711 millions d’emails pour spammer, ou pire !

C’est la rentrée, on reprend le boulot et certains vont sans doute prendre des bonnes résolutions. Voici une petite info qui devrait vous aider à prendre une de ces bonnes résolutions 😉

Il y a quelques temps des fuites ou des hacks ont fait apparaître plusieurs gros fichiers d’emails utilisé pour faire du hack ou du spam. Les professionnels de l’emailing ont entendu parler de celui concernant les adresses linkedin, mais il y en a eu d’autres depuis, plus gros encore. Là c’est un fichier contenant pas moins de 711 millions d’emails. Oui, plus que tous les américains ou tous les européens, c’est énorme et difficile de se le représenter. Nous ne pinaillerons pas sur le fait que certaines de ces adresses ont été scrappées ou forgées, et donc que toutes ne correspondent pas systématiquement à un utilisateur humain, car dans l’ensemble, cela signifie pour vous qu’il y a un risque d’être présent dans cette megabase du spam.

Un outil a été mis en ligne pour vérifier si votre adresse est concernée et surtout dans quels fichiers elle est présente. Cet outil c’est Have I been pwned? Allez vérifier pour savoir si vous avez à agir rapidement pour changer vos mots de passe. Oui, il y a plusieurs types de fichiers qui peuvent se vendre entre pirates et qui vont directement impacter la gravité de votre présence dans ces bases.

  1. Certains n’ont que des adresses emails, et ne sont donc utiles que pour spammer en masse. Y être présent signifie que vous allez juste recevoir plus de spam, rien d’insurmontable.
  2. D’autres fichiers contiennent les mots de passe liés à l’email, et ainsi compromettre votre sécurité numérique. Un site dont la base a été hackée peut ainsi permettre au pirate de connaitre votre identifiant et mot de passe pour ce site. La criticité dépend alors du site qui a été hacké, mais pas uniquement. Si vous utilisez les même mots de passe pour plusieurs sites ou applications, aïe ! Oui, aïe, car le pirate, connaissant un peu la nature humaine, va quand même tenter le couple user/mot de passe sur d’autres sites (ebay, amazon, paypal, google, etc.) pour voir s’il peut gagner plusieurs fois avec les fainéants qui n’ont pas un mot de passe pour chaque site.
  3. C’était déjà critique avec le 2 mais le 3 est pas mal coton également. Il y a aussi des fichiers qui ont user et mot de passe, mais aussi un smtp et un port. Et là ça peut signifier qu’ils peuvent envoyer à votre place. Non content de pouvoir accéder au contenu de votre boîte et ainsi faire du social engineering, ils vont pouvoir l’utiliser pour contacter vos proches, ou ruiner votre réputation et faire blacklister votre domaine.

C’est bon ? Cela vous a motivé à aller vérifier si vous étiez présents et, si malheureusement oui, dans quelles bases c’était le cas ? Si vous avez la malchance d’y être, il y a possibilité d’avoir une petite explication sur les datas qui ont fuité. Ainsi vous saurez si c’était dans une base avec présence de mot de passe ou pas.

Dans tous les cas, il est important de changer régulièrement ses mots de passe. Si vous ne les changez pas, vous pourriez tout à fait être la victime complaisante d’un pirate qui lui prendra tout son temps, à roder en regardant par dessus votre épaule et à attendre que l’opportunité soit intéressante, ou qui en profitera pour voler votre identité numérique d’une manière silencieuse…

Pour ceux qui veulent aller lire l’article de Troy Hunt (en anglais), ils pourront voir que l’illustration montre 5 lignes de comptes Wanadoo hackées avec port et smtp. J’ai fais le test sur plusieurs de mes adresses et j’en ai bien sur quelques unes de listées. Et vous ?

Résumé EMDay 2017

Voici enfin le résumé condensé de l’EMDay 2017. Il a été fait pour que ceux qui n’ont pas pu venir aient une petite idée de ce qu’ils ont raté. Merci à Valérie pour l’écriture de ce billet. Je vous mets mon ressenti à la fin du billet 😉

L’EMDay 2017

Cette année a vu l’apparition d’une toute nouvelle formule pour l’EMDay, puisqu’il a eu lieu sur 2 jours avec une formule all-inclusive et était limité à 150 personnes.  L’évènement s’est tenu au Bischenberg, près de Strasbourg, dans un cadre très accueillant et sous le soleil alsacien.

