Il subscription bombing può causare parecchie grane quando una rete di spambot decide di inondare un sistema con richieste di iscrizione fraudolente: questo tipo di abuso, rilevato in forma massiva a partire dal 2016, come testimonia SpamHaus, sta diventando sempre più diffuso.

Ma andiamo con ordine e vediamo in cosa consiste l'attacco, perché viene fatto, quali conseguenze può portare, come ci si può difendere.

Ieri, tra le 13 e le 14 tutto il mondo è rimasto col fiato sospeso trovando la maggior parte dei servizi Google inaccessibili. Quel problema, probabilmente legato alla gestione del login sui servizi Google, ora sembra risolto, ma da ieri sera alle 21 circa viene segnalato da più fonti uno sproporzionato numero di errori di casella inesistente cercando di inviare email ad utenti Gmail (e di caselle Google Workspace, ex GSuite).

Google ha documentato il problema nel suo servizio di Appstatus e, secondo ciò che ha riportato, il problema sarebbe durato 1 ora o poco più. Dalle nostre rilevazioni la problematica sembra essere ancora in corso.

Questo l'errore esatto fornito dai server di Google:

550-5.1.1 The email account that you tried to reach does not exist. Please try
550-5.1.1 double-checking the recipient's email address for typos or
550-5.1.1 unnecessary spaces. Learn more at
550 5.1.1 https://support.google.com/mail/?p=NoSuchUser

Lo scorso 30 gennaio abbiamo rilevato un incremento anomalo di errori di consegna email che, come spiegazione del rifiuto, facevano riferimento al blacklisting dell'IP mittente. Analizzando più in dettaglio è risultato presto evidente che la blacklist incriminata fosse SpamCop e che non si trattasse di un vero blacklisting voluto ma di un effetto collaterale dovuto ad un classico errore umano.

In sostanza SpamCop (dal 2007 gestito da Cisco) si è dimenticata di rinnovare il suo dominio che quindi è scaduto: spesso quando un dominio scade, come in questo caso, il registrar (il fornitore) modifica il DNS del dominio stesso per rispondere a qualunque richiesta con propri indirizzi che indicano che il dominio è scaduto.

Dopo circa 1 giorno sembra che il dominio sia stato rinnovato e i DNS ripristinati ma alcuni server di posta stanno continuando a rifiutare qualunque email ricevano.

Nel dicembre 2014 Microsoft ha annunciato l'acquisizione della startup Accompli, specializzata nella creazione di client di posta elettronica mobile "smart", in grado di segnalare e gestire la posta a seconda di determinate priorità, stabilite in un processo di autoapprendimento più o meno guidato.

Il tutto si traduceva in una cartella "Focused" (Evidenziata, in italiano), al posto della classica cartella posta in arrivo, in cui recapitare solo le email "importanti", lasciando tutto il resto in una cartella "Other". Un concetto similare a quello della posta prioritaria di Gmail (oramai quasi completamente abbandonata in favore dei Tab "Promozioni" e "Social"), e che strizza l'occhio all'utenza business, particolarmente cara a Microsoft.

A due anni di distanza infatti la tecnologia ereditata dall'esperienza Accompli entra in pianta stabile in tutti i prodotti posta di Microsoft, client mobile, desktop e webmail.

Una delle chimere del web-marketing, e dunque anche dell'email marketing, è la misurabilità "totale" degli effetti delle nostre azioni: grazie agli strumenti forniti dalle varie piattaforme si ha la sensazione di avere tutto sotto controllo e di poter stabilire dunque con esattezza se una strategia stia dando o meno i suoi frutti.

In realtà molto spesso ci si accorge che più dati si hanno, più è difficile leggerli accuratamente ed avere dunque indicazioni utili ad eventuali correzioni di rotta.

Questo è ancora più vero per l'email marketing, che è uno strumento di relazione, i cui effetti vanno misurati nel medio e lungo termine.

È chiaro più o meno a tutti che i KPI di un invio - singolo - di una comunicazione via email siano aperture e click, si dimentica invece più spesso che esistono anche KPI "negativi", come errori di consegna, disiscrizioni e segnalazioni di abuso: questi elementi, anche nel singolo invio, hanno un peso notevolissimo, perché hanno la capacità di allertare o meno i filtri antispam e quindi ripercuotersi sulla deliverability non solo futura ma persino della spedizione in corso (i filtri sono diventati estremamente veloci e efficaci).

Dicevamo comunque che l'email marketing è strumento di relazione e che i risultati vanno interpretati e letti tenendo presente il medio e il lungo periodo: questo significa che dovremo allontanare l'attenzione dal singolo invio per avere un quadro più in ampio.

