破解 AWS SES 追蹤連結限制:從 HTTP 到 HTTPS 的送達率最佳化

在電子報行銷與自動化工作流中,郵件送達率 (Deliverability) 決定了系統的有效性。多數技術人員將送達率的最佳化焦點放在 SPF、DKIM 與 DMARC 紀錄的設定。這些 DNS 層級的驗證確實能防範網域遭冒用,但在信件內容層級,一個經常被忽略的變數是「點擊追蹤連結 (Click Tracking Links)」。

郵件服務供應商 (ESP) 為了統計點擊率,會在信件寄出前將原始連結覆寫為專屬的追蹤網址。當收件人點擊時,流量會先導向 ESP 的伺服器進行紀錄,再以 301 或 302 狀態碼重定向至目標頁面。若此追蹤網址的網域與寄件網域不一致,或是採用未加密的 HTTP 協定,極易引起收件端防垃圾郵件系統 (如 SpamAssassin 或 Google Postmaster) 的警戒。

案例檢視:SendGrid 與 AWS SES 的 HTTP 追蹤陷阱

各大主流 ESP 雖提供自訂追蹤網域的功能,但在預設配置下,往往存在 SSL 憑證支援不足的技術缺陷。

SendGrid 自訂網域仍缺乏 HTTPS

觀察市場上知名電腦主機商的行銷郵件配置。圖一顯示該品牌使用 SendGrid 寄發行銷郵件,寄件人網域與官方網站一致。進一步檢查信件內部的連結結構 (圖二),該品牌確實啟用了 SendGrid 的自訂追蹤網域 (Custom Tracking Domain) 功能,將追蹤連結的 Host 替換為其品牌網域的子網域。

圖一:知名主機品牌的行銷郵件
圖一:知名主機品牌的行銷郵件
圖二:追蹤連結無 HTTPS 加密
圖二:追蹤連結無 HTTPS 加密

開啟瀏覽器的開發者模式擷取完整網址 (圖三),可以發現該追蹤連結的通訊協定為 http://。SendGrid 的預設自訂追蹤網域方案缺乏原生的 HTTPS 支援。若要為 SendGrid 的追蹤連結部署 SSL 憑證,使用者必須透過反向代理 (Reverse Proxy) 或是內容傳遞網路 (CDN) 自行設定憑證與路由規則。這項額外的工程門檻導致多數企業直接採用預設的 HTTP 配置,增加信件被各大郵件客戶端標記為「不安全」的風險。

圖三:檢視連結原始碼
圖三:檢視連結原始碼

AWS SES 的 awstrack 共用網域與 HTTP 限制

AWS SES (Amazon Simple Email Service) 是許多 SaaS 產品底層依賴的發信引擎。回顧 Quants Note 過去的架構,在使用 AWS SES 預設追蹤功能時,原始連結會被轉換為 awstrack.me 結尾的網域 (圖四)。

圖四:AWS SES 追蹤連結網域
圖四:AWS SES 追蹤連結網域

使用 awstrack.me 這類共用追蹤網域會帶來兩個問題。第一,寄件網域與連結網域不一致 (Domain Mismatch),這在釣魚郵件的特徵比對中屬於扣分項。第二,該共用網域的信譽分數由所有 AWS SES 用戶共同承擔。若其他不良寄件者利用此網域發送垃圾郵件,將連帶拖累你的信件送達率。

即使在 AWS SES 中配置了自訂追蹤網域 (圖五),預設狀態下產生的連結依然是 HTTP 格式。要在 AWS 基礎設施中實現 HTTPS 的自訂追蹤網域,必須串接 Amazon CloudFront 與 API Gateway,將請求透過 HTTPS 接收後再轉發至 SES 的追蹤節點。架構複雜度高,維護成本也隨之增加。

圖五:AWS SES 自訂網域的技術限制
圖五:AWS SES 自訂網域的技術限制

如果您尚未完成 AWS 基礎環境的建置,請先參考我們的 Amazon SES 申請與配置教學

HTTP 追蹤連結觸發垃圾郵件過濾器的機制

未加密的 HTTP 連結在現代網路環境中已被視為高風險特徵。垃圾郵件過濾器在評分時,會將信件內的 URL 結構納入計算模型。

當過濾器掃描到 http:// 開頭的追蹤連結,會產生以下負面影響:

