eine gute Alternative zu E-Mails mit BCC

In einem früheren Beitrag haben wir die Vor- und Nachteile der Verwendung von BCC-E-Mails erläutert,
siehe:„So versenden und begrenzen Sie BCC-E-Mails“.

In den Schlussfolgerungen haben wir unter anderem Folgendes festgestellt:

Verwenden Sie spezielle Apps für den Versand von Massen-E-Mails.
Die professionellen Systeme verfügen über einen Genehmigungsworkflow
und eine schrittweise Kontrolle;
sie sind darauf ausgelegt, Fehler zu vermeiden.

Zusammenfassung dieses Artikels:

• So funktioniert es
• GNU Mailman „Einweg“-Liste
• Ein kurzer Rückblick auf GNU Mailman
• VERP-Bounce-Management
• Ausrichtung der Absender- und E-Mail-Absenderadresse

So funktioniert es

E-Mail-Marketing-Plattformen können schwierig zu erlernen und zu betreuen sein (falls Sie diese Ihren Kunden zur Verfügung stellen).

Wir möchten Ihnen hier die Möglichkeit vorstellen, die Open-Source-Software „GNU Mailman“ für den Versand Ihrer Massen-E-Mails zu nutzen.
Dieser Vorschlag basiert auf unseren eigenen Erfahrungen mit der benutzerfreundlichen„Copymail App“.

Eine „One-Way“-Liste in Mailman ist eine Konfiguration für Newsletter oder Ankündigungen
, bei der nur autorisierte Moderatoren Beiträge veröffentlichen können und Mitglieder nicht auf der Liste antworten können.

So funktioniert es:

1. Der Nutzer sendet die Nachricht über seinen E-Mail-Client oder über das Webmail an die E-Mail-Adresse der Liste:
   Anschließend muss er den Versand bestätigen, woraufhin die Nachricht serverseitig an alle Abonnenten verteilt wird.

2. Das System verarbeitet automatisch Bounces (zurückgesendete E-Mails) und führt auf Wunsch die Abmeldung durch.
   Abonnements müssen manuell registriert werden.

3. Der Dienst ist äußerst zuverlässig und kann problemlos Tausende von Adressen verarbeiten.
   Der Versand erfolgt über RealSender oder andere SMTP-Server.

Zurück zum Anfang

GNU Mailman „Einweg“-Liste

GNU Mailman ist eine weit verbreitete Software, die von den meisten Internetdienstanbietern angeboten wird.
Im Internet gibt es einige Anleitungen, die erklären, wie man sie für Massenversendungen konfiguriert und nutzt:

• Mitglieder melden sich an, indem sie ein Formular auf Ihrer Website ausfüllen (und auf die Bestätigungs-E-Mail antworten)
• Sie erhalten eine Willkommensnachricht, in der nicht erwähnt wird, wie man Beiträge in der Liste veröffentlicht
• Sie erhalten Ihre Newsletter mit einer Fußzeile, die eine kurze Anleitung zum Abbestellen enthält
• Nur autorisierte Personen dürfen Beiträge in der Liste veröffentlichen (die Newsletter versenden)

Die wichtigste Quelle ist dieses Dokument, das auf zwei Beiträgen von Barry Warsaw in der Mailman-Users-Liste basiert:
Wie erstelle ich einen Newsletter, eine Ankündigung oder eine Einweg-Liste?

Der Text erläutert die wichtigsten Punkte im Detail:

• Wie erstellt man eine individuelle Begrüßungsnachricht und eine Seite mit Informationen zur Liste, ohne dabei zu erwähnen, wie man Beiträge in der Liste veröffentlicht?
• Wie lassen sich Passwortprobleme und Probleme beim Abmelden, mit denen man bei dieser Art von Liste häufig konfrontiert ist, minimieren?
• Wie kann man die Liste so einschränken, dass nur autorisierte Personen Beiträge verfassen können?
• So richten Sie eine Ankündigungsliste ein, um an eine Kontaktadresse zu antworten
• So postest du in der Ankündigungsliste

Ein weiterer Artikel der Stanford University erklärt, wie Mailman
genutzt werden kann, um eine Liste einzurichten, die ausschließlich für Ankündigungen gedacht ist:
So richten Sie eine „einseitige“ Liste nur für Ankündigungen oder einen Newsletter ein – Wissensartikel KB00010792

Zurück zum Anfang

Ein kurzer Rückblick auf GNU Mailman

Mailinglisten können entweder als Diskussionsforen oder als Ankündigungsplattformen dienen. Die Mailman-Software ist in Python geschrieben; vor ihrer Veröffentlichung nutzte die Python-Community Majordomo, einen auf Perl basierenden Mailinglisten-Manager.

Heute betreut Mark Sapiro den stabilen 2.1-Zweig,
, während sich Barry Warsaw auf die neue 3.X-Version konzentriert.

Zwei übergeordnete Grundsätze, die für den anhaltenden Erfolg von Mailman entscheidend sind:

• Keine Nachricht sollte jemals verloren gehen
• Eine Nachricht sollte niemals mehr als einmal übermittelt werden

In Mailman 2 haben die Entwickler das System zur Nachrichtenverarbeitung neu gestaltet, um sicherzustellen, dass diese beiden Grundsätze stets oberste Priorität haben. Dieser Teil des Systems ist nun seit mindestens einem Jahrzehnt stabil und einer der Hauptgründe dafür, dass Mailman heute so weit verbreitet ist.

Zurück zum Anfang

VERP-Bounce-Management

VERP steht für „Variable Envelope Return Path“. Es handelt sich um eine bekannte Technik, die Mailinglisten einsetzen, um Adressen von Empfängern, bei denen es zu Rückläufern kommt, eindeutig zu identifizieren. Wenn die Mailingliste einen Rückläufer erhält, kann sie entsprechende Maßnahmen ergreifen, beispielsweise die betreffende Adresse deaktivieren oder aus der Mitgliederliste entfernen.

Es gibt ein Standardformat für Rückmeldungen, das als „Zustellstatusbenachrichtigungen“ bezeichnet wird. Mailman nutzt eine Bibliothek, die Dutzende von Heuristiken für das Format von Rückmeldungen enthält, die alle im Laufe der zwanzigjährigen Geschichte von Mailman in der Praxis aufgetreten sind.

VERP nutzt eine Anforderung des grundlegenden SMTP-Protokolls aus, um eine eindeutige Erkennung von Bounce-Nachrichten zu gewährleisten, indem solche Bounce-Nachrichten an den Absender der Hülladresse zurückgesendet werden. Dies ist nicht die Von: Feld im Nachrichtentext, aber tatsächlich ist das E-MAIL VON Wert, der im SMTP-Dialog festgelegt wurde. Dieser Wert bleibt während des gesamten Zustellungsvorgangs erhalten, und der endgültige empfangende Mailserver ist gemäß den Standards verpflichtet, die Rückmeldungen an diese Adresse zu senden.

Wenn der Mailman-Server mylist@example.org, dann der VERP-kodierte Absender einer E-Mail, die an eine Mailingliste gesendet wurde anne@example.com lautet: mylist-bounce+anne=example.com@example.org. Zurückgewiesene E-Mails werden an die VERP-verschlüsselte Empfängeradresse gesendet. Mailman kann dann die An: Header, um den ursprünglichen Empfänger zu ermitteln anne@example.com

Die Verwendung von VERP setzt voraus, dass Mailman genau eine Kopie der Nachricht pro Empfänger versendet. VERP erfordert eine eindeutige E-MAIL VON für jeden Empfänger, und das geht nur, indem man eine eigene Kopie der Nachricht versendet. Dieser Ansatz trägt zudem dazu bei, dass die Nachricht nicht als Spam eingestuft wird.

Zurück zum Anfang

Ausrichtung der Absender- und E-Mail-Absenderadresse

Während der Testphase ist die Standardeinstellung „Copymail-AppBei der Konfiguration „“ wird eine von uns bereitgestellte Domain als E-Mail von Adresse (auch bekannt als Bounce-/Return-Path-/Envelope-Adresse), an die zurückgewiesene E-Mails zurückgeschickt werden. Diese E-Mail von Die Domain unterscheidet sich von der Von Absenderadresse (die für die Empfänger sichtbare Adresse des Absenders).

Bevor das System in Betrieb genommen wird, müssen einige Änderungen am DNS vorgenommen werden, um die mit dem Von Domain. Die neuesten E-Mail-Standards ermöglichen es Ihnen, authentifizierte E-Mails unter Verwendung einer Subdomain als E-Mail von Adresse (zum Beispiel, email.deine-E-Mail-Domain.com), wobei die Basisdomain weiterhin als Von/Absender Adresse (zum Beispiel, info@youremaildomain.com). Weitere Einzelheiten finden Sie in der E-Mail-Authentifizierung – Erweitert Seite.

Die gleiche Situation kann auch in anderen Umgebungen auftreten. Wir empfehlen Ihnen, dies bei Ihrem Internetanbieter zu überprüfen.

Zurück zum Anfang

Reverse-Proxy für SMTP-Server

Die wichtigsten Vorteile:

• Sicherheit Es kann böswillige Anfragen blockieren, den Datenverkehr verschlüsseln,
  und Backend-Server vor direkten Angriffen schützen.
• Leistung Es verteilt den eingehenden Datenverkehr auf mehrere Server, wodurch eine Überlastung
  eines einzelnen Servers verhindert und eine höhere Verfügbarkeit gewährleistet wird.
• Skalierbarkeit Damit können Sie Backend-Server ohne Unterbrechung des Dienstes hinzufügen oder entfernen,
  wodurch Sie in der Lage sind, steigendes Datenaufkommen zu bewältigen.

HTTP-only-Reverse-Proxy (Layer 7)

Im Internet stehen verschiedene Tools zur Verfügung; nach eingehender Recherche haben wir zunächst diejenigen ausgeschlossen, die nur das HTTP-Protokoll (Schicht 7) unterstützen:

KEIN Apache-
„Oh je. Nehmen Sie sich einen Moment Zeit, um sich mit den Technologien vertraut zu machen, mit denen Sie arbeiten. E-Mails nutzen SMTP. Apache nutzt HTTP. Apache hat absolut keine Ahnung von SMTP. Wenn Sie mit E-Mail-Nachrichten arbeiten möchten, benötigen Sie eine Technologie, die SMTP versteht.“ – EEAA, kommentiert am 18. August 2016 um 2:49 Uhr

NEIN Caddy
„Caddy kann kein TCP-Proxy sein, sondern nur HTTP über TCP. Verwenden Sie einen Reverse-Proxy, der TCP-Proxy unterstützt, wie Traefik, Nginx oder haproxy, oder nutzen Sie dieses experimentelle Plugin.“ – ElevenNotes, kommentiert am 24. September 2024

Wir haben uns dann auf die drei in den Kommentaren empfohlenen Lösungen konzentriert: „Traefik, NginX oder HAProxy“, und sie nacheinander installiert und getestet.

Traefik war die erste Wahl.

Die meisten Anleitungen begannen mit Docker, einer Plattform, die ich vermeiden und stattdessen eine einfache Lösung wählen wollte, möglicherweise basierend auf einem der Linux-Paketmanager, wie beispielsweise YUM für RPM-basierte Distributionen wie Fedora und CentOS, oder APT (Advanced Package Tool), das bei Debian-basierten Distributionen wie Ubuntu und Debian zum Einsatz kommt.

Nach langer Suche sind wir auf diesen aktuellen Artikel gestoßen, der genau die Art der Installation beschreibt, nach der wir gesucht haben: Traefik als systemd-Dienst einrichten.

Ein Hinweis: Sie müssen die SELinux-Einstellungen von „Enforcing“ auf „Permissive“ ändern.

Nachdem wir erneut zwei Kurse auf Udemy ausprobiert hatten, stießen wir auf diesen hervorragenden Kurs: Traefik Crash Course (ohne Docker) Es gelang uns, das Tool zum Laufen zu bringen, indem wir die bereitgestellten Beispiele nachstellten. Gegen Ende des Videos äußerte der hervorragende Kursleiter seine völlige Ablehnung gegenüber diesem Tool: Traefik Crash Course – 53:50 Zusammenfassung.
Dies hielt uns von weiteren Tests ab, sodass wir uns entschlossen, etwas anderes auszuprobieren.

NginX war die zweite Wahl

In diesem Fall war die Installation einfacher, kurz gesagt mit YUM:
yum install epel-release nginx nginx-mod-stream nginx-mod-mail
Hinweis: In SELinux müssen Sie „relay“ aktivieren:
setsebool -P httpd_can_network_relay 1

Für die Schulung sind wir auf Nummer sicher gegangen und haben denselben Dozenten wie beim letzten Kurs engagiert: NginX-Crashkurs (der erste Teil endet nach etwa einer Stunde und zwanzig Minuten). Auch der Kursleiter ist von dieser Anwendung NICHT überzeugt, insbesondere von der Tatsache, dass sie sowohl als Webserver als auch als Reverse-Proxy fungiert: NginX-Crashkurs – 1:20:10 Zusammenfassung.
Der Bericht endet mit den Worten „Ich würde HAProxy gegenüber NginX vorziehen“, also haben wir beschlossen, auch HAProxy auszuprobieren.

Schließlich haben wir auch HAProxy ausprobiert.

Die Installation war kinderleicht, da es sich um eine sehr verbreitete Anwendung handelt, die in allen Linux-Paketmanagern verfügbar ist, zum Beispiel: yum install haproxy

Wir haben auch unseren bewährten Kursleiter zu Rate gezogen: HAProxy-Crashkurs.

Es funktioniert zwar, ist aber leider NICHT für die SMTP-Authentifizierung geeignet:
„Es ist nicht möglich, HAProxy auf diese Weise zu konfigurieren, da HAProxy SMTP überhaupt nicht unterstützt.“
– lukastribus, kommentiert am 17. August 2023

Ein Standard-SMTP-Server als Reverse-Proxy

Nach zwei Wochen Testphase haben wir festgestellt, dass
es besser ist, einen Standard-SMTP-Server als Reverse-Proxy für andere SMTP-Server zu verwenden.

Es erfüllt seinen Zweck, nutzt ausschließlich das SMTP-Protokoll, authentifiziert Verbindungen ordnungsgemäß,
und kann Anfragen über die „smarhost“-Funktion an andere SMTP-Server weiterleiten.

In Postfix, in der Datei „main.cf“, wie folgt:
relayhost = [smarthost_address]:port

In Sendmail, in der Datei „sendmail.mc“, wie folgt
define(`SMART_HOST',`mail.example.com')

Zurück zum Anfang

So extrahieren Sie E-Mail-Adressen

Manchmal haben Sie Daten von Ihrer Website oder Ihrer Unternehmenssoftware exportiert
, die Bestellinformationen oder Kundendaten enthalten.
Möglicherweise benötigten Sie nur die E-Mail-Adresse und das Bestelldatum.

Eine Möglichkeit besteht darin, alle Daten in Excel zu importieren, die unerwünschten Spalten zu löschen
und die verbleibenden zu exportieren.

This may not work well if the email field also contains the email address description,
for example: “Dave Martin <davemartin@bogusemail.com>”.

Es kann mühsam sein, wenn man die Aufgabe mehrmals wiederholen muss
oder wenn man alle Schritte jemand anderem erklären muss.

Extrahieren Sie die gewünschten Daten mithilfe von „regex“

Ein regulärer Ausdruck (kurz „regex“ oder „regexp“ genannt),
ist eine Zeichenfolge, die ein Muster angibt, nach dem im Text gesucht wird.

Ein ganz einfacher Fall ist es, ein Wort, das auf zwei verschiedene Arten geschrieben wird, in einem Texteditor zu finden,
der reguläre Ausdruck seriali[sz]e passt sowohl auf „serialise“ als auch auf „serialize“.

