你只是打开 Pangram 注册页,填了一个邮箱,还没点完注册流程,邮箱里先来了一封奇怪邮件。
发件人不是 Pangram,而是 “Winwin Insights”;发信域可能是 sifgoldenshine.com,也可能换成一串看起来像批量生成的域名。邮件内容像冷知识垃圾信,主题甚至是 “Fact of the day: Magnetic”。
这事最反常的地方不在“邮件难看”。而是 Pangram 的 signup 表单会调用 https://www.pangram.com/api/validate-email,只提交邮箱后,就触发这类邮件。原作者据此判断:它疑似在用一次真实投递,来验证邮箱是否可达。
一次很不体面的邮箱校验
把关键事实压短看,大概是这样:
| 项目 | 观察到的情况 | 判断 |
|---|---|---|
| 触发点 | Pangram 注册页填写邮箱后调用 /api/validate-email | 用户尚未完成注册 |
| 发信身份 | Winwin Insights、sifgoldenshine.com 等 | 不是 Pangram 品牌身份 |
| 域名特征 | 多个发信域轮换 | 呈现垃圾邮件式投递特征 |
| 投递日志 | 部分 IP 被 spam.spamrats.com、Barracuda 等 DNSBL 拦截 | 随后换服务器重试 |
| 正常邮件 | Pangram 事务邮件走 Mailgun | 要和这批验证邮件区分 |
这里要谨慎一点:不能据此断言 Pangram 自己运营垃圾邮件网络。更稳妥的说法是,它的接口触发了某种第三方邮箱验证服务,而这个服务的行为非常像垃圾邮件投递网络。
荒谬点也很清楚:如果邮件送达,所谓验证就是向用户发了一封垃圾邮件;如果用户邮箱做了内容过滤,邮件被拦截,验证又会失效。
这不是聪明,是绕远路摔了一跤。
懒惰工程,最爱假装自己很聪明
邮箱验证本来有一条朴素路线:发确认链接,让用户点。能点,就证明这个地址归他控制。点不了,也不用提前替他做复杂判断。
可增长团队和风控团队常常不甘心。他们想在注册前就知道:这个邮箱像不像一次性邮箱?会不会退信?是不是高风险?这类需求不是原罪。问题在手段。
用垃圾邮件式投递来做验证,本质上是把成本外包给整个邮件生态。
你的产品想降低无效注册率,于是让别人的反垃圾系统替你承压;你想提高表单转化,于是让用户先收到一封莫名其妙的信;你想规避退信,于是制造更像垃圾邮件的行为。
“天下熙熙,皆为利来。”这句话放在这里不高级,但很准。很多看似技术方案的东西,背后只是激励设计:指标要漂亮,责任要模糊,脏活最好由第三方 SaaS 干。
这也是我最不买账的地方。真正成熟的反滥用系统,会尽量少打扰正常用户;拙劣系统则相反,它用污染来换确定性。
邮件系统的历史很像早期报业和电话营销:只要投递成本足够低,总有人愿意把公共通道当自家漏斗。后来反垃圾规则、信誉系统、黑名单、发信域认证一点点长出来,不是因为大家忽然变文明了,而是因为滥用太便宜。
Pangram 这件事不一定规模很大,也未必造成严重后果。但它露出的思路很典型:把“能不能送达”误当成“应不应该发送”。
对做注册登录、增长转化和反滥用的人来说,这就是坑。邮箱校验可以做语法检查、MX 查询、一次性域名识别、风险评分;真要确认归属,就发明确的验证邮件,用自己的品牌、自己的发信信誉、自己的责任边界。
别让用户还没认识你,就先被你塞进垃圾箱。
开头那封 “Fact of the day” 邮件,像一个小事故。但它提醒的是一件老事:平台信任不是靠接口堆出来的,是靠每一次克制攒出来的。工程可以偷懒,信誉不会替你装傻。