O SPAM hoje em dia é um problema tão sério que todos somos obrigados a tomar medidas duras para conseguir diminuir (veja as medidas tomadas pelo Grupo Webin) a quantidade de recursos desperdiçados por lixo eletrônico.

De acordo com algumas pesquisas, o SPAM chega a representar mais de 80% de todas as mensagens de e-mail trocadas no mundo.

Dado um problema tão sério, é de se imaginar que soluções tenham sido desenvolvidas para resolvê-lo. O problema é que por causa destas soluções, muitas vezes as mensagens legítimas dos nossos servidores acabam sendo tratadas erroneamente como SPAM. Neste rápido post, vou tentar indicar alguns dos motivos que podem levar as mensagens do seu servidor a serem marcadas como SPAM. Aqui você não vai encontrar informações detalhadas sobre como configurar alguma coisa, vai apenas entender que aquilo vai influenciar e que medidas você pode tomar para sanar o problema.

O que você deve fazer:

– Ofereça um método de remoção no e-mail (se for newsletter): este método de remoção é importantíssimo, pois se não houver, o destinatário pode denunciar a mensagem a entidades como a SpamCop.
– Finalize o email com : “Este e-mail foi enviado para você por estar registrado no site X. Se desejar ser removido do site X, perdendo acesso às suas funcionalidades, envie uma mensagem para x@x.com.brinformando o e-mail a remover.”
– Faça com que a sua newsletter contenha mais texto do que HTML e imagens.
– Se a newsletter é em HTML, inclua uma parte com texto também.
– Crie um layout o mais simples possível. Evite formatos complexos.
– Faça  um HTML limpo e de alta qualidade. Não utilize ferramentas WYSWYG para gerar o HTML.
– E-mails bem construídos (tecnicamente corretos) podem ser identificados prontamente como não-spam. E-mails que estejam faltando seções, inválidos, faltando cabeçalho ou título são freqüentemente reconhecidos como SPAM.
– Use linguagem de conversação normal.
– Tenha certeza de que sua política de privacidade, incluindo o suporte e a informação de contato, estejam claramente mostrados no seu site. É bom incluir esta informação (onde encontrar esta política, informação para contato), nos seus e-mails. Novamente, as pessoas que desejam descobrir se você é um spammer sempre irão procurar por esta informação: isso ajuda você a ficar fora de listas-negras.

O que evitar:

– Frases do tipo: “Esta mensagem não pode ser considerada SPAM por ter um método de remoção” e ”Responda a este e-mail com o assunto REMOVER para…” por dois motivos: o primeiro é que o e-mail pode ter sido reencaminhado para outro e-mail, e a resposta virá de um e-mail não registado; e porque nem sempre as pessoas podem alterar o assunto do email de resposta.
– Envio da mensagem totalmente como imagem.
– Envio de emails não solicitados. Só envie emails a quem voluntariamente se registrou na sua lista mediante uma confirmação opt-in
– Abusar do HTML.
– Uso de LETRAS MAIUSCULAS, pontos de exclamação (!) e palavras como “grátis”, “garantido”, e textos e s p a ç a d o s no campo assunto
– Formas genéricas de tratamento (como “Prezado Cliente”)
– Inserção de componentes ativos (Javascript, ActiveX, plug-ins) na sua mensagem. Se você precisar de conteúdo mais elaborado, faça o link para uma página no seu site.
– Muitas imagens na sua mensagem. Quanto menos imagens melhor.
– Arquivos anexados. Use links para acessar os arquivos no seu site.
– Códigos desnecessários. Não use codificação de texto base-64 a menos que você precise.
– Texto dizendo que este email será enviado somente uma vez e que você não precisa se preocupar pois não será importunado novamente. Isto caracteriza spam.
– Texto: “Caso não tenha interesse em continuar recebendo este tipo de mensagem, por favor solicite sua retirada de nossa lista de distribuição, enviando e-mail para remova-me@… ” Esta é a forma dos spammers certificarem-se de que o email é ativo.
– Texto: “Se este assunto não lhe interessa, apenas delete este e-mail”
– Texto: “Você foi indicado por um amigo e por isso estamos enviando este email. Caso queira sair de nossa lista de divulgação…”
– Texto: “De acordo com a lei xxxx, este e-mail não pode ser considerado spam…”. Não existe tal lei.
– Espaços excessivos ou letras maiúsculas no seu título.
– Enfeites, S E P A R A R as letras assim, letras estr@nh@s ou caracteres diferentes nos seus e-mails.
– Se você estiver usando e-mails em HTML, não use códigos invisíveis para rastrear seus e-mails. Se você precisar rastrear seus e-mails e saber se eles foram lidos, use gráficos visíveis como parte do seu e-mail, não gráficos invisíveis.
– Inclusão de referências gratuitas no título do email. Não fale sobre relógios Rolex, atividades sexuais, drogas, ou bancos, a menos que esses títulos estejam relacionados aos seus e-mails. E se eles estiverem, limite seus e-mails a um tópico por vez. Um e-mail que menciona relógios Rolex, Viagra, títulos pornôs e assuntos bancários têm uma grande possibilidade de ser considerado um SPAM.

