追蹤開信的能力是廣告信經常會用到的能力,為了要看「成效」而要追蹤開信率之類的數字。
在「Email Privacy Tester」這邊看到有趣的工具,介紹了「Email Privacy Tester」這個網站可以拿來測試各種 mail client 上可被追蹤的功能。
依照作者測試,Gmail 完美的擋下目前所有追蹤技巧:
而 Apple Mail 還很慘,有一堆方式可以被追蹤開信:
不知道其他家 (像是 Yahoo) 的情況...
幹壞事是進步最大的原動力
追蹤開信的能力是廣告信經常會用到的能力,為了要看「成效」而要追蹤開信率之類的數字。
在「Email Privacy Tester」這邊看到有趣的工具,介紹了「Email Privacy Tester」這個網站可以拿來測試各種 mail client 上可被追蹤的功能。
依照作者測試,Gmail 完美的擋下目前所有追蹤技巧:
而 Apple Mail 還很慘,有一堆方式可以被追蹤開信:
不知道其他家 (像是 Yahoo) 的情況...
Gmail 界面將會提示不支援 STARTTLS 的信箱:「Making email safer for you」。
先確認 msa.hinet.net
的 MX record:
;; ANSWER SECTION: msa.hinet.net. 86174 IN MX 0 msa-smtp-mx1.hinet.net. msa.hinet.net. 86174 IN MX 0 msa-smtp-mx2.hinet.net.
以及不支援 STARTTLS
(在 EHLO
後不會出現 STARTTLS
選項):
$ t msa-smtp-mx1.hinet.net 25 Trying 168.95.6.53... Connected to msa-smtp-mx1.hinet.net. Escape character is '^]'. 220 msa.hinet.net ESMTP Sendmail 8.14.2/8.14.2; Thu, 11 Feb 2016 04:52:16 +0800 (CST) EHLO localhost 250-msa.hinet.net Hello 114-32-152-63.HINET-IP.hinet.net [114.32.152.63], pleased to meet you 250-ENHANCEDSTATUSCODES 250-PIPELINING 250-8BITMIME 250-SIZE 250-DSN 250-ETRN 250-DELIVERBY 250 HELP QUIT 221 2.0.0 msa.hinet.net closing connection Connection closed by foreign host.
打開 Gmail 在收件人的地方輸入 test@msa.hinet.net 後,就會跳出紅色鎖頭表示不支援 STARTTLS。
在「Hostnames and usernames to reserve」這邊提到公開服務時的保留名稱問題。
首先是提到 hostname 的部分,被各協定使用到的都散落在各標準裡,另外就是利用前幾天提到的「Mozilla 維護的 Public Suffix List」加減擋 cookie...
比較感興趣的是 email 的部分的標準,這邊主要在討論 SSL certificate 的註冊。在「Baseline_Requirements_V1_3_1」的 3.2.2.4. Authorization by Domain Name Registrant 的第四項提到:
Communicating with the Domain’s administrator using an email address created by pre‐pending ‘admin’, ‘administrator’, ‘webmaster’, ‘hostmaster’, or ‘postmaster’ in the local part, followed by the at‐sign (“@”), followed by the Domain Name, which may be formed by pruning zero or more components from the requested FQDN;
也就是指出只能用上面提到的這幾個 mail address 來認證。不過為了安全起見,RFC 2412 定義的也應該擋下來。這兩組標準列出來的 username 都算是合理,沒什麼問題。
最後則是討論 path part,這點倒是有不少地雷可以看看,尤其是最新的 ACME 產生的問題 XDDD
在「Don’t count on STARTTLS to automatically encrypt your sensitive e-mails」這邊提到了 STARTTLS 的問題,引用「Neither Snow Nor Rain Nor MITM ... An Empirical Analysis of Email Delivery Security」這篇論文的說明。
SMTP 裡 STARTTLS 的設計雖然可以加密,但仲所皆知,可以阻擋 EHLO 回應結果避免建立 STARTTLS 連線,而讓發送端改用傳統未加密的 SMTP 傳輸。而研究發現其實目前就有大規模的這種監控行為:
可以看到突尼西亞的監控情況遠超過想像...
目前的想法是發展一套類似 HSTS 的 Trust on first use 設計,也許在這份報告出來後可以加速催生...
Slack 的新功能,可以寄信到 Slack 的 Channel 裡:「Email, meet Slack. Slack, email.」。
這個新功能限制在付費使用者才能使用:
Today we’re launching a new feature: all teams on the Standard or Plus plans can have email directed into Slack channels.
包括圖片也是可以顯示出來的:
這樣接起來更方便了...
在「“Invalid Username or Password”: a useless security measure」這篇文章裡談到了使用者登入錯誤時的提示訊息。
通常為了安全考量,「沒有這個帳號」與「密碼錯誤」,我們會給出一樣的錯誤訊息,避免攻擊者可以猜測。像是 Amazon 的畫面:
這樣設計的前提是讓攻擊者不知道這個帳號是不是存在 (如果不存在的話就換其他帳號繼續攻擊)。但這個假設通常是錯的,因為大多數的系統一個 e-mail 綁定一個帳號,所以註冊時就可以分辨:
因此應該提供正確的訊息,而非將資訊隱蔽起來。
在「What 22 Billion Newsletters Tell Us About Designing For Mobile Email」這篇討論現在電子報設計的環境。
首先是討論 table layout 而引用了 2013 年的數據:
可以看到行動平台的比率已經是主流了。在這種情況下是否還適合用 table layout 就變成問題了...
在文章後面有很多其他的數據以及討論,重點在於推導的過程,而非直接看文章的結論。要有能力透過數據分析。
Mailgun 公開了一份電子郵件範本,讓你可以在各種平台上面都正確顯示:「Transactional HTML Email Templates」。
公開的範本在 GitHub 上可以取得:「mailgun/transactional-email-templates」。
不過另外看到 Litmus 這個服務可以提供 Email previews,像是 Mailgun 這次放出來的測試可以在「TRANSACTIONAL EMAIL TEST」這邊看到,這個服務簡化了測試的過程...
AWS SES 多開了幾個點:「Two New Locations for Amazon Simple Email Service」。
看起來是針對這兩個 region 的 AWS 而設計的,不然以 e-mail 的性質是不太需要另外再開...