פרוטוקול BIMI ב-Gmail - לוגו רשמי בתיבת המייל מקנה למותג השולח חותם אמינות. איך מיישמים את פרוטוקול BIMI ואיך הוא יכול לסייע להצלחת פעילות אימייל מרקטינג
תוכן עניינים
האזנה לפודקאסט
מה זה BIMI
גוגל הכריזה ב- 21/7/20 כי היא מתחילה פיילוט ליישום פרוטוקול BIMI ב-Gmail ובכך מצטרפת לספקיות מייל גדולות אחרות שמתחילות באימוץ הפרוטוקול.
מהו BIMI ומדוע הוא כל כך משמעותי לכל מי שרוצה להצליח בפעילות email marketing?
BIMI הן ראשי תיבות של Brand Indicators for Message Identification – פרוטוקול חדש שנועד לתפוס שתי ציפורים במכה:
הראשונה: לשפר את אבטחת המיילים (מיד אסביר למה זה חשוב).
השנייה: באמצעות שיפור האבטחה לאפשר לעסקים להציג את לוגו המותג שלהם בתיבת המייל של הנמענים ובכך לסייע לנמענים לזהות את המותג השולח, לשפר את ה-engagement של הנמענים ואת עבירוּת המיילים אל ה-Inbox של הנמענים ולא אל הספאם.
להבדיל משאר הפרוטוקולים מה שעושה את BIMI למיוחד הוא שזו האבטחה היחידה שמשתמש הקצה ממש יכול לראות בעין (בלי להתחיל לחפור מתחת למכסה המנוע).
כפי שבעבר הודעות ומכתבים חשובים היו חתומים בחותם שעווה הכול חותמת, כך גם הודעות מייל יקבלו את אותו ביטחון.
נכון להיום ניתן לראות בהודעות אימייל תמונות של שולחים או לוגו של ארגונים ומותגים. רובם של אלה מבוססים על חשבון גוגל או חשבון מיקרוספט ולרוב הם אינם לוגו בפורמט BIMI.
אני מאמין שככל שאימוץ BIMI יהיה נרחב יותר יחסם השימוש בהצגת לוגו לא מאובטחת או שיתווסף סימון זיהוי בתכנת האימייל, אולי כמו ה-V הכחול בטוויטר.
בעתיד יתאפשר למדוורים להציג לוגו משתנה. למשל לוגו עונתי.
הערה: בשלב הפיילוט ב-Gmail הפיילוט יחול על מדוורים ספציפיים שאושרו על ידי Google.
האזנה לפודקאסט
מה משותף לספאם ו…מע”מ?
לפי נתוני ניטור של חברת Validity, אחד מכל שישה מיילים לא יגיע לנמען או שיגיע לספאם. בממוצע שנתי, 83% מהמיילים יגיעו אל ה- Inbox, אך 7% יסווגו כספאם ו- 10% מהמיילים לא יגיעו כלל (bounce מסיבות שונות). יחד מדובר ב- 17% (מכאן הקשר למע”מ) מרשימת התפוצה שלכם שהולך לעזאזל. זו לא גזרת גורל. שימוש בפרקטיקות email deliverability (עבירוּת מיילים) נכונות יכול לסייע בשיפור ההגעה אל ה-inbox.
כדי להבין את הצורך באבטחת מיילים וזיהוי ברור של השולח, אנחנו חייבים לצאת למסע קצר של היכרות עם כללי המשחק של עולם ה-email marketing. אז קדימה – BIMI UP, SCOTTY!
כבר קשרתי לאימייל את הכתר של “השורד האחרון”. טכנולוגיה משנות ה-70 של המאה הקודמת, שלהבדיל מרוב הטכנולוגיות בנות זמנה שמזמן עברו למוזיאונים, נמצאת בצמיחה בכל שנה וכל הסטטיסטיקות והמחקרים מראים כי ה-email הוא ערוץ אפקטיבי וקריטי לפעילות שיווק דיגיטלי כ-50 שנה אחרי שהטכנולוגיה הוצגה לראשונה.
