Menu

Polski e-commerce i zarządzanie e-firmą

Nazywam się Paweł Fornalski. Jestem założycielem i prezesem IAI S.A., dostawcy rozwiązań e-commerce dla sklepów internetowych i rezerwacji noclegów dla właścicieli apartamentów i hoteli. Na tym blogu piszę, w oderwaniu od oficjalnych poglądów innych właścicieli i pracowników IAI o tym co mnie prywatnie porusza. Gdybyś chciał się skontaktować pisz na pawel(a)fornalski.pl

Tips'n'Tricks

Bezpieczeństwo i włamania do sklepów internetowych

pfornalski

Serwis Aukcje.org przeprowadził ze mną wywiad, który dzisiaj w nocy został opublikowany pod tytułem "Bezpieczeństwo w sklepie internetowym". Polecam lekturę tego artykułu, ponieważ nie przypominam sobie, aby poza banalnymi opracowaniami, zwanymi też raportami na temat bezpieczeństwa (wielu) sklepów internetowych coś w tej sprawie w ciągu ostatnich paru lat napisano w oficjalnych kanałach. Tym czasem podziemie komputerowego świata ciągle przyciąga najinteligentniejszych informatyków i warto o tym pamiętać. Świetnie skomentował to Jacek Strzembkowski, naczelny Aukcje.org "Ktoś odsyła zakupiony towar, poczta gubi przesyłkę, zakup okazuje się niezgodny z deklaracją sprzedawcy i na koniec dostajemy niezasłużonego negatywa - tak na ryzyko i niebezpieczne sytuacje w handlu elektronicznym patrzą aukcjonerzy. Hakerzy, ataki, włamania…? Administracje platform aukcyjnych robią wszystko, aby użytkownicy spali spokojnie. Działania ludzi odpowiedzialnych za bezpieczeństwo są niezauważalne.

Spora część aukcjonerów decydując się na start własnego sklepu żyje w złudnym komforcie bezpieczeństwa, do którego przyzwyczaili się w serwisach aukcji. Cóż złego może się stać? Od 10 lat jestem na Allegro i jedyne niebezpieczeństwo z jakim miałem do czynienia to spam nigeryjski i wirusy w poczcie! Tak, do tej pory ktoś dbał o Twój tyłek. Uwierz, byli to najlepsi fachowcy w branży - raczej nie uda Ci się zatrudnić żadnego z nich. Teraz, kiedy jesteś na swoim - radź sobie sam.

Jaka jest faktyczna skala zagrożenia? Jak może wyglądać atak? Czy bezpieczeństwo w sklepie można sobie kupić? O odpowiedź poprosiłem Pawła Fornalskiego, ceo IAI S.A. - producenta oprogramowania do prowadzenia sklepu internetowego IAI-Shop.com działającego w modelu SaaS:"

Oto pierwsza część wywiadu:

Aukcje.org, Jacek Strzembkowski: Jak wygląda zabezpieczanie aplikacji w chmurze? Czy SaaS upraszcza ochronę danych Waszych klientów?

IAI-Shop.com, CEO IAI S.A. Paweł Fornalski: Zabezpieczanie aplikacji webowych, działających w chmurze nie różni się znacząco od zabezpieczania aplikacji webowych działających w hostingu. Sam SaaS to po prostu model dostarczania aplikacji i rozliczania się z klientami, a nie jakaś zupełnie inna technologia. Nie jest to jakaś specjalna technologia, która zwiększa bezpieczeństwo. W ramach chmury (ang. Cloud) dostarczamy klientom rozwiązanie sprzętowo-programowe. Nie jest tak, że klient kupuje program i musi go zainstalować w środowisku produkcyjnym, do czego najczęściej osoby nie będące ekspertami od bezpieczeństwa po prostu nie mają kwalifikacji. Nawet jeżeli rozwiązania innych firm, nie działające w chmurze, mają jakieś zabezpieczenia to mogą być one nieskuteczne w środowisku produkcyjnym. To trochę tak jak by kupić system alarmowy, przynieść go do domu i będąc z zawodu sprzedawcą w hurtowni motoryzacyjnej, instalować go samodzielnie. Taki system alarmowy sam może działać, ale popełnimy błędy np. w rozmieszczeniu czujek, ich konfiguracji, nie pomyślimy o odpowiednim zabezpieczeniu przed spaleniem przepięciowym itp. Olbrzymie znaczenie w ofercie IAI ma to, że nasi inżynierowie kontrolują środowisko produkcyjne od początku do końca. A zatem klient nie musi myśleć o zgraniu technologii sprzętowej, systemu operacyjnego i programu. Olbrzymie znaczenie ma również jednorodność środowiska, które wystawiane jest na próby z zakresu bezpieczeństwa, ale również stabilności i skalowalności każdego dnia. Jeżeli tylko zostanie coś niepokojącego jest przez nas wychwycone, wprowadzamy zmiany w całej chmurze, a więc dany problem wcale nie musiał być zgłoszony przez danego klienta, aby został u niego usunięty. Podsumowując, nie jesteśmy jak Microsoft który dostarcza Windows, który musisz móc instalować na wszystkim, ale jesteśmy jak Apple, który dostarcza sprzęt i doskonale zespolony z nim system operacyjny i programy. W ten sposób można taniej uzyskać wyższą jakość i większe bezpieczeństwo.