Eine komplexere Situation stellt die Syntax zur Identifizierung im Text dar

• eine E-Mail-Adresse:
  [a-zA-Z0-9._-]+@[a-zA-Z0-9._-]+\.[a-zA-Z0-9_-]+
  Quelle: Stack Overflow – E-Mail-Adressen mit regulären Ausdrücken aus Zeichenfolgen extrahieren

• ein Datum:
  \d{4}-\d{2}-\d{1,2}
  Quelle: Stack Overflow – Regulärer Ausdruck zum Extrahieren eines Datums aus einer Zeichenfolge

Tutorial zu regulären Ausdrücken (Regex)

Empfohlenes YouTube-Video
„38 Minuten, die sich gelohnt haben, das war es absolut wert “:

So finden Sie beliebige Textmuster
(ab Minute 25 wird die Syntax zum Extrahieren von E-Mail-Adressen erklärt)

Spickzettel zur Verwendung regulärer Ausdrücke

RegExr-Online-Tool

Reguläre Ausdrücke werden in der Regel
in fortgeschrittenen Texteditoren wie Notepad++ oder Atom unterstützt.

Es stehen auch kostenlose Online-Tools zur Verfügung, darunter:
https://regexr.com – ein Online-Dienst zum Erlernen, Erstellen und Testen regulärer Ausdrücke.

Erläuterung der Weboberfläche:
„Expression“ ist das Feld, in das die Regex-Syntax eingegeben wird.
„Text“ ist der Inhalt, den Sie analysieren möchten.
Unter „Tools > List“ werden die Ergebnisse der Extraktion angezeigt.

Beispiel 1: Um nur die E-Mail-Adresse zu extrahieren

Ausdruck:
[a-zA-Z0-9._-]+@[a-zA-Z0-9._-]+\.[a-zA-Z0-9_-]+

Text:

Dave Martin
615-555-7164
173 Main St., Springfield RI 55924
davemartin@bogusemail.com

Charles Harris
800-555-5669
969 High St., Atlantis VA 34075
charlesharris@bogusemail.com

Eric Williams
560-555-5153
806 1st St., Faketown AK 86847
laurawilliams@bogusemail.com

Extras > Liste:
$&\n

Ergebnis:

davemartin@bogusemail.com
charlesharris@bogusemail.com
laurawilliams@bogusemail.com

Beispiel 2: Um die E-Mail-Adresse und das Datum zu extrahieren

Ausdruck:
","(.*?)([a-zA-Z0-9._-]+@[a-zA-Z0-9._-]+\.[a-zA-Z0-9_-]+)(.*?)",".*",(\d{2}\.\d{2}\.\d{4})

Text:

"lorem ipsum dolor sit amet","Robert Farrell <rmfarrell@bogusemail.com>","",02.01.2024, ,5379,
"consectetur adipiscing elit","""Mesa, Rene <rmesa@bogusemail.com>""","",04.01.2024, ,20826,
"sed do eiusmod tempor incididunt","Antonio Bugan <antonio@bogusemail.com>","",04.01.2024, ,2856,
"ut labore et dolore magna aliqua","Crawley Down Tennis Club <hello@bogusemail.com>","",05.01.2024, ,4453,

Extras > Liste:
$2,$4\n

Ergebnis:

rmfarrell@bogusemail.com,02.01.2024
rmesa@bogusemail.com,04.01.2024
antonio@bogusemail.com,04.01.2024
hello@bogusemail.com,05.01.2024

Spickzettel zur Verwendung regulärer Ausdrücke

.       - Any Character Except New Line
\d      - Digit (0-9)
\D      - Not a Digit (0-9)
\w      - Word Character (a-z, A-Z, 0-9, _)
\W      - Not a Word Character
\s      - Whitespace (space, tab, newline)
\S      - Not Whitespace (space, tab, newline)

\b      - Word Boundary
\B      - Not a Word Boundary
^       - Beginning of a String
$       - End of a String

[]      - Matches Characters in brackets
[^ ]    - Matches Characters NOT in brackets
|       - Either Or
( )     - Group

Quantifiers:
*       - 0 or More
+       - 1 or More
?       - 0 or One
{3}     - Exact Number
{3,4}   - Range of Numbers (Minimum, Maximum)

Quelle: GitHub-Codeausschnitte

Zurück zum Anfang

So schützen Sie „NO-MAIL“-Domains

Die meisten Unternehmen und öffentlichen Einrichtungen registrieren mehrere Domainnamen.
Unternehmen erwerben oft mehr als eine Domain, um sich gegen Nutzerfehler abzusichern und ihre Marken zu schützen.
In anderen Fällen dienen sie dazu, Veranstaltungen oder Projekte zu bewerben, die besondere Aufmerksamkeit verdienen.

Die Zahlen können bei einer einzelnen Aktivität von einigen Dutzend Domains bis zu mehreren Hundert variieren.
Sie reichen von etwa zweihundert in einer Stadtverwaltung einer Großstadt bis hin zu Tausenden bei Ferrari und Goldman Sachs.

Die Zahlen sind geradezu atemberaubend, wenn man die Gesamtzahl der registrierten Domains betrachtet:
Laut Verisign belief sich diese Zahl Ende 2022 auf 350 Millionen Domainnamen.

Viele dieser Domains dienen lediglich als „Visitenkarte“. Auf der Website sind keine E-Mail-Adressen angegeben.
Kontaktanfragen werden in der Regel auf auszufüllende Formulare oder auf Social-Media-Kanäle weitergeleitet.

Die Verwaltung von E-Mail-Versendungen mit den erforderlichen Authentifizierungsverfahren (SPF, DKIM, DMARC usw.) wird immer komplexer.
Aus diesem Grund wird in der Regel nur eine einzige Domain tatsächlich für die offizielle externe Kommunikation per E-Mail genutzt.

Der Gedanke, die eigene Online-Präsenz zu schützen, kann sich jedoch als zweischneidiges Schwert erweisen.
Falsch konfigurierte „Showcase-Domains“ können von böswilligen Akteuren leicht ausgenutzt werden.

Oft nutzen sie den bekannten Namen des Absenders aus, um das Vertrauen der Empfänger zu gewinnen und sie dazu zu bewegen,
vertrauliche Informationen preiszugeben oder Links und Anhänge zu öffnen.

Die Empfänger laufen Gefahr, die Sicherheit ihrer Systeme zu gefährden,
wodurch Banden digitaler Krimineller Zugriff von außen erhalten.

Die oben erwähnten komplexen Authentifizierungssysteme haben auch ihre positiven Seiten.
Das DMARC-Protokoll wurde entwickelt, um gegen gefälschte E-Mails vorzugehen,
und zu verhindern, dass unbefugte Personen oder Organisationen sich als unsere Absender ausgeben.

Mit einer schnellen Einrichtung können Sie angeben, dass eine bestimmte Domain NICHT in Gebrauch ist,
und Empfänger warnen, E-Mails von dieser Domain abzulehnen.
Es reicht aus, einen Eintrag (eine einzelne Zeile) mit folgendem Hinweis in das DNS der Domain einzufügen:

_dmarc.yourdomain.com. TXT "v=DMARC1; p=reject"

Ob diese Regel gilt, hängt vom System ab, das die Nachrichten empfängt.
Die gute Nachricht ist, dass das DMARC-Protokoll seit März 2015 ein anerkannter IETF-Standard ist.
Die meisten Online-E-Mail-Dienste setzen es ein, um ihre Nutzer zu schützen.

Nachrichten von „NO-MAIL“-Domains werden automatisch zurückgewiesen.

Auf diese Weise schützen Sie Ihr Unternehmen nicht nur vor Missbrauch, sondern verhindern auch, dass „alte“ Domains wie
, die nicht mehr zum Versenden von E-Mails berechtigt oder authentifiziert sind, versehentlich verwendet werden.

Warum nutzen Unternehmen SMS?

Das Problem: ungelesene E-Mails, unbeantwortete Anrufe

Im E-Mail-Posteingang herrscht ein reger Wettbewerb um die Aufmerksamkeit der Verbraucher,
was es für Unternehmen umso schwieriger macht, von ihren Kunden und Interessenten wahrgenommen zu werden.

Es wird immer schwieriger, jemanden dazu zu bringen, eine wichtige E-Mail zu lesen (oder ihn überhaupt ans Telefon zu bekommen)
.

48 % der Verbraucher haben mehr als 50 ungelesene Nachrichten in ihrem Posteingang.
Die meisten Verbraucher verzichten darauf, ungelesene Nachrichten zu löschen, sodass sich die E-Mails immer weiter stapeln.
– Quelle: ZipWhip „Warum Ihre Kunden Ihre E-Mails nicht mehr lesen“ (PDF, 15 MB)

Manche Updates sind dringend und können von entscheidender Bedeutung sein. Der Versand per E-Mail birgt das Risiko
, dass die Nachricht nicht gelesen wird oder im Spam-Ordner landet.

Auf die Frage „Wie viele E-Mail-Konten haben Sie?“ antworteten 77 % mit „zwei oder mehr“.
In der Regel ist auf dem Smartphone nur eines davon eingerichtet.

Es kommt immer häufiger vor, dass man Kunden anruft und KEINE Antwort erhält
oder dass der Anruf auf die Voicemail umgeleitet wird
.

97 % der Verbraucher geben zu, Anrufe von Unternehmen und unbekannten Nummern zu ignorieren.
– Quelle: ZipWhip „Warum Ihre Kunden nicht mehr ans Telefon gehen “ (PDF, 15 MB)

Die Lösung: Schreib mir eine SMS

Durch Covid-19 hat die Nutzung elektronischer Geräte zugenommen,
64 % der Befragten gaben an: „Ich verbringe mehr Zeit mit meinem Handy“.

58 % der Verbraucher geben an, dass SMS für Unternehmen der effektivste Weg ist, sie schnell zu erreichen.
– Quelle: ZipWhip State of Texting 2021 (PDF, 21 MB)

Selbst im E-Commerce, wo für die Registrierung normalerweise eine E-Mail-Adresse erforderlich ist,
bieten einige große Unternehmen, darunter Amazon, die Möglichkeit, sich über die Handynummer zu registrieren.

Die Erklärung: fünf gute Gründe für SMS

1. Es ist unmittelbar
   SMS-Nachrichten werden fast immer gelesen, meist schon Sekunden nach dem Empfang.
   Die Öffnungsrate liegt bei über 95 % (von diesen 95 % erfolgen 90 % innerhalb von drei Minuten nach Zustellung).
   SMS-Nachrichten sind kurz und prägnant, die Kommunikation ist auf das Wesentliche beschränkt und erfolgt unmittelbar.

2. Es ist ganz einfach:
   Sie benötigen keine Internetverbindung, um ihren Empfänger zu erreichen.
   So kann Ihre Marke Zielgruppen erreichen, die sich mit Technologie nicht so gut auskennen.
   Die Nutzung ähnelt der von Videoinhalten (schnell, unmittelbar, in 160 Zeichen zu vermitteln).

3. Es ist allgegenwärtig
   SMS ist mit jedem Mobiltelefon auf der Welt kompatibel, ohne dass neue Apps installiert werden müssen.
   Das Smartphone (oder ein Mobiltelefon der älteren Generation) ist wie der Geldbeutel und die Hausschlüssel immer griffbereit.
   Es bietet die Möglichkeit, über einen zuverlässigen Kanal mit einem Kunden zu interagieren, egal wo er sich gerade befindet.

4. Es ist günstig
   Das Versenden von SMS-Nachrichten ist kostengünstig.
   Die durchschnittliche Länge der versendeten Nachrichten beträgt nicht mehr als 155 Zeichen (das Limit liegt bei 160 Zeichen pro Nachricht).
   Die Kombination von SMS mit Telefonaten oder E-Mails kann bei der Kommunikation mit Kunden Zeit sparen.

5. Es ist interaktiv
   Die Kommunikation erfolgt über einen „unbelasteten“ Kanal, sie wird nicht „aufgedrängt“ und wirkt nicht „aufdringlich“.
   SMS werden als wichtiger eingestuft, sie werden eher geöffnet und gelesen. Außerdem ist die Wahrscheinlichkeit höher, dass sie beantwortet werden.
   Die Sprache von Textnachrichten ist einfach und fördert die Interaktion. Die Antwortraten liegen bei bis zu 45 %.

Wie man mit zurückgesendeten E-Mails umgeht

Zurückgesendete E-Mails oder einfach „Bounces“ sind E-Mails, die automatisch
von einem MTA (Mail Transfer Agent) an den Absender gesendet werden,
um ihn darüber zu informieren, dass die Nachricht beim Empfänger NICHT korrekt angekommen ist

Der Betreff lautet in der Regel „Zurückgesendete E-Mail: Details siehe Transkript“.
Die erläuternden Informationen zur Fehlermeldung, bestehend aus einem Code mit einer Beschreibung, finden Sie im Text der E-Mail.

Der „Statuscode“ sollte eindeutig die Art des Fehlers angeben, der die Rückmeldung verursacht hat
, doch oft müssen die von den einzelnen E-Mail-Anbietern verwendeten Codes und Beschreibungen
analysiert und interpretiert werden, um den Bounce korrekt einzuordnen.

• Welche Risiken bestehen bei zurückgewiesenen E-Mails?
  • Man kann sie nicht ignorieren
  • Du solltest ihre Bedeutung verstehen
  • Du solltest wissen, wie die Behandlung von Bounces funktioniert
• Überprüfen Sie die Anzahl der Bounces
• Neue Trends bei der Bounce-Bearbeitung
• Statuscodes für zurückgewiesene Nachrichten

Welche Risiken bestehen bei zurückgewiesenen E-Mails?

Das Versenden von E-Mails an falsche oder inaktive Empfänger gilt als „Spam-Verhalten“.

Man kann sie nicht ignorieren

Wenn Sie den Rest Ihrer Liste erreichen möchten, sollten Sie am besten keine E-Mails mehr an den „schlechten“ Teil davon senden.
Manchmal wird dies als „Listenpflege“ bezeichnet.

Du solltest ihre Bedeutung verstehen

Es gibt drei Arten von Zustellstatusbenachrichtigungen (DSN): Erfolg – Die E-Mail wurde zugestellt (die Benachrichtigung wird nur gesendet, wenn der Absender dies wünscht)
Hard Bounce – Es ist ein permanenter Fehler aufgetreten
Soft Bounce – Es ist ein vorübergehender Fehler aufgetreten

Hard Bounce (Statuscode 5.XXX.XXX): Die E-Mail-Adresse hat einen permanenten Fehler generiert
wie z. B. „550 5.1.1 … Benutzer unbekannt“ oder „5.1.2 … Host unbekannt“
Ein permanenter Fehler bedeutet, dass Sie niemals wieder an diesen Empfänger senden sollten.
Eine einzige zurückgewiesene Nachricht sollte die Sperrung der E-Mail-Adresse auslösen.

Soft Bounce (Statuscode 4.XXX.XXX): Die E-Mail-Adresse hat einen vorübergehenden Fehler verursacht
wie z. B. „452 4.2.2 … Postfach voll“
Ein vorübergehender Fehler bedeutet, dass Sie die Zustellung zu einem späteren Zeitpunkt erneut versuchen können.
Mindestens drei zurückgewiesene Nachrichten innerhalb weniger Tage sollten die Sperrung der E-Mail-Adresse auslösen.

Du solltest wissen, wie die Behandlung von Bounces funktioniert (und wie man sie anpassen kann)

• Alle zurückgesendeten Nachrichten werden von einer Anwendung heruntergeladen
  sie werden zur Überprüfung durch den Nutzer bereitgestellt, entweder über die App-Oberfläche oder über eine JSON-Datei
  
  
  
• Die Klassifizierung folgt bestimmten Regeln, die bearbeitet werden können
  
  
  
• Die Optionen legen fest, wann Soft-Bounces zu Hard-Bounces „hochgestuft“ werden
  
  

» Zurück zum Anfang

Überprüfen Sie die Anzahl der Bounces

Manchmal kann ein Konfigurationsfehler sowohl auf der Seite des Absenders als auch auf der Seite des Empfängers
zu einem Soft-Bounce oder sogar zu einem Hard-Bounce führen.

