Mobile Engagement: quando inviare SMS, notifiche push e messaggi in-app

Le persone non si separano mai dai loro smartphone e comunicare via mobile è ormai un must per ogni marketer. Tra i vari metodi per contattare i clienti quando è meglio usare un SMS, una notifica push o un messaggio in-app? Ognuna delle tre modalità presenta pro e contro, analizziamoli insieme. 

SMS

Ebbene sì, nell’era degli smartphone gli SMS vanno ancora di moda perchè sono un mezzo comodo e immediato per inviare messaggi direttamente nella inbox del telefono. Attenzione però, se usati in modo improprio c’è il rischio che il cliente decida di non ricevere più nulla.

I messaggi sono semplici, brevi e vengono letti poco dopo la ricezione. Il vantaggio è che il cliente non deve installare la vostra app e se il vostro brand non dispone di una app mobile, questo diventa un canale molto utile per comunicare via mobile.

Il problema con gli SMS è che sono considerati una forma antiquata di comunicazione, talvolta fastidiosa. L’SMS viene recapitato in un’area di messaggistica privata, uno spazio in cui non necessariamente il cliente vuole vedere l’intrusione di un’azienda. Con un sistema di notifiche push il cliente può fare opt out, mentre con gli SMS ciò non è possibile: quello che viene spedito, arriva.
Per quanto siano facili da usare sono piuttosto limitati. Prima di tutto dovrete avere il numero di telefono del vostro cliente e per potergli spedire SMS dovrete avere il suo consenso esplicito. Anche le informazioni che potete ricavare sul singolo individuo e sulla massa dei clienti sono piuttosto limitate e questo non è un bene in un mondo in cui il marketing sta cercando in tutti i modi di costruire una visione olistica dei clienti. Gli SMS sono scollegati dalle app e non possono essere inviati in risposta a un’azione in-app.

Transazioni: gli SMS sono un ottimo modo per trasferire dati transazionali come ad esempio i codici per la verifica di operazioni bancarie o informazioni in tempo reale. I clienti apprezzano ricevere tempestivamente informazioni rilevanti.

Aggiornamenti personali: con gli SMS potete tenere aggiornati i vostri clienti. Questi ad esempio saranno contenti di ricevere un SMS che li informa sulla spedizione del proprio pacco.

Notifiche push

Le notifiche push sono ciò che spingono le persone a entrare nella vostra app. Una strategia ben eseguita è un modo sicuro per aumentare l’engagement mobile e mantenere attivi i clienti, incrementandone il valore nel tempo e sono particolarmente utili quando un cliente ha scaricato l’app ma ha smesso di usarla.

Con le azioni push potrai interagire con i tuoi clienti senza che questi aprano necessariamente l’app.

Le push sono un’ottima opportunità per quei brand che vogliono contattare i clienti con una certa costanza senza però sostenere i costi degli SMS. Per molte aziende il costo collaterale legato alla mancanza di un’app è un elemento determinante al momento di decidere se svilupparne una o meno.

Le push sono il modo ideale per indirizzare gli utenti alla vostra app, all’app store, al sito web, a una landing page o a una particolare area della vostra app (deep linking) e li incoraggia a eseguire una particolare azione. Grazie a queste notifiche il vostro cliente resta costantemente aggiornato, anche se non ha aperto l’app.

Un altro aspetto interessante delle notifiche push è la possibilità di personalizzare i contenuti non solo in base alle caratteristiche demografiche, al comportamento degli utenti all’interno dell’app ma anche in base al momento della giornata o in occasione di eventi particolari (partite di calcio, puntate di serie tv ecc…)
Inoltre gli utenti possono sempre personalizzare le notifiche in modo da ricevere solo i contenuti cui sono interessati.

Le notifiche push sono un ottimo sistema per lanciare una call to action. La bellezza delle notifiche push è che possono essere utilizzate in modo divertente e coinvolgente. Ad esempio introducendo rich media, emoji, ecc: qualcosa di divertente che spinga gli utenti a leggerle divertendosi.

