M3AAWG, una de las mayores organizaciones mundiales que trabajan para prevenir el spam en cualquier medio electrónico, ha publicado una nueva versión del documento de best practices para remitentes de emails comerciales legítimos. El documento actualiza el de 2008. Las best practices publicadas han sido validadas por ESP (Email Service Providers), anunciantes e ISP (Internet Service Providers) y representan el único documento de este tipo que recoge las mejores prácticas aceptadas por la industria para proteger a los distintos actores del spam en todas sus vertientes.
Tras analizar detenidamente el documento, no hemos hallado ningún aspecto que modifique sustancialmente el cuerpo de best practices que ya conocíamos. De todos modos, nos parece pertinente recoger los puntos clave que todo remitente de emails comerciales y de marketing debería contemplar según este documento. Estos son aquellos que, para perfiles no técnicos, consideramos más relevantes:
- Proceso de opt-in
El documento describe tres niveles de obtención del opt-in del usuario. Aquí están ordenados según el nivel de recomendación (de menos a más).
- Single Opt-in: el usuario deja su email aceptando las condiciones legales. A partir de este momento, y sin mediación previa de ningún email de confirmación, empezará a recibir la información comercial solicitada.
- Single Opt-in con notificación: Tras el registro, el usuario recibe un email notificándole su suscripción. Se trata de un email informativo que, en el contexto del proceso, imprime “mayor consciencia” del proceso que se está llevando a cabo en el usuario.
- Confirmed Opt-in: se trata del doble opt-in, proceso en el que tras dejar el email, el usuario recibe un correo solicitándole que “confirme” su deseo real en suscribirse. Si el usuario no confirma el proceso (normalmente clicando en un enlace del email de confirmación), el opt-in no queda realizado.
- Consentimiento Implícito
El documento hace referencia al proceso de captación de emails en el punto de venta o evento comercial. Es habitual dar por sentado que la persona que nos deja su email en un punto físico implícitamente nos está dando el consentimiento para que le enviemos información comercial. Para evitar confusiones y posibles problemas, una buena práctica consiste en solicitar, en el momento de la recogida del email, la confirmación (puede ser un check box a marcar) del usuario. Una alternativa es el envío, a posteriori, de un email cuyo objetivo será confirmar si realmente el usuario desea estar en nuestra lista.
- Proceso de baja
Se recomienda la inclusión de un enlace de baja en el header del mensaje, haciéndolo así más visible. De este modo se logra disminuir el número de usuarios que pueden pinchar en “marcar como spam”, uno de los factores que mayor influye en generar una mala reputación como remitente.
- Autenticación de correo electrónico
Por autenticación se entiende el conjunto de sistemas que permiten autentificar que el remitente es quien dice ser. Esto es positivo porque aleja las posibilidades de que en un momento dado un remitente parezca que está “suplantando” la identidad de otro. Los remitentes pueden optar por adoptar algunas o todos de los siguientes mecanismos de autenticación:
- SPF (Sender Policy Framework) valida la IP de envío contra el rturn-path (nombre de la máquina).
- DKIM (DomainKeys Identified Mail) utiliza una firma criptográfica digital que puede ser validada contra un dominio específico en las cabeceras.
- DMARC (Domain-based Message Authentication, Reporting & Conformance) da a los remitentes de correo electrónico más control sobre cómo gestionar el correo no autentificado. Aquí tenéis este video explicativo.
Fuente: M3AAWG
Para mayor información sobre la autenticación, se puede consultar el documento actualizado en febrero de 2015. Los vídeos de la Serie de Formación M3AAWG DMARC presentados por expertos son también un buen recurso para los que estéis interesados.
El documento en cuestión es extenso, y se detiene en aspectos técnicos relativos a la configuración de las IPs, entornos compartidos vs privados, Feedback Loops, conexiones, etc. que no vamos a reporducir aquí. Podéis acceder al documento completo en este enlace.