Es empfiehlt sich, regelmäßig die Anzahl der in der letzten Woche zurückgesendeten Nachrichten unter
zu überprüfen, um festzustellen, ob die Werte unverändert geblieben sind oder ob Abweichungen vorliegen.
Sollte etwas nicht stimmen, werden Sie dies sofort bemerken. Ein Blick auf die Details der Rückläufer hilft Ihnen dabei, die Ursache zu ermitteln.

Bei einigen Systemen können Sie die Anzahl der Tage (z. B. 180) festlegen,
nach deren Ablauf die Bounce-Informationen eines Abonnenten gelöscht werden.
Auf diese Weise versucht der SMTP-Server, den Empfänger erneut zu kontaktieren.

Versehentlich aktivierte Sperren werden automatisch aufgehoben
, doch die Reputation des SMTP-Servers kann darunter leiden.

» Zurück zum Anfang

Neue Trends bei der Bounce-Bearbeitung

Kurz gesagt: Vorbeugen ist besser als heilen.

Um Rufschädigungen ihrer SMTP-Server zu vermeiden,
nutzen immer mehr ESPs (E-Mail-Dienstleister) eine„E-Mail-Sperrliste“
, die greift, bevor die Nachrichten das Postfach des Empfängers erreichen.

Wenn ein Kunde eine E-Mail sendet, die zu einem Hard Bounce führt,
wird die E-Mail-Adresse, die den Bounce verursacht hat, zur Sperrliste hinzugefügt.

Die Sperrliste gilt für alle Kunden. Mit anderen Worten:
Wenn ein anderer Kunde versucht, eine E-Mail an eine Adresse zu senden, die auf der Sperrliste steht,
wird diese vom SMTP-Server nicht versendet, da die E-Mail-Adresse gesperrt ist.

Durch die Verwendung von SMTP-Servern mit dedizierter IP-Adresse lassen sich einige Probleme im Zusammenhang mit der gemeinsamen Nutzung von Reputationswerten vermeiden.
So kann beispielsweise die „E-Mail-Sperrliste“ ausschließlich auf Ihre IP-Adresse beschränkt werden,
sodass Ihre Mailings nicht beeinträchtigt werden, falls ein anderer Kunde eine Sperrung des SMTP-Servers und die damit verbundenen Bounce-Meldungen verursacht,
.

» Zurück zum Anfang

Statuscodes für zurückgewiesene Nachrichten

Statuscodes zur Kennzeichnung von Hard Bounces und Soft Bounces haben folgende Syntax:
status-code = class „.“ subject „.“ detail

Statuscodes bestehen aus drei durch „.“ getrennten Ziffernfeldern

• Der erste Teilcode (Klasse) gibt an, ob der Versuch, die Daten zu verteilen, erfolgreich war
• Der zweite Untercode (Thema) gibt die wahrscheinliche Ursache für etwaige Lieferabweichungen an
• Der dritte Untercode (Detail) weist auf einen bestimmten Fehlerzustand hin

Der Untercode (Klasse) dient der allgemeinen Klassifizierung des Status.
Die für jede Klasse aufgeführten Werte sind in den RFC 3463 und RFC 6522 wie folgt definiert:

2.XXX.XXX Erfolg (wird nur auf Anfrage des Absenders gesendet)
„Erfolg“ gibt an, dass die DSN eine erfolgreiche Zustellung meldet. 
Detaillierte Untercodes können Hinweise auf für die Zustellung erforderliche Anpassungen enthalten.

4.XXX.XXX Anhaltender vorübergehender Fehler
Ein anhaltender vorübergehender Fehler liegt vor, wenn die gesendete Nachricht zwar gültig ist, 
aber das Fortbestehen einer vorübergehenden Situation dazu geführt hat, dass der Versuch, die Nachricht zu versenden, abgebrochen oder verzögert wurde. 
Wenn dieser Code mit einem Zustellungsfehlerbericht einhergeht, kann der Versand in Zukunft erfolgreich sein.

5.XXX.XXX Dauerhafter Fehler
Ein dauerhafter Fehler ist ein Fehler, der durch erneutes Senden der Nachricht in der aktuellen Form wahrscheinlich nicht behoben werden kann. 
Für eine erfolgreiche Zustellung müssen Änderungen an der Nachricht oder am Zielort vorgenommen werden.

Einige Beispiele für Code und Beschreibungen:

2.0.0: Gesendet (Nachricht zur Zustellung angenommen)

4.2.2: Kontingent überschritten
4.4.5: Nicht genügend Speicherplatz

5.0.0: Ungültiger Domänenname
5.1.1: Benutzer unbekannt
5.7.1: Inhalt der Nachricht abgelehnt

» Zurück zum Anfang

Wie kann ich überprüfen, ob mein SMTP sicher ist?

Angesichts der steigenden Zahl von Ransomware-Angriffen in den 2020er Jahren
– ist E-Mail, unser wichtigster Kommunikationskanal im Internet, noch sicher?

SMTP-Server sind eine besonders sensible Infrastruktur.
Sie können in unserem Namen E-Mail-Nachrichten versenden,
die unsere Empfänger als von vertrauenswürdigen Absendern stammend anerkennen,
da sie vom sendenden Server korrekt authentifiziert werden.

SMTP-Server sind eine besonders sensible Infrastruktur.
Sie versenden in unserem Namen E-Mail-Nachrichten,
die unsere Empfänger als von vertrauenswürdigen Absendern stammend anerkennen,
da sie vom SMTP-Server des Absenders ordnungsgemäß authentifiziert werden.

Was passiert, wenn jemand anderes Ihren SMTP-Server nutzt?
Wie kann ich überprüfen, ob mein SMTP-Server sicher ist?

Die Nutzung sensibler Infrastrukturen im Internet
erfordert ein hohes Maß an Schutz, um Missbrauch zu verhindern.

Wenn Sie versuchen, Nachrichten über smtp.gmail.com
zu versenden, werden Sie blockiert und erhalten folgende „kritische Sicherheitswarnung“:

Weniger sichere App blockiert  
Google hat die App, die Sie nutzen wollten, blockiert, 
da sie unseren Sicherheitsstandards nicht entspricht. [...]

Die einzige Alternative ist die Verwendung von OAuth2, einem Protokoll, bei dem keine Passwortdaten weitergegeben werden
sondern stattdessen Autorisierungstoken zum Identitätsnachweis verwendet werden.

Die am häufigsten verwendeten Mailserver im Internet (Stand: August 2021) sind:
Exim (58 %), Postfix (35 %), Sendmail (4 %)

Um Ihren eigenen Mailserver
weiterhin nutzen zu können und das Risiko eines Hackerangriffs zu verringern, sollten Sie folgende Mindestanforderungen überprüfen:

1. Es werden nur sichere Authentifizierungs
   akzeptiert. Benutzername und Passwort müssen über sichere Verbindungen übertragen werden,
   in der Regel Port 587+TLS oder Port 25+TLS oder Port 465+SSL
   Die Übertragung sensibler Daten im Klartext ist deaktiviert.

2. Die „Mail-From“-Adresse (der Absender) muss überprüft werden:
   Nur von Ihnen autorisierte Absender werden zugelassen

3. Konfigurieren Sie Fail2ban so, dass alle externen Angriffe blockiert werden
   , um Versuche zu verhindern, Ihre Sicherheitsvorkehrungen zu umgehen.
   Insbesondere sollte Fail2ban alle wiederholten Versuche blockieren:

• sich mit einem falschen Benutzernamen oder Passwort anzumelden
• um E-Mails mit einem nicht autorisierten Absender zu versenden
• die SMTP-Verbindung während des Authentifizierungsprozesses zu unterbrechen
  (mehrere unterbrochene Verbindungen führen dazu, dass der SMTP-Dienst für berechtigte Benutzer nicht mehr verfügbar ist)

Die Sperre tritt in der Regel nach drei bis zehn Versuchen ein
und sperrt die Quell-IP für drei bis vierundzwanzig Stunden.

Es ist ganz einfach, diese Punkte zu überprüfen und zu entscheiden, ob
Ihre SMTP-Infrastruktur eine Sicherheitsaktualisierung benötigt.

Fail2ban schützt Ihren Server vor Brute-Force- und DDoS-Angriffen.
Das funktioniert so, als würde ein Fremder an die Tür klopfen,
und nach einer bestimmten Anzahl von Schlägen verschwindet die Tür.

Ein Erfahrungsbericht von Hacker News:

Ich betreibe seit mehreren Jahren meinen eigenen Mailserver und ich glaube, viele andere hier 
nutzen Lösungen wie Mail-in-a-box, mailcow, Mailu usw.

Bis zur Corona-Pandemie hatte ich nie größere Probleme mit meinem Mailserver, aber in den letzten Wochen 
hatte ich sehr hohen eingehenden Datenverkehr – das war zu viel für meinen Server und ich musste ihn jedes Mal manuell neu starten ...

[...] Edit: Ich habe meine Fail2ban-Einstellungen geändert und festgestellt, dass ich hauptsächlich Ziel 
von Brute-Force-Angriffen war, gegen die ich mich mit Tools wie Fail2ban schützen können sollte

Fail2ban ist eine Anwendung zur Protokollauswertung, die Systemprotokolle
auf Anzeichen eines automatisierten Angriffs überwacht.

Wenn anhand der definierten Parameter ein Missbrauchsversuch erkannt wird,
fügt Fail2ban der Firewall (iptables oder firewalld) eine neue Regel hinzu
, um die IP-Adresse des Angreifers entweder für einen festgelegten Zeitraum oder dauerhaft zu sperren.
Fail2ban kann Sie zudem per E-Mail darüber informieren, dass ein Angriff stattfindet.

Fail2ban konzentriert sich in erster Linie auf SSH-Angriffe, kann jedoch unter
so konfiguriert werden, dass es für jeden Dienst funktioniert, der Protokolldateien verwendet und potenziell angegriffen werden kann.

Es ist weit verbreitet. Wenn man bei Google danach sucht, findet man leicht
Konfigurationsbeispiele zum Schutz von Mail-Servern.

DNS-Einstellungen für den E-Mail-Versand

Welche DNS-Einstellungen sind für den Versand von E-Mails erforderlich?

E-Mail-Anbieter verlangen in der Regel, dass Sie die Domain des Absenders
verifizieren, bevor Sie ihre SMTP-Server nutzen können. Dafür gibt es zwei Gründe:

1. Domain-Inhaberschaft nachweisen
   Durch die Verwaltung des DNS weisen Sie nach, dass Sie die Kontrolle über die Absender-Domain haben
   Das bedeutet, dass Sie nicht die Domain einer anderen Person verwenden (Spoofing)

2. Versenden von authentifizierten E-Mails
   Durch die Einrichtung der SPF- und DKIM-Authentifizierung werden Ihre Nachrichten
   von den Empfängern als von einem „echten“ Absender stammend erkannt
   Wenn Ihre Domain und Ihr SMTP-Anbieter einen guten Ruf genießen
   sollten die Nachrichten den Posteingang der Empfänger erreichen

Zusammenfassung:

• E-Mail-Dienstleister: Anforderungen an verifizierte Absender
• Warum ist ein verifizierter Absender so wichtig?
• Was ist Domain-Alignment?
• CNAME-Eintrag oder TXT-Eintrag – was ist besser?
• Was ist eine dedizierte IP-Adresse?
• Sollten wir die DNS-Einstellungen der Unternehmensdomain direkt verwalten?

E-Mail-Dienstleister: Anforderungen an verifizierte Absender

Nachfolgend finden Sie einige der wichtigsten Anbieter, die wir geprüft haben, in alphabetischer Reihenfolge.
Ende Juli 2021 haben wir die Grundeinstellungen getestet, die für den Versand von E-Mails erforderlich sind.
Die verifizierte Domain lautete „emailperfect.com“. Sie wurde 2012 registriert und zuvor noch nie zum Versenden von E-Mails verwendet.

* = Wir haben eine Nachricht an jede der folgenden E-Mail-Adressen gesendet und vermerkt, ob es Anzeichen dafür gab, dass wir es noch einmal versuchen sollten:
Gmail, Hotmail, Yahoo, GMX, Aruba, Tiscali, Exchange Online

Warum ist ein verifizierter Absender so wichtig?

Im Jahr 2021 halten wir es für zwingend erforderlich, dass die Domain des Absenders authentifiziert wird
, damit der Empfänger sicher sein kann, dass die E-Mail-Adresse des Absenders nicht gefälscht wurde.
Eine vorausschauende Authentifizierungsprüfung verringert zudem das Risiko des Missbrauchs von Versandsystemen erheblich.

Aus diesem Grund haben wir einen Anbieter aus der Liste „gelöscht“:
Dieser Anbieter verlangt keine Domain-Validierung, bevor er das Versenden von Nachrichten zulässt.

Was ist Domain-Alignment?

Beim Versenden einer Nachricht haben wir es mit zwei Domänen zu tun:

1. in der Absenderadresse, die für die Empfänger sichtbar ist
2. in der „Mail-From“-Adresse (auch als „Envelope-Absender“ oder „Return-Path“ bezeichnet) steht
   , die verborgen ist und direkt vom E-Mail-Dienstanbieter verwaltet wird, um die zurückgesendeten E-Mails zu empfangen

Die Anforderung der „Domänenübereinstimmung“ lässt sich in diesem Satz zusammenfassen:
„Wenn ein Absender seine E-Mail mithilfe von SPF und/oder DKIM authentifiziert,
muss mindestens eine der Domänen mit der Absender-Domäne übereinstimmen.“

CNAME-Eintrag oder TXT-Eintrag – was ist besser?

Für die DKIM-Authentifizierung ist ein CNAME-Eintrag einfacher zu implementieren.
Das gleiche Ergebnis lässt sich durch Hinzufügen eines 2048-Bit-TXT-Eintrags erzielen, dies ist jedoch komplizierter.
Darüber hinaus ermöglicht die Delegierung des DKIM-Eintrags über CNAME Ihrem Provider
, seinen Schlüssel bei Bedarf aus Sicherheitsgründen zu ändern.

Bei der SPF-Authentifizierung mittels eines CNAME-Eintrags bedeutet dies, dass die „Mail-From“-Adresse
eine von Ihrem E-Mail-Dienstanbieter verwaltete Subdomain ist, beispielsweise: bounce.your-company-name.org.
Der Anbieter übernimmt sowohl die SPF-Authentifizierung als auch die Bearbeitung von zurückgesendeten Nachrichten.

Ein TXT-Eintrag für die SPF-Authentifizierung ist die beste Wahl bei E-Mail-Servern wie Zimbra oder Exchange,
wo jeder Absender die zurückgewiesenen Nachrichten direkt erhält.
Es gibt nur einen TXT-Eintrag für die Domain-Authentifizierung,
was die Verwaltung erschweren kann, wenn Sie mehrere SMTP-Server verwalten.

Was ist eine dedizierte IP-Adresse?

Die „Internetprotokolladresse“ oder „IP-Adresse“
ist vergleichbar mit einer Telefonnummer Ihres Festnetzanschlusses oder Mobiltelefons.

Die meisten SMTP-Dienste stellen ihren Kunden „gemeinsam genutzte“ IP-Adressen zur Verfügung.
Bei jedem Versand einer E-Mail wird eine andere IP-Adresse zugewiesen.

„Feste IP-Adresse“ bedeutet, dass sich die IP-Adresse, von der aus Ihre E-Mails versendet werden, im Laufe der Zeit nicht ändert.
Dies ermöglicht eine hervorragende Kontrolle über die Reputation des Absenders, die nicht durch die Nutzung durch Dritte beeinträchtigt werden kann.

Sollten wir die DNS-Einstellungen der Unternehmensdomain direkt verwalten?

