Антифрод и трекеры в письмах - что палят пиксели, редиректы и провайдеры

В рассылках есть две стороны фронта. С одной - ты со своими письмами, базой и оффером. С другой - почтовые провайдеры, антифрод-системы и трекеры партнёрских сетей, которые каждый клик и каждое открытие записывают и анализируют. Если не понимаешь, что они видят, - ты играешь вслепую и проигрываешь по очкам, даже когда кажется, что всё работает.

Эта статья - подробный разбор того, какие данные собирает каждое звено цепочки: от пикселя в письме до антибот-системы на лендинге. Без понимания этого нельзя ни нормально оптимизировать кампанию, ни безопасно тестировать собственные письма, ни разобраться, почему партнёрка вдруг режет лиды как «фрод». Ниже - 8 разделов, каждый со своей механикой.

01 · Что трекают почтовые сервисы

Когда получатель открывает письмо или кликает по ссылке, в работу включается целая цепочка трекеров. Каждый собирает свой кусок данных, и в итоге у партнёрки и у провайдера складывается полная картина: кто, откуда, во сколько и как именно взаимодействует с письмом. Пиксель отслеживает открытие, редирект - клик, лендинг - поведение, партнёрский постбек - конверсию.

Что собирается на каждом этапе:

Открытие. Пиксель в письме отдаёт серверу IP получателя, User-Agent (по нему видно, какой почтовый клиент - Gmail Web, Apple Mail, Outlook), точное время открытия и ID письма из базы.
Клик. Каждая ссылка в письме идёт через редирект-сервер партнёрки или твой собственный. Он логирует, по какой именно ссылке кликнули, привязывает Click-ID и пробрасывает дальше с UTM-метками.
Заход на ленд. Лендинг ставит cookies, читает Referer, fingerprint браузера, время на странице, скролл, движения мыши.
Конверсия. При сабмите формы или покупке партнёрский постбек вызывает у себя счётчик, привязывает к Click-ID и записывает лида с твоим аффилиатным ID.

Главная мысль: почти каждое действие в email-воронке оставляет след. Спрятать всё нельзя - но можно понимать, что именно и кому утекает, и не оставлять лишнего там, где это критично (особенно когда тестируешь собственные письма с боевых машин).

          Принцип: любая ссылка и любой пиксель в письме - это маленький радар, который пробивает получателя по IP, девайсу и времени. Партнёрка видит примерно то же, что Google Analytics: пол-аудитории на ладони ещё до перехода на ленд.
        

02 · Open-pixel: как считают открытия

Open-pixel - это прозрачный 1×1 пиксель в формате GIF (или PNG), который вшит в HTML-письмо. Когда получатель открывает письмо и почтовый клиент подгружает картинки, браузер делает HTTP-запрос на сервер пикселя. По этому запросу сервер регистрирует «открытие» и записывает кучу метаданных. Это базовый способ измерять open-rate и единственный, который работает в стандартном почтовом клиенте.

Что технически отдаёт пиксель:

IP-адрес получателя - в случае большинства провайдеров это будет IP самого пользователя. Исключение - Gmail и Yahoo Mail, которые с 2014 года проксируют картинки через свои серверы (Gmail Image Proxy). У них в логах будет IP Google, а не получателя.
User-Agent. Из него вычисляется, чем открыли письмо - вебмейлом, мобильным приложением, десктопным клиентом. Apple Mail Privacy Protection (с 2021 года) подменяет UA на свой и предзагружает все картинки сразу - так что open-rate по iPhone стал почти бесполезным.
Timestamp. Точное время до миллисекунд - можно строить distribution открытий по часам, искать «человеческие» часы активности.
Уникальный ID письма в URL пикселя - именно по нему сервер знает, кто открыл (привязка к строке базы).
Косвенные сигналы. Сколько раз открыли (повторные запросы с того же IP), интервалы между открытиями, мобильный/десктоп, локализация UA.

Дальше эти данные аггрегируются в open-rate, время до первого открытия, географию аудитории. По этим же данным провайдер тоже учится: если из 10 000 писем 9 800 не открыли - письмо плохое, и следующая партия с того же домена пойдёт сразу в спам.

