IPs usados no envio

Tente fazer os seus envios usando poucos endereços IPs, e que sejam consistentes. Se os seus emails estão saindo de vários IPs de redes diferentes, os servidores de destino podem achar que seu sistema está falsificando os IPs de envio, ou usando alguma rede para fazer o envio (botnets, por exemplo). Com isso, sua chance de ter o email marcado como spam aumenta bastante.
Se você se limita a fazer o envio a partir de um único IP, ou poucos IPs, não vai sofrer com esse tipo de problema. Além disso, os provedores agora trabalham com o conceito de “reputação” de um IP. Ou seja, se você envia emails consistentemente através de um IP, e esses emails tem taxa de reclamação baixa, a tendência é que a reputação suba.

DNS reverso

O sistema de DNS serve para traduzir nomes para IPs. Por exemplo, quando digita “www.ataraxia.com.br” no seu navegador, ele é traduzido para um endereço IP (no momento em que escrevo, 75.119.213.142). Hoje em dia, o DNS é essencial para o funcionamento da Internet.
Assim como existe a tradução de nomes para IPs, tambem existe a tradução inversa, ou seja, de IPs para nomes. E é importantíssimo que o endereço IP do seu servidor de email possa ser traduzido de volta para o nome dele.
Servidores que não tem DNS reverso cadastrado e apontando de volta para ele mesmo normalmente não conseguem mandar email de forma consistente, pois a maior parte dos filtros já barra a conexão antes mesmo de receber a mensagem. Ou seja, o conteúdo nem mesmo é analisado.

Use um remetente consistente

O remetente é o nome e email que aparecem para quem recebe o email. Tente usar o mesmo para a campanha inteira. Colocar nomes e emails diferentes para cada email que sai é mais um indício de spam, pois spammers falsificam essas informações para tentar ocultar sua identidade. Coloque no remetente algo que deixe bem claro quem você é.

Publique registros SPF

O SPF é um framework que utiliza registros DNS para divulgar informações sobre permissão de envio de emails, e tem a intenção de combater o envio de emails falsificados.
Um registro SPF indica para o mundo quem tem permissão de mandar emails usando um domínio. E como quem tem controle sobre um domínio e seus registros é normalmente a organização detentora da marca, seria uma forma da organização dizer: “somente os servidores X, Y e Z podem mandar email usando minha marca”.
Todos os grandes provedores checam registros SPF, e um email que falhe nessa checagem já é mais um indicativo de possível falsificação de email.
Não vou colocar um tutorial sobre SPF nesse artigo, pois foge um pouco do escopo, mas para saber mais sobre a tecnologia, e como implementar, basta visitar o site http://www.openspf.org/. Existe tambem um ótimo assistente para geração do registro SPF para publicação no servidor DNS.

Assinaturas DomainKeys e DKIM

DomainKeys é uma tecnologia que usa criptografia para verificar o domínio de quem enviou a mensagem, e a integridade das mensagens. É usada principalmente pelo Yahoo!, e foi usada como base pelo IETF para o desenvolvimento do DKIM (DomainKeys Identified Mail), sucessor do DomainKeys.
A idéia é usar duas chaves, uma pública e uma privada. A chave privada fica guardada no servidor que faz o envio, e cada email é assinado digitalmente usando essa chave privada. A chave pública é disponibilizada via DNS, e qualquer um que receba um email assinado usando a DomainKeys e/ou DKIM pode verificar se a mensagem foi realmente enviada por um servidor autorizado, checando a assinatura através da chave pública.
Além disso, a assinatura garante também que a mensagem não foi modificada em trânsito, pois caso tenha sido modificada, a assinatura não vai conferir.
Embora o DKIM tenha vindo para ser o sucessor do DomainKeys, a maior parte dos grandes provedores checam as duas assinaturas, então não existe problema em assinar a mensagem duas vezes, pois ambas coexistem sem problema.