להבדיל מה-email “הקדוּם”, ה-email המודרני הוא לא רק אמצעי טכנולוגי למשלוח וקבלה של הודעות, אלא אמצעי שדורש מיומנות רבה מצד השולח המדוור (חברות ועסקים) על מנת להגיע אל ה-inbox ולא ל”דואר זבל” (ספאם). מבחינת הנמען המשתמש במייל מתקבלת תיבת דוא”ל נקייה יותר וברורה יותר, אך מצידו של המדוור מדובר בכאב ראש כאב ראש כאב ראש.
בכל יום נשלחים ברחבי העולם כ- 320 מיליארד הודעות אימייל, אך 85% !!! מתעבורת המיילים העצומה הזו היא ספאם מקצועי שמטרתו למכור או להוות סוג של “סוס טרויאני” כאמצעי להחדרת נוזקות (קוד זדוני) לתוך ארגונים כדי לדוג מידע מעסקים או אנשים (לכן קוראים לפעולה זו Phishing או דִיוּג בעברית), לגרום לשיבוש או לנזק (לוחמת סייבר) או כדי לבצע סחיטה.
הנדסה חברתית
חלק מהשיטות שמפעילים ספאמרים הן לשלוח מיילים שמתחזים לעסקים אחרים כביכול בשמם של עסקים לגיטימיים אחרים. במקרים מסוימים ספאמרים רושמים שמות מתחם (דומיינים) דומים לשמות של עסקים קיימים רק עם סיומת אחרת (לסיומת קוראים TLD – Top Level Domain) ויש מאות רבות של סיומות כאלה. ספמארים גם מתחזים לדומיינים קיימים ושולחים הודעות שנראות כלפי חוץ כאותנטיות, בשמם של דומיינים קיימים.
קמפיינים שמטרתם דיוג קיימים לא רק בדוא”ל, אלא גם טלפונית (ע”ע הונאות קשישים) באמצעות משלוח הודעות SMS שניתן להתחזות בהן מאוד בקלות ואפילו (טוב, כך זה התחיל) בדואר רגיל. ממכתבי שרשרת של פעם ועד להונאות של ממש.
קמפיינים איכותיים של הנדסה חברתית דומים בנראות שלהם למיילים אמיתיים ששולחים הארגונים האמיתיים. במקרים רבים יהיו אלו הודעות בעלות אופי תכוף שמעודדות את הנמען לפעול במהירות, כגון חשבונך נחסם, לחץ כאן כדי לשחרר אותו.
פעולות זדוניות כאלה מתרחשות בכל יום ובהיקפים עצומים. אחת הדוגמאות המתוקשרות האחרונות היא חברת Garmin שנוזקת כופר שיתקה את פעילותה במשך ימים רבים כשמיליונים רבים של לקוחות לא מסוגלים להשתמש בציוד שלהם (שעוני ספורט שלא יכלו להעלות פעילויות ספורט למערכת, מערכות GPS למטוסים וספינות שלא יכלו לקבל עדכונים ועוד). לפי דיווחים לא רשמיים, גרמין שילמה כופר עצום ל”חוטפים” כדי לחזור לפעילות.
לא שכיח שהשתלטות זדונית כזו כוללת גם דליפת מידע של לקוחות שעוברים להיסחר בשוק החופשי ואף משמשות ספמארים כדי לתקוף לקוחות קצה של ארגונים שהותקפו.
האזנה לפודקאסט
תוכיח שאתה הוא אתה, או לך לזבל!
הכמות האדירה של ספאם ומיילים זדוניים הוביל לפיתוח מסננות לזיהוי ספאם ואימות זהות השולח כמורשה לשלוח בשם הדומיין. ספקיות המייל הגדולות (Yahoo, Gmail, Outlook etc) ולמעשה כל מי שמפעיל שרת דוא”ל נכנס, נדרש לסנן דואר זבל ווירוסים באמצעות כמה שכבות ומעטפות הגנה, אחרת משתמשי הקצה (הנמענים) יעסקו במיון דואר כל היום (כאמור 85% מהתעבורה היא ספאם)…
כך התפתחו עם השנים פרוטוקולים לאימות הדומיין השולח. מבדיקות שאני עורך, מפתיע לגלות שהמודעות לקיומם של הפרוטוקולים הללו נמוכה או שהיישום שלהם אינו מבוצע כראוי וכתוצאה גורם לחברות ועסקים השולחים דיוורים לאבד קשר עם קהל הולך וגדל הודות לכך שה- Sender Reputation שלהם כשולח מושפע בין השאר מהגדרות אלה.