Что важно для спамера: open-pixel в твоём письме - это два меча. С одной стороны, он даёт тебе видимость по своим рассылкам. С другой - если ты тестируешь чужие или свои же письма со своего личного устройства, твой IP, девайс и время уйдут на сервер отправителя. Для тестов используй сэндбоксы (см. раздел 07), а не открывай письма с боевой машины.

03 · Link-redirect: что палится при клике

Любая ссылка в нормальной email-кампании идёт не напрямую на партнёрский оффер, а через редирект. Это нужно по двум причинам: чтобы трекер мог зафиксировать клик и привязать его к Click-ID, и чтобы домен в письме можно было быстро менять (если основной редирект-домен сгорает в Google Safe Browsing). Цепочка может быть из 2-3, иногда 4-5 хопов.

1 click.send-promo24.com/r/?id=8a3f... первый домен в письме

2 trk.affnet.io/c?cid=8a3f&sub=AFF12 трекер

3 go.cloak.app/?token=7e2c... cloaker

4 offer.brand-final.com/?utm_source=... prelander

5 brand-final.com/signup оффер

Что палится на каждом редиректе:

Referer. Каждый следующий хоп видит, откуда пришёл клик - либо по HTTP-заголовку Referer, либо по URL-параметру.
Click-ID и SubID. Это твой аффилиатный идентификатор и кастомные подметки (по которым ты потом разбираешь, какая база/гео/креатив принёс лида).
UTM-метки - utm_source, utm_medium, utm_campaign. Они нужны для аналитики, но в открытом виде орут «это аффилиатный трафик».
IP, User-Agent, Geo - те же данные, что и у пикселя, но уже в большом количестве: каждый хоп их пишет к себе.
Время реакции. Если между открытием письма и кликом прошло меньше 0.5 секунды - почти 100% это бот или предпросмотр почтового клиента. По этому фильтруют «фейковые открытия» от Gmail Image Proxy и Apple MPP.

Цепочка хопов нужна, но каждое лишнее звено добавляет латентность и риск падения какого-то хоста. Хорошая практика: 2 хопа (редирект-домен → оффер) для простых вертикалей, 3-4 для серых, где нужен cloaker. Больше - не имеет смысла, только теряешь конверсию.

Что делает партнёрка с этими данными: строит профиль трафика. Если у тебя средне-конверсионный SubID, но при этом 80% кликов с одного диапазона IP, средняя сессия 4 секунды и refer везде один - партнёрка флагнет это как «низкое качество», порежет CR или вовсе забанит. Поэтому правильная ротация прокси и реалистичные паттерны кликов критичны не меньше, чем хороший оффер.

          Запомни: трекер - это не просто счётчик. Это машина классификации трафика. Каждый клик помечается десятком атрибутов, и по совокупности система решает - человек это или бот, реальный лид или фрод.
        

04 · Поведенческие сигналы провайдеров

Gmail, Outlook, Yahoo и Apple - это четыре главных провайдера, через которые проходит более 80% мирового email-трафика. У каждого свои антифрод-механики, и каждый смотрит не только на технические заголовки (SPF/DKIM/DMARC, IP-репутация), но и на поведение получателей. Если письма с твоего домена массово сразу идут в архив или удаляются непрочитанными - алгоритм это видит и опускает доставляемость.

// open rate

82%

отлично - провайдер видит вовлечение

// reply rate

3.4%

средне - можно поднять CTA

// inbox / spam

71/29

71% во входящих

// complaint rate

0.42%

высоко - норма до 0.1%

На что смотрит провайдер:

Open rate и dwell time. Сколько процентов открыли письмо и как долго оно было открыто. Письмо открыли и сразу удалили - плохой сигнал. Открыли, прочитали, нажали ссылку - идеально.
Reply rate и forward. Если на письма отвечают и пересылают - это сильнейший положительный сигнал. Поэтому в B2B-рассылках работает приём «задай вопрос в конце письма».
Mark-as-spam (complaint rate). Жалобы. Норма - до 0.1%. От 0.3% начинаются санкции, от 0.5% - доменная репутация падает в ноль.
Engagement-velocity. Сколько пользователей реагирует в первые 30-60 минут после доставки. Если все письма открыли через 10 секунд - это бот-проверка, провайдер это видит и понижает приоритет.
Whitelist actions. Когда получатель добавляет адрес в контакты, перетаскивает письмо из спама в инбокс или нажимает «не спам» - это огромный плюс к репутации.