Lista de emails

Qualquer email que esteja na sua lista deve ter dado a permissão explícita para que você faça o envio de emails. Qualquer inscrição deve preferencialmente utilizar o mecanismo de “double opt-in”, ou seja, a pessoa coloca seu email em um formulário no seu site, você envia um email de confirmação com um link, e só adiciona a pessoa na sua lista após essa confirmação. Isso evita a adição de pessoas que não pediram para ser cadastradas, e com isso, evita reclamações.

Manutenção da lista

A regra número 1 é bem simples: respeite seus usuários. Se alguem não quer mais receber seus emails, não envie mais. Vai ser um usuário a menos gerando reclamações. Não vale a pena forçar seus emails goela abaixo dos usuários.
Todo email que você enviar deve conter um link para que o usuário possa sair da lista. Esse link deve funcionar, de preferência de forma automática e imediata.
Além disso, qualquer email que gere um “bounce” deve ser removido da lista, caso seja um erro permanente (por exemplo, “email inexistente”). Erros não permanentes (por exemplo, “caixa postal cheia”) devem ser removidos caso persistam por alguns envios.

Formato do email

Todas as mensagens devem seguir o padrão descrito na RFC 5322. Esse padrão é o sucessor da RFC 2822, que por sua vez é o sucessor da RFC 822. Esse padrão descreve o formato que um email deve seguir.
Caso envie emails em HTML, siga os padrões descritos pelo W3C.
Adicione sempre o cabeçalho “Precedence: bulk”, para sinalizar ao servidor de destino de que seu email faz parte de um envio em massa. Isso ajuda o servidor que recebe a priorizar melhor a entrega das mensagens, caso esteja sobrecarregado.
O assunto do email deve ser relevante, e ter relação com o conteúdo da mensagem.

O email em si

Evite uso de palavras chaves normalmente associadas a spam. Evite o uso de pontuação em excesso, como por exemplo, muitas exclamações.
Caso esteja enviando email em HTML, não esqueça de fazer tambem uma versão em texto puro, para quem não lê HTML. Por exemplo, muitos dispositivos móveis não lêem emails em HTML. Além disso, emails somente em HTML muitas vezes ganham uma pontuação nos sistemas antispam.
No HTML, evite colocar somente imagens. Tente manter uma boa proporção de texto para imagem. Siga os padrões da W3C, colocando o atributo “alt” nas imagens. Além disso, lembre-se que por padrão, os grandes provedores não exibem imagens externas por padrão, então caso seu email contenha somente imagens, existe uma boa probabilidade do email não ser lido.

Blacklists e whitelists

Tente fazer monitoramento constante nas várias listas negras existentes na Internet. Caso seu servidor seja listado, começará a ter problemas de entrega, pois qualquer servidor configurado para checar a lista negra irá barrar sua conexão. Tente trabalhar de forma a evitar a entrada nessas listas, e caso entre, tente corrigir o problema e providenciar a saída o mais rápido possível.
Assim como existem as listas negras, existem tambem listas brancas, de servidores que foram cuidadosamente verificados, e que fazem envio de email de forma responsável. A mais famosa é a certificação SenderScore da ReturnPath. Existe um custo, mas por sua vez, uma vez certificado, basta manter as boas práticas para conseguir melhores taxas de entrega para grandes provedores, como Hotmail e Yahoo!.

Conclusão

Resumindo: mandar emails para a Internet de forma consistente é um verdadeiro inferno hoje em dia. E acredite, você certamente terá problema de entregas uma hora ou outra. Não tem muito pra onde fugir. Mas seguindo essas regras (simples?), dá pra se manter o nível de rejeição em um patamar aceitável.
Alguem tem alguma dica extra? Postem nos comentários!

Artigos relacionados

• Evitando spam em formulários
• Evitando fornecer seu email verdadeiro
• Otimização de sites, parte 2 – Compressão
• Otimização em PHP, parte 1: Minify
• Acessando sites fora do ar
• Envio de emails em PHP
• Segurança no envio de emails em PHP

Até aí, tudo muito bonito. Funciona muito bem. Porém, os spammers acharam uma forma de propagar links para sites de origem duvidosa através destes formulários. Então, bolaram robôes que varrem a Internet em busca de formulários como estes. Ao encontrar um formulário, preenchem automaticamente todos os campos, e submetem os dados.