Czy istnieją zagrożenia specyficzne dla systemów w chmurze?

Nie istnieje coś takiego jak zagrożenia specyficzne dla chmur. Oczywistym jest to, że dostawca chmury musi doskonale znać się nie tylko na pisaniu programu, ale również na sieciach, administracji serwerami i wszystkim tym co jest potrzebne aby aplikacja webowa działała. Problem w tym, że większość posiadających sklepy internetowe, a nawet wiele firm piszących soft do prowadzenia sklepu internetowego, nie orientuje się za dobrze w kwestiach bezpieczeństwa. Większość ze sprzedawców internetowych skupia się na rejestracji w GIODO, SSL i wierzy, że firmy hostingowe załatwią za nich te kwestie. Tym czasem dobra firma hostingowa zapewnia bezpieczeństwo na poziomie systemu operacyjnego i usług w rodzaju serwera WWW. A główna słabość leży w budowie programu który instalowany jest w takim środowisku. W dzisiejszych czasach rzadko obserwuję spektakularne włamania, które jak w filmach po wpisaniu magicznej komendy w terminalu dają dostęp do wszystkiego. Dzisiejsze systemy operacyjne i serwery WWW są same w sobie mocno udoskonalone, zwłaszcza te oparte o Linux i Unix. Większość zagrożeń leży w źle napisanych programach.
Wiem, że oczekujesz ode mnie konkretów, więc podam parę popularnych ataków. Po pierwsze proponuję przyjrzeć się w swoich sklepach przyjrzeć protokołom wymiany danych, zwłaszcza komunikacji AJAX. Chociaż ciągle coś takiego jak zabezpieczenia przed SQL Injection czyli spreparowaniem danych wejściowych tak aby zmienić działanie zapytań SQL są aktualne. Jeżeli na tak prosty atak jest podatny kod sklepu internetowego, a dodatkowo użytkownik nie wyłączył wyświetlania błędów serwera WWW w oknie przeglądarki, to włam jest niemal gotowy i nikt nie musi rozgryzać struktury wywołań AJAX czy stosować innych skomplikowanych technik. Inny częsty błąd to nieodpowiednie uprawnienia do plików. W tym przypadku odgadując url np.www.mojsklep.pl/export/ceneo.xml nasz konkurent może śledzić na bieżąco nasze ceny w sklepie. Gorzej jeżeli w pliku który chcemy ukryć jest np. hasło do konta na Allegro. Inny częsty rodzaj błędu to niefiltrowanie danych HTML, przez co atakujący może spreparować np. w zamówieniu, w uwagach odpowiedni kod HTML który pozwoli przejąć mu sesję, a więc być zalogowanym do naszego panelu administracyjnego, aby samodzielnie oznaczyć zamówienie jako opłacone. W ten sposób niezauważenie może kupić np. laptopa wartego 10000zł nic za niego nie płacąc. I teraz niech każdy się zastanowi, czy jest pewien że takich zamówień nie miał? Jeżeli rozważy się taki scenariusz jako prawdopodobny, to wybranie tańszej o 10zł firmy, która nie ma odpowiedniego przygotowania do pisania odpowiednio zabezpieczonych skryptów, jest po prostu żenującą oszczędnością.

W oprogramowaniu o otwartym źródle sporą część wad i podatności odnajdują sami użytkownicy - dłubiąc w kodzie. Jak wygląda testowanie i wyszukiwanie luk w systemach modelu SaaS? Jak wygląda bezpieczeństwo Waszego systemu w porównaniu do rozwiązań „open source” czy „skryptów z pudełka”?