הפרוטוקולים:
SPF
הפרוטוקול הוותיק לאימות דומיין שולח נקרא SPF – Sender Policy Framework שבכל קבלה של מייל מבצע שאילתא ובודק ברשומת ה-DNS של המתחם (דומיין) השולח על מנת לוודא שהמייל המתקבל מגיע משרת המורשה לשלוח בשם הדומיין.
הרחבה על פרוטוקול SPF
DKIM
פרוטוקול נוסף, חדש יותר נקרא DomainKeys Identified Mail – DKIM שמשמש להצפנת חלק מהמייל בעת השליחה באמצעות מפתחות הצפנה פרטי וציבורי. השרת המקבל בכל קבלת מייל ניגש באמצעות שאילתת DNS על מנת לקבל את מפתח ההצפנה הציבורי באמצעותו הוא מפענח את החלק המוצפן בהודעה ומשווה אותו לחלק הגלוי שבהודעת המייל. אם התוכן זהה, זיהוי השולח הצליח והוא מתקבל כמייל לגיטימי. כפי שנראה תכף, זה לא אומר שהמייל יגיע ל-Inbox, זה משפר את הסיכוי שהוא לא יחסם על ניסיון Phishing ויסמן את השולח ככזה.
הרחבה על פרוטוקול DKIM
DMARC
פרוטוקול DMARC – Domain-based Message Authentication, Reporting and Conformance הוא פרוטוקול שניתן ליישם לאחר שהוטמעו פרוטוקולי SPF ו- DKIM (רצוי להטמיע את שניהם לפני הטמעת DMARC), על מנת להורות לשרת מקבל מה המדיניות שעליו לנקוט לגבי המיילים המתקבלים, במקרה של אי התאמה, בפרוטוקולי האימות. כלומר DMARC מגדיר מדיניות לשרת המקבל כיצד לטפל במיילים שנראים לו כניסיונות הונאה (Spoof), למי הוא אמור לדווח עליהם וכיצד.
הרחבה על פרוטוקול DMARC
IP Reputation
כחלק מהמאבק בספאם ושקלול ה-Sender Reputation נמדדים לא רק הדומיין השולח אלא גם כתובת ה- IP. ברוב מערכות הדיוור הכתובת היא שיתופית ומשמשת שולחים רבים, לטוב או לרע. אם השולחים האחרים עושים שטויות זה משפיע גם שאר “השותפים” ל-IP ולהיפך, התנהגות טובה משפיעה גם היא על שאר השותפים השולחים.
אני רואה במערכות דיוור ישראליות נפוצות שאין הקפדה על ניטור כתובות שנחסמות דבר שפוגע בשולחים.
כדאי למדוורים ששולחים מעל כמות של כמה עשרות אלפי מיילים בחודש, לשקול מעבר ל- IP קבוע אחד או יותר. עבודה עם כתובת IP קבועה, מאפשרת למדוור שליטה מוחלטת ב-Sender Score שלו, אך מציבה אתגרים אחרים הקשורים בחימום ה-IP וניטור מתמיד של ה-reputation שלו. כדאי לדעת שלא כל המערכות מאפשרות הקצאת כתובות IP למדוורים ספציפיים.
ולידציה טכנית, זיהוי הדומיין השולח וזיהוי גראפי באמצעות הצגת הלוגו של השולח עם פרוטוקול BIMI החדש, הם רק חלק מ”כללי המשחק” על מנת לשפר את עבירות המיילים (email deliverability).