O resultado disso é o recebimento de várias mensagens inúteis com links muitas vezes utilizados pra disseminar vírus e outras ameaças.

Uma das formas de se resolver isso é colocando um CAPTCHA, aquelas imagens com letras tortas que teoricamente só um humano consegue decifrar. Alguns dos problemas com os CAPTCHAs: as vezes, o CAPTCHA é fraco, e é possível se usar um programa para quebrá-lo. Já aconteceu algumas vezes com serviços grandes, como Hotmail e Gmail. Outro problema, é que as vezes as letras ficam tão tortas que nem um humano consegue decifrar de primeira. Eu mesmo já tentei fazer um cadastro no BOL, e só consegui lá pra quarta ou quinta tentativa.

Uma outra forma, mais simples, consiste em se colocar no formulário um campo escondido via CSS. O formulário ficaria mais ou menos assim:

<form action="/email/send" method="post">
Nome: <input type="text" name="nome" /><br />
Email: <input type="text" name="email" /><br />
<input type="text" name="vazio" value="" style="display:none" />
<input type="submit" value="Enviar" />
</form>

Notem que o formulário possui um campo chamado vazio, que está escondido através do estilo “display:none“. A técnica é simples: o script que processa o post do formulário, verifica se este campo está preenchido ou não. Se estiver, muito provavelmente se trata de um robô fazendo spam, já que a princípio este campo não deveria nunca ser exibido na tela, e portanto não poderia ser preenchido.

Embora não seja 100% eficaz e peque um pouco pela falta de acessibilidade (já que dependendo do dispositivo que acesse o celular, o campo pode aparecer), ainda assim se trata de mais uma opção, ao meu ver, menos obstrusiva que um CAPTCHA.

NOTAS:

• O HTML acima está simples, sem seguir nenhum padrão, só para efeitos de demonstração da técnica. Deveria usar tags como <fieldset> e <label> para manter o formulário bonitinho;
• O style não deveria estar explícito no campo, e sim externo em um CSS, setando o display pra hidden ou através de uma classe ou através de um ID.

Já faço uso desta técnica em alguns sites que recebiam um volume considerável de spam automático, e hoje o nível caiu pra 0.

Outro aspecto do envio de email que também é extramamente importante é em relação ao spam envolvendo a manipulação dos cabeçalhos do email, como já descrito em um outro artigo.

Artigos relacionados

• Envio de emails em massa
• Evitando fornecer seu email verdadeiro
• Segurança no envio de emails em PHP
• Evitando SQL injection em PHP
• Criando CAPTCHAs em PHP
• Os 10 piores CAPTCHAs do mundo
• Envio de emails em PHP

<?php
mail($para, $assunto, $mensagem, $cabecalhos, $parametros);
?>

Sendo que os cabeçalhos e os parâmetros são opcionais. A função é bem auto-explicativa, e não tem muito o que falar.

O problema surge justamente quando queremos algo a mais, como por exemplo:

• Anexar arquivos;
• Emails em HTML (ou em texto e HTML);
• Assinar digitalmente o email;
• Colocar acentos no assunto ou no corpo (é necessário codificar pra ficar 100% compatível);
• Autenticar em um servidor SMTP;
• entre outras coisas…

Sai a função mail(), entra a classe PHPMailer

Uma classe que já venho usando a muito tempo, e que cumpre de forma excelente todos os “buracos” deixados pela função mail() é a PHP Mailer. Coloquei “buracos” entre aspas, pois é possível fazer tudo isso usando apenas a função mail(), só que dá um bocado de trabalho extra, pois todo o trabalho de criação dos cabeçalhos, de codificação da mensagem e anexação de arquivos terá que ser feita manualmente.

A classe para o PHP 5/6 pode ser baixada diretamente do SourceForge, e a instalação é bem simples, pois a classe principal está em apenas um arquivo, chamado class.phpmailer.php. Existem 2 arquivos extras, com classes para uso em SMTP e POP3, mas que não são necessárias caso não se utilize servidores SMTP ou POP3 externos.

Usando a classe

Uma vez copiada, basta darmos um include ou um require, e teremos a classe disponível para ser instanciada. Um exemplo bem simples:

<?php
$mail = new PHPMailer();
$mail->IsMail();                         // Usando como backend a função mail()
$mail->From = "bruno@lustosa.net";       // Email de quem envia a mensagem
$mail->Sender = $mail->From;
$mail->FromName = "Bruno Lustosa";       // Nome de quem envia a mensagem
$mail->AddAddress("nobody@example.com"); // Quem irá receber. Posso chamar mais vezes
$mail->Subject = "Assunto da mensagem";
$mail->IsHTML(true);                     // Estou enviando um email em HTML
$mail->Body = "<b>email em html</b>";    // Este é o email, em HTML
$mail->AltBody = "email em texto";       // Email alternativo, em texto puro
$mail->CharSet = "utf-8";                // A codificação usada no email
if ($mail->Send()) {
    print "Email enviado com sucesso.";
}
?>

Pronto. De forma bem simples, consegui enviar um email que me daria um trabalhão se eu fosse montar manualmente. O PHPMailer, neste caso, age como um “formatador” do email, gerando todos os cabeçalhos e fazendo toda a codificação necessária, e no fim, chamando a função mail() para fazer o envio (pois chamei o método IsMail()). Ao invés de passar para a função mail(), poderia usar um servidor SMTP externo chamando o método IsSMTP() e indicando o servidor em $mail->Host.

Algumas explicações:

• Estou setando o cabeçalho Sender para o mesmo valor que o From, pois alguns servidores colocam o Sender automaticamente caso ele não seja setado, e nem sempre ele coloca o valor que queremos.
• A chamada a AddAddress() poderia estar dentro de um loop, por exemplo, buscando emails diretamente de um banco de dados, ou de outro lugar. Vale lembrar que assim como temos o AddAddress(), que adiciona o email no “Para”, também temos o AddCC(), que adiciona o email no campo “Cc” e o AddBCC(), que adiciona no “Bcc” (ou “Cco“).
• Emails somente em HTML tem mais chance de cair em um antispam do que um email que contenha HTML e texto. Além disso, se o destinatário não tiver como ler HTML, não terá como ler a mensagem. Por estes dois motivo que é sempre recomendável criar uma versão em texto do email que será enviado.

A classe possui inúmeras propriedades e métodos além dos listados neste exemplo, que podem ser usados para fazer (quase?) tudo que um cliente de email faz. Além disso, junto com a classe, existe uma pasta chamada “examples” com alguns exemplos de como fazer outras coisas, como utilizar o SMTP do Gmail, anexar imagens, referenciar as imagens anexadas de dentro do email em HTML, etc.

Artigos relacionados

• Segurança no envio de emails em PHP
• Agendando eventos no WordPress
• Removendo o “generator” do Wordpress
• Envio de emails em massa
• Escrevendo plugins para o Wordpress
• Evitando SQL injection em PHP
• Criando CAPTCHAs em PHP
• Pegadinhas no PHP
• Otimização em PHP, parte 1: Minify
• Precedência no PHP
• Evitando spam em formulários
• Imprimindo em formulários contínuos em PHP
• XML no PHP com XML_Serializer, parte 2 de 2
• XML no PHP com XML_Serializer, parte 1 de 2
• Validação de dados em PHP
• Evitando fornecer seu email verdadeiro

Para começar, precisamos entender como os spammers conseguem nossos emails. Existem várias formas:

Através de força bruta:

Combinam-se várias palavras, nomes, etc e tentam-se esses nomes em vários serviços de email. Por exemplo, apenas com o nome “bruno”, poderíamos tentar bruno@gmail.com, bruno@hotmail.com, bruno@yahoo.com, e por aí vai. Se a lista de nomes e sobrenomes é grande, a quantidade de combinações cresce bem rápido.

