Deliverability en Europa
Transcripción
Deliverability en Europa
Deliverability en Europa Un whitepaper de Experian CheetahMail Deliverability en Europa Los proveedores de servicios de Internet (en inglés, ISP - Internet Service Provider) europeos son muy diferentes de sus equivalentes en Estados Unidos, sobre todo debido a la legislación que afecta a las comunicaciones vía email. Este whitepaper explicará algunos de los tipos de filtrado de email usados por los ISPs europeos, y las últimas tendencias en deliverability en Europa. ¿Es ilegal el filtrado de correo no deseado en Europa? Algunas formas de filtrado de correo anti-spam son de hecho ilegales en Europa. Este tema fue abordado en 2006 por el Article 29 Working Party, una institución asesora compuesta por comisarios europeos de privacidad, que concluyó que aunque el filtrado de spam y virus es una práctica necesaria para mantener seguras las redes de los ISPs europeos, algunas formas de filtrado de spam contravienen numerosas provisiones de la ley europea, como el Artículo 8 de la Convención Europea de Protección de Derechos Humanos y Libertades Fundamentales (ECHR en sus siglas en inglés)1. Quizá más importante sea la otra conclusión del Article 29 Working Party, que afirmó que en cualquier caso de filtrado de spam, el usuario debería recibir una notificación previa2, y dar algún tipo de consentimiento para permitir este tipo de servicios por parte de su ISP. Aunque hay muchas maneras de filtrar los emails recibidos, cada método se rige por una o más leyes. Por ejemplo, aquellas leyes que regulan la interceptación de telecomunicaciones, libertad de expresión y derecho a la privacidad. En Octubre de 2009, la Comisaria europea Viviane Reding afirmó que, dado que la protección antispam en Europa se ha visto limitada, es posible que sea necesaria una mayor regulación. Hizo hincapié en que esta regulación debería incluir el derecho de los ISPs a llevar a cabo este tipo de acciones3. Filtrado por contenido La principal área de regulación para los ISPs europeos tiene que ver con el filtrado por contenido. Dado que este tipo de filtrado requiere que los ISPs inspeccionen el contenido dentro de cada email, esta práctica ha sido identificada como una potencial violación del ECHR sin el consentimiento del usuario. Como resultado, menos ISPs en Europa, en relación con Estados Unidos, identifican palabras clave dentro de cada email individual, o usan filtros bayesianos basados en el contenido4. Un par de ISPs europeos, SFR (Neuf, Club Internet) y Wanadoo, son conocidos por usar fitros por contenido de forma agresiva sobre emails de phishing y sobre palabras clave típicamente usadas en emails de spam, para detener este tipo de emails antes de que lleguen al usuario. 1 Fuente: Working Party 29 Opinion 2/2006 sobre problemas de privacidad relativos al uso de servicios de escaneo de contenido de emails, 21 de Febrero de 2006. 2 El aviso y el consentimiento pueden estar incluidos dentro de los Términos del Servicio del ISP. 3 Comentarios acerca de la publicación, por parte de la Comisión Europea, de un Estudio sobre Spam: http://ec.europa. eu/information_society/policy/ecomm/doc/library/ext_studies/privacy_trust_policies/spam_ spyware_legal_study2009final.pdf 4 Al contrario que otras técnicas de filtrado que buscan por ciertas palabras que puedan revelar el email como spam en las líneas de asunto y en las cabeceras del email, un filtro bayesiano usa todo el contexto de un email a la hora de buscar por palabras o cadenas de caracteres que identificarán ese email como spam. Otra diferencia entre un filtro bayesiano y otros filtros de contenido es que un filtro bayesiano aprenderá a identificar mejor los mensajes de spam cuantos más emails entrantes analice. Fuente: http://www.webopedia.com/TERM/B/Bayesian_filter.html De todos modos, hay unos cuantos servicios de filtrado de contenido y blocklists que están siendo usados por los ISPs europeos. Dado que una gran parte de estos proveedores usan "huellas" para detectar el spam, que vienen predeterminadas por quejas o spamtraps, no es necesario evaluar el contenido de cada mensaje y bloquean el email en la puerta de entrada del ISP. Por ello, este tipo de filtros son más respetuosos con la privacidad de los usuarios. • Cloudmark, que aparentemente es el mayor filtro antispam europeo