Il punto di arrivo e partenza dell'invio massivo di email è la lista contatti, a partire dalla sua composizione, che deve essere sempre più accurata, paziente e attenta, lontana ad esempio dalle tentazioni di riutilizzo vecchi database di provenienza dubbia, fino all'analisi dell'interazione dei contatti con le nostre comunicazioni.

La storia della relazione del singolo contatto è in grado di raccontarci molto: come si è iscritto, che email ha aperto, quali a cliccato, che conversioni ha creato, quante newsletter ha ignorato.

Da qualche tempo molte freemail hanno pubblicato policy DMARC che di fatto impediscono l'uso degli indirizzi da loro forniti come mittenti in sistemi esterni a quelli d'origine. Yahoo e Libero hanno da tempo abbracciato questa politica, mentre Gmail ha annunciato che l'avrebbe fatto da giugno 2016 (cosa che ancora non è avvenuta). 

Ma cosa significa esattamente questo, e come è possibile tecnicamente, quali saranno gli effetti sul mondo dell'email marketing e degli ESP? 

Le freemail hanno l'indubbio merito di aver esteso l'utilizzo dell'email al di fuori del mondo accademico e professionale, fornendo ad ognuno di noi, gratuitamente (o meglio, al prezzo di un po' di pubblicità), la possibilità di avere una propria casella, spesso di dimensioni quasi illimitate.

Nel complicato processo di consegna delle email, i compiti a carico del fornitore di servizio di invio sono numerosi.
Alcuni fornitori permettono di ottenere, specie per database di invio cospicui, IP dedicati al singolo servizio.
È davvero un vantaggio?

Avere un indirizzo IP dedicato alle proprie spedizioni permette di isolare la reputazione, che non viene “inquinata” (ma neppure in positivo) da altri.
Mantenere la reputazione di un IP vuole dire anche assicurare un volume di invio costante e continuo, altrimenti c’è il serio rischio che questa scelta comporti più danni che vantaggi: i sistemi AntiSpam valutano con attenzione questi parametri.

Un indirizzo IP shared (condiviso) avrà una reputazione generata dalla media delle singole reputazioni di chi lo utilizza: di norma è la soluzione più stabile, anche grazie agli accorgimenti del fornitore di servizio, che si occuperà di mantenere il più possibile costante il traffico in uscita.

Esistono due tipi di indirizzi email: gli indirizzi personali, afferibili ad una singola persona, che siano aziendali o meno, e quelli “di ruolo” o “generici”, come info@, marketing@, etc., quindi non rapportabili ad una singola rappresentanza e potenzialmente letti e utilizzati da più persone contemporaneamente.

Nell’ambito dell’email marketing si è discusso a lungo dell’utilità e dell’efficacia delle spedizioni verso indirizzi di questo genere; per la normativa italiana sulla privacy  questi indirizzi non sono “dati personali”, per cui non è necessario il trattamento e lo specifico consenso.

Questo non significa che questi indirizzi possano essere contattati indiscriminatamente:
lo stesso Garante della Privacy dichiara:

Non è facile accorgersi di avere un effettivo problema di spam, poiché la maggior parte dei filtri AntiSpam, quando blocca un messaggio, non fornisce motivazioni al mittente, o ne fornisce di molto generiche o fuorvianti.

In alcuni casi la classificazione come Spam avviene senza che vi sia nessun tipo di comunicazione al mittente, il caso più frequente è la consegna in “posta indesiderata”. Le grandi blacklist pubbliche (Spamhaus, Surbl, Uribl, Spamcop, Barracuda) possono essere una fonte di dati, ma bisogna tenere presente che vengono attivate solo su casi davvero eclatanti.

È possibile anche ottenere informazioni circa la reputazione degli indirizzi IP di spedizione (Senderbase, Senderscore), ma anche in questo caso le segnalazioni scattano solo di fronte ad abusi conclamati.

Anche se nel costruire la newsletter abbiamo seguito tutti i consigli e le buone pratiche più recenti, al momento dell'invio saremo comunque attenagliati da mille dubbi: "Non avrò usato caratteri troppo grandi? Forse il subject contiene termini non graditi a qualche filtro? E se la mail viene riconosciuta come spam?".

È sicuramente possibile e consigliabile fare dei test prima degli invii reali, ma è importante comprenderne i limiti.

Uno degli “spam test” più comuni è il check effettuato dando in pasto l’email ad un popolare software AntiSpam, chiamato SpamAssassin.