La tua strategia di email marketing è importante. Le email sono ancora tra gli strumenti di marketing più efficaci e devi assicurarti di utilizzarle al meglio...
Se lavori nel settore da un po' di tempo, probabilmente avrai sentito parlare di almeno alcune violazioni di dati significative che hanno coinvolto piccole e medie imprese, piccole e medie imprese e grandi imprese. Di recente, anche servizi come Mailchimp, Klaviyo e Signal sono stati compromessi.
Considerando la quantità di dati personali necessaria per garantire CTR pari o superiori al 10%, non sorprende che queste violazioni dei dati spaventino i clienti e limitino notevolmente le impressioni e la recapitabilità delle successive e-mail di marketing.
Considerati i molteplici modi in cui una scarsa sicurezza può influire sulla fiducia nel marchio e sulla strategia di marketing, è fondamentale garantire che ogni fase del processo di marketing, da parte tua fino a quella dei tuoi clienti, rimanga sicura.
A seconda della natura dell'exploit utilizzato dagli hacker, tali compromessi di sicurezza potrebbero anche comportare un contenzioso a causa della mancata conformità al Controlling the Assault of Non-Solicited Pornography and Marketing Act (CAN-SPAM), Regolamento generale sulla protezione dei dati (GDPR), la legislazione canadese anti-spam (CASL), ecc. Ecco quindi le migliori pratiche a cui attenersi per salvaguardare la strategia di marketing, i dati dei clienti e la fiducia nella propria organizzazione.
Obiettivi di sicurezza attuabili: da dove iniziare
Sebbene sia risaputo che i destinatari delle e-mail sono vulnerabili agli attacchi informatici, spesso si trascura il fatto che questi stessi metodi possono essere utilizzati dagli operatori di email marketing.
Quando ciò accade, le conseguenze sono molto più gravi, data l'enorme quantità di dati personali sensibili detenuti dagli operatori di email marketing. Pertanto, gli operatori di email marketing dovrebbero adottare misure di protezione contro le minacce informatiche più comuni, come malware, fishing e allegati compromessi.
Pertanto, i vostri sforzi dovrebbero concentrarsi innanzitutto sulla riduzione della perdita di dati tramite questi mezzi; non vorrete certo che il vostro testo e le vostre CTA vengano utilizzati per scopi dannosi. Inoltre, la vostra infrastruttura di sicurezza dovrebbe affrontare carenze sistemiche, come la carenza di protocolli di sicurezza della posta elettronica, misure di crittografia e capacità di giudizio umano (riguardanti il vostro team di marketing e i vostri clienti).
Infine, è essenziale integrare misure che affrontino i difetti specifici del tuo attuale framework di posta elettronica, tra cui il tuo client di posta elettronica, il tuo provider di servizi di posta elettronica, il tuo provider di servizi Internet, ecc.
Protocolli di sicurezza della posta elettronica
Senza misure di sicurezza efficaci, i protocolli di sicurezza della posta elettronica come Simple Mail Transfer Protocol (SMTP), Internet Message Format (IMF), Internet Message Access Protocol 4 (IMAP4) e Post Office Protocol 3 (POP3) non sono sufficienti a garantire la protezione dei dati.
La migliore pratica per la sicurezza della posta elettronica è integrare più protocolli e strumenti di sicurezza della posta elettronica e combinarli. Ecco alcune soluzioni che puoi aggiungere al tuo ambiente.
Framework criteri mittente (SPF)
SPF Consente di creare un record che limita gli indirizzi IP che possono utilizzare il tuo dominio per inviare email a potenziali clienti. Previene l'email spoofing, una tecnica in cui gli autori delle minacce utilizzano il tuo dominio per inviare email dannose. Utilizzando SPF, puoi specificare quali servizi, server o ESP sei autorizzato a inviare email.
Un vantaggio significativo è che aumenta la fiducia dei clienti, verificando che il mittente dell'email sia autorizzato a farlo. Di conseguenza, può aumentare indirettamente il coinvolgimento, i CTR e il ROI.
Purtroppo, non tutti i provider di posta elettronica/domini supportano questo protocollo perché non tutti forniscono i dati DNS necessari per configurarlo. Pertanto, è essenziale verificare quali provider supportano la funzionalità SPF.
