人的私钥，几乎不可能读懂它。

为了保护自己免受监控，我们需要了解何时使用 PGP
， 并在分享电子邮件地址时开始分享我们的公钥。

• - 电子邮件安全防护 - 信息图

< technical >  How to use PGP encryption

要使用 PGP，您需要一个公钥和一个私钥（统称为密钥对）。
它们各自都是一串由随机生成的数字和字母组成的长字符串，且仅属于您个人。
您的公钥和私钥通过一种特殊的数学函数相互关联。

需要一个用于管理密钥以及消息加密/解密的应用程序，
以下是一些最受欢迎的选项：

• Mailvelope 是一款免费的开源浏览器插件，支持 Mozilla Firefox 和 Google Chrome，网址为
  这可能是接触 PGP 的最简单方式
  “Mailvelope 演示”是一个制作精良的教程

• Mozilla Thunderbird 应用程序集成了发送 PGP 签名邮件所需的一切功能
  Thunderbird 端到端加密入门

• GnuPG 是 OpenPGP 标准的完整且免费的实现
  《使用 Gpg4Win 的 PGP 新手指南 [5 分钟轻松设置]》详细介绍了如何使用它

< easy >  Alternatives to PGP encryption

对于已经使用PGP的合作伙伴而言，PGP是实现安全通信的最佳解决方案。
让对方开始使用PGP可能比较困难。

允许您仅分享一次秘密的服务是一种替代方案。

如果只需发送一次，可以使用开源网页应用
， 该应用允许您输入只能查看一次的信息。

收件人打开页面后，信息即被删除，
而您的聊天记录或电子邮件中唯一留下的只是一条无效链接。

虽然它不如全团队使用PGP那样安全可靠，但设置和讲解起来要简单得多。
我们曾用它向一些不太懂技术的人发送登录信息，他们觉得使用起来很简单。

示例（不添加密码）：

假设你有一个密码。你想把它告诉你的同事简。
你可以通过电子邮件发给她，但这样密码就会保存在她的邮箱里，而邮箱内容可能会被备份，
而且很可能存储在某个由美国国家安全局（NSA）控制的存储设备中。

如果简收到密码链接却从未点击查看，密码就会消失。
如果美国国家安全局截获了这个链接，并且查看了密码……那么他们就掌握了密码。
此外，简虽然无法获取密码，但她现在知道，不仅有人在查看她的邮件，
而且还在点击其中的链接。

以下列出了其中一些服务，它们均为免费且开源的。
您也可以选择在自己的网络服务器上部署一个实例。

PrivateBin（类似于 PasteBin 的安全版本）采用 PHP 开发
PrivateBin 的源代码已发布在 Github 上——获得 3100 个星标
PrivateBin 的使用说明可在另一个网站上查阅

OneTimeSecret采用 Ruby 语言开发
OneTimeSecret 的代码和使用说明已发布在 Github 上——已获 1200 颗星

SnapPass采用 Python 语言编写。它最初由 Pinterest 开发

SnapPass 的代码和说明已发布在 GitHub 上——已获 600 个星标

返回顶部

如何发送和限制密件抄送（BCC）邮件

如何发送和限制密件抄送（Bcc）邮件？

“Cc”在（旧时）指“副本”（Carbon Copy），意为使用复写纸在打字机上制作副本
。

电子邮件中的“Bcc:”字段（其中“Bcc”代表“密件抄送”）
包含该邮件收件人的地址
这些地址不应向邮件的其他收件人透露。
——IETF RFC 2822《互联网消息格式》

Bcc 和 Cc 的区别在于收件人的隐私性。
使用 Cc 功能时，Cc 字段中的电子邮件地址
对该邮件的所有收件人都是可见的。

“密件抄送（Bcc）”的收件人可以看到直接收件人（“收件人（To:）”），
但他无法得知邮件中还有哪些其他收件人被密件抄送。

“密件副本（Bcc）”通常被视为一种易于使用的批量邮件发送系统。
以下是对使用“密件副本（Bcc）”的优缺点的简要分析。
页面末尾给出了结论及一些建议。

优点

这很简单：谁都能用。

• 这是一种联系多位收件人的便捷方式
• 任何拥有电子邮件客户端的人都可以使用它
• 如果使用得当，它不会泄露收件人的电子邮件地址，从而尊重了收件人的隐私

返回顶部

缺点

电子邮件是一个无需预先检查的发送网关。
使用密件抄送（Bcc）功能，可将邮件发送范围扩大至数百甚至数千个联系人。

应将“密件抄送”（Bcc）视为一种高风险、
且可能具有危险性的通信工具。

• 这是一个容易出错的过程，风险包括：
  • 误将密件抄送（Bcc）收件人添加到抄送（Cc）字段中
    这通常会造成严重的品牌损害
    发布新的致歉声明是摆脱这种困境最常见的方式
    » 所有收件人的姓名被公开
    » 无意（有时是故意）使用“回复所有”功能
    从而引发失控的邮件链
    » 有人可能会从《通用数据保护条例》（GDPR）的角度提出隐私事件
    如果邮件主题/正文包含“特殊类别”的个人数据，从而识别出
    属于同一类别（如疾病、性取向或信仰）的人群
  • 误将某人设为主要（可见）收件人
  • 忘记添加某人，或者添加了本不该收到该消息的人
    