La formule de cette année consistait en divers ateliers pratiques la première demi-journée, et tout un panel de conférences la deuxième journée.

En lire plus »

SPF, DKIM, DMARC, et après ? BIMI !

Lors du dernier EMDay, nous avons eu une excellente table ronde sur l’état des lieux de la délivrabilité sur les principaux FAI et webmails français. (Rien que pour cela, cela valait la peine de venir, alors rdv à l’EMDay 2018 😉 ) Badsender a sorti une excellente explication de DMARC dans cet article. Allez le lire !

J’espère que cela vous a fait comprendre que DMARC, oui, il fallait le mettre en place. Heureusement pour les Snipemaileurs, on le fait pour vous facilement au travers de la délégation d’un sous-domaine.

SPF, DKIM, DMARC, et après ?

C’est bien beau de lutter contre le phishing et le spam avec tous ces moyens techniques mais qu’est-ce le marketeur y gagne, après avoir fait mettre en place (ou plutôt avoir subit la mise en place) de ces systèmes et protocoles ? Ces protocoles sont plutôt vécus comme des contraintes et n’apportent pas grand chose du point de vue purement marketing. Mais bientôt cela va changer. Les services informatiques ont enfin une très jolie carotte pour convaincre et faire adhérer les services marketing ! Cette magnifique carotte c’est le BIMI, dont on a parlé très (trop ?) brièvement à l’EMDay. J’ai quelques informations complémentaires obtenues au M3AAWG de Lisbonne. L’idée n’est pas encore de rentrer dans la technique mais de vous prévenir qu’un gros truc arrive et qu’il faut que vous soyez prêt.

Le BIMI (Brand Indicators for Message Identification)

Pas de panique si vous ne l’avez pas encore implémenté, c’est normal, ce n’est pas encore un protocole finalisé. BIMI vous permettra de faire apparaître une petite icône (votre logo par exemple) à côté de votre email pour que vous soyez vraiment clairement identifié par le destinataire. Pour être éligible à BIMI, il vous faudra avoir les SPF, DKIM et DMARC clairement configurés pour votre domaine. Vous comprenez mieux la carotte ? 🙂 Le marketeur qui voudra avoir sa petite image pour donner confiance et améliorer ses ouvertures et ses clics, il faudra qu’il fasse avancer la DSI sur la partie configuration technique des autres normes. Oui, c’est incroyable ! Le service marketing va enfin faire avancer en interne la mise en place de protocoles techniques dans l’emailing 😉

Comme la vérification de l’image ne devrait être faite que pour le domaine officiel, il n’y aura pas de possibilité de parasitage via des domaines proches ou lookalike (enfin c’est l’idée) Un domaine parasite ne devrait donc pas pouvoir faire afficher votre logo pour faire du phishing.

Enfin, j’ai gardé le meilleur pour la fin, comme BIMI est basé sur la compliance à SPF, DKIM et DMARK, cela sera granulaire 🙂 Cela signifie qu’il sera possible d’utiliser des sélecteurs différents et/ou des sous-domaines. C’est donc la possibilité d’avoir par exemple une image spécifique pour les soldes, en fonction des saisons ou des univers de la marque. L’impact en terme de branding et trusting sera très important, même si cela va sans doute changer notre messagerie en sapin de Noël.

Alors il est content le marketeur !? Qui est ce qui va maintenant pousser à la roue pour être prêt début 2018 quand BIMI sera disponible ? 🙂 Il vous reste jusqu’à la fin de l’année pour finir de mettre en place les 3 protocoles prérequis qui sont SPF, DKIM et DMARC 😉

État des lieux de la délivrabilité en 2017 : La matrice complète

C’était le moment le plus important et attendu des deux jours de l’EMDay. La matrice complète vient de sortir et elle est disponible ici : L’état des lieux de la délivrabilité en 2017 ou directement sur le site de l’EMDay. Pour les commentaires, les explications et les mythbusters, il fallait être sur place 😉

« Le pire de ma boîte spam » conférence préférée à l’EMDay17

Je viens d’apprendre, alors que je suis actuellement au M3AAWG de Lisbonne, que selon le sondage de satisfaction effectué à l’issue de l’EMday, ma conférence « Le pire de ma boîte spam » était la conférence préférée de la seconde journée.