Nicht unbedingt, denn dafür sind gewisse technische Kenntnisse erforderlich.

Die Unternehmensleitung sollte sich bewusst sein, dass bereits wenige Änderungen an den DNS-Einstellungen
schwerwiegende Folgen haben können, wie zum Beispiel:

• Website-Besucher auf einen anderen Webserver weiterleiten
• eingehende Nachrichten an einen anderen Mailserver weiterleiten
• die E-Mail-Authentifizierung unterlaufen, sodass Nachrichten als Spam eingestuft oder abgelehnt werden

» Zurück zum Anfang

So verwalten Sie MAILINGLISTEN

Wie verwaltet man Mailinglisten mit Weitsicht?

1. Zunächst einmal: Warum sollte man einen Mailinglisten-Manager nutzen?
   
   CRM-Systeme (wie Salesforce und Microsoft CRM)
   und geschäftliche E-Mail-Dienste (wie Office 365 und Google Apps Gmail)
   sind für Massenversendungen nicht geeignet.
   
   Sie wurden für die Eins-zu-Eins-Kommunikation entwickelt.
   Oftmals werden zur Vermeidung von Missbrauch tägliche Versandlimits festgelegt.
   
   Häufig müssen Unternehmen E-Mails an die meisten ihrer Kontakte oder an ausgewählte Gruppen versenden.
   Massenversendungen müssen mit speziellen Systemen verwaltet werden,
   die in der Lage sind, große Mengen an Nachrichten zu verarbeiten und automatische Abmeldungen zu bearbeiten.

2. Zweiter Schritt: Wo findet man diese Lösungen?
   
   Die einfache Antwort lautet: Schauen Sie sich „SaaS“-Angebote – Software as a Service – an
   (Mailchimp ist das bekannteste System, Inxmail ist weniger bekannt, wird aber von großen Unternehmen genutzt).
   
   Die Entscheidung zwischen lokaler Installation und Cloud-Diensten ist immer wichtig.
   Wir sind der Meinung, dass die lokale Option dabei hilft, die „Kontrolle über E-Mails zurückzugewinnen“, was wir befürworten.
   
   Selbst wenn Sie sich für eine selbst gehostete Anwendung in der Cloud entscheiden,
   können Sie so problemlos den Anbieter wechseln, während Sie dieselbe Lösung beibehalten.

3. Drei Lösungen sind erwähnenswert:
   

• Sendy ist ausgereift, aber „Closed Source“ und kostenpflichtig.
  
  
• Listmonk ist Open Source. Version 1 wurde 2021 veröffentlicht. Es wurde in Go entwickelt,
  es wird als eigenständige Binärdatei bereitgestellt und benötigt lediglich eine Postgres-Datenbank. Auf GitHub hat es 5,4 Tausend Sterne
  
  
• Mailtrain ist ebenfalls Open Source. Die erste Version wurde 2016 veröffentlicht, Version 2 im Jahr 2021.
  Es nutzt eine MySQL-Datenbank. Auf GitHub hat es 4,8 Tausend Sterne

Auf der Suche nach einer übersichtlichen Benutzeroberfläche, einer auf Listen basierenden Lösung, die leicht zu warten
und im Falle von Problemen einfach wiederherzustellen ist, haben wir uns für listmonk als beste Wahl entschieden.

listmonk ist ein selbst gehosteter, leistungsstarker Manager für Mailinglisten und Newsletter.
Es wird als eigenständige Binärdatei bereitgestellt und benötigt lediglich eine Postgres-Datenbank.

Erste Schritte der Anwendung

Dies ist die ursprüngliche Ankündigung auf Hacker News:

knadh am 12. Juli 2019 [–]

Der Autor hier. Um etwas Kontext dazu zu geben, warum listmonk entwickelt wurde: Bei meiner Arbeit (im regulierten Finanzgeschäft) 
müssen wir regelmäßig E-Mails, meist wichtige Updates, an über 1,5 Millionen Kunden versenden. 
Wir haben lange Zeit phpList verwendet und dann MailTrain und Sendy ausprobiert, bevor wir uns schließlich entschlossen haben, das Rad neu zu erfinden, 
nachdem wir auf eine Reihe von Problemen gestoßen waren, von denen einige wichtige unten aufgeführt sind.

- Leistung. Unangemessen lange Wartezeiten beim Versenden von E-Mails. 
  phpList wurde so langsam, dass die Verarbeitung einer Kampagne mehrere Tage dauerte. 
  listmonk kann N Goroutinen (~Threads) starten und E-Mails an mehrere SMTP-Server senden. 
  Auf einer Standard-EC2-Instanz können wir über 1,5 Millionen E-Mails in wenigen Stunden versenden.

- Der Import von Abonnenten war extrem langsam. Die direkte Integration zur Synchronisierung der Abonnenten mit externen CRMs war umständlich. 
  Direkte DB-Einfügungen waren aufgrund der komplexen Tabellenstrukturen kompliziert. listmonk importiert 10.000 Datensätze pro Sekunde in eine Postgres-Datenbank auf einer Standard-EC2-Instanz.

- Segmentierung. Oft müssen wir Nutzer schnell anhand benutzerdefinierter Attribute und Bedingungen segmentieren und ihnen eine Aktualisierung übermitteln. 
  listmonk unterstützt SQL-Ausdrücke, um Nutzer anhand ihrer Attribute zu segmentieren, die als beliebige JSON-Maps definiert sind (dank des Postgres-Typs JSONB).

- Fehlende dynamische Vorlagen. listmonk-Vorlagen unterstützen Go-Template-Ausdrücke, sodass es möglich ist, Logik in Nachrichten zu schreiben, um diese dynamisch zu gestalten.

Kailash Nadhisist ein sehr aktiver Entwickler im Bereich FOSS (Free and Open Source Software).
Er arbeitet bei Zerodha, Indiens größtem Online-Broker.
Der Blog der technischen Mitarbeiter von Zerodha wird unter zerodha.tech veröffentlicht.

Die Einzelheiten

Listmonk ist sowohl für die Standardnutzung (über die Weboberfläche) als auch für Entwickler (über die API) gut dokumentiert.

Die Lösung eignet sich sowohl für große Verteilerlisten (mit bis zu Millionen von Abonnenten) als auch für kleine Gruppen.
Dank der Funktion zum Abfragen und Segmentieren von Abonnenten,
können Sie eine Auswahl von Abonnenten anhand ihrer Profile und Attribute abfragen und exportieren.
Die extrahierten Daten lassen sich problemlos in eine neue zielgerichtete Mailingliste importieren.

Es fehlen einige wichtige Funktionen wie die Bearbeitung von E-Mail-Bounce-Meldungen.
Diese sollten jedoch in der nächsten Hauptversion verfügbar sein:
Bounce-Bearbeitung #166
Vorschau auf den Screenshot zur Bounce-Bearbeitung

Technische Überlegungen

Wir haben in der Vergangenheit eine andere Go-Anwendung verwendet: RealSender – DMARC REPORTS.
Quelle: dmarc-report-converter. Es funktionierte sofort und ohne Probleme.

„Das Datenbankmanagementsystem PostgreSQL, auf das mehr als zwei Jahrzehnte Entwicklungsarbeit zurückblicken, 
ist heute die fortschrittlichste Open-Source-Datenbank, die es gibt.“
– Eine kurze Geschichte von PostgreSQL – https://www.postgresql.org/docs/9.3/history.html

Wir haben damit bereits einige Erfahrungen gemacht, als wir in der Vergangenheit mit der Installation des Inxmail Professional-Servers gearbeitet haben.
Im Jahr 2017 gab die Inxmail GmbH bekannt, dass sie künftig ausschließlich PostgreSQL unterstützen und alle anderen Datenbanken einstellen werde:

Ab dem 1. Januar 2019 konzentrieren wir uns auf die optimale technische Basis und stellen den Support 
für Windows-Server sowie für MySQL-, Oracle- und MS SQL Server-Datenbanken ein.
Das bedeutet, dass wir nur noch Support für Inxmail Professional auf Basis von Linux-Servern und PostgreSQL anbieten.
-- Inxmail Professional-Lizenzlösung: Änderungen bei unserem System-Support
   https://www.inxmail.de/files/files/de/downloads/Inxmail-Professional-licence-solution-EN.pdf

Das ist sicherlich eine gute Wahl und eine Investition in wertvolles Wissen für Einsteiger.
Die Online-Kurse von Udemy können bei der Erstinstallation und Wartung von PostgreSQL helfen.

Open Source birgt Risiken: Wird ein neues Projekt, das 2019 gestartet wurde, auch in Zukunft weitergeführt?
Das weiß niemand; vielleicht kümmert sich im schlimmsten Fall ein anderer Entwickler darum, aber:

• Es scheint in seinen Grundzügen unverzichtbar zu sein; wenn es jedoch zu komplex wird, ist es schwer zu pflegen.
• Wir haben einen Fehlerbericht für Listmonk eingereicht und innerhalb von zwei Stunden eine Antwort vom Entwickler erhalten
• Der Autor arbeitet in einem großen Unternehmen, das es intern nutzt

E-Mail-Zustellbarkeit

E-Mail-Zustellbarkeit, Fragen und Antworten:

hemancuso am 12. Juli 2019 [–]
Projekte wie dieses scheinen eine großartige Idee zu sein, doch die Zustellbarkeit scheint ein großes Problem zu sein,
das sich nur schwer messen lässt, wenn man nicht über ausreichende Erfahrung verfügt.
Was sind bewährte Vorgehensweisen für die Nutzung/Auswahl eines ESP, 
wenn man ein solches Projekt nutzen und eine angemessene Zustellbarkeit sicherstellen möchte?

knadh am 12. Juli 2019 [–]
Hier spricht der Autor. Wir nutzen Listmonk in unserem Unternehmen (reguliertes Finanzgeschäft) bereits seit über 6 Monaten in der Produktion, 
um E-Mail-Updates, einschließlich regulatorischer Mitteilungen, zu versenden. 
Wir hosten unsere eigenen SMTP-Instanzen mit Postal auf EC2-Instanzen und hatten noch nie Probleme mit der Zustellbarkeit. 
Wenn es sich um legitime E-Mails handelt, halte ich das nicht für ein großes Problem.

Wir sind uns einig, dass das Versenden von erwarteten Mitteilungen an Kunden dazu beitragen sollte, die meisten Zustellungsprobleme zu vermeiden.
Unserer Erfahrung nach steigt die Wahrscheinlichkeit von Problemen mit zunehmender Anzahl.
AWS-EC2-Server werden in Gmail häufig auf die Blacklist gesetzt – alle gesendeten Nachrichten landen im Spam-Ordner.

RealSender bietet dedizierte IP-SMTP-Server an,
die in einer zuverlässigen und ständig überwachten Umgebung betrieben werden.

Über den Namen

goberoi am 13. Juli 2019 [–]
Eine ganz spontane Frage: Wie bist du auf den Namen gekommen?

knadh am 13. Juli 2019 [–]
Ich kann mich nicht mehr genau erinnern, aber ich glaube, der Gedankengang war in etwa:
„stressfreie, unkomplizierte Listenverwaltung“.

Probieren wir es aus

Mit dem Docker-Image können Sie innerhalb weniger Minuten eine funktionsfähige Demo-Installation einrichten.
Alternativ können Sie bei RealSender ein Listmonk-Demo-Konto anfordern.

» Zurück zum Anfang

So versenden Sie Newsletter

Nach der Aufnahme in die Blacklist antwortet der Kundensupport eines großen Anti-Spam-Dienstes oft:
„Bitte überprüfen Sie die Qualität Ihrer Liste, um sicherzustellen, dass die Empfänger an Ihren Mailings interessiert sind.“

„Listenpflege“ und „Interesse der Empfänger“ haben viele Facetten:

A – auf der MASCHINENSEITE – „Listenpflege“

1. ordnungsgemäß verwaltete An- und Abmeldungen
   Der Abonnent muss seine E-Mail-Adresse bestätigt haben (Double-Opt-in),
   Empfänger sollten sich einfach und zuverlässig abmelden können (Opt-out)

2. Versenden Sie E-Mails nur an „aktive“ und voll engagierte Empfänger
   Versenden Sie keine E-Mails wiederholt an Empfänger mit ungültigen Adressen oder vollen Postfächern
   Stellen Sie den Versand an inaktive Empfänger ein; wenn diese nicht interagieren, ist dies ein klares Zeichen für mangelndes Interesse

3. Der Inhalt muss gut strukturiert sein (kein einzelnes Bild) und „responsive“ sein, damit er auf verschiedenen Geräten lesbar ist
   Andernfalls könnten Spamfilter die Nachricht blockieren, bevor sie den Posteingang des Empfängers erreicht

4. Stellen Sie sicher, dass die Server erkennen, wer die E-Mail sendet
   Durch die E-Mail-Authentifizierung können die Ziel-Mailserver Nachrichten als von vertrauenswürdigen Absendern stammend identifizieren

B – auf der MENSCHLICHEN Seite – „Interesse des Empfängers“

1. Abonnenten sollten die Inhalte erwarten, die sie erhalten
   Die Empfänger sollten sich auf Ihre Nachricht freuen und sie zu schätzen wissen

2. Benutzerantworten sollten verwaltet werden
   Manchmal läuft etwas schief oder ein Empfänger möchte einfach mit Ihnen in Kontakt treten,
   vielleicht nur, um Ihnen mitzuteilen, dass er keine weiteren Nachrichten mehr erhalten möchte, auch wenn ein Abmeldelink vorhanden ist

Maschinenseite – „Listenbereinigung“

Die oben aufgeführten Punkte lassen sich bei kleinen Verteilerlisten mit einigen hundert Empfängern problemlos bewältigen.
Oft kennt der Absender sie persönlich, da es sich um Kunden oder Mitglieder eines Vereins handelt.

Es wird kompliziert, wenn die Liste größer ist, mit Tausenden von Empfängern
und mehr Personen an den Mailings arbeiten.
In diesem Fall ist der Einsatz professioneller Tools unerlässlich.

Im Internet gibt es viele professionelle Lösungen für das E-Mail-Marketing,
die international bekannteste ist MailChimp
viele Websites listen auch Alternativen zu MailChimp auf.

Die Mission von EmailTrends lautet: „Die Kontrolle über E-Mails zurückgewinnen“,
Aus diesem Grund schlagen wir eine Alternative vor.

Laut W3Techs laufen 40 % aller Websites im Internet auf WordPress
und es ist die beliebteste Technologie im gesamten Internet in der Kategorie Open Source.

Mit über 200.000 aktiven Installationen ist Mailpoet
eines der meistgenutzten WordPress-Plugins für Newsletter.

MailPoet ist eine Open-Source-Software undgehört seit Ende 2020
zu den Unternehmen, die mit Automattic, der Muttergesellschaft von WordPress,verbunden sind.

Einige Screenshots vermitteln Ihnen vielleicht einen Eindruck davon, wie die verschiedenen Punkte umgesetzt werden:

Mailpoet verfolgt ein „Freemium“-Geschäftsmodell, bei dem Sie folgende Option wählen können:
„Ich möchte nur die Premium-Version ohne Versandfunktion“.

Der dedizierte SMTP-Server von RealSender kann über die Option „Senden mit… > Andere“ konfiguriert werden.
Das Plugin „Bounce Handler MailPoet“ sorgt in Verbindung mit den von RealSender bereitgestellten Newsletter-Postfächern
für die korrekte Authentifizierung der versendeten E-Mail-Nachrichten.

» Zurück zum Anfang

MENSCHLICHE Seite – „Interesse der Empfänger“

Die menschliche Seite ist schwieriger zu erreichen,
sie ist aber auch der Punkt, der den Unterschied ausmacht
wenn das technische Management nicht perfekt ist.

„BE RELEVANT“
ist ein Slogan, der vor einigen Jahren im E-Mail-Marketing verwendet wurde.

