Mejores prácticas para comunicar enlaces en el correo electrónico

4

Nuestro departamento de comunicación recientemente nos hizo una pregunta (al equipo de seguridad). Envían una gran cantidad de correo, especialmente los mensajes como "su contraseña está configurada para caducar" son temas candentes aquí. La pregunta era: ¿Debemos escribir los enlaces? Tenemos 'domain.com/passwordreset'. ¿Debemos añadir 'www'? ¿Debemos añadir 'https'? ¿Deberíamos hacer un enlace de texto 'Haga clic aquí'?

Revisé un correo electrónico que recibí personalmente de los bancos y noté que generalmente es una cadena que luego contiene un enlace, pero esas empresas lo hacen porque quieren rastrear quién hace clic en los enlaces y los enlaces son realmente largos. Las URL que nuestro departamento de comunicación está tratando de comunicar son URL cortas que les encantaría que las personas recuerden también fuera del correo electrónico.

Miré a mi alrededor, pero no pude encontrar ninguna experiencia práctica con esto en línea. Entonces mi pregunta es: ¿Cuál sería la opción 'mejor' y por qué?

    
pregunta saekort 03.05.2017 - 09:51
fuente

3 respuestas

1

Lo más importante es asegurarse de que las personas realmente cambien sus contraseñas, por lo que es tan fácil como sea posible hacer clic en un enlace y recordarlo después de que sea importante. Primero, definitivamente debe convertirlo en un enlace https, nunca debe señalar a las personas una conexión insegura para cambiar una contraseña.

En cuanto al formato de los datos, no hay una respuesta particularmente acertada, simplemente puede ocultar el enlace detrás del texto como "Cambie su contraseña" a la:

<a href="https://www.example.com/passwordreset">Change Your Password</a> que se vería así: Cambie su contraseña

o podrías tener un enlace desnudo

<a href="https://www.example.com/passwordreset">https://www.example.com/passwordreset</a> que se vería así: enlace

La mayoría de los navegadores y programas de correo electrónico reconocen automáticamente los enlaces ya sea que estén envueltos en html o no, por ejemplo, simplemente escribí enlace en, pero la mayoría de los navegadores mostrarán un enlace.

La mayoría de los usuarios no memorizan los enlaces para ser honestos y no recordarán su URL de restablecimiento de contraseña, aunque algunos podrían hacerlo, así que si ese es un objetivo importante, tiene sentido poner el enlace.

    
respondido por el GdD 03.05.2017 - 10:33
fuente
2

Una política que he visto utilizada por algunos bancos y agencias gubernamentales en los Países Bajos nunca es incluir ningún enlace en los correos, sino simplemente referirse a "nuestro sitio web" o "nuestro portal web".

La idea principal aquí es que explícitamente les dicen a los clientes que nunca hagan clic en ningún enlace en los correos electrónicos (supuestamente) que provienen de ellos. De esta manera, esperan reducir la posibilidad de que las personas visiten los enlaces mencionados en los correos de phishing e ingresen sus credenciales allí.

Las personas siempre están obligadas a ingresar la URL de la página web en su navegador (o usar marcadores), lo que puede ser un poco inconveniente al verla desde una perspectiva de UX, pero puede funcionar como una medida de seguridad.

Lamentablemente, no tengo idea de cuán efectivo es esto, y por lo tanto si es una estrategia útil.

    
respondido por el Teun Vink 03.05.2017 - 11:14
fuente
0

Como han dicho otros, no hay manera de proporcionar una garantía a sus usuarios de que el enlace que encuentran en su correo es seguro: mientras que generalmente hay una manera fácil para que los usuarios verifiquen a dónde los llevará un enlace, es imposible para automatizar eso de forma remota: tendrá que confiar en la detección realizada por el cliente de correo.

Sin embargo, hay algunas cosas que puede hacer para mejorar la situación general:

  • NUNCA utilice servicios de acortamiento de URL (TinyURL, etc.)
  • Implemente un control de origen adecuado en su correo electrónico saliente: configure correctamente SPF y DKIM hará que sea más difícil falsificar sus correos electrónicos y, por lo tanto, facilitará que sus usuarios confíen en sus correos (no está garantizado, pero es mucho mejor que nada) ).
  • Siempre envíe correos desde el mismo dominio. Esto también debe incluir marketing por correo electrónico. Esto hace que sea más fácil para el usuario detectar intentos de phishing.
  • Si puede, firme digitalmente TODOS sus correos electrónicos (a través de S / MIME) con un certificado X509 válido. Lamentablemente, no hay (AFAIK) equivalente a hsts para SMTP o correo electrónico en general. Sin embargo, puede incluir un descargo de responsabilidad en todos sus mensajes sobre el hecho de que todos los mensajes salientes deben estar firmados.
respondido por el Stephane 03.05.2017 - 13:01
fuente

Lea otras preguntas en las etiquetas