L’analyse pendant 1 mois de ma boîte mail, sans filtres actifs, m’a permis de trier à la main environ 30.000 emails parmi lesquels je n’en ai gardé que 850 qui étaient en français et potentiellement intéressants. Sur ces 850 emails analysés, certaines pratiques sont ressorties et en particulier le snowshoe marketing ou le domain roaming. En remontant et regroupant simplement ces emails pour en faire ressortir les spécificités, cela m’a permis d’identifier quelques acteurs en particuliers, et de souligner les problèmes potentiels pour un annonceur de se retrouver à partager le même email émetteur que des sex shops, des sprays pour développer les « érecctions », de la voyance ou encore d’autres univers non recherchés.

Nous en avons parlé sous le signe de la rigolade lors de la conf, mais si on veut être plus sérieux, il devient important aujourd’hui, quand on est un annonceur, de bien maîtriser ses canaux d’acquisition. Quand je vois qu’Amplifon a annoncé la semaine suivant l’EMDay, qu’ils choisissaient Carat pour toute leur communication on et offline, je me dis qu’il y a bien du ménage à faire. Tu ne choisis pas une agence aussi importante, que tu vas payer pour qu’elle fasse le boulot, si en amont tu laisses faire de l’acquisition à la sauvage avec des « partenaires » qui bossent aussi sur du cul des « univers exotiques ». Et c’est un exemple parmi beaucoup d’autres. Les annonceurs aujourd’hui doivent vraiment prendre conscience que certaines choses ne doivent pas être laissée libre, et le choix des partenaires qui envoient pour votre compte, ou qui font votre acquisition (tout ou partie), doivent être maitrisés.

Si c’est dans ce sens que ma conférence vous à plus, et si c’est pour qu’elle puisse aider et participer à cette prise de conscience dans notre microcosme, vous m’en voyez doublement ravi ! 😉

Le RGPD, ce tsunami juridique qui va impacter l’emailing

Le RGPD ou Règlement Général sur la Protection des Données, est un règlement européen adopté en avril 2016 et qui entrera pleinement en vigueur le 25 mai 2018, avec des dispositions transitoires d’ici là. Son but est d’encadrer et d’harmoniser au niveau européen l’utilisation des données à caractère personnels. Cette règlementation va fortement impacter nos activités.

Dans le contexte actuel de digitalisation des données, qu’il s’agisse des données concernant votre personnel ou vos clients, le flux d’informations personnelles n’a jamais été aussi important. Cette règlementation a pour objectif de renforcer le cadre d’utilisation des données personnelles afin de renforcer les droits des individus et de mieux protéger leur vie privée.  En outre, cette règlementation veut également responsabiliser tous les acteurs concernés par la collecte et le traitement de données à caractère personnel. La responsabilité devient « horizontale » c’est-à-dire que tous les maillons de la chaîne doivent s’engager et non uniquement le responsable de traitements des données.  Dès 2018, l’entreprise, les sous-traitants et les partenaires commerciaux auront le même niveau de responsabilité et devront donc tous respecter et se mettre en conformité avec le RGPD.

Peu importe que vous soyez un auto-entrepreneur, un artisan, une TPE ou un consortium international, une entreprise privée ou publique, vous devrez tous vous soumettre à ses exigences. Afin d’être sûr de l’implication de tous, les sanctions applicables sont renforcées. Depuis octobre 2016, elles peuvent s’élever jusqu’à 3.000.000 d’euros et pourront monter jusqu’à 20.000.000 € ou 4% du chiffre d’affaires mondial à compter du 25 mai 2018.

Chaque intervenant sera dans l’obligation de s’assurer du recueil d’un consentement positif et éclairé de chaque individu, consentement qui portera sur une ou plusieurs finalité précises.  Nous assistons donc avec ce règlement à une minimisation des données utilisées par finalité.  Dans ce contexte, il est évident que le silence ne pourra plus faire office de consentement, et que les cases précochées seront interdites. La charge de la preuve vous incombera. Sachez que des actions de groupe, dirigée par des associations seront possibles à votre encontre en cas de doute sur votre intégrité.