Gli utenti di sistemi iOS se hanno scelto di non ricevere le notifiche push, non riceveranno nulla. Se hanno accettato di riceverle ma voi inviate comunque un gran numero di messaggi, o messaggi irrilevanti o le inviate al momento sbagliato è possibile che alla fine l’utente decida di disinstallare l’app. Questi rischi possono essere facilmente aggirati usando una piattaforma di automazione delle azioni di marketing mobile.

Le notifiche push sono tuttora considerate un po’ importune. Bisogna usarle con parsimonia per non innervosire l’utente. In molti casi non sono per nulla attraenti e si presentano come semplice messaggio di testo con una call to action. Qui è dove entra in gioco la messaggistica in-app.

Invito a registrarsi: Le notifiche push sono un ottimo metodo per inviare agli utenti un’offerta allettante per incoraggiarli ad aprire un account o registrarsi sull’app. In questo modo potrete raccogliere informazioni personali e collegare il profilo con le informazioni già presenti sul sistema CRM e costruire un’immagine olistica del cliente.

Riattivazione utenti con un basso livello di interazioni: alcuni utenti diventano inattivi dopo 48 ore. Mandategli una notifica push per ricordare il valore dell’app. Offrire uno sconto o dei coupon potrebbe aiutare a riaccendere il loro interesse.

Promemoria dimenticati: mandare ai vostri clienti un promemoria sul loro carrello abbandonato è un ottimo modo per aumentare il fatturato.

VIP Engagement: le notifiche push sono un ottimo modo per comunicare con gli utenti fedeli. Mandate offerte esclusive, coupon o contenuti riservati per fornire valore aggiunto.

Messaggi in-app

L’app può diventare una guida per tutti quei clienti che decidono di aprirla e i brand potrebbero usare i messaggi in-app per aiutarli a capire quali contenuti e servizi possono trovare all’interno senza diventare matti a cercare.

I messaggi in-app vi permettono di ingaggiare, promuovere e guidare gli utenti all’interno dell’app. Portare un utente nell’app è solo l’inizio, il vero problema è coinvolgerlo una volta che ci è entrato. Anziché lasciare l’utente a navigare per conto suo i messaggi possono aiutarlo a utilizzarla correttamente e a sentirsi a proprio agio mentre lo fa. Una volta che avrà effettuato l’accesso potrete inviargli messaggi html, coupon, video e contenuti social.  Quando si tratta di brand awareness non vogliamo che il messaggio giunga all’utente come una notifica push dato che non c’è una call-to-action vera e propria ma se questo avviene all’interno dell’app non viene considerata un’intrusione.
Se il contenuto della notifica è abbastanza cool può darsi che l’utente gli dia un’occhiata ma se lo riceve durante una riunione potrebbe anche eliminare l’app. L’aspetto interessante in questo caso è che l’utente riceve un messaggio senza essere interrotto nelle sue attività, si trova già nell’app ed è interessato a vedere cosa avete da offrire.

Se non sono realizzati correttamente, i messaggi in-app potrebbero andare a scapito dell’esperienza dell’utente o sembrare troppo pubblicitari. Inoltre, se non sono mandati in tempo reale, potrebbero presentare contenuti irrilevanti. Questi messaggi, infine, sono letti solo dagli utenti che hanno l’app aperta, tutti gli altri non li riceveranno.

Messaggio di benvenuto. Molti utenti cancellano un’app dopo soli 30 giorni: inviare un messaggio di benvenuto è un ottimo sistema per far conoscere cosa l’app ha da offrire e coinvolgere l’utente.

Offerte promozionali. Targetizzate i vostri clienti in base ai loro comportamenti e al luogo in cui si trovano. In questo modo potrete inviare loro offerte rilevanti quando si trovano vicino al vostro negozio. Potete inviare loro un’offerta promozionale per il compleanno contribuendo a rendere la giornata speciale.

Customer service. La messaggistica in-app vi dà l’occasione di offrire ai vostri clienti ancora più valore, ad esempio inviando aggiornamenti sul loro account o sugli ultimi acquisti. Potrete anche capire quando necessitano di assistenza permettendo loro di parlarvi con un semplice clic.