Wenn du wertvolle Informationen an Menschen sendest
die du nach langen Gesprächen sehr gut kennst,
spielt es keine Rolle, wie schlecht die Formatierung ist
oder ob die Nachricht im Spam-Ordner landet.

Technische Unvollkommenheiten werden immer verziehen,
sie warten auf Ihre E-Mails, lesen Sie diese
und klicken Sie gegebenenfalls auf die Schaltfläche „Kein Spam“.

» Zurück zum Anfang

So versenden Sie private E-Mails

Wie versendet man private und verschlüsselte E-Mails?

E-Mails sind weder privat noch sicher.
Sie wurden nicht unter Berücksichtigung von Datenschutz oder Sicherheit entwickelt.

Jeder, der Ihre E-Mail während der Übertragung abfängt, kann sie lesen,
einschließlich Ihres Internetanbieters, eines Hackers oder der NSA (US-amerikanische Nationale Sicherheitsbehörde).

Zusammenfassung:

• Datenschutz bei E-Mails: Was passiert derzeit?
• in rechtlicher Hinsicht
• auf der „illegalen“ Seite
  
  
• Datenschutz bei E-Mails: die Herausforderungen
• Anonymität und Vertraulichkeit
• End-to-End-Verschlüsselung
  
  
• E-Mail-Datenschutz: Die Lösungen
• < technical >  Pretty Good Privacy - also known as PGP
• < technical >  How to use PGP encryption
• < easy >  Alternatives to PGP encryption

Was passiert heute?

in rechtlicher Hinsicht

„Der Wert einer Information wird erst dann deutlich, wenn man sie
mit etwas anderem verknüpfen kann, das zu einem späteren Zeitpunkt eintrifft.
Da man keine Punkte verbinden kann, die man nicht hat, treibt uns das in einen Modus,
in dem wir grundsätzlich versuchen, alles zu sammeln und für immer festzuhalten.“

• - Gus Hunt von der CIA über Big Data, in der Huffington Post
• - Gus Hunt von der CIA über Big Data, auf YouTube

„Sie haben gesagt, es seien nur Metadaten, es seien nur Metadaten, […]
mit wem man spricht, wann man mit ihnen spricht, wohin man gereist ist.
Das sind alles Metadaten-Ereignisse.
Bei PRISM geht es um Inhalte. […] Sie können alles sehen, weil es unverschlüsselt ist.“

• - Edward Snowden – TED 2014

Es gibt Dutzende psychologischer Studien, die belegen
, dass Menschen, die wissen, dass sie beobachtet werden könnten,
sich wesentlich konformistischer und gefügiger verhalten.
[…] Massenüberwachung schafft ein Gefängnis im Kopf […]

• - Glenn Greenwald – TEDGlobal 2014

auf der „illegalen“ Seite

Betrüger könnten auch Malware einsetzen, um in das Computernetzwerk eines Unternehmens einzudringen
und Zugriff auf E-Mail-Korrespondenz zu finanziellen Angelegenheiten zu erlangen.

• - Informationszentrum für Betrugsfälle – Manipulation von geschäftlichen E-Mails

Business Email Compromise (BEC) – auch bekannt als Email Account Compromise (EAC)
– ist eine der finanziell schädlichsten Formen der Online-Kriminalität.
Bei einem BEC-Betrug versenden Kriminelle eine E-Mail, die scheinbar von einer bekannten Absenderadresse stammt
und eine legitime Anfrage enthält […]

• - Betrug und Sicherheit – Manipulation von Geschäfts-E-Mails

Zurück zum Anfang

die Herausforderungen

Anonymität und Vertraulichkeit

Anonymität ist etwas anderes als Vertraulichkeit
[…] wir verschlüsseln Nachrichten
damit andere, selbst wenn sie sehen, dass wir eine Nachricht gesendet haben
nicht lesen können, was darin steht
aber manchmal wollen wir gar nicht, dass andere überhaupt sehen, dass wir eine Nachricht gesendet haben

• - So funktioniert TOR – Computerphile

Anonymität im Internet ist schwer zu erreichen.
Dazu sind fundierte Kenntnisse der von Ihnen gewählten Tools erforderlich.

Dieser Leitfaden vermittelt Ihnen vielleicht einen Eindruck von der Komplexität des Themas:
Private E-Mail-Anbieter

Vertraulichkeit ist leichter zu erreichen.

Auch wenn Sie nichts zu verbergen haben, trägt die Verwendung von Verschlüsselung
dazu bei, die Privatsphäre Ihrer Kommunikationspartner zu schützen
und macht Massenüberwachungssystemen das Leben schwer.

Wenn Sie etwas Wichtiges zu verbergen haben, sind Sie in guter Gesellschaft;
Es handelt sich um dieselben Tools, die Whistleblower nutzen, um ihre Identität zu schützen
und gleichzeitig Menschenrechtsverletzungen, Korruption und andere Verbrechen ans Licht zu bringen.

Der entscheidende erste Schritt besteht darin, sich selbst zu schützen
und die Überwachung Ihrer Kommunikation so weit wie möglich zu erschweren.

• - E-Mail-Selbstverteidigung – Ein Leitfaden zum Schutz vor Überwachung mit GnuPG-Verschlüsselung

End-to-End-Verschlüsselung

Durch eine End-to-End-Verschlüsselung (e2ee) für E-Mails kann sichergestellt werden,
dass nur der Absender und die Empfänger einer Nachricht den Inhalt lesen können.

Ohne diesen Schutz können Netzwerkadministratoren,
E-Mail-Anbieter und Behörden Ihre Nachrichten leicht einsehen.

Die Umsetzung von End-to-End-Verschlüsselung erfordert Sorgfalt sowohl seitens des Absenders als auch seitens der Empfänger.
Ein einziger Fehler einer der beteiligten Parteien kann bereits ausreichen, um die Sicherheit der End-to-End-Verschlüsselung zu gefährden.

E-Mail-Metadaten wie Absender- und Empfängeradresse sowie Datum und Uhrzeit können nicht durch End-to-End-Verschlüsselung geschützt werden.
Auch der Betreff der E-Mail bleibt möglicherweise ungeschützt und leicht lesbar, selbst wenn End-to-End-Verschlüsselung verwendet wird.

• - Was ist eine End-to-End-Verschlüsselung in Thunderbird?

Zurück zum Anfang

die Lösungen

< technical >  Pretty Good Privacy - also known as PGP

Die PGP-Software folgt dem OpenPGP-Verschlüsselungsstandard, dem
Standard (RFC 4880) zum Ver- und Entschlüsseln von Daten.

• - Pretty Good Privacy auf Wikipedia

PGP verschlüsselt den Text Ihrer E-Mail in einen Code
, den nur die richtige Person lesen kann.

PGP läuft auf so gut wie jedem Computer oder Smartphone.
Es ist frei lizenziert und kostet nichts.

Jeder Benutzer verfügt über einen eindeutigen öffentlichen Schlüssel und einen privaten Schlüssel,
die aus zufälligen Zahlenfolgen bestehen.

Dein öffentlicher Schlüssel ist nicht wie ein physischer Schlüssel, denn er befindet sich in einem Online-Verzeichnis, von dem andere ihn herunterladen können.
Andere verwenden deinen öffentlichen Schlüssel zusammen mit PGP, um E-Mails zu verschlüsseln, die sie an dich senden.

Dein privater Schlüssel ähnelt eher einem physischen Schlüssel, da du ihn für dich behältst (auf deinem Computer).
Du verwendest PGP und deinen privaten Schlüssel, um verschlüsselte E-Mails zu entschlüsseln, die andere dir senden.

Wenn eine mit PGP verschlüsselte E-Mail in die falschen Hände gerät, sieht sie einfach wie Unsinn aus.
Ohne den privaten Schlüssel des tatsächlichen Empfängers ist es fast unmöglich, sie zu lesen.

Um uns vor Überwachung zu schützen, müssen wir lernen, wann wir PGP nutzen sollten
und damit beginnen, unsere öffentlichen Schlüssel weiterzugeben, wann immer wir E-Mail-Adressen austauschen.

• - E-Mail-Selbstverteidigung – Infografiken

< technical >  How to use PGP encryption

Um PGP zu nutzen, benötigen Sie einen öffentlichen Schlüssel und einen privaten Schlüssel (zusammen als Schlüsselpaar bezeichnet).
Beide bestehen aus einer langen Zeichenfolge zufällig generierter Zahlen und Buchstaben, die für Sie einzigartig ist.
Ihr öffentlicher und Ihr privater Schlüssel sind durch eine spezielle mathematische Funktion miteinander verknüpft.

Es wird eine Anwendung benötigt, die die Schlüssel sowie die Ver- und Entschlüsselung von Nachrichten verwaltet,
hier ist eine Auswahl der beliebtesten Anwendungen:

• Mailvelope ist ein kostenloses Open-Source-Browser-Plugin, das für Mozilla Firefox und Google Chrome verfügbar ist:
  Es ist wahrscheinlich der einfachste Einstieg in PGP:
  „Mailvelope Demonstration“ist ein gut gemachtes Tutorial

• Die Anwendung Mozilla Thunderbird bietet alle notwendigen Funktionen zum Versenden von PGP-signierten Nachrichten
  Einführung in die End-to-End-Verschlüsselung in Thunderbird

• GnuPG ist eine vollständige und kostenlose Implementierung des OpenPGP-Standards
  Ein PGP-Leitfaden für Anfänger mit Gpg4Win [Einfache Einrichtung in 5 Minuten] erklärt, wie man es benutzt

< easy >  Alternatives to PGP encryption

PGP ist die beste Lösung für eine sichere Kommunikation mit einem Partner, der PGP bereits nutzt.
Es könnte schwierig sein, Ihren Gesprächspartner dazu zu bewegen, PGP zu nutzen.

Eine Alternative sind Dienste, mit denen man ein Geheimnis nur einmal weitergeben kann.

Wenn Sie etwas nur einmal versenden möchten, gibt es Open-Source-Webanwendungen
, mit denen Sie Informationen eingeben können, die nur einmal angezeigt werden können.

Sobald der Empfänger die Seite geöffnet hat, werden die Informationen gelöscht,
und in Ihren Chat-Protokollen oder E-Mails bleibt lediglich ein ungültiger Link zurück.

Es ist zwar nicht so sicher, als würde Ihr gesamtes Team PGP verwenden, aber es lässt sich viel einfacher einrichten und erklären.
Wir konnten damit Anmeldedaten an Personen senden, die technisch nicht besonders versiert sind, und diese fanden die Handhabung einfach.

Beispiel (ohne Passwort hinzuzufügen):

Nehmen wir an, du hast ein Passwort. Du möchtest es deiner Kollegin Jane geben. 
Du könntest es ihr per E-Mail schicken, aber dann befindet es sich in ihrer E-Mail, die möglicherweise gesichert wird, 
und wahrscheinlich auf einem Speichermedium landet, das von der NSA kontrolliert wird.

Wenn Jane einen Link zum Passwort erhält und ihn nie anklickt, verschwindet das Passwort. 
Wenn die NSA den Link in die Hände bekommt und das Passwort ansieht … nun, dann hat sie das Passwort. 
Außerdem kann Jane das Passwort nicht erhalten, aber jetzt weiß Jane, dass nicht nur jemand ihre E-Mails durchstöbert, 
sondern auch auf Links klickt.

Einige dieser Dienste, die alle kostenlos und Open Source sind, sind unten aufgeführt.
Sie können sich auch dafür entscheiden, eine Instanz auf Ihrem eigenen Webserver zu hosten.

PrivateBin (eine Art sichere Version von PasteBin) wurde in PHP entwickelt
Der Code von PrivateBin ist auf GitHub veröffentlicht – 3100 Sterne
Eine Anleitung für PrivateBin ist auf einer anderen Website verfügbar

OneTimeSecret wurde in Ruby entwickelt
Der Code und die Anleitung zu OneTimeSecret sind auf GitHub veröffentlicht – 1200 Sterne

SnapPass wurde in Python geschrieben. Es wurde ursprünglich von Pinterest entwickelt

Der SnapPass-Code und die Anleitung sind auf GitHub veröffentlicht – 600 Sterne

Zurück zum Anfang

So versenden und begrenzen Sie E-Mails mit BCC

Wie versendet und begrenzt man E-Mails mit Bcc?

„Cc“ steht für „Carbon Copy“ im (alten) Sinne der Anfertigung einer Kopie
auf einer Schreibmaschine unter Verwendung von Kohlepapier.

Das Feld „Bcc:“ in E-Mails (wobei „Bcc“ für „Blind Carbon Copy“ steht)
enthält die Adressen von Empfängern der Nachricht
, deren Adressen den anderen Empfängern der Nachricht nicht offenbart werden sollen.
– IETF RFC 2822 „Internet Message Format“

Der Unterschied zwischen „Bcc“ und „Cc“ liegt in der Anonymität der Empfänger.
Bei Verwendung der Cc-Funktion sind die E-Mail-Adressen im Cc-Feld
für alle Empfänger der E-Mail sichtbar.

Ein Bcc-Empfänger kann den direkten Empfänger (An:) sehen,
er kann jedoch nicht erkennen, wer sonst noch per Bcc in die E-Mail aufgenommen wurde.

Bcc wird oft als benutzerfreundliches System für den Massenversand von E-Mails angesehen.
Im Folgenden finden Sie eine kurze Analyse der Vor- und Nachteile der Verwendung von Bcc.
Am Ende der Seite finden Sie die Schlussfolgerungen sowie einige Vorschläge.

VORTEILE

Es ist ganz einfach: Jeder kann es benutzen.

• Das ist eine einfache Möglichkeit, mehrere E-Mail-Empfänger zu kontaktieren
• Jeder, der über ein E-Mail-Programm verfügt, kann es nutzen
• Bei korrekter Verwendung wird die Privatsphäre der Empfänger gewahrt, da ihre E-Mail-Adressen nicht offengelegt werden

Zurück zum Anfang

NACHTEILE

E-Mail ist ein Ausgangs-Gateway ohne vorherige Überprüfung.
Über „Bcc“ lässt sich die Reichweite auf Hunderte oder Tausende von Kontakten ausweiten.

Bcc sollte als risikoreiches,
potenziell gefährliches Kommunikationsmittel betrachtet werden.