הרחבה על חימום IP
אומנות ההגעה אל ה-Inbox
להגיע לתיבת ה-Inbox ולא לספאם, היא אומנות ומיומנות הקשורה קשר הדוק עם המוניטין שהמדוור בונה לעצמו. אם אמרו: “טוב שם טוב משמן טוב”, יש דברים בגו, גם כשמודבר בדיוור אלקטרוני. בעגה המקצועית המוניטין הזה נקרא Sender Reputation שהוא כמו “גיליון ציונים” למדוורים. גיליון הציונים מורכב מפרמטרים רבים. חלקם פרמטרים טכניים כגון הגדרות ומתן הרשאות נכונות למערכות הדיוור לשלוח בשם הדומיין, המוניטין של כתובת ה-IP, וחלקם אלמנטים הקשורים בתוכן, מעורבות הנמען בתוכן ועוד.
BIMI – תנאים ומגבלות
- פרוטוקול BIMI הוא שכבת הגנה נוספת המתכללת את SPF, DKIM, DMARC. הצגתו של הלוגו המאמת ויזואלית את זהות השולח, מתאפשרת אך ורק אם שלושת אלה מוגדרים כנדרש.
- domain reputation טוב.
- הטמעה נכונה של DMARC. במצב P=quarantine או עדיף במצב reject.
- PCT=100 ב-DMARC.
- ב-Gmail הטמעת BIMI בשלב הפיילוט היא בהזמנה בלבד ודורשת הטמעת VMC.
- לדאבוני, רישום לוגו כסימן מסחרי הוא מגבלה משמעותית שהרבה מאוד עסקים יתקשו לממש. העלות לקבלת certificate עדיין לא ברורה, הוכחת בעלות על סימן מסחרי ללוגו היא תהליך נוטריוני יקר בדומה לרישום סימן מסחרי (עלות VMC היא כ- $1000 בשנה). לפי ה-BIMI working group יתכן שהדרישות ישתנו ויהיו מקלות יותר בעתיד.
- משך הזמן לקבל אישור VMC יכול לקחת כמה חודשים, כדי לאפשר לגופים אחרים בעלי שם מסחרי דומה הוא זהה לערער על הבקשה.
הערה: אחת הטעויות הנפוצות היא להפעיל DMARC במצב p=none ולהשאיר את זה כך. זה אמנם המצב ההתחלתי הנכון, אך לאחריו צריך לעבור בהדרגה למצב quarantine ולבסוף במצב reject.
לפי מחקר של DMA – Data & Marketing Association הסיבות המובילות לכך שנמענים מדווחים על ספאם הוא שהם לא מזהים את השולח. זו גם הסיבה שפרוטוקול BIMI יכול לסייע בהפחתת התלונות על ספאם.
האזנה לפודקאסט
Fake it until you make it
כאמור BIMI מתאים למדוורים גדולים.
בין אם אתם מדוורים קטנים או בין אם אתם מדוורים גדולים, עד שיהיה לכם BIMI ” כדת וכדין” תוכלו להציג לוגו ב-Gmail ע”י פתיחת Google account והעלאת לוגו שלכם לחשבון שמקושר לכתובת האימייל השולחת.
אני סלע יפה, מומחה אימייל מרקטינג ועבירוּת אימיילים. כשיהיה לך רצון לשפר את ביצועי האימייל מרקטינג שלך, כך אוכל לעזור לך: אני מזמין אותך לפגישת יעוץ ראשונית של 1/2 שעה ללא עלות בנושא עבירוּת אימיילים ואסטרטגיית אימייל מרקטינג. book a 1/2 email deliverability discovery call.
לקריאה נוספת
ההכרזה של GMAIL
אתר BIMI Group
אחד הדיווחים לגבי המתקפה על גרמין
הסבר על תעשיית הספאם, קספרסקי
רשימת סיומות שמות מתחם, TLD, ויקיפדיה
Sella Yoffe
Email Deliverability & Email Marketing Expert
working with global email senders, startups, and ESPs to improve their deliverability and email authentication
Podcast host & Blogger @ CRM.BUZZ & EmailGeeks.Show