DNS Reverso

O DNS reverso é o que talvez acabe pegando mais gente de surpresa. Alguns administradores acabam se esquecendo de verificar se a configuração do DNS reverso está OK antes de colocar um servidor em produção.

O DNS reverso é o responsável por encontrar o nome do host fazendo uma busca pelo endereço IP dele. O objetivo desta busca é determinar se o IP de origem é de algum computador doméstico e se ele é fixo. O motivo é que uma grande parcela do SPAM é gerado por hosts de usuários domésticos infectados por algum tipo de Malware (atualmente atitudes estão sendo tomadas para evitar que mensagens enviadas por hosts domésticos sequer cheguem a sair da rede do provedor). Portanto, é quase 100% de certeza que uma mensagem gerada por este tipo de host pode ser descartada.

A configuração do DNS reverso geralmente é de responsabilidade do seu provedor (Telefônica, Embratel, etc.), bastando que você entre em contato e peça que esta configuração seja feita.

Esta deve ser a primeira coisa a ser verificada já que, como isso depende do seu provedor, pode demorar muito para que seja feita (por experiência própria, posso dizer que quanto maior o seu provedor, mais tempo ele vai levar para atender o seu chamado. Embratel é um exemplo). Quando você definir que vai usar um servidor de e-mails próprio, já peça a configuração do DNS reverso para adiantar o processo.

Conclusão: NUNCA use um link geralmente dedicado à usuários domésticos para os seus servidores de e-mail. Você vai acabar sendo identificado como spammer mesmo sem ter nunca enviado um e-mail não legítimo em toda a sua vida! 🙂 E faça a mesma verificação do seu lado: não receba mensagens vindas de redes direcionadas a uso doméstico, isso vai te poupar muita dor de cabeça.

IP fixo

Nenhum dos seus servidores de e-mail devem ter o endereço IP público definido dinamicamente. Isso já é motivo o suficiente para que um outro servidor marque suas mensagens como SPAM. Os motivos são os mesmos do tópico anterior.

Conclusão: SEMPRE use links de provedores que te forneçam IP fixo. NUNCA use IP dinâmico para um servidor. E faça a mesma verificação do seu lado: não aceite e-mails de ranges dinâmicos.

SPF e DKIM

Sem dúvida você já percebeu: o DNS tem um papel importantíssimo no correto envio e recebimento de e-mails. Sem ele, nada acontece.

Por isso, não é de se espantar que hajam mais soluções para o SPAM que se baseiam em configurações de DNS. As duas mais famosas e mais fáceis de implementar são SPF e DKIM.

• SPF: O Sender Policy Framework (SPF) é uma solução cujo objetivo é definir quais são os servidores que têm permissão para enviar e-mails em nome de um determinado domínio. Para implantá-lo é muito fácil, basta você criar um registro TXT (ou SPF, depende do seu software DNS) com a sintaxe SPF correta. Neste link você vai encontrar mais informações sobre o SPF e como configurá-lo no seu DNS: http://www.antispam.br/admin/spf/. Ao servidor que recebe a mensagem cabe verificar o registro SPF da origem para determinar se o servidor poderia ou não ter enviado aquela mensagem. Se não puder, ela deve ser descartada pois muito provavelmente é SPAM.

• DKIM: O DKIM é uma tecnologia desenvolvida em conjunto pela Yahoo! e Cisco. Portanto, você já sabe qual é um dos pré-requisitos para que seus e-mails não caima na caixa de SPAM do Yahoo!, né? :). A ideia aqui é um pouco mais elaborada que a do SPF: todas as mensagens enviadas pelos servidores autorizados devem ser assinadas utilizando uma chave privada. A configuração é: você cria uma chave pública e uma chave privada; a chave pública é disponibilizada através de um registro no servidor DNS e a chave privada fica no seu software de envio de mensagens (Postfix, por exemplo). Todas as mensagens enviadas são assinadas com a chave privada que fica armazenada no MTA. Quando o servidor de destino recebe a mensagem, ele compara as assinaturas e, dependendo do resultado, a mensagem é entregue ou descartada. Para mais informações sobre o DKIM: http://www.antispam.br/admin/dkim/.

Conclusão: A intenção aqui não é documentar um passo-a-passo de como configurar qualquer uma das tecnologias. Eu quero apenas que você saiba que elas são necessárias e que você sempre deve configurá-las para que o seu servidor funcione corretamente. Porém, existe muita documentação on-line gratuita disponível (inclusive sites que geram o registro SPF automaticamente para você). Então estude bem e considere implantar estas funcionalidades nos seus servidores o quanto antes! O DKIM e o SPF podem ser usados no mesmo domínio sem o menor problema, portanto não se faça de rogado e configure ambos para evitar dor de cabeça!

