!BIMI UP, Scotty -

!BIMI UP, Scotty

גוגל הכריזה ביולי 2020 כי היא מתחילה בפיילוט ליישום פרוטוקול BIMI ב-Gmail. איך מיישמים את פרוטוקול BIMI ואיך הוא יכול לסייע להצלחת פעילות email marketing?

תוכן עניינים

האזנה לפודקאסט

גוגל הכריזה ב- 21/7/20 כי היא מתחילה פיילוט ליישום פרוטוקול BIMI ב-Gmail ובכך מצטרפת לספקיות מייל גדולות אחרות שמתחילות באימוץ הפרוטוקול.

מהו BIMI ומדוע הוא כל כך משמעותי לכל מי שרוצה להצליח בפעילות email marketing?

BIMI הן ראשי תיבות של Brand Indicators for Message Identification – פרוטוקול חדש שנועד לתפוס שתי ציפורים במכה: 

הראשונה: לשפר את אבטחת המיילים (מיד אסביר למה זה חשוב).

השנייה: באמצעות שיפור האבטחה לאפשר לעסקים להציג את לוגו המותג שלהם בתיבת המייל של הנמענים ובכך לסייע לנמענים לזהות את המותג השולח, לשפר את ה-engagement  של הנמענים ואת עבירוּת המיילים אל ה-Inbox של הנמענים ולא אל הספאם.

להבדיל משאר הפרוטוקולים מה שעושה את BIMI  למיוחד הוא שזו האבטחה היחידה שמשתמש הקצה ממש יכול לראות בעין (בלי להתחיל לחפור מתחת למכסה המנוע).

כפי שבעבר הודעות ומכתבים חשובים היו חתומים בחותם שעווה הכול חותמת, כך גם הודעות מייל יקבלו את אותו ביטחון.  

נכון להיום ניתן לראות בהודעות אימייל תמונות של שולחים או לוגו של ארגונים ומותגים. רובם של אלה מבוססים על חשבון גוגל או חשבון מיקרוספט ולרוב הם אינם לוגו בפורמט BIMI.

אני מאמין שככל שאימוץ BIMI יהיה נרחב יותר יחסם השימוש בהצגת לוגו לא מאובטחת או שיתווסף סימון זיהוי בתכנת האימייל, אולי כמו ה-V הכחול בטוויטר.

בעתיד יתאפשר למדוורים להציג לוגו משתנה. למשל לוגו עונתי.

הערה: בשלב הפיילוט ב-Gmail הפיילוט יחול על מדוורים ספציפיים שאושרו על ידי Google.

BIMI Example
כך מתקבל הניוזלטר שלנו עם פרוטוקול BIMI - הלוגו שלנו מוצג

מה משותף לספאם ו…מע"מ?

לפי נתוני ניטור של חברת Validity, אחד מכל שישה מיילים לא יגיע לנמען או שיגיע לספאם. בממוצע שנתי, 83% מהמיילים יגיעו אל ה- Inbox, אך 7% יסווגו כספאם ו- 10% מהמיילים לא יגיעו כלל (bounce מסיבות שונות). יחד מדובר ב- 17% (מכאן הקשר למע"מ) מרשימת התפוצה שלכם שהולך לעזאזל. זו לא גזרת גורל. שימוש בפרקטיקות email deliverability (עבירוּת מיילים) נכונות יכול לסייע בשיפור ההגעה אל ה-inbox. 

כדי להבין את הצורך באבטחת מיילים וזיהוי ברור של השולח, אנחנו חייבים לצאת למסע קצר של היכרות עם כללי המשחק של עולם ה-email marketing. אז קדימה – BIMI UP, SCOTTY!

כבר קשרתי לאימייל את הכתר של "השורד האחרון". טכנולוגיה משנות ה-70 של המאה הקודמת, שלהבדיל מרוב הטכנולוגיות בנות זמנה שמזמן עברו למוזיאונים, נמצאת בצמיחה בכל שנה וכל הסטטיסטיקות והמחקרים מראים כי ה-email הוא ערוץ אפקטיבי וקריטי לפעילות שיווק דיגיטלי כ-50 שנה אחרי שהטכנולוגיה הוצגה לראשונה.