  1. 觸發網路釣魚警告:多數郵件客戶端 (如 Gmail、Outlook) 會對 HTTP 連結提出安全警告。若連結被隱藏在按鈕或不一致的錨點文字下,過濾器會將其判定為具備欺騙意圖。
  2. 混合內容問題 (Mixed Content):若收件人在強制使用 HTTPS 的網頁版郵件客戶端中點擊 HTTP 連結,瀏覽器可能會阻擋該次跳轉,導致點擊數據遺失,並破壞使用者體驗。
  3. 信譽評級下降:ISP (網際網路服務供應商) 傾向信任全面採用加密傳輸的寄件者。信件內部充滿未加密連結,將直接降低網域整體的發信信譽 (Sender Reputation)。
Email Deliverability Optimization

SureContact 實戰:建構純淨的 HTTPS 自訂追蹤網域

為了解決 ESP 預設配置帶來的送達率瓶頸,Quants Note 導入了 SureContact 進行郵件自動化與會員管理。

SureContact 在系統設計上大幅簡化了自訂追蹤網域的部署門檻。根據後台配置要求 (圖六),管理者只需在網域 DNS 託管商 (例如 Cloudflare) 新增一筆 CNAME 紀錄,將專屬的追蹤子網域 (如 link.quantsnote.com) 指向 SureContact 的伺服器節點。

圖六:SureContact 自訂追蹤網域設定
圖六:SureContact 自訂追蹤網域設定

圖七呈現了改用 SureContact 發送後的連結狀態。

圖六:現行 SureContact 追蹤連結架構
圖七:現行 SureContact 追蹤連結架構

在實務配置上需特別注意一個技術細節:若您的 DNS 是交由 Cloudflare 託管,設定 CNAME 紀錄時必須關閉 Proxy 代理功能 (保持「僅限 DNS / 灰色雲」狀態)。 若開啟 CDN 代理 (橘色雲),Cloudflare 的邊緣節點會攔截流量,導致 SureContact 底層的自動化憑證簽發機制 (如 Let’s Encrypt 的 HTTP-01 驗證) 無法確認網域指向。在灰色雲狀態下,流量直達端點,SureContact 系統才能順利通過驗證,並在他們的伺服器上為該追蹤網域自動核發與配置 SSL 憑證。

(註:使用者若有開啟 Cloudflare 的憑證透明度監控,後續收到的憑證核發通知信,僅是 Cloudflare 針對公開日誌的「監測回報」,實際提供 HTTPS 加密連線的仍是 SureContact 端。)

完成這項一次性設定後,檢視系統實際輸出的連結結構,網址具備高度的品牌一致性,且通訊協定強制採用 https://。這種乾淨、加密且與寄件人網域完全對齊的追蹤連結,能順利通過 SpamAssassin 等防護系統的 URL 規則檢查。此架構有效避開了共用網域的信譽風險,同時消除了 HTTP 連結帶來的資安疑慮,從根本上提升了行銷郵件進入主要收件匣 (Primary Inbox) 的機率。

結論與系統配置建議

行銷郵件的技術架構不僅止於 DNS 紀錄的設定。信件內部的連結結構同樣受過濾器嚴格審查。AWS SES 與 SendGrid 在預設狀態下產生的 HTTP 追蹤連結,容易觸發釣魚防護機制並影響送達率。

確保網域信譽與送達率的最佳實踐,是強制所有點擊追蹤連結皆具備 HTTPS 加密,並使用專屬的自訂網域。這要求企業具備設定反向代理與自動展延 SSL 憑證的維運能力。若希望降低架構維護成本並直接獲得完整的 HTTPS 追蹤配置,採用原生支援此功能的郵件自動化系統會是較具效益的選擇。

若您正在尋找能妥善處理自訂網域與 HTTPS 追蹤連結的系統,建議可參考我們目前使用的解決方案:立即探索 SureContact 功能與配置

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *