Che cosa sono i voti tramite email?
Molti contest richiedono la conferma email prima di votare. Un utente inserisce un indirizzo email, il contest invia un link di conferma, e il votante clicca il link per attivare il voto.
I bot automatizzati bypass questo flusso ottenendo accesso alle mailbox usa-e-getta o provider sintetici, leggendo l’email di conferma, e cliccando il link automaticamente. Questo genera voti completamente verificati.
Il flusso di verifica email
Fase 1: Registrazione email
Il bot invia un indirizzo email al form del contest:
[email protected](indirizzo usa-e-getta)[email protected](provider forwarding)[email protected](account reale compromesso)
Il contest invia un email di conferma con un link univoco.
Fase 2: Cattura email
Il bot accede al provider email e recupera il messaggio in arrivo:
- Polling POP3/IMAP: Connetti al server mail, scarica messaggi
- API webhook: Provider di forwarding inviano email in tempo reale a un webhook del bot
- Scraping web: Bot accede al portale web di tempmail, estrae il corpo email
Il link di conferma è estratto dal corpo email (regex pattern matching).
Fase 3: Clic del link
Il bot segue il link di conferma tramite browser automatizzato (Puppeteer, Playwright). Il contest registra il clic, valida il link, e attiva il voto.
Un voto completato impiega 10–60 secondi.
Rilevamento di email sintetiche
Le piattaforme contest rilevano email fraudolente usando:
Blacklist di provider sintetici
Mantengono database di domini usa-e-getta noti (tempmail.io, guerrillamail.com, maildrop.cc). Un email da questi domini viene scartato automaticamente.
I provider che vendono voti tramite email usano:
- Whitelist bypass: Fornitori email con reputazione positiva registrati su Dmarc/SPF (difficile ma possibile)
- Dominio proprio: Gestiscono il loro dominio email (@customdomain.io) che non è yet blacklistato
Scansione MX record
Il contest esegue una query MX sul dominio email:
MX record for tempmail.io → "Temporary email provider"I provider seri usano domini front-end legittimi (es. piccoli provider email locali) come copertura, con infrastruttura backend dedicata.
Validazione SMTP
Il contest invia un email di test al dominio e controlla se il server accetta la consegna. I provider sintetici spesso rifiutano email sconosciute.
Soluzione: Usare dominio con SMTP aperto registrato legittimamente.
Validazione della reputazione IP
Se invii email da IP sconosciuto o con reputazione scarsa (molti precedenti spam), il contest le rifiuta.
Soluzione: Usare IP residenziale o ISP legittimo con buona reputazione.
Architettura di infrastruttura email
I provider esperti di voti tramite email mantengono:
Pool SMTP dedicato
Server SMTP proprietario/affittato con:
- IP residenziale o ISP legittimo (non data center)
- Dominio registrato legittimamente
- SPF/DKIM/DMARC configurati correttamente
- Reputazione IP integra (no spam history)
Mailbox backend
Decine di indirizzi email reali su piccoli provider email (es. local hosting, piccoli provider IMAP):
- Gmail, Outlook non funzionano (detection troppe volte)
- Provider email locali/piccoli (es. email hosting in Europa) sono meno monitorate
- Indirizzo email = indirizzo unico ogni voto
API webhook
Inoltri di email in tempo reale quando arriva un messaggio di conferma. Il bot riceve l’email entro 1 secondo e clicca il link automaticamente.
Browser automation
Puppeteer/Playwright per:
- Navigare il link di conferma
- Gestire cookie/session del contest
- Simulare click, scroll (per evitare detection)
- Scaricare pagina di conferma per proof
Rilevamento di bot nel flusso email
I contest rilevano bot osservando:
Velocità di clic
Se il link viene cliccato entro 3 secondi dall’invio email, è bot. Gli umani impiegano almeno 30 secondi (leggono l’email).
Soluzione: Delay casuale 30–120 secondi prima del clic.