Полезные инструменты, которые показывают эти данные «глазами провайдера»:

Gmail Postmaster Tools (gmail.com/postmaster) - доменная репутация по шкале Bad/Low/Medium/High, spam rate, IP-репутация, аутентификация. Бесплатно и обязательно при работе с Gmail-базами.
Microsoft SNDS (sendersupport.olc.protection.outlook.com) - аналог для Outlook/Hotmail. Показывает trap hits, complaint rate и filter result по твоему IP.
Yahoo Sender Hub - отдельный кабинет с похожей телеметрией.
Apple iCloud Postmaster - закрытая программа, но по запросу можно получить доступ при больших объёмах.

Практический вывод: бесполезно гнать большой объём, если open rate ниже 15% и complaint rate выше 0.3%. Алгоритм быстро поймёт, что твоё письмо неинтересно, и начнёт его прятать. Лучше отправить 100 000 на тщательно отобранную базу с релевантным креативом, чем миллион - наспех. Провайдер всегда вознаграждает качество вовлечения.

05 · Антибот-системы на лендингах

На лендинге партнёрка ставит свой второй слой защиты. Он отделяет реальный трафик от ботов, кликферм и многоразовых аккаунтов. Если ты не понимаешь эти механики, может оказаться, что ты гонишь хороший трафик, а партнёрка списывает его как фрод и не платит.

Что именно проверяется:

Cloudflare Turnstile / reCAPTCHA. Невидимая капча, которая запускает скрипт в браузере и собирает 30+ метрик: задержки между событиями, движения мыши, поведение Web API, наличие плагинов. Headless-браузеры палятся почти моментально.
FingerprintJS / Browser Fingerprint. Уникальный отпечаток браузера: разрешение экрана, шрифты, WebGL-рендеринг, аудио-контекст, language, timezone. Если 200 «разных» лидов имеют одинаковый fingerprint - это кликферма с одной машины.
IP/ASN check. Если IP принадлежит датацентру (DigitalOcean, AWS, Hetzner) - это red flag. Резидентские прокси проходят, серверные - нет. Проверка через сервисы типа MaxMind/IPQualityScore.
Heatmap-данные. Реальный пользователь двигает мышью, скроллит, делает паузы. Бот - двигается по точным траекториям, без задержек, заполняет форму за 0.3 секунды.
Cookie history. На лендинге могут стоять трекеры (Google Tag Manager, Meta Pixel), которые читают, был ли пользователь раньше на других страницах в сети. Чистый профиль без истории - подозрительно.
Behavioral biometrics в чувствительных вертикалях (banking, gambling): паттерн нажатий клавиш, скорость печати. Слишком быстрая или роботоподобная печать - флаг.

Что это значит для тебя:

Не используй датацентровые прокси при тестировании своего же оффера. Залогишься со своего AWS-VPS - партнёрка увидит «фрод-IP» и начнёт смотреть на твою заливку с подозрением.
Не открывай свой ленд из headless-Chrome (Puppeteer, Playwright) без анти-детект надстроек. Он палится за 50 миллисекунд.
Если жалуются на низкий CR с правильно прогретой базы - первое, что проверяй: не блокирует ли антибот часть твоего трафика, и не помечает ли половину лидов как «invalid».

06 · Спам-ловушки в базах

Спам-ловушка (honeypot, spam trap) - это email-адрес, который никто не использует, но провайдер мониторит входящую на него почту. Любое письмо туда = автоматический сигнал «это рассылка не по согласию». Один-два хита по ловушке за неделю - предупреждение. Десять - доменная репутация падает, IP блэклистится, кампания горит.

⚠

PRISTINE

Адреса, никогда не использовавшиеся реальными людьми. Самые опасные - провайдер знает их 100%.

