CAN-SPAM Act: What It Requires and Why It Still Matters

CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography And Marketing Act) is a United States federal law signed on December 16, 2003 and enforced by the Federal Trade Commission (FTC). It applies to any electronic message whose primary purpose is commercial advertisement or promotion of a product or service. The law does not distinguish between B2B and B2C senders; it covers both. Penalties reach $51,744 per non-compliant message, and the FTC has pursued enforcement actions against companies of all sizes.

What the Law Covers

CAN-SPAM defines three categories of email. Commercial messages promote a product, service, or business opportunity. Transactional messages relate to an ongoing transaction: order confirmations, shipping notifications, password resets, account alerts. Everything else is relationship or personal correspondence.

Commercial messages must comply with all CAN-SPAM requirements. Transactional messages are exempt from most rules but still cannot contain false or misleading header information. When a message mixes commercial and transactional content, its classification depends on the primary purpose. If the subject line or body leads with a sales pitch, the entire message is treated as commercial.

Seven Core Requirements

1. Accurate header information. The From, To, Reply-To fields and routing data must correctly identify the person or business that sent the message. Forging headers is a separate violation under both CAN-SPAM and the Computer Fraud and Abuse Act.

2. Non-deceptive subject lines. The subject must reflect the actual content of the message. Writing "Your order has shipped" for a promotional email is a violation regardless of what follows in the body.

3. Identification as advertising. The message must disclose that it is an advertisement. The law does not prescribe a specific format, but the disclosure must be clear and conspicuous. A small-print line at the bottom is generally accepted by FTC guidance.

4. Physical postal address. Every commercial email must include a valid physical address of the sender. A P.O. box registered with the United States Postal Service or a commercial mail receiving agency qualifies.

5. A working opt-out mechanism. Each message must contain a clear, functional way for the recipient to stop receiving future commercial email from that sender. This can be an unsubscribe link, a reply-to address, or another automated method. The mechanism must remain active for at least 30 days after the message is sent.

6. Opt-out requests honored within 10 business days. Once a recipient opts out, the sender must stop emailing them within 10 business days. The sender cannot transfer or sell the opted-out address to another entity for email marketing purposes.

7. Responsibility for third-party actions. If you hire a vendor, an agency, or an ESP to send on your behalf, you remain legally responsible for CAN-SPAM compliance. Outsourcing the send does not outsource the liability.

Opt-Out vs Opt-In: The Central Design Choice

CAN-SPAM follows an opt-out model. A sender may contact a recipient without prior consent, provided the message meets all seven requirements and the sender honors any subsequent opt-out request. This contrasts sharply with GDPR in the European Union, CASL in Canada, and LGPD in Brazil, all of which require prior consent (opt-in) before a commercial message can be sent.

In practice this means that a cold email to a US-based address is legal under CAN-SPAM as long as it includes a working unsubscribe link, a physical address, accurate headers, and a truthful subject line. The same email sent to an EU-based address without prior consent would violate GDPR. Senders with international audiences need to follow the stricter standard.

Enforcement and Penalties

The FTC enforces CAN-SPAM at the federal level. State attorneys general can also bring actions under the law. Internet service providers have standing to sue violators in federal court.

Each non-compliant email is a separate violation, with fines up to $51,744 per message. A blast to 50,000 addresses with a missing unsubscribe link creates a theoretical exposure of over $2.5 billion. Courts have not applied maximums at that scale, but multi-million-dollar settlements are documented. In 2004, the FTC and the Department of Justice brought some of the earliest cases; enforcement continues to the present day.

Aggravating factors increase penalties: harvesting addresses from websites, generating random addresses with dictionary attacks, using automated tools to register for accounts in order to send commercial email. These can also trigger criminal prosecution under the law.

CAN-SPAM and Email Verification

The connection between CAN-SPAM compliance and email verification is direct. Sending to invalid addresses inflates bounce rates and draws attention from ISPs and filtering systems. A list full of dead addresses, recycled spam traps, or misspelled domains is a symptom of poor acquisition practices, which is exactly the kind of behavior that triggers regulatory scrutiny.

Regular list cleaning removes addresses that cannot receive mail, reducing bounces and keeping complaint rates low. Suppression lists, which CAN-SPAM effectively requires through its opt-out rules, must be maintained and deduplicated. Sending to an address on the suppression list is a violation, so the technical integrity of that list matters.

Common Mistakes

Using a no-reply@ sender address while providing no other opt-out mechanism. Hiding the unsubscribe link behind a login wall. Requiring the recipient to fill out a form or send a letter by post to opt out. All of these violate CAN-SPAM because they obstruct the opt-out process.

Sharing opted-out addresses with affiliates who then email them. The law prohibits transferring addresses for marketing after an opt-out request. Each affiliate email is a new violation attributable to the original sender.

Omitting the physical address entirely or using a fake one. This is straightforward to check and straightforward for regulators to prove.

CAN-SPAM Act: закон США о коммерческих email-рассылках

CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography And Marketing Act) - федеральный закон Соединённых Штатов, подписанный 16 декабря 2003 года. Исполнение контролирует Федеральная торговая комиссия (FTC). Закон распространяется на любое электронное сообщение, основная цель которого - коммерческая реклама или продвижение товара или услуги. Разницы между B2B и B2C нет: оба случая подпадают под действие закона. Штраф за каждое нарушающее письмо достигает $51 744.

Область действия

CAN-SPAM делит email на три категории. Коммерческие - реклама, акции, предложения товаров и услуг. Транзакционные - подтверждения заказов, уведомления о доставке, сброс пароля, оповещения по аккаунту. Всё остальное - личная переписка.

Коммерческие письма обязаны соответствовать всем требованиям CAN-SPAM. Транзакционные освобождены от большинства правил, но не от запрета на ложные заголовки. Если письмо содержит и рекламу, и транзакционную информацию, классификация определяется по основной цели. Тема или тело начинается с рекламы - значит, всё письмо считается коммерческим.

Семь основных требований

1. Честные заголовки. Поля From, To, Reply-To и данные маршрутизации должны точно идентифицировать отправителя. Подделка заголовков является отдельным нарушением CAN-SPAM и Computer Fraud and Abuse Act.

2. Правдивая тема. Строка Subject должна соответствовать содержанию. «Ваш заказ отправлен» в рекламном письме - нарушение, вне зависимости от содержимого тела.

3. Пометка как реклама. Сообщение должно содержать указание на рекламный характер. Конкретный формат законом не определён, но указание должно быть заметным. Строка мелким шрифтом внизу, как правило, принимается по рекомендациям FTC.

4. Физический почтовый адрес. В каждом коммерческом письме обязан быть действующий почтовый адрес отправителя. Абонентский ящик, зарегистрированный в USPS, допускается.

5. Работающий механизм отписки. Каждое письмо должно содержать понятный и функционирующий способ отказа от дальнейших рассылок. Ссылка, адрес для ответа, автоматизированный метод. Механизм обязан работать не менее 30 дней после отправки.

6. Отписка за 10 рабочих дней. После получения запроса на отписку отправитель обязан прекратить рассылку в течение 10 рабочих дней. Передавать или продавать адрес отписавшегося другим компаниям для маркетинга запрещено.

7. Ответственность за действия третьих лиц. Если рассылку ведёт подрядчик, агентство или ESP, юридическая ответственность остаётся на заказчике. Делегирование отправки не снимает обязательств по соблюдению закона.

Opt-out против opt-in

CAN-SPAM работает по модели opt-out. Отправитель может написать получателю без предварительного согласия, если сообщение соответствует всем семи требованиям и отправитель обрабатывает запросы на отписку. Это принципиально отличается от GDPR (Евросоюз), CASL (Канада) и LGPD (Бразилия), где требуется предварительное согласие (opt-in).

На практике это означает: холодное письмо на адрес в США легально по CAN-SPAM, если содержит ссылку отписки, физический адрес, корректные заголовки и правдивую тему. То же письмо на европейский адрес без предварительного согласия нарушает GDPR. При международной аудитории следует ориентироваться на более строгий стандарт.

Штрафы и правоприменение

Закон исполняет FTC на федеральном уровне. Генеральные прокуроры штатов также вправе подавать иски. Интернет-провайдеры имеют право обращаться в федеральный суд.

Каждое несоответствующее письмо - отдельное нарушение со штрафом до $51 744. Рассылка на 50 000 адресов без ссылки отписки теоретически создаёт ответственность на сумму свыше $2,5 млрд. На практике суды не применяют максимумы в таком масштабе, однако многомиллионные штрафы зафиксированы. Первые дела FTC и Министерства юстиции относятся к 2004 году; практика правоприменения продолжается.

Отягчающие обстоятельства увеличивают наказание: сбор адресов парсингом сайтов, генерация случайных адресов перебором, использование автоматических инструментов для массовой регистрации аккаунтов. Эти действия могут привести к уголовному преследованию.

CAN-SPAM и верификация email

Связь между соблюдением CAN-SPAM и верификацией email прямая. Отправка на невалидные адреса раздувает bounce rate и привлекает внимание ISP и систем фильтрации. Список, наполненный мёртвыми адресами, переработанными спам-ловушками и опечатками в доменах, - признак небрежного сбора базы, а это именно то поведение, которое привлекает внимание регуляторов.

Регулярная чистка базы удаляет адреса, которые не могут принять письмо, снижая bounces и удерживая complaint rate на низком уровне. Suppression-листы, которые CAN-SPAM фактически требует через правила opt-out, нуждаются в поддержке и дедупликации. Отправка на адрес из suppression-листа - нарушение, поэтому техническая целостность этого списка имеет значение.

Частые ошибки

Использование no-reply@ без альтернативного механизма отписки. Размещение ссылки отписки за стеной авторизации. Требование заполнить форму или отправить бумажное письмо для отказа от рассылки. Всё это нарушает CAN-SPAM, потому что создаёт препятствия для opt-out.

Передача адресов отписавшихся партнёрам, которые затем шлют им рассылки. Закон запрещает передавать адреса для маркетинга после запроса на отписку. Каждое письмо от партнёра - новое нарушение, ответственность за которое несёт первоначальный отправитель.

Полное отсутствие физического адреса или указание фиктивного. Это легко проверить и легко доказать.