1 traitement = 1 consentement opt-in

De nouveaux droits apparaîtront également : le droit à la portabilité, le droit de profilage et chaque individu aura le droit à l’oubli.

Afin de s’assurer de la conformité avec le RGPD, les entreprises devront désigner un DPO (Data Protection Officer) délégué à la protection des données et mettre en place une véritable politique de protection des données personnelles afin de pouvoir se prévaloir de la conformité permanente de l’utilisation des données à caractère personnel. Une différence sensible entre le DPO et le référent CNIL est que le DPO doit être compétent dans ce domaine. La déclaration auprès de la CNIL sera supprimée (à l’exception des autorisations pour les données dites sensibles).

Pour résumer, les grands principes du RGPD sont: la finalité, la loyauté & licéité, la proportionnalité et la durée de conservation.

Vous trouverez plus d’information sur ces pages du cabinet Haas Avocats ou de la CNIL.

 

Salon E-Marketing Paris & Apéro EMDay

C’est actuellement le salon e-marketing Paris. Ce soir c’est également, dans le cadre du off et en échauffement de l’EMday 2017, l’apéro EMDay au Général Beuret (place du général Beuret dans le 15ème, à 2 stations de métro convention, sinon à 15-20 minutes à pieds du salon) Nous sommes actuellement 60 joyeux emaileurs inscrits, il va falloir pousser les murs 😉

Pour les retardataires qui ne se seraient pas encore inscrits : Apéro EMday
Le principe : On se retrouve dans un bar sympa, pour boire et discuter, chacun paie ses consos. Pour le all inclusive, c’est à Strasbourg que ça se passe 😉

Je vous ferais un débrief du salon la semaine prochaine, avec sans doute un focus sur Le grand truc à ne pas rater car y’a du lourd qui se présente à l’horizon…

Cold Emailing ou la problématique de l’emailing de prospection

Pour faire un emailing de qualité, je ne vous apprends rien, de nombreux paramètres sont à prendre en compte. Parmi ces paramètres, il y a la notion de cohérence entre le domaine d’envoi, les liens de tracking, les images hébergées, et les différents éléments de l’enveloppe. Or il est bien difficile d’avoir cette cohérence lorsqu’on fait de la prospection pure et dure, encore appelée Cold Emailing.

Pourquoi la cohérence est compliquée quand on fait de l’emailing d’acquisition ?

Lorsque tu prospectes, les cibles n’ont pas entendu parler de toi et donc ton email est perçu comme une contrainte, d’où un sentiment de spam qui entraine la baisse du comportemental, l’augmentation des plaintes et une dégradation de la réputation. C’est la raison pour laquelle l’acquisition n’est jamais faite avec l’IP ou le domaine d’envoi habituel.

Comment faire de l’acquisition alors ? Faut-il utiliser un domaine jetable, vu qu’on sait qu’il va se faire cramer très rapidement ? Le simple domaine jetable ne suffit pas.
Lorsque tu fais du Cold Emailing, tu vas cramer des domaines, mais aussi des IP. Il faut donc en avoir un certain nombre si tu ne veux pas que ton envoi soit un one-shot. Mais avoir des domaines et des IP, ça ne suffit pas. Certains outils font du deep-tracking des urls et donc vont checker ce qu’il y a derrière l’url de tracking et l’url de redirection pour finalement tomber sur l’url de ton site qu’on retrouve derrière chaque campagne borderline. Et au final, c’est ton site qui finira grillé. Donc, en plus des domaines jetables et d’une grosse brassée d’IP à bruler, il faut aussi des mini-sites spécialisés qui eux vont récolter les adresses des personnes intéressées et ce sont ces adresses là qui seront alors traitées en opt-in. Oui, c’est compliqué, y’a beaucoup de perte et de déchets, ça fait des dégâts monstres sur l’écosystème de l’email mais ça va te permettre de récolter tes quelques adresses emails potables, comme l’orpailleur qui déglingue une montagne et tout ce qu’il y a dessus pour trouver un peu d’or. Tu t’en doutes, c’est pas vraiment le genre d’action qui fait d’eux des personnes sympathiques.

