Envoyer un mail lorsqu'on a perdu le mot de passe

[captain_torche]

Salut à tous

Un des prestataires de ma boîte a développé un script, dont une des fonctionnalités me hérisse le poil :

Lors de la procédure de récupération de mot de passe, on renseigne son e-mail dans un champ. Le souci, c'est que si l'e-mail ne figure pas dans la base, un mail est tout de même envoyé (contenant un message plus marketing qu'autre chose "inscrivez-vous pour profiter ...").

J'ai donc quelques questions :

- Y a t'il un risque quelconque de dire sur la page même "cette adresse mail ne figure pas dans notre base" ?

- Une personne mal intentionnée peut par conséquent spammer n'importe quelle boîte mail de nombreux messages non sollicités. Est-il possible de se faire blacklister l'IP du serveur si quelques unes de ces personnes le signalent comme spam ?

Merci d'avance !

[Dadou]

Personnellement, lors d'une demande de rappel de mot de passe, si le mail n'est pas dans la base un message d'erreur doit s'afficher, et ne pas avoir de mail commercial me proposant de m'inscrire => je tague ce dernier directement en spam (surtout si un petit malin s'est amusé à entrer mon adresse pour me spammer).

Si le client veut absolument garder ce mail, il faut qu'il y ait au moins une vérif ne permettant d'envoyer qu'une seule fois le mail commercial.

Et effectivement, il y a un risque de blacklistage :

- adresse tapée erronée => bounce d'erreurs au niveau des prestataires mails

- signalement comme spam par les destinataires

Maintenant, j'ai envie de pourrir ton système, je dév une petite appli qui rempli ton formulaire de rappel de mot de passe par des emails bidons (générés aléatoirement en @free.fr, @wanadoo.fr... ) et je peut te garantir qu'avec le taux d'erreurs que tu vas avoir, le serveur sera blacklisté.

[Wefficient]

Houlala !

Il mérite de recevoir un morceau de charbon à Noël ce prestataire dis moi !

1) C'est effectivement pas sécure comme manière de faire

2) C'est l'entrée à un detournement pour spamming (il est bien protegé contre l'injection ton formulaire ?)

3) C'est un excellent moyen pour vos concurrents ou des personnes malintentionnées pour vous pourrir votre serveur, IP, nom de domaine en 2 temps 3 mouvements.

Bloque immédiatement cette fonctionnalité et remets en place une procédure plus propre.

[Portekoi]

Bonjour,

C'est un procédé tout à fait étonnant.

Le mail "publicitaire" sera du spam car non sollicité.

En effet, je n'ai rien accepté de la part du site pour recevoir de la publicité, donc, "Mail non sollicité = spam".

Cela peut être très dangereux...

Portekoi

[Patrick]

Mouaip c'est assez bizarre comme façon de faire. Cela ressemble a du racolage !

Sinon je ne suis pas tout à fait d'accord avec l'affirmation de Portekoi, tout message non sollicité n'est pas du spam, sous certaines conditions toutefois. La CNIL est assez claire à ce sujet.

++

Patrick

[Wefficient]

Oui mais entrre ce que dit la CNIL et ce que ressent l'utilisateur, il y a parfois un gouffre...

Mon critère de jugement de Spam ou pas spam, c'est plutôt l'aspect psychologique de la réception de l'email.

Si le destinataire a donné son accord pour recevoir des mails de tes partenaires mais que t'as écahngé plusieurs fois tes emails avec d'autres sites, à mon sens les mails que tu vas recevoir sont du spam, meme si du point de vue de la cnil c'est de l'opt-in partenaire.

[Patrick]

Si tu as donné ton accord pour que tes coordonnées soient transmises à des partenaires, les messages issus des partenaires ne sont pas du spam et ce quelque soit ton ressentis ou ton humeur du matin.

Raccourcir à "spam = email non sollicité" m'amuse beaucoup. En effet, dans ce cas toutes les demandes de devis faites par email (hors formulaire prévu à cet effet) sont des spams car je n'ai pas eu l'occasion d'autoriser le prospect à m'envoyer un message avant qu'il ne le fasse... Idem d'ailleurs si tu m'envoies un MP sans que je t'y autorise avant c'est un spam !

