Čeká e-mailing v roce 2025 revoluce?

Asi málokdo v oboru očekával událost roku 2024, která si získala přezdívku YahooGle a především její dopady i přesto, že byla oznámena již v říjnu 2023. “No auth, No entry”, nebo-li zablokování doručování neautentifikovaných e-mailů. I přes jistou míru paniky, kterou v první chvíli způsobila, bylo toto oznámení v odborných kruzích výrazně vítané.

Vrásky však způsobila nejednomu poskytovateli e-mailových služeb. Obzvláště pak těm poskytujícím služby drobným odesílatelům. Těm, kteří nemají vlastní domény, nemají technické schopnosti nastavit korektně potřebné DNS záznamy a především pro ně e-mail není klíčovým obchodním prostředkem. Společnosti jako Mailchimp či Constant Contact, které mají miliony zákazníků, tak měli před sebou nemalý úkol se na tuto změnu připravit.

Právě z důvodu náročné implementace nových požadavků na straně odesílatelů byl termín uplatnění nových požadavků ze strany Yahoo a Google několikrát posunut. I přes veškeré články, které na toto téma vyšly, však mnoho odesílatelů čekalo nemilé překvapení, protože varování podcenili.

Ostatně obdobnou situaci jsme si zažili před více než 10 lety v ČR, když Seznam.cz oznámil nutnost používání DKIM podpisů. Ať už se jednalo před lety o Seznam nebo vloni o Yahoo & Gmail, implementace na straně odesílatelů se neobešla bez problémů a nepochopení požadavků. Rozezlení správci systémů pak intenzivně burcovali na diskuzních serverech k bojkotu, aniž by si uvědomovali, že řešení jsou v jejich rukou.

Právě z problematiky e-mailové autentifikace pak vychází naše první předpověď pro rok 2025. Kroky YahooGle byly pouze začátkem mnohaletého procesu zvyšování zabezpečení. Už v roce 2024 jsme pozorovali další poskytovatele, kteří své zabezpečení zvýšili po vzoru YahooGle a letos lze očekávat, že se přidají další.

Zde však tkví jeden ze zásadních problémů pro všechny odesílatele – autentifikace není pouze otázkou marketingových sdělení, ale zabezpečení e-mailů domény jako celku. V druhé polovině roku jsme tak pozorovali nemalé negativní dopady na doručitelnost u domén, které neměly e-mailovou autentifikaci korektně nastavenou napříč všemi kanály.

Ano, poskytovatelé e-mail marketingových platforem udělali obrovský kus práce, aby korektně autentifikovali e-maily odesílané jménem jejich zákazníků, ale to je jen část celkového objemu zpráv, které je nutné zabezpečit. Paradoxně samotný Google zatím stále nevynucuje u Google Workspace korektní nastavení DKIM, které by bylo v souladu s jejich požadavky.

Výsledkem těchto nesrovnalostí pak je, že mnoho odesílatelů si svou vlastní reputaci podkopává chybnou (nebo zcela chybějící) autentifikací těch nejdůležitějších e-mailů – firemních a transakčních. V roce 2025 se tak zcela zásadním stane korektní implementace e-mailové autentifikace s pomocí DMARC, který pomáhá s korektním nastavením napříč e-mailovými kanály.

Loňský rok byl také výrazně ovlivněn problematikou tzv. “robotických interakcí”, nebo-li “Non-Human Interactions”. Jedná se o interakce s e-maily, které nevznikají aktivitou příjemce, ale vlivem automatizovaných procesů. Nemusí se však jednat o “zlé” aktivity, právě naopak. Nejznámější z nich jsou způsobené systémem pro ochranu soukromí Apple Mail Privacy Protection (MPP).

Právě MPP se největší měrou podílí na aktivitách, které následně vypadají, jako by příjemce e-mailovou zprávu otevřel. Příjemce však nemusí vůbec tušit, že mu nějaká zpráva přišla – to jen jeho iPhone, iPad, nebo počítač při neaktivitě stahuje všechny zprávy a nahrává obrázky, aby zamaskoval přesnou lokalitu příjemce. Aktivity MPP jsou naštěstí snadno identifikovatelné a lze tak snadno data o tyto falešná otevření očistit.

Robotické interakce se však neomezují jen na MPP a otevření zpráv, ale také na kliknutí. I zde se jedná obvykle o “dobré” aktivity – antispamové filtry kontrolují, kam odkazy vedou, aby identifikovaly potenciálně nebezpečné stránky. Aby však tyto kontroly mohly být účinné, nesmí je útočníci odhalit, a proto se tyto kontroly často velmi dobře maskují. Jejich odhalení pak není vůbec snadné.

V roce 2024 se tomuto tématu začala věnovat potřebná pozornost a alespoň základní identifikaci falešných otevření zavedla většina ESP v enterprise kategorii. U služeb pro drobné a střední podnikatele a CDP systémů je však identifikace stále často výjimkou a nikoliv pravidlem.

Situace je ještě daleko vážnější v oborech, kde e-maily slouží jako zdroj příjmů z kliknutí – tam pak samozřejmě podvodníci vytvářejí rozsáhlé sítě botů, které vytvářejí falešná kliknutí za účelem získání finančního obohacení. To jsou již jasně měřitelné náklady a návratnost investice do pokročilé detekce je obrovská.

I to je jeden z důvodů, proč si myslíme, že rok 2025 bude znamenat zásadní posun v důrazu na kvalitu dat ze strany klientů a vyžadování kvalitní detekce těchto robotických interakcí. Protože se však jedná o velice složitý problém, nestačí “nějaký algoritmus” a dnes všeřešící AI, ale je potřeba se opřít o kvalitní identifikační data, která má málokdo.

Bezpochyby bude vývoj v oblasti e-mailingu pokračovat i v mnoha dalších směrech, ale to už bychom museli opravdu mít onu křišťálovou kouli. I bez ní můžeme s jistotou říct, že bude na mnoha místech a mnohokrát opět e-mail prohlášen za “mrtvý”, ale to platí každý rok a e-mail přitom stále roste a poroste i v roce 2025.