Una volta impostato SPF, è essenziale attendere 2-3 giorni lavorativi affinché si rifletta nelle newsletter successive, nelle email di benvenuto, nelle email di retargeting, ecc. Successivamente, è possibile utilizzare un software di diagnostica SPF per analizzare il record e confermare che funzioni come previsto. Tuttavia, le best practice richiedono di combinare SPF con altri protocolli di sicurezza email a causa di una delle principali insidie di SPF: l'impossibilità di limitare l'autorizzazione agli utenti non malintenzionati.
Per questo motivo, i malintenzionati con competenze tecniche sufficienti possono individuare un dominio e aggiungere un record SPF che ne autorizza l'utilizzo tramite il proprio indirizzo IP. Pertanto, SPF funge solo da base per la strategia di protocollo e DKIM dovrebbe accompagnare l'uso di SPF.
Posta identificata con chiavi di dominio (DKIM)
DKIM aggiunge due forme di funzionalità al suo fondamento, SPF: l'infrastruttura di crittografia e l'allegato alla copia o al contenuto. La prima garantisce che ciascuna delle tue email sia identificata in modo univoco da due chiavi di crittografia: una chiave privata e una chiave pubblica.
Il primo è collegato al tuo Message Transfer Agent (MTA) e non dovrebbe essere rivelato, mentre il secondo è incluso nel record DNS TXT utilizzato per configurare il protocollo. È anche importante notare che la configurazione di DKIM è un po' più complessa rispetto a SPF, perché è necessario un record separato per ogni dominio di posta elettronica.
Inoltre, essendo allegato alla copia o al contenuto stesso, il DKIM contribuisce a convalidare ulteriormente l'identità dell'autore originale. Pertanto, mentre nell'esempio precedente i malintenzionati potrebbero essere in grado di cercare un dominio e caricare un record DNS SPF falso, ciò sarebbe molto più difficile con il DKIM.
Inoltre, chiunque riceva un'email presumibilmente da te può utilizzare la chiave pubblica disponibile gratuitamente per verificare che la firma dell'email corrisponda al tuo token. Tuttavia, proprio come SPF, è essenziale verificare quali provider supportano DKIM. Una volta stabiliti, il periodo di attesa e il processo necessari per eseguire la diagnostica DKIM sono simili a quelli di SPF. Sebbene DKIM non presenti le apparenti carenze di SPF, l'implementazione del protocollo è lasciata alla discrezione del provider del tuo team marketing. Sebbene la maggior parte dei provider implementi il protocollo come descritto, non è obbligata a farlo, ecco perché è necessario DMARC.
DMARC (Domain-Based Message Authentication, Reporting, and Conformance)
DMARC è un protocollo di sicurezza della posta elettronica che funge da "enforcer" per i record SPF e DKIM. In sostanza, DMARC analizza un'email per verificare la presenza di SPF e DKIM, esegue le istruzioni specificate in assenza di uno dei due protocolli e comunica all'utente (o al server di posta elettronica) tale assenza.
Sebbene sia possibile caricare un record DMARC TXT senza disporre sia di SPF che di DKIM, è consigliabile impostare prima questi ultimi due per i motivi già illustrati. Analogamente ai protocolli di sicurezza discussi in precedenza, sarà necessario elencare singolarmente tutti i domini che utilizzano già il record SPF o DKIM e includerli nel record DMARC.
È particolarmente importante eseguire il passaggio a DMARC nell'arco di settimane anziché di mesi. Questo ti permetterà di verificare se i tuoi record di implementazione sono troppo rigidi (potresti inavvertitamente contrassegnare come spam le email autentiche inviate dal tuo team di marketing).
Nel corso di queste settimane, è opportuno analizzare i report DMARC inviati dai server di posta elettronica dei destinatari e verificare se il protocollo funziona come previsto o se si è verificato un errore. È inoltre importante prestare attenzione a improvvisi e inspiegabili cali di recapito e visualizzazioni.
Gradualmente, puoi aumentare il rigore del tuo protocollo, assicurandoti che ogni istruzione funzioni come previsto. Una volta completata, le tue email saranno immuni dalla maggior parte dei tentativi di compromissione delle email aziendali (BEC).
Indicatori di marca per l'identificazione dei messaggi (BIMI)
BIM è simile a DMARC, con la differenza fondamentale che ti consente di visualizzare il tuo logo aziendale sui server di posta elettronica dei destinatari (una volta che tali e-mail sono state convalidate con SPF, DKIM e DMARC). Ciò contribuisce ad aumentare la fiducia, la notorietà del marchio e la visibilità a lungo termine.