Potrete aumentare gli utenti opt-in recapitando un messaggio quando usano l’app per la prima volta, spiegando tutti i vantaggi di cui godranno se vi permetteranno di inviare notifiche…la notifica push come teaser (breve testo) seguita da un contenuto ricco in-app (magari un video).

Conclusioni

Come scegliere allora il canale per supportare la vostra strategia di mobile engagement? Il segreto sta nel combinare due o anche tre dei canali appena analizzati e coniugarli con la vostra strategia di mobile marketing.
La Customer Engagement Platform può supportare tutti e tre le tipologie di messaggio, a voi la decisione di quando utilizzare ciascuno di essi e con quali finalità.

Se desiderate conoscere meglio i nostri strumenti per il mobile marketing siamo a vostra disposizione.

List Bombing – Storia e Prevenzione

Negli ultimi anni si è verificato un significativo aumento degli attacchi bot sulle liste email delle aziende, includendo alcune nuove tendenze rispetto al vecchio modello di hacking.

Gli attacchi bot alle liste email solitamente fino ad ora targettizzavano un’azienda. Un bot veniva puntato sul format di iscrizione di un’azienda per generare migliaia e migliaia di indirizzi email falsi per riempire le liste dell’azienda con dati danneggianti.

L’invio di email ad un grande numero di indirizzi fasulli (specialmente se questi erano alcuni dei maggiori ISPS, ad esempio: bogus1@gmail.com) poteva danneggiare gli invii, causando un picco di indirizzi sconosciuti che avrebbe portato al filtering.

Questi attacchi tendevano ad essere regolarmente semplicistici e gli indirizzi fasulli erano facilmente riconoscibili scorrendo una lsita di iscrizioni discutibili. Questi consistevano solitamente in una stringa di lettere random oppure di numeri e lettere che tendevano ad incrementare e generalmente spiccavano in comparazione agli indirizzi legittimi.

1212967@gmail.com

121873@gmail.com

g205072@gmail.com

Nel caso in cui fossero necessarie delle informazioni aggiuntive per inviare il modulo, (Nome/Cognome) si potrebbe solitamente identificare un bot anche da questi campi. Il campo nome sarebbe infatti riempito con stringhe di lettere random.

Un’altro modo per identificare gli indirizzi bot sarebbe quello di controllare l’indirizzo IP da cui è arrivata l’iscrizione. Se si notano centinaia o migliara di multipli di iscrizioni provenienti da un singolo indirizzo IP, si può intuire di essere stati targetizzati da un bot.

I bot sono diventati più soffisticati nel tempo, sia utilizzando generatori di indirizzi email più “verosimiglianti” e sia randomizzando gli IP utilizzati per le iscrizioni, ma queste erano i picchi massimi di perfezionamento a cui le cose erano arrivate.

List Bombing

Un nuovo tipo di attacco è apparso con una frequenza in aumento, un attacco conosciuto come “list bombing”. Si differisce da un attacco bot tradizionale per il fatto che invece di targettizzare un’azienda, viene targettizzato un subscriber.

Il list bombing consiste nell’iscrivere indirizzi legittimi a centinaia o persino migliaia di differenti mailing list, creando ciò che ammonta ad un attacco DDOS della inbox dell’utente.

Questi attacchi utilizzano programmi di posta aziendali legittimi per rendere inutilizzabile la casella di posta di un individuo. In questi casi, partono potenzialmente nuovi messaggi ogni 2-3 secondi, non dando modo quindi all’utente di filtrare la casella postale per trovare l’email che sta cercando.

Dal punto di vista aziendale, questi tipi di attacchi possono essere molto più complicati da identificare dato che, diversamente dagli attacchi bot tradizionali, almeno che un particolare bot non iscriva un grande numero di indirizzi tutti insieme o in un breve periodo, tutti dallo stesso IP, questi indirizzi sono legittimi e non spiccherebbero in una lista di iscrizioni recenti come in passato facevano quelli fasulli. Inoltre, dato che sono veri indirizzi funzionanti, non fanno nemmeno bounce.