• Es handelt sich um einen fehleranfälligen Prozess; die Risiken sind:
  • versehentlich Bcc-Empfänger in das Cc-Feld einfügen
    dies führt in der Regel zu schwerwiegendem Imageschaden
    eine neue Entschuldigungsnachricht ist der häufigste Ausweg aus dieser Situation
    » Die Namen aller Empfänger werden öffentlich gemacht
    » Unbeabsichtigte (und manchmal absichtliche) Verwendung von „Allen antworten“
    was zu unkontrollierten E-Mail-Ketten führt
    » Es könnte zu einem Datenschutzvorfall aus Sicht der DSGVO kommen
    wenn der Betreff/Text „besondere Kategorien“ personenbezogener Daten enthält und dadurch
    Personen identifiziert, die derselben Kategorie angehören (z. B. Krankheit, sexuelle Orientierung oder Weltanschauung)
  • jemanden versehentlich als Hauptempfänger (sichtbaren Empfänger) hinzufügen
  • jemanden vergessen oder jemanden hinzufügen, der die Nachricht nicht erhalten sollte
    
    
• Es besteht eine hohe Wahrscheinlichkeit, dass die Nachricht als Spam eingestuft wird
  • Das Problem ist, dass die meisten Spammer ihre E-Mails über „Bcc“ versenden
    Die Ziel-Mailserver sind bei der Annahme von Bcc-Nachrichten zurückhaltend
  • Wenn ich dir eine Nachricht per Bcc sende,
    , erhältst du eine E-Mail, die nicht an dich adressiert ist,
    , was bei der Spam-Bewertung als negativer Punkt gewertet wird
  • Wenn dieselbe Nachricht gleichzeitig an „mehrere“ E-Mail-Adressen
    derselben Domain gesendet wird, lassen sich diese leicht zählen und blockieren
    
    
• Es gibt keine Möglichkeit, falsche Adressen zu kontrollieren
  • Es kann vorkommen, dass ein Empfänger mehrere E-Mail-Adressen hat (z. B.
    ). Dies beeinträchtigt den Versand an diesen Empfänger, selbst wenn eine oder mehrere Adressen korrekt sind.
  • Syntaxfehlerhafte Adressen werden ohne Warnung akzeptiert
    zum Beispiel, wenn das @-Zeichen fehlt oder Leerzeichen enthalten sind
    
    
• keine individuelle Anpassung / geringe Auswirkungen / kaum oder gar keine Reaktionen
  • Die Nachricht ist zwangsläufig standardisiert und „anonym“
    Eine persönliche Ansprache ist nicht möglich, kein „Sehr geehrter Herr/Frau …“
  • Ihre Bcc-Empfänger erhalten eine Nachricht, die eigentlich an jemand anderen gerichtet ist
    Es ist unwahrscheinlich, dass sie darauf achten oder darauf reagieren
    
    
• Es ist sehr wahrscheinlich, dass es zu technischen Problemen kommen wird
  • Jede missbräuchliche Handlung durch Spammer oder Hacker kann sich schnell auf viele Empfänger auswirken
    und den Ruf des SMTP-Servers gefährden (z. B. durch die Aufnahme des Servers in eine Blacklist)
  • Das Postfach des Absenders könnte durch Rückläufer (Empfänger unbekannt, Postfach voll usw.) überfüllt werden
    Ihr Anteil kann zwischen 5 % und 20 % der versendeten E-Mails betragen
  • Der Versand kann sich negativ auf E-Mail-Zustellungssysteme (SMTP-Server) auswirken, z. B.:
    zahlreiche „Bitte später erneut versuchen“-Antworten, eine große Anzahl von Nachrichten in der Mail-Warteschlange, Systemabsturz
    
    

Zurück zum Anfang

SCHLUSSFOLGERUNGEN

1. Grenzen setzen

• Überprüfen Sie die von Ihrem E-Mail-Anbieter zugelassene Empfängeranzahl:
  Probieren Sie es selbst aus, um ganz sicher zu sein:
  
  RealSender stellt eine Liste mit 300 @bogusemail.net-Adressen zum Testen zur Verfügung:
  Die Nachrichten gelangen an einen „Black-Hole“-Mailserver:
  bogusemail-test.txt
  
  
• Begrenzen Sie die Anzahl der Empfänger in einer einzelnen Nachricht auf eine kleine Zahl, beispielsweise 20,
  Wenn Sie mehr Empfänger zulassen, können Sie Nachrichten
  ganz einfach an Tausende von E-Mail-Adressen versenden, indem Sie diese einfach in kleine Gruppen aufteilen

2. Werden Sie Profi

• nur den Versand großer E-Mail-Mengen über verschiedene Kanäle zulassen
  
  
• Verwenden Sie beim Versenden vieler Nachrichten eine andere Absenderadresse
  zum Beispiel eine andere Subdomain, wie @news.firmenname.com
  nur autorisierte Personen haben Zugriff darauf
  und sie werden damit sorgfältiger umgehen
  
  
• in strukturierten Büroumgebungen, in denen viele Mitarbeiter mit E-Mails arbeiten,
  verwenden spezielle Apps zum Versenden von Massen-E-Mails
  die professionellen Systeme verfügen über einen Genehmigungs-Workflow
  und eine schrittweise Kontrolle; sie sind darauf ausgelegt, Fehler zu vermeiden

Zurück zum Anfang

Maßnahme E-MAIL-MARKETING

Wie lässt sich die Leistung Ihrer E-Mail-Marketing-Kampagnen messen?
Die folgenden Informationen basieren auf unserer fünfzehnjährigen Erfahrung
mit der E-Mail-Marketing-Plattform Inxmail.

Was sind „E-Mail-Marketingkampagnen“?
Es handelt sich um umfangreiche, auf Einwilligung basierende E-Mails,
deren Inhalt in der Regel auf die Interessen des Empfängers zugeschnitten ist,
und bei denen der Absender anhand des Verhaltens der Empfänger Feedback-Daten erhalten kann.

• E-Mail-Marketing-Kampagnen
• Permission-basiertes Marketing

Die Antworten oder „Feedback-Daten“ bilden die Grundlage für die Kennzahlen
, auf denen die Berichte zur Performance von E-Mail-Marketingkampagnen basieren.
Lassen Sie uns einen Überblick darüber geben, was diese Kennzahlen sind und wie sie gemessen werden:

• Reaktionen der Nutzer verfolgen
• zwei Berechtigungsstufen (datenschutzrechtliche Aspekte)
• So funktioniert die Nutzerverfolgung
• So funktioniert die Messung der Öffnungsrate

Selbst die besten technischen Tools nützen nichts, wenn die Nachrichten nicht im Posteingang des Empfängers ankommen.
Hier kommt die „E-Mail-Zustellbarkeit“ ins Spiel:

• E-Mail-Zustellbarkeit
• E-Mails versenden
• Absprungraten
• Benchmarks für E-Mail-Marketing

E-Mail-Marketing-Kampagnen

Permission-basiertes Marketing

Permission-Marketing, auch „Dialog-Marketing“ genannt,
ist ein Konzept, das Seth Godin 1999 in seinem Bestseller „Permission Marketing“ vorgestellt hat.

In dem Buch wird es als Gegenstück zum „Interruptionsmarketing“ definiert
, das üblicherweise in traditionellen Massenmedien wie Fernsehen und Zeitungen zum Einsatz kommt.

Ziel ist es, eine persönliche und direkte Kommunikation herzustellen,
eine Beziehung zwischen den beiden Parteien aufzubauen und einen „menschlichen“ Dialog in Gang zu setzen,
dessen Erfahrung für beide Seiten nützlich und bereichernd ist.

Zurück zum Anfang

Reaktionen der Nutzer verfolgen

zwei Berechtigungsstufen – datenschutzrechtliche Aspekte

Je nach den erteilten Datenschutzberechtigungen kann der Absender Folgendes aufzeichnen:

• aggregierte Daten
• Daten des einzelnen Nutzers (z. B. wer die E-Mail geöffnet hat, wer darauf geklickt hat)

Aggregierte Daten
Sie liefern allgemeine Rückmeldungen und Informationen zu allgemeinen Trends
(z. B. wie viele die E-Mail geöffnet haben, wie viele darauf geklickt haben)

Einzelbenutzer-Daten
Sie ermöglichen es, individuelle Informationen zu erhalten
durch die Erfassung personenbezogener Daten und das anschließende Versenden personalisierter Nachrichten
auf der Grundlage früherer Interaktionen und des Nutzerverhaltens

Zurück zum Anfang

So funktioniert die Nutzerverfolgung

Unter Link-Tracking versteht man das Ersetzen der endgültigen URL der Website
durch eine fiktive Adresse, die den Besuch erfasst und den Nutzer auf die Zielseite weiterleitet.

In E-Mail-Nachrichten können nur Klicks auf Links nachverfolgt werden.
Externe Bilder, bei denen der E-Mail-Client vor dem Herunterladen um Bestätigung bittet,
werden als Links behandelt. Daher reicht es aus, die URL eines externen Bildes zu tracken
, um die E-Mail-Öffnungsrate zu ermitteln.

Bei der Nachverfolgung wird in der Regel nur die „Mail-ID“ erfasst,
eine eindeutige Kennung der versendeten E-Mail.

Die personalisierte Nachverfolgung erfolgt durch Hinzufügen eines oder mehrerer von der Software generierter Parameter zu den besuchten Seiten,
wie zum Beispiel: example.com/test.html?id=54725788327466628654
Der Parameter „id“ bezieht sich auf einen bestimmten Nutzer und einen bestimmten Link in der Nachricht.

Die gewonnenen Informationen können automatisch
die Daten des Empfängers in der E-Mail-Marketing-Anwendung
aktualisieren oder die Angaben zur Herkunft des Klicks an die Webanalyse-Plattform weiterleiten.

Beispiel: Ein Reisebüro könnte unter
erfassen, wie oft der Nutzer auf Nachrichten zum Thema „Meer“ oder „Berge“ klickt,
wodurch sich ein bestimmter Zähler im Laufe der Zeit erhöht.
Die gesammelten Daten geben Aufschluss über das bevorzugte Reiseziel des Empfängers.

Zurück zum Anfang

So funktioniert die Messung der Öffnungsrate

Die Öffnungsraten werden ermittelt, indem Daten zu Klicks auf nachverfolgte Links
und zu „verborgenen Klicks“ kombiniert werden, die durch heruntergeladene, nachverfolgte Bilder generiert wurden.

Wenn eine Nachricht in der Vorschau des E-Mail-Clients geöffnet wird,
ohne dass die Bilder heruntergeladen oder Links angeklickt werden,
ist es nicht möglich zu erkennen, dass sie geöffnet wurde.

Seit 2003 – zunächst Outlook, dann die meisten E-Mail-Clients –
begannen zum Schutz der Privatsphäre ihrer Nutzer
den automatischen Download von Bildern zu blockieren
, die andernfalls bei jedem Gelesen einer E-Mail nachverfolgt worden wären.

Seit 2013 werden Bilder in Gmail standardmäßig automatisch angezeigt.
Der Download erfolgt über einen Drittanbieter-Server, einen sogenannten „Proxy“,
der das Endgerät des Nutzers verbirgt, es den Betreibern von E-Mail-Marketing-Kampagnen
jedoch dennoch ermöglicht, zu erkennen, dass das Bild heruntergeladen und die Nachricht geöffnet wurde.
Weitere Informationen finden Sie hier:
So funktioniert der neue Gmail-Bild-Proxy und was das für Sie bedeutet

Die Erfassung der Öffnungsraten ist ungenau;
liefert einen niedrigeren Wert als die tatsächlichen Öffnungen.
Es ist dennoch sinnvoll, diese zu messen,
und sei es nur, um die Ergebnisse verschiedener Kampagnen zu vergleichen.

Zurück zum Anfang

E-Mail-Zustellbarkeit

E-Mails versenden

Zunächst muss überprüft werden, ob die E-Mails in den Postfächern
der wichtigsten Freemail-Domains aus Ihrer Liste
sowie im Posteingang der beiden wichtigsten Anbieter von Unternehmens-E-Mail-Konten
– Google Apps und Office 365 – ankommen.

Inhaltsbasierte Spamfilter werden in der Regel durch Domains in URLs (http …) ausgelöst
Ein guter Tipp ist es, in den Links Ihrer Nachrichten nur eine einzige Domain zu verwenden.
Die Domain sollte mit der in der Absenderadresse verwendeten übereinstimmen;
Dies wird als „Domain-Alignment“ bezeichnet und verringert das Risiko, von Phishing-Filtern erfasst zu werden.
Aus demselben Grund sollten Links, sofern sie getrackt werden, eine Subdomain
der in der Absenderadresse verwendeten Domain nutzen.

Echte Tests lassen sich ganz einfach durchführen, indem Sie für jeden E-Mail-Anbieter ein „Test“-Postfach aktivieren:
und anschließend die Weiterleitung der Nachrichten an Ihre E-Mail-Adresse aktivieren:
Senden Sie an jedes Postfach eine Nachricht mit dem Betreff „Testnachricht“
und dem Inhalt „Testnachricht“ sowie dem Link zu Ihrer Domain:
Wenn die Nachricht die Spamfilter passiert, sollten Sie sie in Ihrem Posteingang erhalten.

Zurück zum Anfang

Absprungraten

Es ist normal, dass E-Mails als unzustellbar zurückkommen.
Dies kann an nicht mehr genutzten Adressen,
überfüllten Postfächern oder anderen technischen Problemen liegen.

Je nach „Sauberkeit“ Ihrer Liste,
kann die Absprungrate zwischen 5 % und 20 % schwanken.

Mit steigender Anzahl wird es unmöglich, die zurückgewiesenen E-Mails manuell zu verwalten.
E-Mail-Marketing-Anwendungen verfügen über eine Funktion namens „Bounce Handler“
die zurückgewiesene Nachrichten automatisch herunterlädt,
sie analysiert und entsprechend ihrem Inhalt klassifiziert.

Die Ziel-E-Mail-Adresse wird automatisch deaktiviert
nach einer bestimmten Anzahl von „Hard Bounces“ – also dauerhaften Fehlern wie „Benutzer unbekannt“ und „Host nicht erreichbar“
– oder nach einer größeren Anzahl von „Soft Bounces“ – also vorübergehenden Fehlern wie „Postfach voll“.

Es ist wichtig, die „Bounce-Raten“ (abgewiesene Nachrichten)
oder die komplementären „Zustellungsraten“ (angenommene Nachrichten) zu überwachen. Ihre Summe ergibt 100 %.
Eine Veränderung ihrer Werte ist ein Anzeichen, das untersucht werden sollte.

Zurück zum Anfang

Benchmarks für E-Mail-Marketing

Die größten E-Mail-Marketing-Plattformen veröffentlichen Vergleichszahlen
, die auf den von all ihren Kunden gesammelten Daten basieren.

In den Berichten verwendete Fachbegriffe:

• Öffnungen: Anzahl der Empfänger, die auf mindestens einen nachverfolgten Link geklickt
  oder mindestens ein nachverfolgtes Bild geöffnet haben
• Öffnungsrate: Öffnungen / Anzahl der Empfänger (ohne Bounces)
• Eindeutige Klicks: Anzahl der Empfänger, die mindestens einmal auf einen Link geklickt haben
• Klickquote (CTR): Einmalige Klicks / Anzahl der Empfänger (ohne Bounces)
• Klick-zu-Öffnungs-Rate (CTOR): Eindeutige Klicks / Öffnungen

Hier ist eine kurze Liste; die meisten davon beziehen sich auf die USA:

• Zu den Kunden von Mailchimp zählen Ein-Personen-Startups,
  kleine Unternehmen bis hin zu „Fortune 500“-Unternehmen,
  das gesamte Spektrum ist in diesen Daten vertreten

• E-Mail-Marketing-Benchmarks und Statistiken nach Branchen

• Campaign Monitor hat über 100 Milliarden E-Mails analysiert, die weltweit
  zwischen Januar und Dezember 2020 versendet wurden

• E-Mail-Benchmarks nach Branche und Tag

• Benchmarks zwischen Regionen vergleichen

• Der achte jährliche Deliverability-Benchmark-Bericht von Return Path
  um zu sehen, wie viele E-Mails im Posteingang, im Spam-Ordner oder blockiert gelandet sind.
  
  Inhalt des Deliverability-Benchmark-Berichts 2020 (PDF):

• Was versteht man unter Zustellbarkeit und wie wird sie gemessen?

• Was passiert mit einer E-Mail, nachdem man auf „Senden“ geklickt hat?

• Wie viele E-Mails landen weltweit durchschnittlich im Posteingang und im Spamfilter?

• Zustellbarkeitsstatistiken für 30 einzelne Länder

Zurück zum Anfang

Was gilt als SPAM?

Welche Nutzer und Mailserver werden als Spam-E-Mails eingestuft?

Ausgehend von unseren Erfahrungen mit RealSender,
haben wir versucht, die wichtigsten Punkte zusammenzufassen, die die Zustellung in den Posteingang beeinflussen können.

• Reaktionen der Nutzer
  Die Nachrichten sollten von ihren Empfängern erwartet bzw. gewünscht werden
  
  
• Technische Hinweise
  Es sind grundlegende Einstellungen erforderlich, damit die E-Mails angenommen werden
• IP-Adresse und Reputation der IP-Klasse
• Richtige Einrichtung des SMTP-Servers
• ordnungsgemäße E-Mail-Authentifizierung
• SPAMASSASSIN-Prüfung
  
• Probieren Sie es einfach aus und schauen Sie, was passiert:
  Der einzig sichere Weg, um festzustellen, ob eine E-Mail als Spam eingestuft wird, ist…
  sie zu versenden und zu sehen, wie sie beim Empfänger angezeigt wird.