Wtedy gdy błąd został odnaleziony przez użytkowników jest już za późno, bo równie dobrze błąd ten mógł znaleźć wcześniej inteligentniejszy od przeciętnego sprzedawcy haker. Tylko, że on tego producentowi nie zgłosił i wykorzysta lukę do swoich celów. Dlatego nie można publikować słabej jakości kodu i czekać aż użytkownicy zgłoszą błędy. Trzeba śledzić fora hakerów, publikacje internetowe na temat bezpieczeństwa w programach, systemach operacyjnych i usługach. Jednym słowem, trzeba po prostu dbać o kwestie bezpieczeństwa. Każdy sprzedawca internetowy musi albo poświęcać czas na poszerzanie wiedzy w tym zakresie, albo skorzystać z SaaS gdzie płaci za to, aby inni się o to martwili, albo dysponować większym budżetem i zatrudnić specjalistów od bezpieczeństwa.
Innym problemem programów typu open source, jest to, że wielu użytkowników nie instaluje poprawek. Oczywiste dla każdego jest to, że trzeba to robić, ale mało kto to robi. Widzimy to sami nawet u naszych klientów, którzy sami instalują aplikacje pomocnicze dla Windows. Musimy niejednokrotnie przypominać im aby zainstalowali wersję nowszą niż ta sprzed roku. Wtedy gdy dostawca systemu aktualizuje platformę SaaS, wszyscy korzystają z poprawionego kodu. Tym czasem w skryptach open source, szczególnie tych przerobionych, ludzie nie łatają odpowiednio szybko swoich sklepów, o ile w ogóle kiedykolwiek to robią. W tym momencie poprawki do kodu są nanoszone przez producenta programu, ale w konkretnym sklepie tego nie widać. Za to wszyscy wiedzą o tych lukach, bo są publicznie dostępne. Jestem w stanie zaryzykować zakład, że ponad 99% sklepów internetowych działających na pudełkowych programach open source nie jest w najnowszej wersji, przez co znane luki można od ręki wykorzystać do ich skompromitowania.

Czy w Polsce notowane są przypadki cyber-ataków na sklepy internetowe? Czy zagrożenia są na tyle poważne, aby właściciele sklepów zaprzątali sobie nimi głowę?

Polska nie jest innym krajem jeżeli chodzi o bezpieczeństwo niż USA czy Rosja. Myślenie że hakerzy są tylko w amerykańskich filmach, a w Polsce wszyscy są naiwni i nic złego nie może się stać, może nabić sprzedawcy internetowemu wielkie kuku. Mam wrażenie, że wielu sprzedawców bezpieczeństwo mało obchodzi, bo przecież jak ktoś ukradnie dane klientów to im nic nie ubędzie. Bezpieczeństwo traktowane jest instrumentalnie w postaci checklisty rzeczy do zrobienia. Tym czasem o bezpieczeństwie trzeba zawsze myśleć kompleksowo.
Znana nam z ostatnich miesięcy forma ataku jak z filmu o włoskiej mafii. Atak polega na wykorzystaniu botnetu do paraliżowania sklepu atakiem DOS (Denial of Service) czyli wysyłaniem mnóstwa pakietów. Największe ataki, jakie widzieliśmy używały nawet kilku tysięcy komputerów zombie do atakowania. Po krótkiej demonstracji która paliżuje sklep, następuje kontakt ze strony atakującego z roszczeniem przesłania np. 1000$ poprzez Western Union, bo inaczej sklep będzie bombardowany non-stop. Jeżeli sklep nie korzysta z SaaS lub nie ma sztabu fachowców to zwyczajnie nie będzie w stanie obronić się przed takim atakiem i jeżeli chce pozostać w grze, musi płacić. Oczywiście za miesiąc nawet Ci sami sprawcy zażądają ponownego haraczu. W ten sposób sprzedawca internetowy utrzymuje swoimi pieniędzmi organizacje przestępcze, które mają większą motywację do pisania kolejnych wirusów i powiększania wpływów botnetu.
Mniej szkodliwi są atakujący, którzy w zamian za opłatę pomogą nam usunąć lukę w bezpieczeństwie. Zazwyczaj jednak taka „usługa” obejmuje jedną lukę. Jednak sporo to kosztuje i łatanie systemu w ten sposób może sklep słono kosztować. I teraz należy sobie odpowiedzieć na pytanie, czy niewielka opłata dla usługodawcy nie jest lepsza niż liczenie na szczęście i czekanie aż źli ludzie dostrzegą sklep i zaczną wysysać z niego pieniądze?