Elimina inoltre la necessità di effettuare ricerche DNS, come descritto in precedenza con le chiavi pubbliche e private. Tuttavia, per utilizzare BIMI, è necessario implementare una policy DMARC che contrassegni le email sospette come possibile spam e le restituisca al dominio, oppure ne blocchi completamente la consegna.
Inoltre, è necessario avere una buona reputazione IP come operatore riconosciuto di posta elettronica di massa, i dati prerequisiti necessari per creare il BIMI Assertion Record (BAR) e un logo in formato SVG.
Purtroppo, a partire da ottobre 2022, solo Apple Mail, Fastmail, Pobox, Gmail, Google Workspace, La Poste, Yahoo, AOL, Netscape e Zone supportano BIMI. Inoltre, Gmail richiede un certificato Verified Mark per visualizzare il logo sui suoi server.
Una volta configurato il BIMI, è possibile utilizzare un processo simile a quello del record SPF per analizzarlo e confermare che funzioni come previsto.
Reputazione IP e dominio
Come accennato in precedenza, Reputazione IP è essenziale per la sicurezza dell'email marketing, e per una buona ragione. Gli IP con punteggi di reputazione più bassi sono noti per inviare più email sospette, quindi facilitano più attacchi di phishing. Furto di identità tentativi e falsificazioni delle e-mail.
Oltre all'effetto che questo ha sulla fiducia del marchio e sulla sua recapitabilità, l'utilizzo di tali IP può anche esporre la tua PMI, PMI o LE al rischio di attacchi BEC, consentendo a malintenzionati di accedere facilmente ai dati ospitati sui tuoi server.
Pertanto, passare a un IP con una buona reputazione giova alla sicurezza dei tuoi clienti e al business. È anche importante ricordare che passare da una piattaforma come Klaviyo a una come Convertkit può aumentare i tassi di deliverability.
Un altro parametro importante a cui prestare attenzione è la reputazione del dominio. È importante notare che protocolli di sicurezza come quelli già descritti possono aumentare indirettamente questo punteggio. Pertanto, non è sempre necessario cambiare dominio se si desidera migliorare la propria reputazione.
Idealmente, dovresti ottenere un punteggio di reputazione IP e dominio pari o superiore a 70 per garantire che le tue copie rimangano sicure e affidabili. Sono disponibili diversi strumenti diagnostici per la reputazione IP affidabili, che consentono di identificare IP poco affidabili e consigliare provider affermati nel settore.
Autenticazione a più fattori (AMF)
Sebbene la scelta di una password di posta elettronica sicura sia una priorità, gli hacker potrebbero comunque decifrare queste password utilizzando dettagli raccolti da violazioni dei dati e sofisticati attacchi di phishing. MFA aggiunge ulteriori livelli di sicurezza alla tua password e-mail e impedisce agli aggressori di compromettere il tuo account, anche se sono entrati in possesso delle tue informazioni di accesso. Nello specifico, richiede metodi di verifica aggiuntivi, come l'utilizzo di un codice alfanumerico casuale e univoco, fattori universali di secondo grado (U2F) e dati biometrici.
Gli U2F utilizzano dispositivi fisici separati da qualsiasi connessione Internet, che devono essere fisicamente collegati a un personal computer. Allo stesso tempo, i dati biometrici sono più adatti ai dispositivi mobili e sfruttano l'ampia disponibilità di scanner di impronte digitali.
Rendere l'autenticazione a più fattori un requisito per il tuo team di marketing è una buona idea, poiché è superiore all'autenticazione a due fattori, che è limitata a un solo metodo aggiuntivo.
Gateway di posta elettronica sicuri (SEG)
I SEG monitorano il traffico in entrata e in uscita dai server di posta elettronica nativi. Questo software è efficace nel prevenire attacchi BEC e malware, impedendo loro di accedere ai server di posta elettronica. I SEG possono essere utilizzati in sede se l'organizzazione è sufficientemente grande, oppure possono essere utilizzati sul cloud se il numero di lavoratori remoti o ibridi è elevato.
Oltre alle minacce in entrata, i SEG sono efficaci anche nel prevenire perdite di dati in uscita e nell'effettuare analisi diagnostiche che aiutano a ottimizzare ulteriormente la sicurezza della posta elettronica in entrata e in uscita per i singoli server.