Es ist sinnlos, die anderen Punkte zu prüfen
, wenn die Nachrichten von den Empfängern nicht erwartet oder gewünscht werden.

Reaktionen der Nutzer

Der Absender sollte sich in die Lage des Empfängers versetzen und versuchen, sich vorzustellen, wie eine E-Mail-Nachricht aufgenommen wird.
Beschwerden von Nutzern können dazu führen, dass der gesamte SMTP-Server oder der Domainname auf eine Blacklist gesetzt wird, was sich auf die Zustellung aller zukünftigen Nachrichten auswirkt.

• Benutzer können ihren Posteingang in der Regel* selbst verwalten: Als „Spam“ gilt das, was der jeweilige Benutzer als Spam betrachtet
  * = Viele Freemail-Anbieter bieten KEINE Möglichkeit, ihre „interne Werbung“ abzubestellen
• Der Nutzer gibt seine Entscheidung bekannt, indem er auf die Schaltfläche „Als Spam melden“ (in Gmail)
  oder die Schaltfläche „Junk“ (in Outlook/Hotmail) klickt
• Die Spamfilter moderner Mailserver reagieren auf Beschwerden von Nutzern: Nach einer bestimmten Anzahl von Klicks auf „Als Spam melden“
  werden alle Nachrichten mit ähnlichem Inhalt direkt in den Spam-Ordner verschoben.

Es sind grundlegende technische Einstellungen erforderlich, damit E-Mails zugestellt werden können.

IP-Adresse und Reputation der IP-Klasse

• IP-Blacklisting für SMTP-Server: Wenn Sie online nach „Blacklist-Check“ suchen, finden Sie zahlreiche Tools.
• Reputation der IP-Adresse eines SMTP-Servers – weitere Informationen finden Sie in unserem Blog-Artikel „SMTP-IP-REPUTATION IST WICHTIG“
• Wenn die Nachrichten von einem PC gesendet werden, sollte auch die Reputation der öffentlichen IP-Adresse der Internetverbindung überprüft werden:
  (Einige SMTP-Server-Anbieter maskieren die IP-Adresse der Internetverbindung, sodass das System des Empfängers nur deren IP-Adresse sieht)

Richtige Einrichtung des SMTP-Servers

• Reverse-DNS-
  , um sicherzustellen, dass die IP-Adresse Ihres Mail-Servers auf den Domainnamen verweist, den Sie für den E-Mail-Versand verwenden
• Der Mail Transfer Agent, also die Anwendung, die E-Mails weiterleitet und zustellt,
  sollte ordnungsgemäß konfiguriert sein, gemäß dem neuesten von der IETF veröffentlichten RFC
  siehe zum Beispiel: Postfix RFC-konform machen

ordnungsgemäße E-Mail-Authentifizierung

Verwenden Sie E-Mail-Authentifizierungsmethoden wie SPF und DKIM, um nachzuweisen, dass Ihre E-Mails und Ihr Domainname zusammengehören.
Ein positiver Nebeneffekt ist, dass Sie damit dazu beitragen, zu verhindern, dass Ihre E-Mail-Domain gefälscht wird.

• SPF ist ein pfadbasiertes E-Mail-Authentifizierungsprotokoll, mit dem E-Mail-Empfänger feststellen können, ob der Absender zur Nutzung der in der Kopfzeile der Nachricht angegebenen Domains berechtigt ist. Dies geschieht durch die Überprüfung der IP-Adresse des ausgehenden MTA des Absenders anhand von Informationen, die der Absender in DNS-TXT-Einträgen veröffentlicht hat. SPF ist in IETF RFC 4408 definiert.
• DKIM ist ein E-Mail-Authentifizierungsprotokoll, das es dem Absender ermöglicht, ausgehende E-Mails mithilfe von Public-Key-Kryptografie so zu signieren, dass dies vom Empfänger überprüft werden kann. DKIM ist in IETF RFC 4871 definiert. Der DKIM-Standard wird von Gmail und anderen großen Unternehmen eingesetzt, um Phishing und Spoofing im E-Mail-Verkehr vollständig zu unterbinden.
• DMARC stützt sich auf die etablierten SPF- und DKIM-Standards für die E-Mail-Authentifizierung. Ziel-Mailserver reagieren auf nicht authentifizierte E-Mails entsprechend der „DMARC-Richtlinie“ des Absenders und melden das Ergebnis an den Absender. DMARC ist im von der Internet Engineering Task Force veröffentlichten Dokument RFC 7489 definiert.

SPAMASSASSIN-Prüfung

• SpamAssassin ist eine serverseitige Software, die zur Filterung von E-Mail-Spam eingesetzt wird. Sie nutzt eine Vielzahl von Techniken zur Spam-Erkennung.
  Jeder Test hat einen Punktwert. Die Punktwerte können positiv oder negativ sein, wobei positive Werte „Spam“ und negative Werte „Ham“ (kein Spam) anzeigen.
  Der Standard-Schwellenwert für den Empfänger liegt bei „5,0“. Liegt der Punktwert einer E-Mail über diesem Schwellenwert, wird sie als Spam markiert.
  Die Software ist so weit verbreitet, dass die Überprüfung des Punktwerts vor dem Versenden von E-Mail-Nachrichten als obligatorisch angesehen werden sollte.
• Zwei Online-Tools können Ihnen dabei helfen, Ihren SpamAssassin-Wert zu überprüfen: ist kein Spam und Mail-Tester
  1. Sie müssen die Nachricht an die angegebene E-Mail-Adresse senden
  2. Klicken Sie nach einigen Sekunden auf die Schaltfläche „Bericht anzeigen“ oder „Ergebnis prüfen“.

Der einzig sichere Weg, um festzustellen, ob eine E-Mail als Spam eingestuft wird, ist…
sie zu versenden und zu sehen, wie sie beim Empfänger angezeigt wird.

Probier es einfach mal aus und schau, was passiert

• Wenn Sie eine zurückgewiesene Nachricht erhalten, kann dies sehr hilfreich sein, da in den letzten Zeilen in der Regel das Problem beschrieben wird, das zur Zurückweisung geführt hat.
  Sollte die Erklärung unverständlich sein, versuchen Sie einfach, eine Nachricht mit dem Betreff und dem Inhalt „Testnachricht“ zu senden, und prüfen Sie, ob diese angenommen wird.
  In diesem Fall sollten Sie dieselbe Nachricht mehrmals senden und den Inhalt dabei schrittweise reduzieren, bis Sie herausfinden, welcher Teil den Spamfilter auslöst.
• Ein detailliertes Versandprotokoll kann Ihnen dabei helfen, zu überprüfen, ob die Nachrichten angenommen oder abgelehnt wurden
  Beispiele für Informationen, die im Protokoll verfügbar sind
• In einigen (seltenen) Fällen ist eine Art „Whitelisting“ erforderlich.
  Manche Spam-Filter lernen daraus, wie Nutzer mit den empfangenen Nachrichten umgehen.
  Wenn der jeweilige Empfänger die empfangene E-Mail einmal als „Kein Spam“ markiert,
  lernt das System, dass es sich um gültige Nachrichten handelt, und leitet sie fortan in den Ordner „Posteingang“ statt in den „Spam“-Ordner weiter.
  Alternativ muss der Absender im Adressbuch des Empfängers gespeichert sein oder zuvor E-Mails mit ihm ausgetauscht haben.

Open-Source-E-Mail-Clients

Wie kann man mit einsatzbereiten Open-Source-E-Mail-Clients wieder die Kontrolle über seine E-Mails erlangen?

In den letzten zehn Jahren hat sich der Bereich der Unternehmens-E-Mail-Postfächer
fast vollständig gewandelt: weg von lokalen E-Mail-Servern hin zu Cloud-Diensten wie Exchange Online (Office 365) oder Gmail for Business (Google Apps).

Die Hauptgründe dafür sind:

• die Notwendigkeit, über mobile und Web-Schnittstellen auf E-Mails zugreifen zu können
• die Notwendigkeit, E-Mail-Postfächer vor Spam und Malware zu schützen

Auf diese Weise wurde das Leben von IT-Fachkräften vereinfacht, indem
die Verantwortung für die Verwaltung der E-Mail-Infrastruktur auf die „großen Tech-Unternehmen“ abgewälzt wurde.

Das Risiko, grundlegende E-Mail-Kenntnisse zu vernachlässigen, kann dazu führen, dass wir E-Mail-
als etwas betrachten, das wie von Zauberhand funktioniert, nur weil Microsoft und Google sich darum kümmern.

Wir können die Kontrolle über unsere E-Mails zurückgewinnen, indem wir die einzelnen Komponenten des E-Mail-Systems aufschlüsseln und separat verwalten:

• der Posteingangsserver
• der E-Mail-Client
• der Postausgangsserver

Dies sorgt für eine Isolierung und Segmentierung der Dienste und trägt erheblich zur Sicherheit bei.
Daher gilt die Verringerung der Angriffsfläche durch Isolierung/Segmentierung als bewährte Vorgehensweise.
Zudem erhöht dies die Skalierbarkeit und Stabilität.

E-Mail-Clients sind die wichtigste Schnittstelle zu E-Mail-Postfächern. Es handelt sich um komplexe Software, die mit den Benutzern interagiert.

Auf dem Markt gibt es zahlreiche Lösungen; wir haben sie anhand von zwei Kriterien ausgewählt:

• plattformübergreifende, aktiv betreute und Open-Source-Projekte
• gebrauchsfertig, sodass Systemadministratoren sie problemlos verwalten können

Wir haben uns zwei Optionen überlegt:

1. Mozilla Thunderbird ist ein plattformübergreifender E-Mail-Client mit offenem Quellcode für PCs. Entwickelt von der Mozilla Foundation.
   Es unterstützt sowohl IMAP als auch POP (wobei E-Mails lokal auf Ihrer Festplatte gespeichert werden, sodass Sie auch ohne Internetverbindung darauf zugreifen können).
   Es bietet hervorragende Funktionen zur E-Mail-Filterung und -Verwaltung.
   
   Thunderbird bietet umfassende Unterstützung für die Verwendung mehrerer Konten und Identitäten, einschließlich automatischer Signaturfunktionen.
   Es enthält installationsfertige Versionen für: Windows, Mac OS und Linux. Um aus der Ferne Zugriff zu erhalten, müssen sich Benutzer zunächst mit ihrem Computer verbinden.

2. Die neue Rainloop-Gabelist ein einfacher, moderner, schlanker und schneller webbasierter E-Mail-Client.
   Es kann eine große Anzahl von E-Mail-Konten verwalten, ohne dass eine Datenbankverbindung erforderlich ist.
   Es unterstützt sowohl das SMTP- als auch das IMAP-Protokoll, sodass E-Mails problemlos gesendet und empfangen werden können.
   
   Im Jahr 2020 hat die SnappyMail-GitHub-Projekt wurde veröffentlicht.
   Es handelt sich um eine grundlegend überarbeitete und gesicherte Abspaltung der RainLoop Webmail Community Edition.
   Hier ist die Demo des E-Mail-Clients SnappyMail. Wenn Sie die Admin-Oberfläche ausprobieren möchten, Kontaktieren Sie uns.

Arbeit, E-Mail und Datenschutz

Warnung: Dies ist ein Thema mit erheblichen rechtlichen Auswirkungen.
Wenden Sie sich an qualifizierte Berater, um die geltenden Vorschriften und deren Anwendung zu prüfen.

Die geschäftliche E-Mail-Adresse ist ein Arbeitsinstrument
, das eine beeindruckende Menge an geschäftsrelevanten Informationen enthält.

Die Unternehmen können mit der E-Mail-Adresse
– die ein geschäftliches Arbeitsinstrument ist – machen, was sie wollen, aber wird sie von den Mitarbeitern verfasst und gelesen?
Können sie sie lesen? Können sie sie sichern? Können sie sie archivieren?

Zusammenfassung:

• zwei Arten von geschäftlichen E-Mail-Adressen
• Allgemeine geschäftliche E-Mail-Adressen, keine Einschränkungen
• Firmenpostfach, z. B. Firmenwagen
• Verhaltensrichtlinien
• nur unter bestimmten Bedingungen lesbar
• den Mitarbeiter informieren
• Großbeträge sind verboten
• gesetzliche Anforderungen
• Verpflichtung zur Archivierung von E-Mail-Nachrichten
• Informationspflicht gegenüber dem Arbeitnehmer
• Verpflichtung zur Löschung von E-Mail-Nachrichten
• Verpflichtung zur Deaktivierung der Postfächer

Allgemeine geschäftliche E-Mail-Adressen, keine Einschränkungen

Die geschäftliche E-Mail-Adresse hat einen zwiespältigen Charakter,
sie ist ein Werkzeug, das dem Arbeitgeber gehört, aber vom Arbeitnehmer genutzt wird.

Wir müssen zwischen zwei verschiedenen Arten von geschäftlichen E-Mail-Adressen unterscheiden:

• persönliche Firmen-E-Mail-Adresse, z. B. name.surname@companyname.com
• allgemeine Unternehmens-E-Mail-Adressen wie info, support, sales, marketing, billing usw.
  das heißt, alle Adressen, die NICHT mit einer bestimmten Person verbunden sind

Die allgemeinen Firmenpostfächer sind überhaupt kein Problem,
das Unternehmen überprüft sie, liest alle Nachrichten und unterliegt dabei keinerlei Einschränkungen.

Firmenpostfach, z. B. Firmenwagen

Persönliche E-Mail-Postfächer wie name.surname@companyname.com,
können personenbezogene Daten des Arbeitnehmers enthalten, die der Arbeitgeber schützen muss.

Wenn wir uns für die Nutzung einer solchen Mailbox entscheiden,
müssen wir als Arbeitgeber wissen, welche technischen Standards wir einhalten müssen
und welche Tools wir einsetzen müssen, um die Daten angemessen verarbeiten zu können.

Die E-Mail-Adresse lässt sich mit einem Dienstwagen vergleichen,
sie wird dem Mitarbeiter zur Nutzung im Rahmen seiner beruflichen Aufgaben zur Verfügung gestellt.

Der Arbeitgeber kann beispielsweise den Kilometerstand überprüfen, um sicherzustellen, dass der Mitarbeiter
dieses Arbeitsmittel nicht missbraucht und für private Zwecke nutzt.

Der Arbeitgeber darf jedoch nicht systematisch und ohne konkreten Anlass
überwachen, was der Arbeitnehmer im Firmenwagen tut.

Die E-Mail-Adresse ist das Äquivalent zum Firmenwagen, ein Arbeitsmittel, das sich im Besitz des Unternehmens befindet,
und dem Mitarbeiter zur Verfügung gestellt wird, damit er es für die Arbeit nutzen und seine Aufgaben erfüllen kann.

Was der Mitarbeiter – auch während der Arbeitszeit – versendet und empfängt, ist vergleichbar mit dem, was
im Cockpit des Firmenwagens geschieht, und wird der privaten Korrespondenz gleichgestellt.

Zurück zum Anfang

nur unter bestimmten Bedingungen lesbar

Das Unternehmen kann den Inhalt der E-Mail-Nachrichten nicht einsehen,
dies ist weder systematisch noch ohne konkreten Anlass möglich.
Selbst wenn ein konkreter Anlass vorliegt, ist dies nur unter bestimmten Voraussetzungen möglich.