para ISPs, recibe quejas de sus 180 millones de usuarios en el mundo, y toma una instantánea fotográfica, o huella digital, del contenido del mensaje. Un gran número de ISPs europeos son clientes de Cloudmark, incluyendo Virgin, Sky, Vodafone y Swisscom. • Symantec Brightmail, usado por Tiscali, entre otros ISPs, es el proveedor de filtrado de spam con más tiempo en el mercado. Usa honeypots y otro tipo de spamtraps para extraer una huella digital del email no solicitado. Estas huellas son luego identificadas como spam por el software instalado en los ISPs clientes de Symantec. • Vade Retro, un proveedor de filtrado con un rápido crecimiento y usado especialmente por los ISPs franceses, utiliza un sistema de predicción heurístico basado en la recepción de email sospechoso de ser spam. Este filtro identifica "secuencias" a lo largo de varios tipos de métodos anti-spam (palabras clave, enlaces, filtros bayesianos, etc.) dentro de los mensajes, que combinados tienen una gran probabilidad de reaparecer en otros emails. • SURBL y URIBL son dos blocklists basadas en contenido que emplean varias técnicas, como spamtraps y quejas, para identificar nombres de dominio y URLs, que se añaden a una lista de bloqueo de sistema de nombres de dominio (DNSBL). Ésta es usada por algunos ISPs para identificar remitentes, en las cabeceras de transmisión del mensaje o en el contenido del email, que son sospechosos de enviar spam o de inducir el envío de spam. • SpamAssassin, también usado por algunos ISPs, es un filtro anti-spam de código abierto y libre (y es la base para las herramientas de evaluación de contenido de Experian CheetahMail y de otros servicios de deliverability). SpamAssassin usa un sistema de puntuación que tiene en cuenta numerosas partes del email, incluyendo el contenido y las cabeceras del mensaje, que se añade a una "firma" que usan los ISPs. Como resultado, los ISPs no necesitan escanear el contenido completo de cada email, sino simplemente identificar esa firma, lo que permite el filtrado antes de que el email llegue a los destinatarios. Aunque hay muchas maneras de filtrar los emails recibidos, cada método se rige por una o más leyes. Por ejemplo, aquellas leyes que regulan la interceptación de telecomunicaciones, libertad de expresión y derecho a la privacidad. Feedback Loops / Monitorización de quejas Aunque casi todos los ISPs estadounidenses con una opción de webmail han incorporado un botón de "Esto es spam" como uno de los mecanismos para la detección de spam, los ISPs en Europa tienen prohibido por ley compartir y usar esta información. Las quejas de spam suelen conservar las cabeceras de transmisión del mensaje, que incluyen las direcciones email tanto del destinatario como del remitente del mensaje. Como resultado, los ISPs que identifiquen y usen estos datos sin permiso pueden violar la Directiva Europea de Protección de Datos. Esta ley requiere un consentimiento expreso antes del uso de información personal para cualquier otro fin distinto de aquel para el que el usuario haya dado su consentimiento anteriormente. Por tanto, para que los ISPs europeos puedan usar feedback loops de quejas de usuarios como los norteamericanos, necesitan el consentimiento expreso de cada uno de sus usuarios, bien en el momento de enviar la queja o bien aceptando una oferta de servicio anti-spam mejorado. Aunque hay muchas maneras de filtrar los emails recibidos, cada método se rige por una o más leyes. Por ejemplo, aquellas leyes que regulan la interceptación de telecomunicaciones, libertad de expresión y derecho a la privacidad. Los usuarios de la iniciativa French Signal Spam, gracias a un acuerdo con la Agencia de Protección de Datos francesa (CNIL), pueden descargarse un plugin consistente en una barra de herramientas para su software gestor de email y enviar las quejas de spam directamente a los ISPs participantes, para ayudar a detectar spammers. Desde el 2008, aquellas empresas que envíen email comercial, dentro de la asociación francesa SNCD, pueden recibir información acerca de estas quejas para ayudar a mitigar futuros inconvenientes de sus usuarios. En los últimos meses, ha ido tomando forma la posibilidad de que los ISP franceses apoyen y promocionen Signal Spam y potencialmente lo incluyan dentro de sus ofertas de webmail. Un hecho así aumentaría drásticamente