להבדיל מה-email "הקדוּם", ה-email המודרני הוא לא רק אמצעי טכנולוגי למשלוח וקבלה של הודעות, אלא אמצעי שדורש מיומנות רבה מצד השולח המדוור (חברות ועסקים) על מנת להגיע אל ה-inbox  ולא ל"דואר זבל" (ספאם). מבחינת הנמען המשתמש במייל מתקבלת תיבת דוא"ל נקייה יותר וברורה יותר, אך מצידו של המדוור מדובר בכאב ראש כאב ראש כאב ראש.

בכל יום נשלחים ברחבי העולם כ- 320 מיליארד הודעות אימייל, אך 85% !!! מתעבורת המיילים העצומה הזו היא ספאם מקצועי שמטרתו למכור או להוות סוג של "סוס טרויאני" כאמצעי להחדרת נוזקות (קוד זדוני) לתוך ארגונים כדי לדוג מידע מעסקים או אנשים (לכן קוראים לפעולה זו Phishing או דִיוּג בעברית), לגרום לשיבוש או לנזק (לוחמת סייבר) או כדי לבצע סחיטה.

הנדסה חברתית

חלק מהשיטות שמפעילים ספאמרים הן לשלוח מיילים שמתחזים לעסקים אחרים כביכול בשמם של עסקים לגיטימיים אחרים. במקרים מסוימים ספאמרים רושמים שמות מתחם (דומיינים) דומים לשמות של עסקים קיימים רק עם סיומת אחרת (לסיומת קוראים TLD – Top Level Domain) ויש מאות רבות של סיומות כאלה. ספמארים גם מתחזים לדומיינים קיימים ושולחים הודעות שנראות כלפי חוץ כאותנטיות, בשמם של דומיינים קיימים.

קמפיינים שמטרתם דיוג קיימים לא רק בדוא"ל, אלא גם טלפונית (ע"ע הונאות קשישים) באמצעות משלוח הודעות SMS שניתן להתחזות בהן מאוד בקלות ואפילו (טוב, כך זה התחיל) בדואר רגיל. ממכתבי שרשרת של פעם ועד להונאות של ממש.

קמפיינים איכותיים של הנדסה חברתית דומים בנראות שלהם למיילים אמיתיים ששולחים הארגונים האמיתיים. במקרים רבים יהיו אלו הודעות בעלות אופי תכוף שמעודדות את הנמען לפעול במהירות, כגון חשבונך נחסם, לחץ כאן כדי לשחרר אותו.

פעולות זדוניות כאלה מתרחשות בכל יום ובהיקפים עצומים. אחת הדוגמאות המתוקשרות האחרונות היא חברת Garmin שנוזקת כופר שיתקה את פעילותה במשך ימים רבים כשמיליונים רבים של לקוחות לא מסוגלים להשתמש בציוד שלהם (שעוני ספורט שלא יכלו להעלות פעילויות ספורט למערכת, מערכות GPS למטוסים וספינות שלא יכלו לקבל עדכונים ועוד). לפי דיווחים לא רשמיים, גרמין שילמה כופר עצום ל"חוטפים" כדי לחזור לפעילות.

לא שכיח שהשתלטות זדונית כזו כוללת גם דליפת מידע של לקוחות שעוברים להיסחר בשוק החופשי ואף משמשות ספמארים כדי לתקוף לקוחות קצה של ארגונים שהותקפו.

מסע האימייל
מסע האימייל והגורמים השונים המשפיעים על מיקום המייל: ב-inbox או ב-spam

תוכיח שאתה הוא אתה, או לך לזבל!

הכמות האדירה של ספאם ומיילים זדוניים הוביל לפיתוח מסננות לזיהוי ספאם ואימות זהות השולח כמורשה לשלוח בשם הדומיין. ספקיות המייל הגדולות (Yahoo, Gmail, Outlook etc) ולמעשה כל מי שמפעיל שרת דוא"ל נכנס, נדרש לסנן דואר זבל ווירוסים באמצעות כמה שכבות ומעטפות הגנה, אחרת משתמשי הקצה (הנמענים) יעסקו במיון דואר כל היום (כאמור 85% מהתעבורה היא ספאם)…

כך התפתחו עם השנים פרוטוקולים לאימות הדומיין השולח. מבדיקות שאני עורך, מפתיע לגלות שהמודעות לקיומם של הפרוטוקולים הללו נמוכה או שהיישום שלהם אינו מבוצע כראוי וכתוצאה גורם לחברות ועסקים השולחים דיוורים לאבד קשר עם קהל הולך וגדל הודות לכך שה- Sender Reputation שלהם כשולח מושפע בין השאר מהגדרות אלה.