Minerando a rede:

Os spammers usam programas especiais, chamados harversters, que varrem sites inteiros em busca de endereços de email. Sabe aquele seu amigo, que insiste em mandar email pra alguem com cópia pra deus e o mundo? Pois bem, se um email daqueles para em algum site, é um prato cheio para o spammer, que de cara consegue dezenas, ou até centenas de emails de uma só vez.

Comprando listas:

Muitos sites onde nos cadastramos não respeitam nossa privacidade, e vendem suas bases de dados cadastrais para terceiros.

Em relação à força bruta, não há muito o que podemos fazer, além de ignorar os emails que chegam. Nunca se deve responder nem clicar em nenhum link do spam, pois fazendo isto você pode estar confirmando que o seu email é válido.

Contra a mineração, só mesmo educando as pessoas para que não mandem email usando cópia carbono (“Cc“), e sim usando cópia carbono oculta (“Cco“, ou “Bcc“).

Algo que realmente podemos fazer é evitar dar nosso endereço de email para sites que não são confiáveis. Quais sites não são confiáveis? A princípio, todos. Desconfie de tudo e de todos.

Se tudo o que você quer de um site é fornecer seu email para conseguir um acesso, um link, uma senha, ou qualquer coisa que seja enviada por email, uma boa alternativa é o 10minutemail.com. Através desse site, podemos conseguir um email temporário, válido por 10 minutos, e usá-lo em qualquer site. Qualquer email que o site mande para este endereço fica disponível através de um webmail bem simples, e normalmente, 10 minutos é tempo suficiente para que você receba um email de um site, contendo, por exemplo, um link para ativação de cadastro.

Como fazer

Ao abrir o site 10minutemail.com, aparecerá uma tela explicando o porque do site existir, e um link, logo abaixo do segundo parágrafo chamado “Obter meu endereço no 10 Minute Mail.. “. Basta clicar neste link, e o site te informará o seu email temporário.

Agora basta usar e abusar deste email. Se alguma mensagem for enviada para ele, aparecerá na tela. Se precisar de mais tempo, clique no link “Me dê mais 10 minutos!”, e você terá mais tempo.

Com isso, você evita de fornecer seu email verdadeiro para sites que poderiam potencialmente vender o seu cadastro para terceiros. Enquanto não existe uma forma de se espancar punir spammers, o que podemos fazer é tentar evitar que nossos emails caiam em suas mãos.

Artigos relacionados

• Envio de emails em massa
• Evitando spam em formulários
• Envio de emails em PHP
• Segurança no envio de emails em PHP

Porém, se não forem tomados os devidos cuidados, sua aplicação pode ser explorada, e seu servidor pode passar a ser mais uma ferramente nas mãos dos spammers, pronto pra ficar enviando todo tipo de lixo pra meio mundo.

O principal problema com isso, além do fato do seu servidor passar a disseminar a praga que é o spam, é que seu servidor pode cair em algumas das listas negras, e com isso você passa a não conseguir mais enviar emails legítimos pra quem usa as tais listas pra se proteger contra o spam.

Resumindo: é uma dor de cabeça que você não quer ter.

Os cuidados que você precisa tomar no PHP pra não acabar com um problema desses é bem simples. Vamos ver, passo a passo, como normalmente é feito o envio de emails através do PHP, e onde podemos melhorá-lo.

Um formulário típico de contato de algum site, poderia ter a forma abaixo:

<form action="envia.php" method="post">
Nome: <input type="text" name="nome" /><br />
Email: <input type="text" name="email" /><br />
Mensagem: <textarea name="mensagem"></textarea><br />
<input type="submit" />
</form>

Ou seja, com o formulário acima, o usuário coloca seu nome, seu email, e a mensagem que deseja enviar. Ao se clicar no botão de submit, os dados são passados para o script envia.php, que tem a tarefa de enviar um email com a mensagem do usuário. Esse script, muitas vezes é implementado da seguinte forma, usando a função mail() do PHP:

<?php
$para = "equipe@site.com.br";
$assunto = "Contato do site";
$msg = $_POST['mensagem'];
$headers = "From: {$_POST['nome']} <{$_POST['email']}>";
mail($para, $assunto, $msg, $headers);
?>

Tudo muito bonito. O usuário envia seu nome, email e a mensagem, e o script PHP manda um email para equipe@site.com.br com o conteúdo do email. Estaria perfeito se não fosse pela montagem do cabeçalho From. O grande problema está em não tratar esses dados que foram enviados pelo usuário. Se o usuário faz o envio normalmente, teríamos um email mais ou menos assim (estou ignorando alguns cabeçalhos para simplificar o exemplo):

From: Bruno Lustosa <bruno@lustosa.net>
To: equipe@site.com.br
Subject: Contato do site
 
Olá, aqui vai a minha mensagem.

Nesse caso, postei meu nome, meu email, e a mensagem acima é enviada para a equipe do site. Porém, como o usuário tem o controle sobre o que entra no cabeçalho da mensagem, ele pode ser um pouco sacana, e colocar uma quebra de linha no nome dele, com algumas coisas depois. Por exemplo, se no lugar do meu nome eu coloco “Buy Viagra <xx@xx.com>nBcc: email1, email2, email3″ e na mensagem eu coloco algo sobre venda de viagra, teríamos o seguinte email montado:

From: Buy Viagra <xx@xx.com>
Bcc: email1, email2, email3
To: equipe@site.com.br
Subject: Contato do site
 
Compre Viagra, baratinho!!

Isso foi apenas um exemplo, mas dá pra combinar outras técnicas e conseguir por exemplo sobrescrever o assunto da mensagem. E hoje em dia, já existem robôs vasculhando formulários de sites buscando por vulnerabilidades desse tipo. Aconteceu em um código antigo da empresa onde estou trabalhando agora. Começamos a entrar em algumas listas negras e sem entender o porque. Quando fomos verificar a fila de emails esperando pra sair do servidor, eram mais de 30 mil spams sobre todo tipo de lixo. E vasculhando os logs do servidor web, chegamos ao script culpado.

É claro que isso NÃO É um problema do PHP. O PHP é tão seguro quanto uma pistola. Se o programador decide dar um tiro no próprio pé, não dá pra colocar a culpa na arma, não é? Esse é apenas mais um exemplo do tipo de problema que podemos enfrentar quando não validamos os dados enviados pelo usuário. Sempre que qualquer informação for enviada de um lugar não confiável, essa informação deve ser checada. Uma simples verificação em $_POST['nome'], buscando por quebras de linha, ou em $_POST['email'], verificando se se trata de um email válido, já resolveria esse problema.

A grande maioria dos problemas que vemos divulgados diariamente em todo tipo de script PHP se baseiam no fato de que os programadores não tem o hábito de programar pensando em segurança, e não fazem as checagens mais básicas, deixando os scripts vulneráveis a ataques como o descrito acima e outros.

Artigos relacionados

• Evitando SQL injection em PHP
• Criando CAPTCHAs em PHP
• Evitando spam em formulários
• Envio de emails em PHP
• Agendando eventos no WordPress
• Removendo o “generator” do Wordpress
• Envio de emails em massa
• Escrevendo plugins para o Wordpress
• Os 10 piores CAPTCHAs do mundo
• Pegadinhas no PHP
• Otimização em PHP, parte 1: Minify
• Precedência no PHP
• Imprimindo em formulários contínuos em PHP
• XML no PHP com XML_Serializer, parte 2 de 2
• XML no PHP com XML_Serializer, parte 1 de 2
• Validação de dados em PHP
• Evitando fornecer seu email verdadeiro