su adopción. Hasta la fecha, además de British Telecom, cuyo email es filtrado por Yahoo!, el único ISP europeo del que se tiene constancia que tenga planes de implementar su propio feedback loop de quejas de spam es Web.de (GMX) en Alemania. Es importante recordar que cada ISP usa las quejas de spam directamente recibidas de los usuarios a través de sus propios botones de "Esto es Spam", u otros mecanismos de queja de abuso, para determinar la reputación de la empresa que ha enviado el email. En algunos casos, como el de Free.fr, unas pocas quejas de spam son suficientes para bloquear la dirección IP. Afortunadamente, estos bloqueos de dirección IP son dinámicos y se solucionan solos en 24-48 horas. Listas negras de direcciones IP de terceras partes Prácticamente casi todos los ISP europeos usan una o más listas negras de direcciones IP de terceros. La mayor parte de estas listas negras usan direcciones email caducadas, o que nunca han sido usadas, como "trampas" que les ayudan a identificar acciones de envío de emails fraudulentas o inadecuadas. La legalidad de este método anti-spam fue puesta a prueba en la Unión Europea en 2007 por un tribunal alemán, que decretó que el uso de listas negras de direcciones IP era aceptable, siempre y cuando se use en "casos excepcionales"5 y exclusivamente para filtrar mensajes de spam. Dado que las listas negras técnicamente no filtran, sino que rechazan email antes incluso de que sea recibido, los ISP europeos han concluido que el uso de listas negras no viola ni la Convención Europea de Derechos Humanos ni la Directiva de Protección de Datos. Cuota de mercado de listas negras entre los ISPs europeos (estimado) Igual que en los Estados Unidos, la lista negra usada de forma predominante por la mayor parte de los ISPs europeos es la Spamhaus Block List (SBL). Otros grandes ISPs europeos, como Tiscali y UPC, han confirmado su uso de Composite Blocking List (CBL) y UCEProtect, mientras que de otros como Virgin se sabe que usan la Spam and Open Relay Blocking System (SORBS). La Spam URL Block List (SURBL) y URIBL también son usadas por los ISP europeos, aunque en menor medida que en Estados Unidos. Es importante resaltar que cada ISP también mantiene su propia lista negra interna, también basada sobre todo en spamtraps (típicamente recicladas de direcciones email previamente activas), y datos de quejas de botones de "Esto es Spam" en webmails u otros mecanismos. 5 Decisión de la Corte del Distrito de Lüneburg del 27-09-2007, Registro número: 7O 80/07 Aumenta el uso de listas grises Hoy en día el spam se envía en su mayor parte a través de "botnets", que hacen muchas más conexiones que los ya obsoletos programas de software de envío masivo de emails. Como resultado, la mejor arma que muchos ISPs europeos y bastantes ISPs norteamericanos utilizan es un proceso llamado "listas grises" o "greylisting". Consiste en limitar el número de mensajes o conexiones desde una IP de envío de emails y solicitar al remitente que continúe intentando enviar mensajes. Experian CheetahMail posee sofisticados mecanismos de reintento que facilitan este proceso. Las botnets, por otro lado, no utilizan estos métodos. Como resultado, hemos visto unos cuantos ISPs europeos, como Neuf en Francia, Orange/Wanadoo/Freeserve en el Reino Unido y Francia y Virgilio/Tin en Italia, que utilizan intensamente este tipo de filtros y ralentizan los emails legítimos durante un corto período de tiempo para ayudar a validar su autenticidad. Uso de greylisting por ISPs europeos: de más a menos agresivo GMX/Web.de (Alemania) Virgilio/Tin (Italia) Orange/Wanadoo (Reino Unido, Francia, España) Tiscali (Reino Unido) Neuf (Francia) Belgacom/Skynet (Bélgica) Online.no (Noruega) Virgin Media (Reino Unido) Más correo en la bandeja de entrada La mayor parte del email que reciben los ISPs en Europa es entregado a aplicaciones de software de escritorio, como Microsoft Outlook o Mozilla Thunderbird. De todos modos, la mayor parte de los mayores ISPs ofrecen también aplicaciones web gratuitas para leer el correo. En algunos casos el email de estos ISPs se basa exclusivamente en la web, como Web.de en Alemania o Free.fr en Francia. Filtrado de email a la carpeta de spam: de más a menos agresivo Neuf (Francia) Orange/Wanadoo (Reino Unido, Francia, España) Web.de/GMX (Alemania, Austria, Suiza) Mixmail (España) La Poste (Francia) Freenet (Alemania) Free.fr (Francia) Telefónica (España) Alice (Francia) NTLWorld (Reino Unido) Demon (Reino Unido) Tiscali (Reino Unido, Italia) Sitios web de responsables de correo (Postmaster) Siguiendo el camino de muchos ISPs norteamericanos, los ISPs europeos se han dado cuenta de que pueden limitar las peticiones entrantes en su sistema de soporte técnico, ofreciendo a usuarios y empresas más información acerca de sus políticas de uso y cómo evitar recibir spam o resolver problemas de entrega de emails. ISPs europeos con sitios web de Postmaster Reino Unido British Telecom (a través de Yahoo!) Tiscali Demon.net Francia Free.fr Alemania Web.de / GMX Italia Tiscali Irlanda Eircom Esfuerzos colaborativos Gran parte de los ISPs europeos han estado colaborando en los esfuerzos anti-spam a través de varios grupos y asociaciones diferentes. • Messaging Anti-Abuse Working Group (MAAWG) Como participantes activos y consejeros del Grupo de Interés Especial de Remitentes del MAAWG, en Experian CheetahMail estamos orgullosos de nuestro trabajo codo con codo con ISPs europeos en gran parte de los problemas entre empresas remitentes de grandes volúmenes de correo electrónico y usuarios europeos. Entre los participantes activos del MAAWG se encuentran ISPs europeos como Orange/Wanadoo, Tiscali, T-Mobile, Web.de/GMX, Telefonica, Telenet, and Swisscom6. • Organisation for Economic Cooperative Development (OECD) La OECD lanzó una iniciativa anti-spam en 2005 y los países miembros firmaron una declaración conjunta de intenciones para colaborar en medidas anti-spam7. • London Action Plan Una iniciativa anti-spam internacional fundada en 2004 con 27 países representados. Esta organización lleva el nombre de la localización de su primer encuentro de trabajo8. • German ECO La Asociación de ISPs Alemanes (ECO), además de otras numerosas iniciativas anti-spam, ha lanzado también un programa de acreditación (whitelisting) para empresas llamado Certified Senders Alliance. Ésta es la única lista blanca de pago en Alemania9. 6 http://www.maawg.org http://www.oecd-antispam.org 8 http://www.londonactionplan.org 9 http://www.certified-senders.eu/csa_html/en/index_en.htm 7 Conclusiones estratégicas sobre la entrega de email marketing en Europa 1. Ten precaución a la hora de enviar campañas de emailing con una velocidad elevada, ya que algunos ISPs van a retrasar de forma significativa la entrega de estos mensajes. Si gestionas el envio de campañas a volúmenes muy elevados de emails en Alemania, Francia o Italia, intenta usar técnicas de throttling para optimizar la entrega utilizando varias direcciones IP. 2. Toma nota de cualquier queja de usuarios de los ISP globales como MSN / Hotmail / Live, Yahoo! y AOL, ya que estas quejas también se transmiten a los departamentos anti-spam de los ISPs o a filtros corporativos como Cloudmark. En general un nivel de quejas superior al 5% en cualquier ISP (que ofreza un botón tipo "Esto es Spam"), supone un riesgo muy alto de que esa campaña vaya a ser también filtrada como spam por el resto de ISPs. 3. Asegúrate de que tu base de datos está limpia y actualizada, ya que información obsoleta o direcciones adquiridas de forma poco profesional tendrán como consecuencia ser incluido en listas negras o retrasos en la entrega de las campañas. Algunos ISP como GMX / Web.de van a retrasar la entrega de una campaña si desde IPs específicas se generan muchos hard bounces en un corto período de tiempo, por lo que la limpieza de la base de datos tiene una correlación directa con la velocidad de entrega. 4. Usa servicios de monitorización internacionales, como Return Path Mailbox Monitor para identificar cuándo un email va a llegar como spam o no va a llegar, en campañas dirigidas a direcciones email europeas. Para preguntas o comentarios en torno a la deliverability en Europa, puedes contactar con nosotros en esta dirección: [email protected] Balmes 130, Entresuelo 08008 Barcelona Ombú 3, 1ª Planta 28045 Madrid www.experian-cheetahmail.es www.experian.es © Experian Limited 2009. The word “EXPERIAN” and the graphical device are trade marks of Experian and/or its associated companies and may be registered in the EU, USA and other countries. The graphical device is a registered Community design in the EU. All rights reserved.