☠

RECYCLED

Брошенные ящики, которые провайдер переоформил в trap. Часто встречаются в старых базах.

✗

TYPO TRAP

gmial.com, hotmial.com - провайдеры регистрируют опечатки и ловят на них небрежные базы.

Откуда они берутся в базах:

Pristine traps. Антиспам-компании (Spamhaus, Cloudmark) специально создают ящики и засеивают их по форумам, постят в открытых местах. Любой парсер по «емейлам в открытых источниках» эти ловушки соберёт.
Recycled traps. Бывшие реальные ящики, заброшенные на 6-12 месяцев. Провайдер сначала шлёт bounce, потом тихо превращает их в trap. Если база старая - ты гарантированно по ним стреляешь.
Typo traps. gmaul.com, ymail.com (это уже занятый легальный), gmial.com и подобные опечатки - провайдеры выкупают такие домены и мониторят входящую. В обычной парсинговой базе их 0.5-1.5%.
Role-based addresses - admin@, info@, support@, abuse@, postmaster@. Технически не traps, но в большинстве антиспамов помечаются как «вероятно жалобы», поэтому работают так же.

Как защищаться от ловушек:

Валидация базы перед рассылкой. NeverBounce, ZeroBounce, MailFloss, Bouncer - сервисы делают SMTP-handshake и убирают невалидные/recycled. Это не ловит pristine-traps на 100%, но убирает 80% мусора.
Удалять role-based. Регулярка `^(abuse|admin|info|support|sales|postmaster|webmaster|noreply)@` - под ноль. Это не лиды, это пустая трата ресурсов.
Удалять typo-домены. Список из 30-40 распространённых опечаток + регулярка по Levenshtein-расстоянию от популярных доменов.
Не покупать «миллион адресов за 50 долларов». Чем дешевле база, тем больше в ней трапов. Качественные источники - либо собственный парсинг с фильтрацией, либо проверенные продавцы под конкретные ниши.
Не использовать слишком старые базы. Адресу больше года - больше шанс, что он или умер, или перешёл в recycled trap. Базы свежее 6 месяцев - норма.

Главный показатель: Microsoft SNDS показывает trap hits на твой IP. Если за последние 24 часа у тебя 50+ хитов - сжигай этот IP, базу пересортируй или прогоняй через валидатор повторно. Чинить репутацию IP с такими цифрами уже невозможно.

07 · Как тестировать свои письма безопасно

Когда ты делаешь A/B-тест или просто проверяешь, как письмо выглядит в Gmail/Outlook, нельзя открывать его со своей боевой машины и со своего реального ящика. Любая ошибка - и твой IP, девайс и почтовый клиент уйдут на серверы трекинга (своего же или партнёрского). Если потом ты с того же IP залезешь в кабинет партнёрки - алгоритм может сопоставить и порезать тебя как фрод-аффилиата.

test-sandbox · ~/mail-qa

$ glockapps.test --campaign promo_v3

→ seedlist 80 ящиков · 12 провайдеров

→ inbox: 73% · spam: 22% · missing: 5%

$ mail-tester.com --score

→ score: 8.6/10 · spf ok · dkim ok · dmarc soft

$ litmus.preview --clients 30

→ render OK on 28/30 · broken: outlook-2007, lotus-notes

$ spam-checker.run --headers

→ PASS spamassassin · PASS rspamd

Правильный сэндбокс для тестов:

GlockApps (glockapps.com) - инструмент №1 для inbox-тестов. Шлёшь письмо на 80+ seed-ящиков по разным провайдерам, через 5 минут получаешь карту: где попало в inbox, где в спам, где не дошло. Платный, но окупается с первой кампании.
Mail-tester (mail-tester.com) - бесплатно, выдаёт оценку 0-10 и показывает все антиспам-флаги. Проверяет SPF/DKIM/DMARC, чёрные списки, контент, заголовки. Идеально для быстрого smoke-теста перед запуском.
Litmus (litmus.com) - предпросмотр письма в 30+ клиентах: Outlook 2007/2013/2019/365, разные версии Apple Mail, мобильный Gmail, Yahoo, GMX. Покажет, где криво рендерится HTML.
SpamAssassin / rspamd локально. Можно поднять у себя на VPS и прогонять письма через те же фильтры, что и большинство почтовиков. Покажет, какие правила срабатывают.
Свой seedlist. Заведи 20-30 ящиков на разных провайдерах (Gmail, Outlook, Yahoo, GMX, Web.de, ProtonMail, iCloud, Yandex, Mail.ru) и шли каждую кампанию туда первой. Это бесплатно и ловит 90% проблем.

Чего категорически не делать:

Не открывать тестовые письма со своего личного ящика. Особенно если письмо шлёшь от своего домена.
Не кликать по ссылкам в письмах с боевого браузера. Используй инкогнито через резидентский прокси, ещё лучше - отдельную виртуалку.
Не использовать собственный IP при работе с партнёрским кабинетом и боевыми тестами одновременно. Антифрод партнёрки и собственный трекер живут на разных доменах, но cookies между ними часто сшиваются.
Не отправлять «по 1-2 письма» с боевого SMTP - это ломает прогрев. Тесты идут в seedlist отдельным каналом.

08 · Чеклист защиты при работе с письмами

Сводный набор правил, которые перекрывают типовые угрозы. Это не «план идеального стелса», а минимум, ниже которого начинаются проблемы. Прежде чем запускать новую кампанию или тестировать новое письмо, прогоняй по этому списку. Если хотя бы один пункт - «нет», запуск можно считать полудохлым ещё до старта.

// pre-launch defense check

[✓]spf + dkim + dmarcSIGNED

[✓]postmaster.google + sndsMONITORED

[✓]base.validate --remove-trapsCLEAN

[✓]redirect.rotate --domains 5ACTIVE

[✓]proxy.residential --geo matchOK

[✓]seedlist.test --before launchPASS

[✓]sandbox.iso --no-personal-ipISOLATED

[✓]opens.threshold --min 18%READY

→ SAFE TO LAUNCH ←

SPF, DKIM, DMARC настроены. Без них Gmail сразу ставит флаг «unauthenticated», доставляемость падает на 30-40%. Проверка через mxtoolbox.com или mail-tester.com.
Postmaster Tools и SNDS подключены к доменам и IP. Иначе ты летишь вслепую: репутация падает, ты узнаешь об этом через неделю по упавшему inbox-rate.
База провалидирована. NeverBounce/ZeroBounce, удалены role-based (admin@, info@), удалены typo-домены, удалены адреса старше года. Цена валидации в 100 раз меньше цены сожжённой репутации.
Редирект-домены ротируются. Минимум 3-5 доменов в пуле, ротация по группе писем. Если один сгорит в Google Safe Browsing - остальные продолжают работать.
Прокси резидентские, гео совпадает с базой. Не лей DE-базу с US-проксей: получатели через MTA попадают на странные «отсюда никто никогда не писал» сигналы.
Seedlist-тест перед запуском. Каждое новое письмо - сначала на 20-30 своих ящиков. Если в спаме у Gmail - не запускать на массу, переписать.
Тесты в изолированной среде. Виртуалка или удалённый VPS, не личный ноут. Cookies, кеш, IP, fingerprint - всё отдельно от боевой машины и от партнёрского кабинета.
Пороги ключевых метрик. Open rate ниже 15% за час - стоп, разбираемся. Complaint rate выше 0.3% - стоп, новая база. Bounce rate выше 5% - стоп, валидируй заново.

          Главное: провайдеры и партнёрки видят больше, чем кажется. Каждый твой пиксель, каждый редирект, каждый клик - точка в их системе. Невозможно стать невидимым, но можно перестать оставлять лишние следы и перестать гнать туда, где тебя уже ждут (трапы, заведомо мёртвая база, заблокированный домен).
        

Антифрод не наказывает за рассылку как таковую - он наказывает за паттерны небрежности: трапы в базе, головная мусорная машина в кабинете, прямые ссылки на офферы, отсутствие аутентификации. Закрой эти дыры одну за другой - и твоя кампания будет выживать там, где у соседа всё горит после первого часа отправки.