Au final, quand tu veux faire de l’emailing de prospection à froid (Cold Emailing), tu te retrouves à utiliser des mini-sites copiés/collés jetables, comme le font les spammeurs. Tu te défends d’être un spammeur mais tu agis identiquement comme eux. Est-ce de l’hypocrisie marketing ?

Pour avoir une bonne délivrabilité, il faut passer par un ESP sérieux, or ceux-ci, enfin les vraiment pros, n’acceptent plus l’acquisition sauvage. Il en résulte que les tarifs de traitement et d’acquisition augmentent et fatalement cela fait baisser les rendements.

Dans l’acquisition, ce sont donc deux profils et visions très différents qui se présentent. D’un côté, vous avez ceux qui veulent construire des choses pérennes, avec une conscience développée de leur environnement et qui veulent lui nuire au minimum. Ce sont un peu comme les paysans en permaculture, qui savent laisser le temps aux choses pour qu’elles se fassent bien et proprement.
De l’autre côté, vous avez le sauvage à la Ghengis Khan, qui brule tout ce qu’il utilise, ne gère absolument pas la ressource et tant pis pour les autres si partout où il passe l’herbe ne repousse plus. C’est une vision très court terme qui nuit énormément au milieu et y fera plein de victimes collatérales. En emailing, ces sauvages sont la raison de l’existence des filtres anti-spams, et de la délivrabilité de plus en plus compliquée.

Lorsque l’acquisition se fait au travers d’une base louée

L’ESP un peu sérieux, si son client veut faire de l’acquisition, lui demandera de ne traiter qu’avec des bases qu’il sait être un minimum qualitative. Exit donc les bases sur CD et équivalent. Or, louer des bases qualitatives, c’est plus cher, donc cela fait monter d’autant le prix d’acquisition par cible.

Lorsqu’on fait de l’acquisition en louant une base, il faut faire attention où on prend sa base. Le comportemental et la psychologie de la réception font qu’on a de plus ou moins bons résultats. Si la pression marketing est forte sur la base, ou si l’envoi n’est pas correctement signé ou ciblé, la cible va être importunée par le message et réagira négativement. Vous payez pour générer une réaction négative… pensez-y !

Lorsque l’acquisition se fait au travers d’un logiciel

Ah le super outil que vous avez trouvé pour faire de la prospection… tout automatisé, une interface en drag and drop, un beau design et d’une simplicité d’utilisation ! En 5 minutes tout est bouclé. C’est un rêve pensez-vous ? … à moins que celui-ci tourne au cauchemar…
Attention, ce n’est pas parce que l’on change d’outil qu’il faut du coup zapper totalement la notion de délivrabilité. Ce n’est pas parce que dans cet outil, vous n’avez plus les emails en frontal que cela change la donne. L’outil ne fera pas la délivrabilité à votre place, et ce n’est pas parce que c’est l’outil qui envoie que cela zappe la problématique du spam ou de la délivrabilité.

Que ce soit un CRM, un CMS, un outil de prospection, de marketing automation ou n’importe quoi d’autre, l’utilisation d’un outil n’empêche pas la responsabilité liée aux actions de celui-ci. En d’autres termes, ce n’est pas parce que l’outil vous permet de faire de choses que celles-ci sont bonnes ou seront bien faites. Comprenez bien que pour ces outils, la finalité de l’emailing n’est qu’une porte de sortie technique des datas, et que les notions de délivrabilité s’arrêtent souvent à la simple configuration du serveur, quand ce n’est pas simplement du smtp ! On est bien loin de tous les éléments pris en compte par les professionnels de l’envoi, et souvent cela s’en ressent bien. Ce qui est important, lorsqu’on utilise ces outils, c’est de pouvoir plugger votre ESP sur la solution, et ainsi garder la main sur votre délivrabilité.

Et là, normalement, ceux qui suivent se rendent compte d’un paradoxe 🙂 Avec les outils, il faut plugger son ESP pour que cela envoie bien, mais si on utilise son ESP pour du Cold Emailing, on foire la réputation qu’on aura lentement construite en plus de se manger le responsable délivrabilité de son ESP 🙂 Alors chef, qu’est ce qu’on fait maintenant ???