    
• 被归类为垃圾邮件的可能性很高
  • 问题在于，大多数垃圾邮件发送者都使用“密件抄送（Bcc）”功能发送邮件，例如
    而目标邮件服务器在接受“密件抄送”邮件时往往持谨慎态度
  • 如果我使用密件副本（Bcc）向您发送消息，例如
    ， 您收到的邮件收件人地址中不会显示您的名字
    ， 这在评估垃圾邮件时会对该邮件产生负面影响
  • 同一封邮件将同时发送至“多个”属于同一域名的邮箱地址
    ， 这样很容易统计数量并将其拦截
    
    
• 无法控制错误的地址
  • 同一个收件人可能包含两个或三个电子邮箱地址，例如
    这会影响向该收件人的邮件发送，即使其中一个或多个地址是正确的
  • 语法错误的地址会被接受，且不会发出警告
    例如，如果缺少 @ 符号或存在空格
    
    
• 无个性化 / 影响较小 / 反应微弱或无反应
  • 该消息必然是标准化的且“匿名”的
    无法进行个性化沟通，不会出现“尊敬的先生/女士……”之类的称呼
  • 被抄送的收件人将收到一封发给其他人的邮件
    他们不太可能注意到这封邮件或对此做出反应
    
    
• 很可能出现技术问题
  • 垃圾邮件发送者或黑客的任何滥用行为都可能迅速影响众多收件人
    从而损害 SMTP 服务器的声誉（即服务器被列入黑名单）
  • 发件人的邮箱可能会因退信（用户不存在、邮箱已满等）而爆满
    这类邮件的数量通常占已发送邮件总数的5%至20%
  • 发送操作可能会对电子邮件投递系统（SMTP 服务器）产生不良影响，例如：
    收到大量“请稍后再试”的回复、邮件队列中积压大量邮件、系统崩溃
    
    

返回顶部

结论

1. 设定界限

• 请查看您的邮件服务商允许的收件人数量：
  请亲自尝试，以确保万无一失：
  
  RealSender 提供了一份包含 300 个 @bogusemail.net 地址的测试列表：
  这些邮件将被发送到一个“黑洞”邮件服务器：
  bogusemail-test.txt
  
  
• 将单条消息的收件人数量限制在较少范围内，例如 20 个，
  允许更多收件人，便能轻松向数千个电子邮件地址发送消息，
  只需将它们分成若干小组即可

2. 迈向专业

• 仅允许通过不同渠道发送大量电子邮件
  
  
• 在发送大量邮件时，请使用不同的发件人地址
  例如另一个子域名，如 @news.companyname.com
  只有授权人员才能访问该地址
  他们也会更加谨慎地处理邮件
  
  
• 在结构化的办公环境中，许多人使用电子邮件工作，
  使用专用应用程序发送群发邮件，
  专业系统配备了审批工作流，
  以及分步控制功能，其设计旨在避免错误

返回顶部

衡量电子邮件营销

如何衡量电子邮件营销活动的成效？
以下信息源自我们十五年来使用Inxmail电子邮件营销平台的经验
。

什么是“电子邮件营销活动”？
这是一种基于许可的大规模电子邮件营销活动，
其内容通常会根据收件人的兴趣进行定制，
发件人可以根据收件人的行为获取反馈数据。

• 电子邮件营销活动
• 基于许可的营销

这些答案或“反馈数据”是衡量电子邮件营销活动表现报告背后各项指标的基础。

下面我们来概述这些指标的具体内容及其衡量方式：

• 追踪用户反馈
• 两级权限（涉及隐私的问题）
• 用户追踪的工作原理
• 打开率测量的原理

如果邮件无法送达收件人的收件箱，再好的技术工具也无济于事。
这就是“电子邮件送达率”发挥作用的地方：

• 电子邮件送达率
• 种子邮件
• 跳出率
• 电子邮件营销基准

电子邮件营销活动

基于许可的营销

许可式营销，也称为“对话式营销”，
是塞斯·高汀（Seth Godin）于1999年在其畅销书《许可式营销》中提出的概念。

在书中，它被定义为“打断式营销”的对立面
这种营销方式通常用于电视和报纸等传统大众媒体。

旨在建立一种亲切而直接的沟通，
促进双方建立联系，并开启一场“人性化”的对话，
这种体验对双方而言都既有益又富有启发。

返回顶部

追踪用户反馈

两级权限——涉及隐私的问题

根据已获取的隐私权限，发件人可以记录：

• 汇总数据
• 单个用户的数据（例如：谁打开了邮件、谁点击了链接）

汇总数据
这些数据提供了全球范围的反馈以及关于总体趋势的信息
（例如：有多少人打开了邮件，有多少人点击了链接）

单用户数据
这些数据有助于获取个人相关信息
通过收集个人数据，并据此发送个性化信息，
基于以往的互动记录和用户行为

返回顶部

用户追踪的工作原理

链接追踪是指将网站
的最终网址 替换为一个虚拟地址，该地址会记录访问情况，并将用户重定向至目标页面。

在电子邮件中，只有链接的点击行为可以被追踪。
对于外部图片（即电子邮件客户端在下载前会要求确认的图片），
系统会将其视为链接，因此您只需追踪外部图片的URL
即可了解邮件的打开率。

跟踪功能通常仅记录“mailid”，即
， 这是已发送邮件的唯一标识符。

个性化跟踪是通过在访问的页面
中添加由软件
生成的一个或多个参数来实现的，例如：example.com/test.html?id=54725788327466628654
其中“id”参数指代特定用户以及消息中的特定链接。