Reszta do przeczytania na http://www.aukcje.org/archives/2010/09/13/bezpieczestwo-w-sklepie-internetowym.htm

 

 

Technologia SaaS - zalety i potencjalne problemy techniczne

pfornalski

26 stycznia 2010r. występowałem przed kadrą naukową Wydziału Informatyki. Podczas tej specjalnej rady naukowej, starałem się zachęcić do zmiany profilowania nauki na informatyce, aby kierować więcej edukację studentów na problemy cloud computingu. Ponieważ ciągle w głowach wielu profesorów web-aplikacje, to strony HTML, postanowiłem pokazać pewne klasy problemów informatycznych, z którymi nie da się poradzić przy pomocy tego co stosuje się do obliczeń naukowych.

Tak się złożyło, że na tym wystąpieniu był też Maciej Jankowski, któremu prezentacja tak się spodobała, że stwierdził, że koniecznie muszę 3 dni później zaprezentować to samo. I tak oto prawie ta sama prezentacja została pokazana ponownie, tym razem ponad 100 osobom na Netcampie.

Film niestety nie pokazuje wszystkiego, bo "taśma się skończyła". A szkoda, bo w drugiej części prezentacji pada jeszcze więcej technicznych konkretów. Mam nadzieję jednak, że będzie okazja jeszcze w innym mieści powtórzyć ten temat i organizatorzy będą mieli dłuższą taśmę. Swoją drogą cieszę się, że ta prezentacja została przeze mnie przeprowadzona na taki temat, bo od tej pory na Netcampie zaczęło się pokazywać dużo fajnych, technicznych prezentacji. Dlatego polecam przejrzenie także innych materiałów na stronie www.netcamp.net.pl

Poniżej slajdy z prezentacji i nagranie. Enjoy.

i film ... Jeżeli ktoś nie chce dowiadywać się czym jest SaaS, może przeskoczyć o kilka minut do przodu.


Trudności towarzyszące implementacji systemów SaaS
Załadowane przez: netcamp. - Odkryj więcej fajnych wideo technologicznych i naukowych.

Apple iPhone 3G - mit o braku obsługi słuchawek Bluetooth

pfornalski

O iPhone napisało już chyba każde medium, łącznie z wędkarskimi i kynologicznymi. Jedna rzecz mnie tylko denerwuje kiedy czytam po raz enty, że iPhone nie ma Bluetootha. Jest to wierutna bzdura i wiem to, ponieważ sam mam iPhone 3G i używam Bluetooth często. Mit o braku bluetootha jest tak głęboko zakorzeniony, że kiedy go kupowałem w salonie, konsultant od iPhone powiedział mi, że „BT w iPhone jest, ale działa tylko ze słuchawką Apple". Pomyślałem, że dobra, przywykłem w sumie to fanaberii Apple w tym stylu, więc wydawało mi się to wiarygodne i stwierdziłem że poszukam w necie słuchawki Apple, bo w salonie jej nie mieli. Jak pisałem wcześniej, słuchawka BT jest dla mnie ważna. Pisałem o tym w poście „Co za dużo to niezdrowo - Słuchawka".

Po rozpoczęciu pracy z telefonem, postanowiłem jednak przetestować ten mit samodzielnie. Po przeczytaniu manuala on-line do iPhone znalazłem opcję włączania Bluetootha, która znajduje się pod ikonkę „Ustawienia". Następnie w zakładce Ogólne jest opcja Bluetooth, którą trzeba przełączyć. Po włączeniu pojawia się latające kółko obok napisu „Urządzenia". Jeżeli tylko odczeka się wystarczająco długo (nawet kilkanaście minut) pojawią się wszystkie słuchawki, nawet mój laptop Asus z BT też się pojawił. Aby było jasne korzystam ze słuchawki Nokia BH-101, ale sprawdzałem to też z ciekawości na innej słuchawce BT mojego brata która też działa. Po sparowaniu urządzenia, jego wykrywanie jest natychmiastowe. Ja po prostu zostawiłem telefon i po obiedzie miałem wykryte wszystkie urządzenia. Czasami trzeba to powtórzyć 2-3 razy.