Là, ça devient un peu plus complexe, mais l’emailing n’est qu’un ensemble de choses complexes, non ? Il faut utiliser sur son compte des profils d’envoi différents selon qu’on envoie ses newsletters, ses messages transactionnels ou sa prospection. Ainsi comme les IP et les domaines sont différenciés, la perméabilité entre les profils est moindre et la réputation protégée. Par contre, cela n’est possible que si votre prospection est qualitative, c’est à dire que vous n’allez pas arroser à tort et à travers via votre ESP. Que la cible ne vous connaisse pas n’est pas trop problématique si votre envoi est bien ciblé, que votre message est intéressant voire appétant et donc si votre envoi à une valeur ajoutée pour celui qui le reçoit.

Pour finir, si vous en avez marre de vous prendre les murs ou si vous avez enfin décidé de faire de l’emailing, y compris d’acquisition, mais d’une manière pérenne, n’hésitez pas à prendre contact avec moi 😉

Voeux, EMDay 2017, des infos et un bon plan !

2016 aura été un bon cru question emailing et je vous souhaite que 2017 le soit tout autant. L’année s’annonce pleine de challenges : Délivrabilité (oui comme toujours !), authentification et sécurisation des emails, marketing automation, prospective & prédictif, Recherche Opérationnelle, DMP, etc. Toutes ces notions ont été déjà vues maintes fois et c’est vrai que cela semble un peu galvaudé mais pas tant que cela. Certaines de ces technologies un peu futuristes lorsque nous en parlions les premières fois ne sont plus aujourd’hui réservées à une élite, elles sont maintenant économiquement abordables y compris pour les plus petits comptes.

Ce qui va changer (entre autres) en 2017

Les SPF, DKIM et DMARC ne sont plus optionnels. Ne pas avoir une bonne configuration des ces éléments sera plus que pénalisant pour la délivrabilité, provoquant parfois un rejet des emails entrants. Certains FAI et Webmails n’accepterons plus les mails si la configuration n’est pas correcte. C’est à faire pour TOUS les emails et plus seulement pour les emails de masse. Heureusement que vous aviez déjà fait le nécessaire depuis longtemps n’est ce pas ? 😉

Emails transactionnels / Marketing automation : Cela se démocratise, mais surtout, cela se professionnalise. De plus en plus, le marketing automation n’est plus geré par les serveurs « basiquement » mais est intégré dans les flux d’envois spécifiques gérés par les ESP. Oui, même si ces envois étaient jusqu’à présent relativement « sans danger » pour la réputation et la délivrabilité, l’obligation de configuration spécifique des envois, y compris ceux-ci pourtant très qualitatifs, pousse désormais les sites web à externaliser l’envoi de ces emails de service en passant par leur ESP ou des services spécialisés. C’est là qu’il faut faire attention : Ne pas se concentrer que sur la technologie du marketing automation de ces services spécialisés, vérifiez aussi que les mails arrivent à bon port, ce qui n’est pas toujours le cas 😉

EMday 2017  : les 31 mai et 1er juin

Ooooh là il y a du grand changement 🙂 L’EMday change de format en passant à une formule sur 2 jours mais en all-inclusive. Pendant 2 jours vous serez avec des experts emailing dans un domaine alsacien au nom imprononçable (Le Bischenberg à Bischoffsheim, je suis obligé de passer par des copier/coller pour les écrire !) C’est du 31 mai au 1er juin et le nombre de places est limité à 120 personnes. On vous en dit bientôt plus sur le programme et les speakers mais clairement ce sera du lourd !

Le bon plan

Jusqu’au 31 janvier, il y a un tarif early bird à 500 euros au lieu de 700, soit 200 euros d’économies. Profitez-en vite !!!

EMDay 2016 : C’est parti et c’est en Live !

Bonjour,

C’est parti pour la grand messe de l’emailing, l’EMDay 2016 ouvre aujourd’hui à Strasbourg au conseil de l’Europe.
Si vous n’avez pas eu la chance d’avoir une place, vous pourrez quand même suivre exceptionnellement l’évènement en Live ici : http://www.emday.fr/live/

Les 2 salles seront retransmises en direct, et ainsi si la greve à eu raison de votre présence physique à Strasbourg, vous serez quand même présent avec l’#EmailingCommunity 😉
N’hésitez pas à commenter avec le hastag #emday16