获取的信息可以自动
更新电子邮件营销应用程序中收件人的数据
或将点击来源的详细信息传递给网络分析平台。

例如：一家旅行社可以统计
用户点击“海滨”或“山地”新闻的次数，
并随时间推移增加相应的计数器。
收集到的数据将显示收件人偏好的旅行目的地。

返回顶部

打开率测量的原理

打开率的计算是基于对追踪链接
的点击数据， 以及被下载的追踪图片所产生的“隐藏点击”数据综合得出的。

如果在电子邮件客户端的预览中打开邮件，
且未下载图片或点击任何链接，
则无法得知该邮件已被打开。

自2003年起，起初是Outlook，随后大多数电子邮件客户端，
为了保护用户的隐私，
开始阻止图片的自动下载，
否则每次阅读邮件时，用户的行为都会被追踪。

自 2013 年起，Gmail 中的图片默认会自动显示。
下载操作由一个名为“代理”的第三方服务器执行，
该服务器会隐藏用户的终端设备，但仍允许电子邮件营销运营商
得知图片已被下载且邮件已被打开。
更多相关信息请参阅此处：
新版 Gmail 图片代理的工作原理及其对您的影响

打开率的统计并不准确，
给出的数值低于实际打开率。
不过，还是建议进行测量，
哪怕只是为了比较不同营销活动的结果。

返回顶部

电子邮件送达率

种子邮件

首先，需要检查电子邮件是否已送达以下邮箱：
（即您列表中
所列的主要免费邮箱域名）， 以及两大企业邮箱服务商（
） Google Apps 和 Office 365 的收件箱中。

基于内容的垃圾邮件过滤器通常会因 URL（http…）中包含的域名而触发
一个不错的建议是，在邮件链接中仅使用一个域名。
该域名应与发件人地址中使用的域名一致；
这被称为“域名一致性”，可降低触发钓鱼邮件过滤器的风险。
出于同样的原因，如果链接需要追踪，应使用发件人地址中域名的一个子域名。

只需为每个邮件服务商激活一个“测试”邮箱（
）， 然后启用将邮件转发至您的邮箱地址的功能（
）， 即可进行实际测试。向每个邮箱发送一封主题为“Test Message”（
） 且内容包含“Test Message”以及您域名链接的邮件（
）。 如果该邮件通过了垃圾邮件过滤器，您应该能在收件箱中收到它。

返回顶部

跳出率

收到退信是正常现象。
原因可能是存在废弃的邮箱地址、
邮箱已满或其他技术问题。

根据您的邮件列表“质量”的好坏，
退信率可能在5%到20%之间波动。

随着邮件数量的增加，手动管理退信变得难以实现。
电子邮件营销应用程序集成了名为“退信处理器”的功能
该功能会自动下载被拒收的邮件
并根据其内容进行分析和分类。

在发生多次“硬退信”（如“用户不存在”和“主机不可达”等持续性错误）后，系统会自动停用目标邮箱地址
；或者在发生更多次“软退信”（如邮箱已满等临时性错误）后，系统也会自动停用该邮箱地址
。

监控“跳出率”（被拒邮件）
或与其互补的“送达率”（被接收邮件）非常重要。两者的总和为100%。
若其数值发生变化，则应进行调查。

返回顶部

电子邮件营销基准

各大电子邮件营销平台会发布基准数据
这些数据基于其所有客户收集的信息。

报告中使用的技术术语：

• 打开次数：点击过
  且至少点击过一个追踪链接或打开过一个追踪图片的收件人数
• 打开率：打开次数 / 收件人数（扣除退信）
• 独立点击数：至少点击过一次链接的收件人数
• 点击率 (CTR)：独立点击数 / 收件人数（扣除退信）
• 点击打开率 (CTOR)：独立点击数 / 打开次数

以下是一份简短列表，其中大部分涉及美国：

• Mailchimp 的客户群体涵盖了从一人初创公司、
  小型企业到“财富500强”企业，
  这些数据全面反映了这一全谱系

• 各行业的电子邮件营销基准与统计数据

• Campaign Monitor 分析了 2020 年 1 月至 12 月期间全球发送的超过 1000 亿封电子邮件
  

• 各行业及不同日期的电子邮件基准数据

• 比较各地区的基准数据

• Return Path 第八届年度送达率基准报告
  查看有多少电子邮件被送达收件箱、被归类为垃圾邮件或被拦截。
  
  《2020年送达率基准报告》（PDF）内容：

• 什么是送达率，以及如何衡量它？

• 点击“发送”后，电子邮件会发生什么？

• 在全球范围内，平均每天有多少封电子邮件会进入收件箱和垃圾邮件过滤器

• 30个国家的送达率统计数据

返回顶部

什么被视为垃圾邮件

哪些用户和邮件服务器会被视为垃圾邮件？

基于我们在RealSender（
）上的经验， 我们尝试总结了可能影响邮件送达收件箱的主要因素。

• 用户反馈
  这些消息应是收件人所期待或希望收到的
  
  
• 技术要点
  必须进行基本配置才能使电子邮件被接收
• IP地址和IP类声誉
• 正确的 SMTP 服务器设置
• 正确的电子邮件身份验证
• SPAMASSASSIN 检查
  