Il vostro programma di posta potressere essere stato dirottato e portato ad iinfastidire la gente e voi potreste non esserne nemmeno a conoscenza.

Inizialmente, questi tipi di attacchi venivano usati contro diversi sistemi governativi, nel tempo hanno targettiizzato anche membri specifici della community anti-spam ma anche altri.

Tutto questo ha portato Spamhaus a cominciare ad elencare gli indirizzi IP delle aziende i cui moduli venivano usati come mezzi per questi attacchi. Perciò, aziende totalmente legittime venivano all’improvviso colpite le più grosse blackilist, per lo più senza avviso.

Gli hacker cominciarono persino a vendere il list bombing come forma di servizio. Si poteva andare su un sito e pagare 75$ per avere un particolare indirizzo email targhetizato con il list bombing.

Ovviamente, nessuno vuole avere il proprio programma di mail sottoposto a tutti questi maneggi, quindi cosa si può fare al riguardo?

I Captcha

In termini di prevenzione, posizionare un captcha sul proprio modulo di iscrizione è il modo migliore per scoraggiare gli attacchi bot:


Esistono diversi tipi di differenti captcha, alcuni richiedono che si clicchi su delle immagini, che si digitino le parole/numeri da un set di immagini sfocate oppure di risolvere un certo tipo di semplice equazione matematica:

Un captcha funziona con l’assunzione che i bot non saranno in grado di leggere un’immagine o di risolvere un’equazione nel modo in cui un vero essere umano farebbe. Ad ogni modo, questi captcha possono essere molto laboriosi per chi si iscrive (difficili da leggere, complicati, ecc.), motivo per cui non tutte le aziende scelglievano di ultizzarli in passato.

L’ultimo esempio, la checkbox con “I am not a robot” mostra quanto si siano spinti lontano i captcha negli anni.

Di questo tipo è il “NoCaptcha ReCaptcha” che dalla prospettiva di chi si iscrive richiede solamente che si clicchi sulla checkbox ed ha questa stessa funzione di scoraggiare i bot dall’iscrizione.

Double Opt-in

Impostare il doppio opt-it (DOI) è un altro step che si può fare per mitigare gli attacchi bot ed il list bombing.

Il DOI innesca un’email di conferma all’indirizzo dopo l’iscrizione, chiedendo all’utente di confermare che intendeva ricevere posta da voi. Se l’utente clicca il link di conferma nell’email viene aggiunto alle vostre liste, se non lo fa, allora gli verrà sospeso il procedimento.

In questo modo, sia che qualcuno scriva male il proprio indirizzo email o che un bot vi prenda come target, i recipienti indesiderati riceveranno solamente quel messaggio iniziale da voi, almeno che gli utenti non facciano il passo successivo di verifica dell’iscrizione.

Mentre il DOI di per sé non bloccherà un bot dal targetizzarvi per attaccare dei poveri indirizzi innocenti (centinaia o migliaia di email di conferma ancora causano gli stessi problemi, tanti quanti i messagi regolari per l’utente finale e la sua inbox), aiuterà però a garantire che questi indirizzi attaccati non arrivino alle vostre liste principali.

In questo modo, viene minimizzato l’impatto a lungo termine di un attacco sia su di voi che sul target inteso. In più, la DOI vene considerata una best practice per mantenere l’igiene delle iscrizioni ed è  il perfetto standard per dimostrare un esplicito consenso alla luce del GDPR e delle future regolazioni. Anche se qualcuno dovesse inserie l’indirizzo sbagliato, la DOI mostra che stiano facendo passi dinamici e concreti per evitare l’invio di spam.

Tu

Dato che i captcha sono diventati più user friendly e gli attacchi bot sono aumentati, non c’è realmente un motivo per non implementarne uno e proteggere i propri moduli di iscrizione e le mailing list alla base.