Maintenant si tu me dis "email publicitaire ou considéré comme tel, non sollicité, envoyé à titre professionnel, ayant aucun rapport avec mon activité professionnel ou email publicitaire ou considéré comme tel, non sollicité, envoyé à titre privé à partir d'une liste/newsletter à laquelle je ne me suis pas personnellement inscrit ou autorisé un tiers à m'y inscrire = spam" alors là oui je suis bien d'accord avec toi.

Le reste c'est de la cuisine personnelle propre à chacun, sans force de loi.

++

Patrick

[captain_torche]

Je pense que je comprends ce que veut dire Wefficient; un spam est un email qui, envoyé de manière régulière ou non, est classé en tant que SPAM par l'internaute, toutes considérations légales mises de côté. C'est cette action du récipiendaire qui peut être dommageable au site émetteur.

[Portekoi]

Pour moi, si je fais une demande de mot de passe et que le mail reçu ne contient QUE de la publicité, c'est du spam car cela n'est pas se que j'ai demandé

[Wefficient]

Patrick, lis la phrase jusqu'au bout ;-)

Si le destinataire a donné son accord pour recevoir des mails de tes partenaires mais que t'as écahngé plusieurs fois tes emails avec d'autres sites

Souvent, dans les échanges d'emails, les entreprises qui font leurs échanges ne sont pas dans le même secteur d'activité.

Une adresse piege que j'ai injectée dans un site avec un opt-in partenaire, initialement dans un site de voyage, se retrouve aujourd'hui dans 8 bases différentes dont :

- pieces détachées de voitures

- sonneries de telephones

- 2 sites de ventes privées

- 1 site de jeu

- 1 casino

- 2 bases de brokers qui font pas mal de campagnes d'acquisition

Comme tu peux le voir, l'opt-in partenaire que j'ai accordé à l'entreprise initiale (dans les voyages) fait que je recois maintenant de nombreux mails non sollicités dans des domaines dont je n'ai strictement rien à foutre !

Et cela n'a rien à faire avec mon humeur du moment ou du matin.

L'opt-in partenaire est totalement dévoyé avec l'échange de bases si les entreprises ne sont pas du même secteur d'activité.

Pour moi (et pour n'importe lequel d'entre nous) c'est du spam.

Pour la cnil, cela reste de l'opt-in partenaire.

Est ce vraiment normal ?

Modifié 21 Décembre 2008 par Wefficient

[Patrick]

J'avais bien lu jusqu'au bout.

Il est nul part précisé que l'échange ou la vente de données personnelles doit se faire sur un seul niveau à partir du moment où tu y as consenti. Donc tant que le contenu reste dans le cadre de la loi, c'est légal et donc pas du spam.

Ton adresse piège est donc opt-in pour toutes les listes issue des partenariats de ta première inscription. Tous les emails reçu dans ce cadre sont donc légaux. La loi est peut-être loin d'être parfaite, mais c'est elle qui fixe les règles avec la CNIL.

Après libre à toi d'appeler spam tous tes messages entrants si cela te fait plaisir.

++

Patrick

[Dadou]

Patrick, il faudra m'expliquer comment un site de voyage peut justifier un partenariat avec un site de pièces détachées de voitures. Dans un cas comme cela, il n'y a pas eu partenariat, mais clairement de la revente de base

[Kioob]

Patrick : [...] La loi est peut-être loin d'être parfaite, mais c'est elle qui fixe les règles avec la CNIL. [...]

Le problème c'est qu'en matière de spam la CNIL n'a que peu de poids : si les internautes considèrent mes emails comme du spam ils vont cliquer sur leur joli bouton "SPAM" dans l'interface Hotmail/Yahoo/Gmail/Orange/AOL. Et à partir d'un certain quota, hop mon serveur et/ou domaine se retrouvera complètement blacklisté du ou des services en question. Le jugement sera tombé, et la CNIL n'y est pour rien : à l'heure actuelle ce sont ces différents fournisseurs qui fixent les règles.

Bref, même si je suis d'accord avec toi sur le fait que juridiquement ce n'est pas du spam, la sanction tombe tout pareil.

Et à mon avis tant que les lois concernant le spam ne seront pas appliquées, le critère pour juger du spam sera justement le "ressenti" de l'internaute.

[captain_torche]

Pour info, le prestataire s'est fait taper sur les doigts, et une mise à jour du script devrait sortir