Pattern di IP
Se 50 email di conferma da 50 indirizzi diversi vengono tutte cliccate dallo stesso IP, è bot.
Soluzione: Distribuisci clic su proxy residenziali diversi, non uno solo.
Browser fingerprint
Headless browsers (Puppeteer, Selenium) hanno fingerprint riconoscibili:
- Missing user-agent realistico
- WebGL/canvas renderer “fake”
- Nessun plugin Flash/Java
- Chrome user-agent su Linux (suspicious)
Soluzione: Usa Browserless.io o simile (cloud browser che appare reale) oppure header spoofing accurato.
Comportamento di sessione
Se il votante clicca il link di conferma ma non visita il sito del contest, non scrollscroll, non interagisce = bot.
Soluzione: Simulare comportamento: clic, scroll, pause, ritorno al sito.
Geo-targeting email
Molti contest limitano voti per paese. Email da IP estero vengono rifiutate o marcate come sospette.
I provider usano:
- Proxy residenziale geografico: IP reali da paesi target (es. Italia per contest italiano)
- Indirizzi email locali: @provider.it, @provider.de
- Geolocalizzazione di browser: Spoofing di timezone, lingua browser
Costi attuali (2026)
| Qualità email | Per voto | 100 voti | 500 voti |
|---|---|---|---|
| Usa-e-getta (grezzo) | $0.30–0.50 | $30–50 | $150–250 |
| Forwarding (medio) | $0.50–1.00 | $50–100 | $250–500 |
| Dominio custom (alto) | $1.00–2.50 | $100–250 | $500–1250 |
| Account reale (premium) | $2.00–5.00 | $200–500 | $1000–2500 |
Il costo include:
- Infrastruttura email (server SMTP, mailbox backend)
- Proxy residenziale (matching IP tra clic e voto)
- Browser automation (Puppeteer, header spoofing)
- Delay simulation (non-linear, realistic pacing)
Valutare un provider email
Quando scegli un provider di voti tramite email:
-
Infrastruttura: Hanno server SMTP proprio o affittano? Server proprietario = migliore.
-
Reputazione IP: Chiedono l’IP che useranno? Controlla su MXToolbox o AbuseIPDB per spam history.
-
Delay di clic: Garantiscono delay casuali > 30 secondi? Clic istantanei = rilevamento.
-
Geo-matching: Possono clicare da IP geograficamente coerente?
-
Proof di clic: Ti mostrano screenshot di email ricevuta e link cliccato?
-
Success rate garantito: Quanti voti falliscono? Rimborsi su fallimenti?
Difese per organizzatori
Se usi email come filtro anti-bot:
- Rate limit email: Max 1 email per IP/ora
- Timeout di clic: Il link di conferma scade dopo 2 ore (non 24)
- Re-invio limite: Max 3 re-invii per indirizzo email
- Pattern detection: Se 50 email da 50 indirizzi diversi vengono tutte cliccate da 1 IP in 1 ora, vota sospetti
- Whitelisting email provider: Accetta solo gmail.com, outlook.com, provider legittimi locali
- Domain validation: Scansione MX record in tempo reale; rifiuta provider sintetici noti
Conformità GDPR/CAN-SPAM
AVVERTENZA: Inviare email di conferma fake o a indirizzi non consensuali viola GDPR (Art. 6) e CAN-SPAM (15 USC 7702).
Se gestisci un contest e ricevi segnalazioni di email fraudolente, documentale e considera di richiedere ID verificato per voti futuri.
Conclusione
I voti tramite email variano da $0.30–5.00 per voto a seconda della qualità dell’indirizzo email e dell’infrastruttura. Nel 2026, la qualità media è “Forwarding” (email forwarding provider, costo $0.50–1.00).
I provider seri usano infrastruttura SMTP proprietaria, proxy residenziale geografico, e delay simulation per bypassare detection. Se il tuo contest ha requisito email, aspettati che circa il 20–40% dei voti “verificati” possa essere fraudolento.