• 试一试，看看会发生什么
  要确定一封邮件是否被归类为垃圾邮件，唯一万无一失的方法是……
  将其发送出去，看看收件方那边显示的情况。

如果收件人并不期待或不需要这些消息，那么评估其他要点
也是徒劳的。

用户的反应

发件人应设身处地为收件人着想，设法预判收件人会如何处理这封电子邮件。
用户的投诉可能会导致整个 SMTP服务器或域名被列入黑名单，从而影响今后所有邮件的投递。

• 用户通常*可以管理自己的收件箱：所谓“垃圾邮件”，就是每个用户自己认为的垃圾邮件
  * = 许多免费邮箱服务商并不提供屏蔽其“内部广告”的选项
• 用户可通过点击（Gmail 中的）“举报垃圾邮件”按钮
  或（Outlook/Hotmail 中的）“垃圾邮件”按钮来表达自己的选择
• 现代邮件服务器的垃圾邮件过滤器都与用户投诉机制相连， 当“举报为垃圾邮件”被点击一定次数后，
  所有内容相似的邮件都将直接被送入垃圾邮件文件夹

为了确保电子邮件能够被接收，需要进行一些基本的技术设置。

IP地址和IP类声誉

• SMTP 服务器 IP 黑名单，您可以在网上搜索“黑名单检查”找到许多相关工具
• SMTP 服务器 IP 信誉评级，更多信息请参阅我们的博客文章《SMTP IP 信誉至关重要》
• 如果邮件是从个人电脑发送的，还应检查互联网连接的公共 IP 地址的信誉
  （某些 SMTP 服务器提供商会隐藏互联网连接的 IP 地址，以便收件人的系统只能看到他们的 IP 地址）

正确的 SMTP 服务器设置

• 反向DNS
  以确保您的邮件服务器的IP地址指向您用于发送邮件的域名
• 邮件传输代理（MTA）——即负责路由和投递电子邮件的应用程序，
  应按照IETF发布的最新RFC规范进行正确配置，
  例如：使Postfix符合RFC规范

正确的电子邮件身份验证

使用电子邮件认证方法（如 SPF 和 DKIM），以证明您的电子邮件与您的域名属于同一主体。
这样做还有一个额外的好处，就是有助于防止您的电子邮件域名被冒用。

• SPF 是一种基于路径的电子邮件认证协议，它允许电子邮件接收方通过评估发件人外发 MTA 的 IP 地址（依据发件人在 DNS TXT 记录中发布的信息），来确定发件人是否有权使用邮件头中的域名。SPF 在 IETF RFC 4408 中进行了定义。
• DKIM 是一种电子邮件认证协议，它允许发件人使用公钥加密技术对发出的电子邮件进行签名，且该签名可由收件人验证。DKIM 在 IETF RFC 4871 中进行了定义。Gmail 及其他大型企业均采用了 DKIM 标准，以彻底消除互联网邮件中的网络钓鱼和冒充行为。
• DMARC 基于已有的 SPF 和 DKIM 标准进行电子邮件认证。目标邮件服务器会根据发件人的“DMARC 策略”对未经认证的邮件采取相应措施，并将处理结果反馈给发件人。DMARC 的定义详见互联网工程任务组发布的 RFC 7489 文档。

SPAMASSASSIN 检查

• SpamAssassin 是一款用于过滤电子邮件垃圾邮件的服务器端软件。它采用了多种垃圾邮件检测技术。
  每项检测都有一个评分值。评分可以是正值或负值，正值表示“垃圾邮件”，负值表示“正常邮件”（非垃圾邮件）。
  收件人的默认评分阈值为“5.0”。如果某封邮件的评分高于该阈值，则会被标记为垃圾邮件。
  该软件应用如此广泛，因此在发送电子邮件前进行评分检查应被视为强制要求。
• 以下两个在线工具可帮助您查看 SpamAssassin 评分： 不是垃圾邮件 以及 邮件测试工具
  1. 你必须将消息发送至提供的电子邮件地址
  2. 几秒钟后，点击“查看报告”或“查看分数”按钮

要确定一封邮件是否被归类为垃圾邮件，唯一万无一失的方法是……
将其发送出去，看看收件方那边显示的情况。

试一试，看看会发生什么

• 如果您收到退信，这将非常有帮助，因为最后几行通常会说明导致邮件被拒的原因。
  如果说明难以理解，只需发送一封主题和正文均为“Test message”的邮件，并检查是否被接收。
  在这种情况下，您应多次发送相同的邮件，并逐步减少内容，直到确定是哪一部分触发了垃圾邮件过滤器。
• 拥有详细的发送日志，有助于您验证消息是已被接收还是被拒绝
  日志中包含的信息示例
• 在某些（罕见）情况下，需要采用一种“白名单”机制。
  某些反垃圾邮件系统会根据用户对收到的邮件的处理方式进行学习。
  如果收件人将收到的邮件标记为“非垃圾邮件”一次，
  系统就会识别出这些是有效邮件，并开始将其投递到“收件箱”文件夹，而不是“垃圾邮件”文件夹。
  此外，发件人必须在收件人的通讯录中，或曾与收件人有过邮件往来。

开源电子邮件客户端

如何使用开箱即用的开源邮件客户端重新掌控电子邮件？

在过去的十年里，企业邮箱
已从本地邮件服务器几乎完全转变为云服务，例如 Exchange Online（Office 365）或 Gmail for Business（Google Apps）。