הפרוטוקולים:

SPF

הפרוטוקול הוותיק לאימות דומיין שולח נקרא SPF – Sender Policy Framework שבכל קבלה של מייל מבצע שאילתא ובודק ברשומת ה-DNS של המתחם (דומיין) השולח על מנת לוודא שהמייל המתקבל מגיע משרת המורשה לשלוח בשם הדומיין.

DKIM

פרוטוקול נוסף, חדש יותר נקרא DomainKeys Identified Mail – DKIM שמשמש להצפנת חלק מהמייל בעת השליחה באמצעות מפתחות הצפנה פרטי וציבורי. השרת המקבל בכל קבלת מייל ניגש באמצעות שאילתת DNS על מנת לקבל את מפתח ההצפנה הציבורי באמצעותו הוא מפענח את החלק המוצפן בהודעה ומשווה אותו לחלק הגלוי שבהודעת המייל. אם התוכן זהה, זיהוי השולח הצליח והוא מתקבל כמייל לגיטימי. כפי שנראה תכף, זה לא אומר שהמייל יגיע ל-Inbox, זה משפר את הסיכוי שהוא לא יחסם על ניסיון Phishing ויסמן את השולח ככזה.

DMARC

פרוטוקול DMARC – Domain-based Message Authentication, Reporting and Conformance הוא פרוטוקול שניתן ליישם לאחר שהוטמעו פרוטוקולי SPF ו- DKIM (רצוי להטמיע את שניהם לפני הטמעת DMARC), על מנת להורות לשרת מקבל מה המדיניות שעליו לנקוט לגבי המיילים המתקבלים, במקרה של אי התאמה, בפרוטוקולי האימות. כלומר DMARC מגדיר מדיניות לשרת המקבל כיצד לטפל במיילים שנראים לו כניסיונות הונאה (Spoof), למי הוא אמור לדווח עליהם וכיצד.

IP Reputation

כחלק מהמאבק בספאם ושקלול ה-Sender Reputation נמדדים לא רק הדומיין השולח אלא גם כתובת ה- IP. ברוב מערכות הדיוור הכתובת היא שיתופית ומשמשת שולחים רבים, לטוב או לרע. אם השולחים האחרים עושים שטויות זה משפיע גם שאר "השותפים" ל-IP ולהיפך, התנהגות טובה משפיעה גם היא על שאר השותפים השולחים. 

אני רואה במערכות דיוור ישראליות נפוצות שאין הקפדה על ניטור כתובות שנחסמות דבר שפוגע בשולחים. 

כדאי למדוורים ששולחים מעל כמות של כמה עשרות אלפי מיילים בחודש, לשקול מעבר ל- IP קבוע אחד או יותר. עבודה עם כתובת IP קבועה, מאפשרת למדוור שליטה מוחלטת ב-Sender Score שלו, אך מציבה אתגרים אחרים הקשורים בחימום ה-IP וניטור מתמיד של ה-reputation שלו. כדאי לדעת שלא כל המערכות מאפשרות הקצאת כתובות IP למדוורים ספציפיים.

ולידציה טכנית, זיהוי הדומיין השולח וזיהוי גראפי באמצעות הצגת הלוגו של השולח עם פרוטוקול BIMI החדש, הם רק חלק מ"כללי המשחק" על מנת לשפר את עבירות המיילים (email deliverability).

אומנות ההגעה אל ה-Inbox

להגיע לתיבת ה-Inbox ולא לספאם, היא אומנות ומיומנות הקשורה קשר הדוק עם המוניטין שהמדוור בונה לעצמו. אם אמרו: "טוב שם טוב משמן טוב", יש דברים בגו, גם כשמודבר בדיוור אלקטרוני. בעגה המקצועית המוניטין הזה נקרא Sender Reputation שהוא כמו "גיליון ציונים" למדוורים. גיליון הציונים מורכב מפרמטרים רבים. חלקם פרמטרים טכניים כגון הגדרות ומתן הרשאות נכונות למערכות הדיוור לשלוח בשם הדומיין, המוניטין של כתובת ה-IP, וחלקם אלמנטים הקשורים בתוכן, מעורבות הנמען בתוכן ועוד.