Skąd takie zabobony, że iPhone 3G nie obsługuje słuchawek? Mam 3 tezy:

  1. Słuchawka Apple paruje się podobno z iPhone przez specjalną stację dokującą i jest wykrywana podobno natychmiast. Prawdopodobnie robione jest to na specjalnym patencie i oczekuje się, że inne urządzenia też będą tak szybko parowane. Nie sprawdzałem, więc spekuluję. Prawdopodobnie ci którzy to testowali, nie miał cierpliwości aby odczekać kilkanaście minut na sparowanie swojej słuchawki.

  2. Niektóre słuchawki wymagają zresetowania przed zmianą telefonu. Ma to zapobiegać błędnemu parowaniu z wieloma urządzeniami. Jeżeli zatem ktoś miał słuchawkę sparowaną ze starym telefonem, to po zakupie iPhone sprawdza, że słuchawka się nie paruje i wyrzuca ją do lamusa razem ze starym telefonem. Trzeba poczytać instrukcję swojej słuchawki aby doczytać jak się ją resetuje. W moim przypadku było to trzymanie bardzo długo przycisku PTT (push to talk).

  3. Ostatnia teza jest najbardziej lamerska, ale prawdopodobnie iPhone pod tym względem padł ofiarą swojej popularności. Jakiś lamer napisał w recenzji z jednego z wyżej wymienionych powodów, że słuchawki BT nie działają, a reszta lemingów piszących na lewo i prawo o najpopularniejszym gadżecie ostatnich lat, powtórzyła to ślepo. A że ostatnio wróciły artykuły o iPhone do mody, bo porównuje się go z G1, to dalej do porównań używa się tego niesprawdzonego zarzutu, że Bluetooth nie działa.

p.s. Na koniec jeszcze jedna uwaga. Wbudowany w iPhone zestaw głośnomówiący działa tak świetnie, że mojej słuchawki używam bardzo rzadko. Może też dlatego, że dzięki iPhone odpisuję bardzo szybko na e-maile i większość ludzi zaczęła preferować ze mną tę formę kontaktu. Dla mnie bomba.

Jak archiwizuję swojego laptopa?

pfornalski

Jedyną pewną rzeczą w komputerach jest to, że pewnego dnia dysk twardy wyda z siebie przerażający jęk i zgrzyt, po czym zapanuje całkowita cisza. Od Twojego osobistego szczęścia zależy jak szybko to nastąpi, czasami po miesiącu, czy po 12 latach, ale prędzej czy później to nastąpi. Zrobienie kopii zapasowej może ocalić skrupulatnie gromadzone dane. O backupach i chmurach (np. IAI-Shop.com) w których można przechowywać dane napisano wiele. Ja chciałem się podzielić się informacją, w jaki sposób można szybko i tanio zorganizować backup w domu lub małej firmie i to taki, który będzie regularnie wykonywany. Metodę, którą przedstawiam stosuję osobiście u mnie w domu od paru miesięcy i sprawdza się świetnie. Do tego jest tania i szybka. Czas zatem zrobić trochę reklamy, za którą niestety nikt mi nie zapłacił :(

Backup swojego firmowego laptopa i 2 komputerów domowych organizuję w oparciu o zewnętrzny dysk twardy Seagate serii FreeAgent Desk. Dlaczego akurat ten dysk? Miałem dosyć nieudolnego backupu z Visty jak również nie znalazłem żadnego sensownego narzędzia darmowego do backupu, a spędziłem na testach parę wieczorów. Nie miałem ochoty również wydawać zbyt wielu pieniędzy na „profesjonalny" software. Skupiłem się zatem na znalezieniu dysku zewnętrznego, którego i tak potrzebowałem żeby robić backup, z dobrym software. Wybór padł właśnie na Seagate FAD i nie żałuję.

Po podłączeniu dysku do komputera Windows lub Maca (istnieje również specjalna wersja na Maca) jest on poprawnie rozpoznawany i w katalogu głównym znajduje się aplikacja Seagate Manager. Po instalacji możemy:

  • Wykonywać backup

  • Wykonywać synchronizację z dyskiem

  • Używać szyfrowania na wybranych katalogach

  • Zarządzać dyskiem

Aplikacja działa szybko i stabilnie, sama też potrafi pobierać aktualizacje. Po wykryciu dysku Seagate, przechodzimy do zakładki Backup. Wybieramy tworzenie nowego, własnego planu backupu, wskazujemy katalogi. Miłym zaskoczeniem jest to, że w kroku 3 możesz ustawić dni i godzinę w której będzie wykonywany automatyczny backup oraz włączyć szyfrowanie. Zwłaszcza ta ostatnia opcja przekonała mnie do zakupu tego dysku. Dane szyfrowane są 256 bitowym kluczem w algorytmie AES. Dzięki temu, ktoś kto ukradnie mi dysk, nie posiądzie wszystkich informacji z mojego komputera. Jest to wbrew pozorom bardzo ważne, ponieważ po co dla danych kraść świetnie zabezpieczony laptop czy komputer, skoro można ukraść dysk? Jeżeli dane są szyfrowane, w razie kradzieży, złodziej będzie mógł go co najwyżej sformatować.

Samo kopiowanie odbywa się w tle i nie wymaga wyłączania komputera. Ja osobiście preferuję backup na żądanie. Klikam wtedy „Backup now" i dane się kopiują. Jest to prosta aplikacja, która nie potrafi archiwizować blików z blokadami, ale nie oszukujmy się, w razie awarii całego systemu, najważniejsze są dla nas dokumenty, zdjęcia, poczta, filmy, a nie pliki systemowe. System zainstalujemy i tak na nowo, przynajmniej ja tak robię. Jeżeli np. rozbiję lub zgubię laptopa, kupię nowego i dokładna kopia obrazu dysku będzie mało pomocna do przywrócenia dokumentów. Ja archiwizuję dane co parę dni, kiedy wieczorem wstaję od laptopa.

Archiwizacja nie odbywa się również w ten sposób, że zawsze wszystkie dane są kopiowane. Każdy plik na naszym dysku ma odpowiednik na dysku archiwizowanym (zaszyfrowany plik), a więc podczas archiwizacji, program kopiuje tylko to co uległo zmianie. Dzięki temu kolejne kopie wykonywane są w ciągu kilku minut. Mogę w ten sposób szybko wyciągnąć tylko 1 plik.

Widok na ekran programu Seagate Manager podczas pracy

 Kliknij aby powiększyć i zobaczyć jak wygląda program Seagate Manager podczas pracy.

Dużą zaletą dla mnie było to, że z dysku (ja mam 500GB) można korzystać dualnie, zarówno do backupu jak i przechowywania starych filmów. Dodatkowo, można program Seagate Manager zainstalować na paru (w moim przypadku 3) komputerach i robić kopie zapasowe wszystkich 3 komputerów. Wadą jest tylko to, że szyfrowanie jest w oparciu o wspólne hasło, ale na cele domowe lub jeżeli wykonuje operację 1 osoba, w pełni to wystarczy.

Widok na mój Seagate FreeAgend Desk 500GB

Tak wygląda mój egzemplarz dysku.

Jeżeli jeszcze nie backupujesz komputerów, pomyśl co stanie się w momencie awarii Twojego dysku. Moje rozwiązanie jest bardzo proste i skuteczne i gwarantuje, że dane rzeczywiście będą regularnie archiwizowane, bo tylko taki backup ma sens. Sam dysk jest do tego piękny, a pulsujące logo Seagate to już genialny gadżet. Na dzień dzisiejszy luksus spokojnego snu to wydatek 308zł (patrz http://www.euromall.pl/product-pol-8392-HDD-External-SEAGATE-FreeAgent-72001-35500GB720016MBUSB-20-EU-silver.html).

Newsletter który dotrze

pfornalski

Czemu mój newsletter nie dotarł do wielu klientów? Często dostaję takie pytanie od klientów. Sprawdzam logi a tam informacja, że list dotarł do serwera pocztowego, albo że został odrzucony. Przyczyna nie leży po stronie modułu do wysyłania newslettera, lecz w treści listu.

Większość serwerów pocztowych ma uruchomioną usługę filtru antyspamowego. Nieostrożnie skomponowany list i może się okazać, że Twój newsletter a nawet automatycznie wysyłane potwierdzenie zostanie potraktowane jak SPAM i trafi albo do śmietnika na serwerze, albo w programie pocztowym klienta. Serwery pocztowe korzystają z wielu trików, które pozwalają na stwierdzenie czy wiadomość może być spamem. Z punktu widzenia tego artykułu skupię się na analizie treści.