其主要原因如下：

• 需要通过移动端和网页界面访问电子邮件
• 有必要保护邮箱免受垃圾邮件和恶意软件的侵害

通过这种方式，IT 专业人员的工作得以简化，因为管理电子邮件基础设施的责任已由“大型科技公司”承担。

如果忽视基本的电子邮件技能，可能会让我们误以为电子邮件
是某种神奇的存在，仅仅因为微软和谷歌在处理它。

我们可以通过分解邮件的各个组成部分并分别进行管理，从而重新掌控邮件：

• 收件邮件服务器
• 电子邮件客户端
• 发信服务器

这实现了服务的隔离与分段，对安全性大有裨益。
因此，通过隔离/分段来缩小攻击面被视为最佳实践。
此外，这还能提高系统的可扩展性和稳定性。

电子邮件客户端是邮箱的主要操作界面。 它们是与用户进行交互的一类复杂的软件。

市场上有许多解决方案，我们根据以下两个要求进行了筛选：

• 多平台、主动维护的开源项目
• 开箱即用，以便系统管理员能够轻松管理它们

我们提出了两个方案：

1. Mozilla Thunderbird 是一款面向个人电脑的开源、跨平台电子邮件客户端。由Mozilla基金会开发。
   它同时支持 IMAP 和 POP（将邮件存储在本地硬盘上，以便在没有互联网连接时也能访问）。
   它具备出色的邮件过滤功能和管理能力。
   
   Thunderbird 提供了对多账户和多身份的强大支持，包括自动签名功能。
   它提供了适用于 Windows、Mac OS 和 Linux 的即装即用版本。要进行远程访问，用户必须先连接到自己的计算机。

2. 新的 Rainloop 分支，是一款简单、现代、轻量且快速的基于网页的电子邮件客户端。
   它能够管理大量电子邮件账户，且无需连接任何数据库。
   它同时支持 SMTP 和 IMAP 协议，可轻松无忧地收发电子邮件。
   
   2020年， SnappyMail GitHub 项目 已发布。
   这是 RainLoop Webmail 社区版的重大升级版，安全性也得到了显著提升。
   以下是 SnappyMail 电子邮件客户端演示. 如果您想试用管理界面， 联系我们.

工作邮箱与隐私

警告：此话题涉及重大的法律问题。
请咨询专业顾问，以核实相关法规及其适用情况。

工作邮箱是一种商务工具
其中包含海量的商务相关信息。

公司可以随心所欲地处理这封邮件：
这虽然是商务工作工具，但邮件是由员工撰写并阅读的吗？
他们能阅读这封邮件吗？能备份吗？能归档吗？

摘要：

• 两种类型的工作邮箱地址
• 通用工作邮箱地址，无限制
• 公司专用邮箱，例如公司车辆
• 行为准则
• 仅在特定条件下可读
• 通知该员工
• 禁止开具大额支票
• 法律要求
• 存档电子邮件的义务
• 向员工告知的义务
• 删除电子邮件的义务
• 停用邮箱的义务

通用工作邮箱地址，无限制

工作邮箱具有一种矛盾的性质，
它虽是雇主所有的工具，却由员工使用。

我们必须区分两种不同类型的商务电子邮箱地址：

• 个人公司邮箱，即name.surname@companyname.com
• 通用公司邮箱，例如 info、support、sales、marketing、billing 等。
  也就是说，所有与特定个人无关的邮箱

公司的通用邮箱完全没有问题，
公司会检查这些邮箱，阅读所有邮件，没有任何限制。

公司专用邮箱，例如公司车辆

个人邮箱（例如name.surname@companyname.com、
） 可能包含雇主必须保护的员工个人数据。

如果我们选择使用此类邮箱（
）， 作为雇主，我们需要了解应采用哪些技术标准（
）， 以及应使用哪些工具才能妥善处理数据。

邮箱可以比作公司配发的汽车，
它是为员工在执行公务时提供的。

例如，雇主可以核对里程数，以确认员工
没有滥用这一工作工具，将其用于个人用途。

然而，雇主不得在没有具体理由的情况下，系统性地监控员工在公司车辆内的行为。

邮箱相当于公司配发的汽车，是一种由公司所有的办公工具，
公司将其提供给员工，供其用于工作，仅用于完成工作任务。

员工发送和接收的内容，即使是在工作时间内，也如同发生在
公司车辆驾驶舱内一样，被视为私人通信。

返回顶部

仅在特定条件下可读

该公司无法读取电子邮件中的内容，
在没有具体理由的情况下，无法系统性地进行此类操作。
即使有具体动机，也只能在特定条件下进行。

这里涉及三项不同的利益，必须加以平衡：

• 雇主出于组织/生产、工作安全或其他原因，需要访问此内容
  
  
  
• 将此内容视为机密的员工的合理预期
  
  
  
• 向该公司名义账户
  发送邮件的第三方需知悉： 他们可能并未意识到，其通信内容并非私密且保密。
  （电子邮件底部的标准免责声明通常会提醒，内容可能会被他人阅读）