IP Sender Score
מערכת למעקב אחרי ה-Sender Score של כתובות IP וחסימות במאגרים חיצוניים

BIMI – תנאים ומגבלות

  • פרוטוקול BIMI הוא שכבת הגנה נוספת המתכללת את SPF, DKIM, DMARC. הצגתו של הלוגו המאמת ויזואלית את זהות השולח, מתאפשרת אך ורק אם שלושת אלה מוגדרים כנדרש. 
  • domain reputation טוב.
  • הטמעה נכונה של DMARC. במצב P=quarantine או עדיף במצב reject.
  • PCT=100 ב-DMARC.
  • ב-Gmail הטמעת BIMI בשלב הפיילוט היא בהזמנה בלבד ודורשת הטמעת VMC.
  • לדאבוני, רישום לוגו כסימן מסחרי הוא מגבלה משמעותית שהרבה מאוד עסקים יתקשו לממש. העלות לקבלת certificate עדיין לא ברורה, הוכחת בעלות על סימן מסחרי ללוגו היא תהליך נוטריוני יקר בדומה לרישום סימן מסחרי. לפי ה-working group יתכן שהדרישות ישתנו ויהיו מקלות יותר בעתיד. 
  • משך הזמן לקבל אישור VMC יכול לקחת כמה חודשים, כדי לאפשר לגופים אחרים בעלי שם מסחרי דומה הוא זהה לערער על הבקשה.  

הערה: אחת הטעויות הנפוצות היא להפעיל DMARC במצב p=none ולהשאיר את זה כך. זה אמנם המצב ההתחלתי הנכון, אך לאחריו צריך לעבור בהדרגה למצב quarantine ולבסוף במצב reject.

לפי מחקר של DMA  – Data & Marketing Association הסיבות המובילות לכך שנמענים מדווחים על ספאם הוא שהם לא מזהים את השולח. זו גם הסיבה שפרוטוקול BIMI יכול לסייע בהפחתת התלונות על ספאם.

דירוג סיבות שמגללן נמענים מדווחים על ספאם
דירוג סיבות שבגללן הנמענים מדווחים על ספאם. במקום הראשון: מי השולח?

רוצים להתייעץ איתי לגבי שיפור האימייל מרקטינג או עבירוּת המיילים אצלכם?

לקריאה נוספת

ההכרזה של GMAIL

אתר BIMI Group

אחד הדיווחים לגבי המתקפה על גרמין

הסבר על תעשיית הספאם, קספרסקי

רשימת סיומות שמות מתחם, TLD, ויקיפדיה

הסבר אודות פרוטוקול SPF, ויקיפדיה

הסבר אודות פרוטוקול DKIM, ויקיפדיה

הסבר אודות פרוטוקול DMARC, ויקיפדיה

שיתוף

שיתוף ב whatsapp
שיתוף ב pinterest
שיתוף ב pocket
שיתוף ב email
שיתוף ב twitter
שיתוף ב facebook
שיתוף ב linkedin

אודות המחבר

sella
סלע יֹפֶה
מומחה לאימייל מרקטינג, עבירוּת אימיילים ואיכות דאטה. מנכ"ל , | אתר

מלווה עסקים בארץ ובעולם בפעילות אימייל מרקטינג ומסייע בשיפור עבירוּת אימיילים (email deliverability) כדי שאימיילים שעסקים שולחים יגיעו ל-Inbox ולא אל ה-Spam.

מסייע לעסקים למכור יותר ולחסוך בהוצאות תפעול באמצעות שיפור איכות הנתונים (data quality).

מנכ"ל חברת דאטה מדיה ועורך שותף של הבלוג והפודקאסט crm.buzz

היי. אני סלע

אני שולח ניוזלטר שבועי עם מאמרים איכותיים בנושא שיווק, אימייל מרקטינג ודאטה

אני מזמין אותך להצטרף למקצוענים כמוך שכבר מקבלים את הניוזלטר