Aby wyjaśnić jak to się dzieje, że wiadomość nie dociera wyjaśnię pokrótce jak wykonywana jest analiza. Otóź po otrzymaniu wiadomości przez serwer pocztowy (usługa SMTP), kieruje on wiadomość do usługi lub modułu antyspamowego. Popularnym i darmowym systemem jest SpamAssassin . Wykonuje on analizy zawartości w oparciu o analizę otwartej bazy reguł. Po analizie zawartości przydzielana jest łączna ocena (na podstawie liczb ujemnych i dodatnich przyporządkowanych do reguł) wiadomości ocena w skali potencjalnego spamu. W systemie pocztowym ustawione są dwa poziomy. Po przekroczeniu pierwszego poziomu (np. 5.0) wiadomość jest oznakowywana jako potencjalny spam poprzez dodanie w tytule np. tekstu "SPAM", jak również umieszczenie w treści specjalnego "X-znacznika" - "X-Spam-Status: Yes". Wiadomość taka jest dostarczana do skrzynki użytkownika, gdzie sam zadecyduje czy chce potraktować wiadomość jak spam, czy nie. Zarówno Thunderbird jak i Outlook mogą podejmować decyzje na podstawie ocen SpamAssassina. Osobiście wolę samodzielne douczenie swojego Thunderbirda.
Drugim poziomem którym się ustawia jest poziom oceny spamowej (np. 8.0) powyżej której wiadomość nie jest dostarczana, ale odrzucana i użytkownik nie  otrzymuje informacji. Usługa SMTP odsyła wtedy automatycznie generowaną wiadomość o tytule np. "Congratulations! Your message is SPAM". Dowcipniejsi admini ustawiają np. "Dziękujemy za wiagrę. Już mamy swoją.".
Ocena spamowa jest składową wszystkich wag przyporządkowanym różnym regułom, przy czym każda reguła zwiększa wynik oceny  ("X-Spam-Score").  Przy odpowiedniej konfiguracji w źródle wiadomości możesz podejrzeć za co konkretne oceny cząstkowe zostały przyznane.

Jak zatem sprawić aby newslettery częściej docierały? Przede wszystkim trzeba zmniejszyć ilość reguł które spełni wiadomość. Listę reguł SpamAssassina w starszej wersji obejmującej również polskie zwroty zobaczysz np. na stronie http://spamassassin.apache.org/tests_3_1_x.html . Poszczególne zwroty zwiększają ocenę X-Spam-Score:

  • Zapraszamy do udziału +1.0
  • Aby wypisać się z listy +2.0
  • nie zainteresowany otrzymywaniem +2.5
  • Witamy Państwa +0.9
  • do odwiedzenia strony +0.9
  • koszt wysyłki +0.9
  • płatność przy odbiorze +2.5

A zatem jeżeli serwer ma SpamAssassin z tą wersją testów, wysłanie listu zawierającego taki tekst:

Witamy Państwa i zapraszamy do udziału w konkursie.
Zasada jest prosta. Zamów produkt X za 20zł + koszt wysyłki aby wziąść w nim udział. Możliwa jest również płatność przy odbiorze.
Jeżeli nie jesteście zainteresowani naszym newsletterem prosimy o odwiedzenie naszej strony i wypisanie się z listy odbiorców newslettera.

Tekst jest przejaskrawiony, ale jakże przypomina większość newsletterów... A potem ludzie dziwią się, że nikt ich nie czyta, dosłownie i w przenośni. 

Jak w Thunderbird wyszukać wiadomość po ukrytym odbiorcy?

pfornalski
Podaję prostą do wykonania procedurę, po jakiej można szukać w Thunderbird wiadomości np. po polu odbiorcy ukrytej kopii (Bcc):
  1. Prawym przyciskiem myszy kliknij na folder w którym chcesz szukać wiadomości i wybierz "Wyszukaj wiadomości"
  2. W lewej liście rozwijanej nowego okna, proszę wybrać Dostosuj (standardowo Temat).
  3. W pole „nowy nagłówek wiadomości" wpisz "Bcc".
  4. Następnie po zamknięciu opcji dodawania nagłówka, możesz zmienić „Temat" na "Bcc" i wyszukać wiadomości zawierające ten nagłówek.

Analogiczną procedurę można zastosować do dowolnego rodzaju nagłówka. Aby zobaczyć jakie nagłówki znajdują się w wiadomościach zaznacz wiadomość i w menu „Widok" wybierz „Źródło wiadomości" (Ctrl+U).

© Polski e-commerce i zarządzanie e-firmą
Blox.pl najciekawsze blogi w sieci