通知该员工

必须通过充分的书面通知告知员工，
邮箱仅可用于与雇佣关系相关的所有事宜，例如禁止将其用于个人用途。

该文件必须包含公司工具的使用说明，
包括电子邮件账户，并说明根据隐私法规：

• 电子邮件将被归档，以遵守法律法规并保护公司资产
• 在某些情况下，公司可能会对员工邮箱的内容进行检查

禁止开具大额支票

所谓的“大规模监控”是被禁止的，
例如系统性地查阅员工邮箱的内容。

雇主控制权的限制基于以下三项基本原则：

• 其一是善意原则，即雇主只有在有充分理由的情况下，才可对员工的公司邮箱进行检查
  例如，为保护可能因病毒而受到损害或面临风险的公司资产；
  或者在怀疑员工不忠时，为进行防御性检查
  

• 其他原则包括控制措施的相称性 ，以及在研究时间和研究对象方面的限制

返回顶部

存档电子邮件的义务

相关规定要求雇主必须证明
已采取充分且有效的安全措施
来保护公司数据，例如企业电子邮件归档。

向员工告知的义务

雇主访问数据
如果在缺乏详细公司信息的情况下进行：

• 这构成了一项非常严重的违规行为
  
  员工的个人空间中可能包含敏感数据，
  例如有关政治、宗教、性取向或工会倾向的信息，
  这些信息必须得到最高级别的保密保障

• 这属于刑事犯罪
  
  此外，所有非法获取的数据
  在任何法律程序中都可能无法使用

删除电子邮件的义务

商业信函通常应保存不超过十年。
此举旨在保护公司资产，并确保公司在任何诉讼情况下能够进行自我辩护。

个人数据的存储和处理仅限于特定目的。
如果该目的在一定时间后（例如十年后）不再存在，则必须删除这些数据。

停用邮箱的义务

如果员工被解雇或辞职，
该邮箱（用户名.姓氏）必须在短时间内停用。

该公司可以启用自动回复功能，告知发件人该账户已被停用，
并请其联系另一个内部邮箱地址。

已离职员工的公司消息历史存档
仅在员工已被告知其消息会被存储的情况下方可保留。

返回顶部

保护电子邮件免受垃圾邮件的侵扰

如何保护企业邮箱免受垃圾邮件的侵扰？

一提到电子邮件，就几乎不可能不想到垃圾邮件的问题。
我们尝试总结了当前的状况以及可采取的应对策略：

• 垃圾邮件占电子邮件流量的多少？
• 垃圾邮件会带来哪些成本？
• 最新的反垃圾邮件技术有哪些？
  • 垃圾邮件防范（防患于未然）
  • 垃圾邮件的解决方法（在发生时）

垃圾邮件占电子邮件流量的多少？

一个值得信赖的数据来源是SenderBase（现更名为Talos），网址为
数据显示，与2020年9月记录的电子邮件流量相比，当前约85%为垃圾邮件，15%为正常邮件
。

这一比例一直保持稳定，过去十二个月内变化甚微。

来源：电子邮件与垃圾邮件数据——全球电子邮件及垃圾邮件总量。

返回顶部

垃圾邮件会带来哪些成本？

有时垃圾邮件仅仅是为了促销，发件人
只是想为他的业务
吸引更多客户，却因此造成干扰并浪费时间。它会塞满你的收件箱
，导致你难以找到重要的邮件。

并非所有垃圾邮件都是友好的促销邮件。
许多情况下，垃圾邮件的意图是恶意的，旨在破坏或劫持用户系统。
全球最常见的恶意垃圾邮件类型包括木马、间谍软件和勒索软件。

返回顶部

最新的反垃圾邮件技术有哪些？

试想一下，你公司的收件箱就像家门一样：
你必须决定谁可以进来，谁被拒之门外。

没有任何一种技术能彻底解决垃圾邮件问题。
每种技术都存在权衡：要么错误地拦截合法邮件（误报）
要么未能拦截垃圾邮件（漏报）
以及因错误拦截正常邮件而产生的时间、精力及经济成本。

反垃圾邮件技术可分为两个方面：预防和处理。

垃圾邮件防范（防患于未然）

限制电子邮件地址的公开范围，以减少收到垃圾邮件的可能性。

• 谨慎行事
  
  不要向所有人透露你的电子邮箱地址
  你的电子邮箱地址越不为人所知，收到的垃圾邮件就越少
  只要有可能，请在进行在线注册时使用不同的电子邮箱

• 联系表单
  
  不要在网上公开您的电子邮件地址
  任何人都能看到它，“垃圾邮件机器人”会不断捕获这些地址
  若想在网上接收联系，请使用安全的*网页表单/联系表单
  * = 受到自动填充表单的机器人的保护

垃圾邮件的解决方法（在发生时）

一旦垃圾邮件发送者获得了您的电子邮件地址，这场战斗就会转移到您的邮件服务器和收件箱中。

• 类似 SpamAssassin 的评分系统
  
  它们采用多种垃圾邮件检测技术，包括基于 DNS 的电子邮件黑名单
  （通常称为实时黑名单、DNSBL 或 RBL）、文本分析和贝叶斯过滤。
  
  每项测试都有一个评分值。评分可以是正值或负值，正值表示“垃圾邮件”，负值表示“正常邮件”（非垃圾邮件）。
  收件人的默认评分阈值为“5.0”。如果某封邮件的评分高于该阈值，则会被标记为垃圾邮件。
  
  网络上提供了大量“SpamAssassin测试”，
  这些测试允许垃圾邮件发送者在发送邮件前对其进行检查。

• 由用户驱动
  
  这些系统的用户可以将收到的电子邮件标记为“正常”或“垃圾邮件”，这些标记会被记录到中央数据库中。
  当一定数量的用户将某封电子邮件标记为垃圾邮件后，过滤器会自动阻止该邮件进入社区其他用户的收件箱。
  