Relay aberto

Servidores com o relay aberto permitem que qualquer um, sem qualquer tipo de identificação, enviem e-mails facilmente forjados para qualquer endereço na Internet. Obviamente, isso é um prato cheio para qualquer spammer pois ele poderá enviar e-mails à torto e à direito sem qualquer dor de cabeça. Já vi servidores com relay aberto que, em menos de um dia conectados à Internet, tinham mais de 200 mil mensagens na fila esperando para serem enviadas.

Atualmente existem várias ferramentas on-line que verificam se um determinado host está ou não com o relay aberto:

• Terra Postmaster: http://mail.terra.com.br/postmaster/

• MailRadar Open Relay Test: http://www.mailradar.com/openrelay/

• SpamHelp SMTP Open Relay Test: http://www.spamhelp.org/shopenrelay/

• CheckOR: http://www.checkor.com/

Conclusão: Assim que configurar o seu servidor, execute um dos testes citados acima para garantir que você não deixou o relay aberto. Ficar com o relay aberto pode acabar colocando você em uma black list. E sair de lá é extremamente trabalhoso, como veremos à seguir.

Black lists

O objetivo de uma black list é literalmente listar os servidores que se comportaram mal na Internet e enviaram SPAM. O motivo não importa: você pode ser inocente e apenas cometeu um erro ou mesmo o seu provedor te deu um IP de outra pessoa que usava tal endereço para enviar SPAM, você vai parar na black list sem a menor cerimônia. E não pense que sair de lá é fácil: você vai precisar praticamente implorar para os administradores removerem o seu IP de lá (experiência própria!).

Particularmente, sou terminantemente contra o uso deste tipo de tecnologia. Muitas vezes o projeto é abandonado ou pior, a única pessoa responsável pela lista morre (é sério, isso já aconteceu!) e a lista continua sendo utilizada por várias pessoas – ou seja, você se deu mal! Quem vai remover o seu e-mail da lista?! Só pedindo para o outro administrador parar de usá-la… se ele quiser!

Se você cair neste tipo de lista, só lhe resta “caçar” uma pista e descobrir em qual lista você está. Aí, falar com os administradores e verificar o porquê de você estar lá e tomar as devidas providências. Mesmo assim, o processo pode chegar a demorar algumas semanas.

No site www.spamhaus.org você pode verificar se seu site está em algumas listas (não todas, obviamente). Vale a pena dar uma olhada lá. Esta black list é muito utilizada, é bom garantir que o IP que você vai usar no seu servidor não esteja lá antes de você começar a configurar! 🙂

Conclusão: Não dê bobeira e não seja listado em uma black list! Faça tudo que está ao seu alcance ANTES de conectar o servidor à Internet e tenha certeza absoluta de que você configurou tudo corretamente, principalmente o relay! E continue verificando periodicamente. É… achou que ia ser fácil administrar o seu próprio servidor de e-mail? 🙂

Yahoo! e Hotmail – e-mails indo direto para a caixa de SPAM

Yahoo! e Hotmail são dois exemplos de empresas que tomaram medidas extremas para conter a quantidade de SPAM que seus usuários recebem. Para que um domínio possa enviar e-mails para eles, várias ações devem ser tomadas:

• O domínio deve ter DKIM e SPF configurados corretamente;

• Você deve ter uma página no seu site que permita que usuários saiam da sua lista de e-mails facilmente;

• Você deve preencher alguns formulários pedindo a liberação do seu domínio para que você consiga enviar e-mails para lá sem que eles caiam no diretório de SPAM. Para o Hotmail, você vai encontrar todas as informações necessárias em http://mail.live.com/mail/postmaster.aspx. Para o Yahoo!, você pode resolver as suas dúvidas todas em http://help.yahoo.com/l/br/yahoo/mail/postmaster/.

Conclusão: Evite cair na lista de SPAM de Yahoo! e Hotmail, sair de lá é complicadíssimo – pior que em black lists genéricas!

Conclusão

As medidas que têm sido tomadas contra o SPAM podem ser um pouco inconvenientes algumas vezes, porém infelizmente são necessárias para evitar desperdiçar recursos caros com mensagens inúteis e, algumas vezes, que podem até causar problemas de segurança para quem as recebe (leia-se phishing, worms, vírus, etc.).

O melhor a se fazer é estudar muito sobre o funcionamento de um servidor de e-mail e seguir as melhores práticas para evitar ser colocado em listas de SPAM, de onde pode levar algum tempo até que você seja retirado. Existem várias ferramentas on-line para ajudar você a verificar a sua instalação e garantir que tudo está indo bem. O www.mxtoolbox.com é um excelente site, com ferramentas que vão ajudar você a arrumar a maioria dos problemas que você venha a ter com seu servidor.

Para facilitar a sua vida, você pode usar um script como o iRedMail que configura tudo utilizando as melhores práticas (inclusive colocando SPF e DKIM). Infelizmente, a parte do DNS ainda tem que ser feita manualmente, por isso muita atenção ao seu servidor DNS para não acabar dando um tiro no próprio pé!

Aguardem que em breve voltaremos a dar mais dicas e falar sobre este assunto.