Impostando i captcha su tutti i vostri moduli di iscrizione, prima che diventiate un target o che veniate usati per targetizzare qualcun’altro, potete scampare un blacklisting così come salvarvi i mal di testa e le ore di lavoro spese scavando nelle liste per trovare quando un attacco è cominciato, per quanto tempo sia continuato, ecc.

In più, può aiutarvi anche a non perdere delle iscrizioni legittime, dato che molte volte i clienti riscontrano di aver bisogno di sprecare giorni e settimane intere di iscrizioni solo per assicurarsi di aver realmente spazzato via i dati cattivi dalla finestra di un attacco. (Avere il DOI elimina la dolorosa parte dell’essere utilizzati per  i list bombing)

Certamente, raccomandiamo di impostare sia i camptcha che il DOI per portare il vostro programma email il più possibile vicino alla migliore protezione possibile.

Non aspettate, agite ora!

L’autenticazione email tramite l’SPF, DKIM e DMARC

Anche se quello che sto per dire mi farà sentire un po’ vecchio (e forse anche te), non posso non notare che sono ormai lontani i tempi in cui si poteva inviare un’email a una mailing list tramite il magico pulsante “invia” e dare per scontato che il tuo messaggio si materializzasse istantaneamente nella posta in arrivo di tutti i destinatari.

Nel corso degli anni ci si è resi conto del fatto che l’email è uno strumento di comunicazione potente che, se usato nel modo corretto, può aiutare o addirittura diventare il principale strumento di guadagno per un’azienda. Quello dell’email marketing è quindi un piatto dove molti vogliono mangiare. In effetti c’è posto per tutti, anche per i malintenzionati…

Fatto sta, che l’aumento costante del traffico email mondiale, la globalizzazione, la crescente criminalità informatica e chissà, anche il riscaldamento globale (sembra essere la colpa di tutto), hanno reso necessaria l’introduzione di una sorta di regolamentazione (alcuni consigli pratici) e di alcuni strumenti per elevare il livello di sicurezza informatica.

Il mondo è pericoloso là fuori e la tua comunicazione ha bisogno di essere protetta.

SPF, DKIM e DMARC sono tre strani acronimi con cui dovremo sempre di più prendere confidenza, perché sono il passaporto che ci permette di tutelare la nostra azienda evitando che pirati informatici usino il tuo brand per fare spam, di essere informati quindi su eventuali tentativi di phishing e di fare bella figura in pausa pranzo coi colleghi.

Come funzionano veramente? (attenzione, spoiler!)

Senza scendere troppo in discorsi da nerd (cosa che farò comunque, negli ultimi paragrafi) possiamo dire che il record SPF è un “documento” che contiene il nome dell’unico “postino virtuale” (chiamiamolo Mario) autorizzato che consegnerà la tua email al destinatario. In questo modo, quest’ultimo la accetterà senza batter ciglio.

Può succedere, a volte, che Mario sia a casa malato. Quindi costretto a delegare la consegna dei messaggi al collega Gianni. E’ chiaro che a questo punto, i destinatari più sospettosi, vedendo arrivare un postino sconosciuto, non si fideranno e non accetteranno il messaggio.

In questo caso, ad esempio, un’email inoltrata perde le proprietà SPF. Fortunatamente, però, il DKIM consentirà a Gianni di consegnare comunque il messaggio perché questo conterrà la firma originale del mittente.

Grazie al suo super olfatto, il cane DMARC sa se il postino e il messaggio sono sospetti e quando succede, inizia ad abbaiare per avvisare il padrone dell’imminente pericolo.
L’astuto cane può essere anche addestrato a lasciare che il postino consegni comunque il messaggio o, al contrario, impedirgli di compiere qualsiasi azione, mangiandogli direttamente la posta.

Tutto questo si traduce nel corretto recapito del tuo messaggio nella tanto ambita inbox, dato che il trio SPF, DKIM e DMARC è ormai uno standard a livello globale! Infatti, tutti i maggiori provider accolgono con piacere queste misure di sicurezza.

Se la storia di Mario e Gianni ti ha annoiato, quello che segue sarà ancora peggio! Ti spiegherò infatti, in “tecnichese”, l’utilità, l’applicazione e il funzionamento di questi indispensabili strumenti di autenticazione.

1. SPF (Sender Policy Framework)

Si tratta di un protocollo che permette di autorizzare all’invio un indirizzo IP o un dominio. Queste informazioni vanno semplicemente aggiunte nell’area DNS del pannello di controllo del tuo dominio mittente.

Nel momento in cui il server del destinatario riceve l’email, confronta l’IP del mittente e quello nel DNS e, se questi sono uguali, accetta il messaggio e lo consegna nell’inbox. Altrimenti, restituisce un messaggio del genere: “Error 550 – Message rejected because SPF check failed“. Oppure il server può comunque accettarlo ma poi lo recapita il nella posta indesiderata. In alcuni casi viene anche eliminato definitivamente.

La finalità è comunque quella di evitare il phishing. Ovvero che qualcuno finga di essere te e invii quindi, email per tuo conto.

Dato che il record SPF è pubblico, è possibile in qualsiasi momento verificarne la corretta propagazione tramite una richiesta DNS online o tramite tools disponibili online, come questo: http://www.kitterman.com/spf/validate.html

2. DKIM (DomainKeys Identified Mail)

Di solito è una chiave crittografata a 1024 o 2048 bit che va associata al dominio che si usa come mittente.

Al momento della ricezione dell’email da parte del server del destinatario, questo verifica se la chiave, pubblicata nell’header del messaggio, è associata a quella del dominio mittente. In caso contrario, significa che l’email è stata intercettata da terzi e modificata. La finalità è proprio questa: evitare l’email spoofing.

Come l’SPF, la sua implementazione richiede la pubblicazione nell’area DNS. Quindi la chiave ela firma sono visibili nell’header del messaggio. I possibili status del record sono:

Gli altri errori possibili sono Softfail, Neutral, None, Permerror, Temperror. Ovviamente, solo lo status Pass è da prendere in considerazione come record correttamente inserito.

Per verificare il corretto inserimento e la propagazione del record DKIM, puoi usare questo tool: dkimcore.org/tools/keycheck.html

Nonostante i sopra citati record siano stati concepiti per aumentare il livello di sicurezza degli invii, gli abusi continuano comunque a manifestarsi. La soluzione sembra essere però stata trovata, grazie all’integrazione del DMARC.

3. DMARC (Domain-Based Message Authentication, Reporting & Conformance)

Con la semplice pubblicazione di un record DNS, è possibile ricevere una notifica ogni volta che viene utilizzato un non propriamente configurato (che non ha passato con successo la verifica SPF e DKIM)) dominio, come mittente. In questo modo sappiamo quando, chi e in che modo viene usata sul web la nostra identità (es.: @ilnostrodominio.com). Possiamo ovviamente intuire che non venga usato per scopi nobili…

Il record pubblicato sul tuo dominio avrà una sintassi simile a questa:

v=DMARC1; p=none; rua=mailto:alias@mydomain.com; ruf=mailto:dk@bounce.apple.com,mailto: alias@mydomain.com
Per verificare se il record DMARC è stato correttamente applicato al tuo dominio, puoi usare il tool disponibile a questo link: https://dmarcian.com/dmarc-inspector/
Al momento, il DMARC è la soluzione più efficace pe combattere lo spoofing, anche se la guerra per tenere definitivamente alla larga malintenzionati dalle nostre email, non è ancora del tutto vinta. Specialmente la questione aperta è che non si può essere certi che un dominio con una firma DMARC valida stia effettivamente fingendo di essere un altro brand. Questo aspetto potrebbe essere risolto dal BIMI (“Brand indicator for message identification”) di cui parleremo a breve in uno dei prossimi post.

In termini di sicurezza informatica, l’utilizzo dell’SPF, DKIM e DMARC sono la risposta migliore allo spoofing. Mapp usa SPF e DKIM di default. Se vuoi usufruire anche dello strumento DMARC non dovrai fare altro che contattarci e saremo felici di aiutarti!

P.s.: Nessun postino è stato maltrattato durante la produzione di questo post.