  有时，用户反馈会与自动化控制机制相结合，例如对邮件内容的交互次数，
  包括链接点击量、图片下载量，或同一封邮件在多个收件箱中出现的次数。
  
  当协作式内容过滤系统拥有庞大且活跃的用户群体时，
  它能够迅速阻止垃圾邮件爆发，有时仅需几分钟。
  
  此类过滤器几乎无法被垃圾邮件发送者突破。

• 电子邮件认证
  
  SPF、DKIM 和 DMARC 是一组认证技术，可帮助您确认发件人地址是否确实如其声称的那样。
  截至 2020 年，这些技术已被广泛采用，是识别可信发件人的有效手段。
  
  提前确认邮件确切的来源域名至关重要，
  否则，仅因一个字母的微小变化就容易被误导。
  
  垃圾邮件发送者可能通过遵守电子邮件认证规范
  使他们的邮件看似来自“合法发件人”。

• 授权发件人，白名单
  
  在白名单中，可以指定一系列可信的地址或域名。
  起初，个人通讯录和历史收件箱将提供很大帮助。
  
  如果发件人在此列表中，所有验证步骤将被跳过，邮件将立即被接收。
  这种方法易于实施，且与电子邮件认证结合使用时非常有效，可防止电子邮件地址伪造*。
  * = 使用虚假发件人，使邮件看似来自实际来源以外的其他人
  
  一旦您的可信联系人列表建立完毕，任何未知发件人的邮件都将无法进入您的收件箱。
  所有不需要的邮件均可重定向至另一个邮箱，您只需每天或更少频率查看一次。
  
  垃圾邮件发送者几乎无法查明每位收件人的可信发件人。
  即使他们做到了，电子邮件认证检查也会提醒您存在欺诈行为。

返回顶部

DMARC 的工作原理 - 更新版

Dmarc 在 Google 邮箱和 Office 365 中是如何工作的？（更新版）

我们再次测试了电子邮件认证对邮件送达
至Google Mail和Office 365邮箱（这两者是最受欢迎的企业邮箱服务商）的影响。

结果可分为两组：

电子邮件投递

(SPF、DKIM 和 DMARC 如何影响已发送邮件的投递)

#Google 邮箱：邮件总是被接受，似乎完全不考虑 SPF 认证
只有当 DKIM 签名与发件人邮箱地址一致，且DMARC 策略设置为“隔离”或“拒绝”时，才会对 DKIM 签名进行验证。
 
#Office 365：完全响应 SPF，当邮件通过 SPF 验证后，即可送达收件箱。
仅当 DKIM 签名与发件人邮箱地址一致时才会被考虑，否则无关紧要。
 
   注：8 月最后一周，Office 365 出现了一种奇怪的行为：
只有同时满足以下条件的邮件才会被投递到收件箱：使用 DKIM 签名（签名域与发件人地址一致）
且已设置 DMARC 记录（无论采用何种策略）

防欺骗保护

(SPF、DKIM 和 DMARC 如何保护发件人的电子邮件地址免遭伪造*)
* = 使邮件看起来像是来自实际发件人以外的其他人

#Google 邮箱：启用 DMARC 后，伪造的发件人会被过滤到垃圾邮件文件夹（p=quarantine）或被拒收（p=reject）。
   若策略设置为“none”（p=none），则不会触发任何操作，此时所有邮件均会进入收件箱。

#Office 365：出现“spf fail”或“spf softfail”结果时，足以将伪造发件人发送至垃圾邮件文件夹。

身份验证要求

建议的电子邮件认证要求总结如下：

电子邮件投递测试结果

以下是已进行的全部测试

注：

• 如果“发件人地址”（可见发件人）和“Mail-from”（也称为“信封发件人”或“返回路径”）相同，则它们指向同一个域名
• “dkim pass”：DKIM签名域与发件人地址的域相同（域已对齐）
• “dkim diff”：DKIM签名域与发件人地址的域不一致（域未对齐）

DMARC 的 DKIM 域

DKIM 域名对齐如何影响 DMARC 认证？

DMARC（基于域的消息认证、报告和合规性），
是一项电子邮件认证标准，旨在防范伪造域名的邮件。

在“3.1. 标识符对齐”一章中提到：

   电子邮件认证技术用于验证单个邮件的各种（且
   互不相关的）方面。例如，[DKIM]
   用于验证为邮件添加签名的域，
   而[SPF]则可验证[SMTP]中RFC5321.MailFrom（Mail-From）部分
   显示的域，或RFC5321.EHLO/
   HELO域，或两者兼有。这些可能是不同的域名，且通常
   不会被最终用户所察觉。

   DMARC 通过要求 RFC5322.From 域必须与
   某个“经过认证的标识符”相匹配（保持一致）来验证其使用。
   
   -- https://tools.ietf.org/html/rfc7489#section-3.1

这只是意味着：

   当发件人使用 SPF 和/或 DKIM 对电子邮件进行身份验证时，  
   至少有一个域名必须与发件人域名一致

我们不确定一封邮件是否可能在 SPF或DKIM 验证中失败
却仍能通过 DMARC 认证。

我们使用了一种人人都能用的工具进行了测试：Gmail 邮箱。
要查看结果，请打开该邮件并选择“显示原始邮件”：

测试 1 - 转发邮件：SPF 验证失败，DKIM 验证通过（已对齐）

测试 2 - DKIM 密钥损坏：DKIM 失败，SPF 通过（已对齐）

The result is evident, the message passes DMARC authentication if it occurs:
SPF and domain alignment <OR> DKIM and domain alignment