Inoltre, i SEG consentono agli utenti di archiviare e-mail a cui potrebbero accedere in caso di perdita di dati a livello di sistema dovuta ad attacchi dannosi.
Reti private virtuali (VPN)
Le VPN contribuiscono a garantire l'anonimato del traffico email modificando la posizione geografica dei dati di origine. Oltre a consentire agli specialisti di analizzare come vengono visualizzate le loro attività di marketing e di lavorare in una regione completamente diversa con una VPN, garantendo la privacy, le VPN offrono protezione contro gli attacchi email e le tecniche di ingegneria sociale dannose, esplicitamente rivolte al client di posta elettronica.
Inoltre, le VPN offuscano i dati trasmessi sulle reti Internet su cui vengono utilizzate, proteggendo così i pacchetti dati contenenti dati sensibili dei clienti e favorendo la conformità con CAN-SPAM, GDPR e CASL.
Inoltre, la sicurezza delle VPN non riguarda solo i malintenzionati: le VPN impediscono anche agli ISP di accedere ai dati inviati tramite la rete, grazie all'efficacia della tecnologia di autenticazione.
Tuttavia, utilizzare solo VPN non è la soluzione migliore, poiché le VPN proteggono solo la connessione tra due endpoint fissi. Pertanto, le VPN non contrastano gli attacchi diretti principalmente al dispositivo prima della trasmissione dei dati. Inoltre, i dati sono spesso accessibili al servizio VPN, il che rappresenta un rischio per la sicurezza in caso di compromissione dei database di terze parti.
Formazione sulla sicurezza informatica
La formazione sulla sicurezza informatica aiuta ad affrontare l'aspetto più vulnerabile della protezione dei dati: l'errore umano. Un'adeguata formazione interna sulla sicurezza informatica è il metodo più efficace per prevenire gli attacchi di ingegneria sociale. La capacità di analizzare le righe dell'oggetto, i domini attendibili e i contenuti è estremamente importante.
Inoltre, è fondamentale diffidare di eventuali allegati e collegamenti ipertestuali, poiché sono i più comunemente utilizzati per sferrare attacchi informatici.
Tuttavia, la sensibilizzazione sulla sicurezza informatica non dovrebbe limitarsi alla formazione dei dipendenti. La strategia di marketing dovrebbe includere iniziative volte ad avvertire i lead della possibilità di spam, malware ed e-mail di phishing. Questo dovrebbe essere incluso anche nelle landing page.
Nel complesso, insieme a SPF, DKIM, DMARC e BIMI, un'attenzione alla sicurezza informatica consentirà alla tua azienda di posizionarsi come un'organizzazione legittima e affidabile, in grado di proteggere i dati dei clienti e attenta a garantire che tali clienti non siano soggetti ad attacchi dannosi.
Ciò porterà a un aumento della brand awareness, della fiducia e dei tassi di conversione. Tuttavia, è essenziale integrare test multivariati e a bucket nelle campagne di marketing per massimizzare le metriche KPI.
crittografia
Questa è una misura indispensabile per garantire la sicurezza della posta elettronica. La crittografia diretta dei dati e l'utilizzo di una VPN aiutano a superare alcuni dei limiti delle misure di sicurezza basate esclusivamente su VPN. In particolare, negano ai fornitori di VPN di terze parti l'accesso ai pacchetti dati.
Per le comunicazioni interne, la crittografia asimmetrica è la soluzione migliore, poiché richiede che i destinatari possiedano una chiave pubblica e una chiave privata, entrambe condivise in anticipo, per accedere ai dati. Per le comunicazioni in uscita, è possibile utilizzare la crittografia in transito.
Takeaways
Ogni team di email marketing dovrebbe disporre di una serie di best practice e strategie da utilizzare per prevenire le violazioni dei dati. Ciò ha l'effetto di proteggere i dati aziendali, aumentare la fiducia nel brand e garantire la consegna a lungo termine.
Queste pratiche dovrebbero concentrarsi sugli aspetti tecnici e umani della sicurezza della posta elettronica, concentrandosi sul team di marketing e sul destinatario dell'email. I protocolli di sicurezza della posta elettronica sono essenziali, con BIMI, DKIM, DMARC e BIMI in prima linea.
Oltre ai metodi sopra menzionati, nell'infrastruttura di sicurezza dovrebbero essere integrati VPN, formazione sulla sicurezza informatica, crittografia dei dati, MFA, SEG e passaggio a un IP affidabile.