因此，为了通过 DMARC 验证，在某些情况下验证 DKIM 签名至关重要：
签名域（d=example.com）必须与“发件人”域一致。

以下是“DMARC-PASS”结果的示例，如果没有这些设置，这些邮件原本无法送达：

案例 1- 转发导致 SPF 验证失败

• SPF-FAIL：SPF 身份验证检查大多会失败，
  因为发送转发邮件的实体未包含在原始发件人的 SPF 记录中

• DKIM-PASS（对齐）：邮件转发不会影响 DKIM 签名

结果：DKIM 验证通过，该邮件通过了 DMARC 检查。

案例 2- ESP（电子邮件服务提供商）
提供的 SPF 域 不能与“发件人”域保持一致

• SPF~PASS（未对齐）：SPF 认证因域名对齐失败而失败，
  因为 ESP 在 Mail-From 地址中使用的域名与 From 发件人中的域名不同

• DKIM-PASS（匹配）：DKIM签名使用的域名与发件人“From”字段中的域名一致

结果：DKIM 验证通过，该邮件通过了 DMARC 检查。

最受欢迎的电子邮件服务提供商

2020年最受欢迎的电子邮件服务提供商有哪些？

要监控电子邮件送达率，了解收件人使用的电子邮件服务提供商至关重要。

企业对企业

在B2B领域，我们没有确切的数据。绝大多数企业邮箱正在迁移至“云办公套件”，该市场主要由“G Suite”和“Office 365”瓜分。
据datanyze.com的数据，这两者合计占据了全球企业邮箱市场份额的90%以上。

对于单个企业而言，收集这些信息相当简单。
通过查看公司域名的 MX 记录，我们可以得知其使用的电子邮件服务提供商：
“G Suite”使用 aspmx.l.google.com
“Office 365”使用 mail.protection.outlook.com

如果贵公司从事B2B业务，建议您定期监控这两家服务商的邮箱。

第三家厂商是Zoho（mx.zoho.com），其市场份额约为2%（来源：ciodive.com）。

企业对消费者

对于B2C业务，分析工作更为复杂。目前尚无基于互联网流量的公开“邮件打开数据”。

获取电子邮件收件人信息的唯一途径，是从我们的联系人列表中提取，或者通过大型电子邮件服务提供商获取。其中一些服务商每年都会发布报告，并与互联网社区分享。

下表显示了25个国家中排名前三的电子邮件服务提供商，数据源自Sendgrid发布的《2019年电子邮件基准与用户互动研究》。

国家

阿根廷、澳大利亚、比利时、巴西、加拿大、智利、中国、哥伦比亚、丹麦、法国、德国、印度、印度尼西亚、意大利、日本、墨西哥、新西兰、俄罗斯、沙特阿拉伯、西班牙、南非、瑞典、瑞士、英国、美国

阿根廷

返回顶部

澳大利亚

返回顶部

比利时

返回顶部

巴西

返回顶部

加拿大

返回顶部

智利

返回顶部

中国

注：信息摘自ReturnPath发布的《国家概况：中国》

返回顶部

哥伦比亚

返回顶部

丹麦

返回顶部

法国

返回顶部

德国

返回顶部

印度

返回顶部

印度尼西亚

返回顶部

意大利

返回顶部

日本

返回顶部

墨西哥

返回顶部

荷兰

返回顶部

新西兰

返回顶部

俄罗斯

返回顶部

沙特阿拉伯

返回顶部

西班牙

返回顶部

南非

返回顶部

瑞典

返回顶部

瑞士

返回顶部

英国

返回顶部

美国

返回顶部

DMARC 的工作原理

2020 年，Dmarc 在 Google 邮箱和 Office 365 中是如何运作的？

我们测试了电子邮件认证对邮件送达
至 Google 邮箱和 Office 365（这两大最受欢迎的企业邮箱服务商）的影响。

结果可分为两组：

1. 邮件投递
   （SPF、DKIM 和 DMARC 如何影响已发送邮件的投递）
   Gmail：邮件总是被接受，似乎完全不考虑身份验证
   Office 365：通常会响应 SPF 和 DKIM。要获得稳定的投递结果（进入收件箱），唯一的方法是将它们与 DMARC 结合使用
    

2. 防冒充保护
   （SPF、DKIM 和 DMARC 如何保护发件人的电子邮件地址免遭冒充*）
   * = 使邮件看似来自实际发件人以外的其他人
   Gmail：结合使用 DMARC 和 SPF（失败或软失败标记），被伪造的发件人会被过滤到垃圾邮件文件夹或被拒收（取决于您的 DMARC 设置）
   Office 365：仅使用 SPF（失败或软失败标记）就足以将伪造的发件人发送到垃圾邮件文件夹

 
总结如下：

 
以下是已进行的全部测试。

注：

• 发件人地址（可见发件人）和信封发件人（返回路径）来自同一个域名
• “dkim pass”：DKIM签名域与发件人地址的域相同
• “dkim diff”：DKIM签名域与发件人地址的域不一致
• 第二组中的星号表示结果随时间推移并不一致