Es stehen drei unterschiedliche Interessen auf dem Spiel, die gegeneinander abgewogen werden müssen:

• das Interesse des Arbeitgebers am Zugriff auf diese Inhalte
  aus organisatorischen/produktionstechnischen, arbeitsschutztechnischen oder anderen Gründen
  
  
• die berechtigten Erwartungen der Mitarbeiter
  , die diese Inhalte als vertraulich betrachten
  
  
• Dritte, die an die E-Mail-Adresse
  schreiben, sind sich möglicherweise nicht bewusst, dass der Inhalt ihrer Korrespondenz NICHT privat und vertraulich ist.
  (Der übliche Haftungsausschluss am Ende von E-Mail-Nachrichten weist in der Regel darauf hin, dass der Inhalt von anderen gelesen werden kann.)

den Mitarbeiter informieren

Der Mitarbeiter muss in einer angemessenen schriftlichen Mitteilung darüber informiert werden, dass die E-Mail-Adresse
ausschließlich für alle Zwecke im Zusammenhang mit dem Arbeitsverhältnis genutzt werden darf, beispielsweise durch das Verbot der privaten Nutzung.

Das Dokument muss eine Anleitung zur Nutzung der Unternehmens-Tools enthalten,
einschließlich des E-Mail-Postfachs, und darauf hinweisen, dass gemäß den Datenschutzbestimmungen:

• E-Mails werden archiviert, um den gesetzlichen Vorschriften nachzukommen und die Unternehmensressourcen zu schützen
• Das Unternehmen kann in bestimmten Fällen den Inhalt des E-Mail-Postfachs des Mitarbeiters überprüfen

Großbeträge sind verboten

Die sogenannten „massiven Kontrollen“ sind verboten,
wie beispielsweise das systematische Durchsehen des Inhalts des E-Mail-Postfachs eines Mitarbeiters.

Die Grenzen der Arbeitgeberkontrolle beruhen auf drei Grundprinzipien:

• Zum einen gilt der Grundsatz von Treu und Glauben, wonach der Arbeitgeber die Firmen-E-Mail-Postfächer seiner Mitarbeiter nur dann überprüfen darf
  , wenn ein triftiger Grund vorliegt
  , beispielsweise zum Schutz von Unternehmensvermögen, das durch einen Virus gefährdet oder geschädigt werden könnte;
  oder im Falle des Verdachts auf Untreue seitens des Mitarbeiters, um vorbeugende Kontrollen durchzuführen

• die anderen sind die Verhältnismäßigkeit bei der Kontrolle sowie die zeitliche und sachliche Begrenzung der Forschung

Zurück zum Anfang

Verpflichtung zur Archivierung von E-Mail-Nachrichten

Die Vorschriften verlangen, dass der Arbeitgeber nachweisen muss
, dass er angemessene und wirksame Sicherheitsmaßnahmen getroffen hat
zum Schutz von Unternehmensdaten, wie beispielsweise die Archivierung von Unternehmens-E-Mails.

Informationspflicht gegenüber dem Arbeitnehmer

Zugriff auf Daten durch den Arbeitgeber
sofern dies ohne detaillierte Unternehmensangaben erfolgt:

• stellt einen sehr schwerwiegenden Verstoß dar
  
  im persönlichen Bereich des Mitarbeiters können sensible Daten zu finden sein,
  zum Beispiel Informationen über politische, religiöse, sexuelle oder gewerkschaftliche Neigungen,
  deren Vertraulichkeit auf höchstem Niveau gewährleistet sein muss

• Es handelt sich um eine Straftat
  
  Zudem besteht das Risiko, dass alle illegal erlangten Daten
  in einem Gerichtsverfahren unbrauchbar sind

Verpflichtung zur Löschung von E-Mail-Nachrichten

Geschäftskorrespondenz sollte in der Regel maximal zehn Jahre lang aufbewahrt werden.
Um das Unternehmensvermögen zu sichern und sich in etwaigen Rechtsstreitigkeiten verteidigen zu können.

Die Speicherung und Verarbeitung personenbezogener Daten ist nur für einen bestimmten Zweck zulässig.
Wenn dieser Zweck nach einer bestimmten Zeit, beispielsweise nach zehn Jahren, nicht mehr besteht, müssen diese Daten gelöscht werden.

Verpflichtung zur Deaktivierung der Postfächer

Im Falle einer Kündigung oder eines Austritts eines Mitarbeiters muss die E-Mail-Adresse
(Vorname.Nachname) innerhalb kurzer Zeit deaktiviert werden.

Das Unternehmen kann eine automatische Antwort aktivieren, in der der Absender darüber informiert wird, dass das Konto deaktiviert wurde,
und er gebeten wird, an eine andere interne E-Mail-Adresse zu schreiben.

Das historische Archiv der Unternehmensnachrichten gekündigter Mitarbeiter
kann nur dann aufbewahrt werden, wenn der Mitarbeiter darüber informiert wurde, dass seine Nachrichten gespeichert wurden.

Zurück zum Anfang

E-Mails vor Spam schützen

Wie schützt man geschäftliche E-Mails vor Spam?

Es ist fast unmöglich, über E-Mails nachzudenken, ohne dabei das Thema Spam zu berücksichtigen.
Wir haben versucht, die aktuelle Situation und die möglichen Strategien zusammenzufassen:

• Wie viel des E-Mail-Verkehrs ist Spam?
• Wie hoch sind die Kosten durch Spam?
• Was sind die neuesten Anti-Spam-Techniken?
  • Spam-Prävention (bevor es dazu kommt)
  • Spam-Abwehr (während der Spam-Flut)

Wie viel des E-Mail-Verkehrs ist Spam?

Eine seriöse Quelle ist SenderBase, das mittlerweile Talos heißt,
und etwa 85 % Spam-E-Mails sowie 15 % legitime E-Mails ausweist
im Vergleich zum im September 2020 erfassten E-Mail-Verkehr.

Dieser Prozentsatz ist stabil geblieben und hat sich in den letzten zwölf Monaten kaum verändert.

Quelle: E-Mail- und Spam-Daten – Weltweites Gesamtvolumen an E-Mails und Spam.

Zurück zum Anfang

Wie hoch sind die Kosten durch Spam?

Manchmal dient Spam lediglich Werbezwecken, und der Absender
versucht lediglich, mehr Kunden für sein Unternehmen
zu gewinnen, was zu Ablenkung und Zeitverlust führt. Er kann Ihren Posteingang
so überfüllen, dass es schwierig wird, wichtige E-Mails zu finden.

Nicht alle Spam-Mails sind harmlose Werbe-E-Mails.
In vielen Fällen sind die Absichten böswillig und zielen darauf ab, die Systeme der Nutzer zu beschädigen oder zu kapern.
Zu den weltweit häufigsten Varianten bösartigen Spams zählen Trojaner, Spyware und Ransomware.

Zurück zum Anfang

Was sind die neuesten Anti-Spam-Techniken?

Stellen Sie sich die Posteingänge Ihres Unternehmens wie Ihre Haustür vor:
Sie müssen entscheiden, wen Sie hereinlassen und wen Sie draußen lassen.

Keine Methode bietet eine vollständige Lösung für das Spam-Problem.
Jede Methode bringt Kompromisse mit sich zwischen dem fälschlichen Zurückweisen legitimer E-Mails (Falsch-Positive)
und dem Nicht-Zurückweisen von Spam (Falsch-Negative)
sowie den damit verbundenen Kosten in Form von Zeit, Aufwand und Kosten für das ungerechtfertigte Blockieren legitimer E-Mails.

Anti-Spam-Maßnahmen lassen sich in zwei Bereiche unterteilen: Prävention und Bekämpfung.

Spam-Prävention (bevor es dazu kommt)

Schränken Sie die Verfügbarkeit Ihrer E-Mail-Adressen ein, um das Risiko zu verringern, Spam zu erhalten.

• Diskretion
  
  Gib deine E-Mail-Adresse nicht an jeden weiter
  Je weniger bekannt sie ist, desto weniger Spam wirst du erhalten
  Verwende nach Möglichkeit für Online-Anmeldungen eine andere E-Mail-Adresse

• Kontaktformulare
  
  veröffentlichen Ihre E-Mail-Adresse nicht online
  jeder kann sie sehen, „Spambots“ fangen sie ständig ab
  um online kontaktiert zu werden, nutzen Sie sichere* Webformulare / Kontaktformulare
  * = geschützt vor Bots, die sie automatisch ausfüllen

Spam-Abwehr (während der Spam-Flut)

Sobald die Spammer Ihre E-Mail-Adresse haben, verlagert sich der Kampf auf Ihren Mailserver und Ihren Posteingang.

• SpamAssassin-ähnliche Bewertungssysteme
  
  Sie nutzen verschiedene Techniken zur Spam-Erkennung, darunter DNS-basierte E-Mail-Blacklists
  (allgemein als Realtime Blacklist, DNSBL oder RBL bezeichnet), Textanalyse und Bayes'sche Filterung.
  
  Jeder Test hat einen Bewertungswert. Die Bewertungen können positiv oder negativ sein, wobei positive Werte auf „Spam“ und negative auf „Ham“ (kein Spam) hinweisen.
  Der Standard-Punkteschwellenwert für den Empfänger beträgt „5,0“. Liegt die Punktzahl einer E-Mail über diesem Schwellenwert, wird sie als Spam markiert.
  
  Im Internet sind zahlreiche „SpamAssassin-Tests“ verfügbar,
  mit denen Spammer ihre Nachrichten vor dem Versand überprüfen können.

• Unterstützt durch Nutzer
  
  Nutzer dieser Systeme können eingehende E-Mails als legitim oder als Spam kennzeichnen, und diese Markierungen werden in einer zentralen Datenbank gespeichert.
  Sobald eine bestimmte Anzahl von Nutzern eine bestimmte E-Mail als Spam markiert hat, verhindert der Filter automatisch, dass sie in den Posteingängen der übrigen Community-Mitglieder landet.
  
  Manchmal wird das Nutzer-Feedback mit automatisierten Kontrollen kombiniert, wie beispielsweise der Anzahl der Interaktionen mit dem Inhalt der Nachricht,
  der Anzahl der Klicks auf Links und der heruntergeladenen Bilder oder der Häufigkeit, mit der dieselbe Nachricht in mehreren Postfächern auftaucht.
  
  Wenn ein kollaboratives Inhaltsfiltersystem eine große, aktive Nutzerbasis umfasst,
  kann es einen Spam-Ausbruch schnell blockieren, manchmal innerhalb weniger Minuten.
  
  Diese Art von Filter lässt sich von Spammern kaum umgehen.

• E-Mail-Authentifizierung
  
  SPF, DKIM und DMARC sind Authentifizierungsverfahren, mit denen Sie feststellen können, ob die Absenderadresse tatsächlich von dem Absender stammt, der angegeben wird.
  Im Jahr 2020 sind sie weit verbreitet und eine gute Quelle, um vertrauenswürdige Absender zu identifizieren.
  
  Es ist wichtig, im Voraus die genaue Domain zu kennen, von der die E-Mails stammen,
  da man sich sonst leicht durch die einfache Änderung eines Buchstabens täuschen lässt.
  
  Es ist möglich, dass Spammer die E-Mail-Authentifizierung einhalten
  , sodass ihre Nachrichten so aussehen, als kämen sie von „legitimen Absendern“.

• Zugelassene Absender, Whitelist
  
  In einer Whitelist kann man eine Reihe vertrauenswürdiger Adressen oder Domains angeben.
  Zu Beginn sind das persönliche Adressbuch und die bisher empfangenen E-Mails eine große Hilfe.
  
  Befindet sich ein Absender in dieser Liste, werden alle Prüfungen übersprungen und die Nachricht wird ohne Verzögerung empfangen.
  Diese Methode ist einfach zu implementieren und in Verbindung mit der E-Mail-Authentifizierung sehr effektiv, um das Fälschen von E-Mail-Adressen* zu verhindern.
  * = Verwendung eines gefälschten Absenders, um den Anschein zu erwecken, dass die Nachricht von einer anderen Person als dem tatsächlichen Absender stammt
  
  Sobald Ihre Liste vertrauenswürdiger Kontakte vollständig ist, gelangt kein unbekannter Absender mehr in Ihren Posteingang.
  Alle unerwünschten Nachrichten können in ein anderes Postfach umgeleitet werden, das einmal täglich oder seltener überprüft wird.
  
  Spammer werden kaum herausfinden können, wer die vertrauenswürdigen Absender der einzelnen Empfänger sind.
  Selbst wenn sie dies tun, werden Sie durch E-Mail-Authentifizierungsprüfungen auf die betrügerische Nutzung aufmerksam gemacht.

Zurück zum Anfang

So funktioniert DMARC – aktualisiert

Wie funktioniert DMARC mit Gmail und Office 365? (aktualisiert)

Wir haben erneut untersucht, wie sich die E-Mail-Authentifizierung auf die Zustellungs
an Google Mail- und Office 365-Postfächer auswirkt – die beliebtesten E-Mail-Anbieter für Unternehmen.

Die Ergebnisse lassen sich in zwei Gruppen unterteilen:

E-Mail-Zustellung

(Wie sich SPF, DKIM und DMARC auf die Zustellung gesendeter Nachrichten auswirken)

# Google Mail: Die E-Mails werden immer angenommen, die SPF-Authentifizierung scheint überhaupt nicht berücksichtigt zu werden
Die DKIM-Signatur wird nur geprüft, wenn sie mit der Absender-E-Mail-Adresse übereinstimmt und DMARC mit der Richtlinie „quarantine“ oder „reject“ konfiguriert ist.
 
# Office 365: reagiert vollständig auf SPF; wenn eine Nachricht die SPF-Prüfung besteht, gelangt sie in den Posteingang.
Die DKIM-Signatur wird nur berücksichtigt, wenn sie mit der Absender-E-Mail-Adresse übereinstimmt, andernfalls spielt sie keine Rolle.
 
   Hinweise: In der letzten Augustwoche zeigte Office 365 ein seltsames Verhalten:
Nur Nachrichten, die mit DKIM signiert waren (Signaturdomäne stimmte mit der Absenderadresse überein)
und bei denen ein DMARC-Eintrag vorhanden war (mit beliebiger Richtlinie), wurden in den Posteingang zugestellt

Schutz vor Spoofing

(Wie SPF, DKIM und DMARC die E-Mail-Adresse des Absenders vor Spoofing schützen*)
* = Die Nachricht so erscheinen lassen, als stamme sie von einer anderen Person als dem tatsächlichen Absender

# Google Mail: Bei Aktivierung von DMARC werden gefälschte Absender in den Spam-Ordner gefiltert (mit p=quarantine) oder abgelehnt (mit p=reject).
   Es passiert nichts, wenn die Richtlinie auf „none“ (p=none) gesetzt ist; in diesem Fall gelangen alle Nachrichten in den Posteingang.

# Office 365: Die Ergebnisse „spf fail“ oder „spf softfail“ reichen aus, um die gefälschten Absender in den Junk-E-Mail-Ordner zu verschieben.

Authentifizierungsanforderungen

Die vorgeschlagenen Anforderungen an die E-Mail-Authentifizierung lassen sich wie folgt zusammenfassen:

Ergebnisse des E-Mail-Zustellungstests

Nachfolgend finden Sie die vollständige Liste der durchgeführten Tests

Anmerkungen:

• Wenn die Absenderadresse (sichtbarer Absender) und die „Mail-from“-Adresse (auch als „Envelope-From“ oder „Return-Path“ bezeichnet) identisch sind, beziehen sie sich auf dieselbe Domain
• „dkim pass“: Die DKIM-Signaturdomäne stimmt mit der der Absenderadresse überein (die Domänen sind identisch)
• „dkim diff“: Die DKIM-Signaturdomäne unterscheidet sich von der der Absenderadresse (die Domänen sind NICHT aufeinander abgestimmt)

DKIM-Domäne für DMARC

Wie wirkt sich die DKIM-Domänenabgleichung auf die DMARC-Authentifizierung aus?

DMARC (Domain-based Message Authentication, Reporting and Conformance),
ist ein Standard zur E-Mail-Authentifizierung, der entwickelt wurde, um gefälschte E-Mails mit gefälschten Domänen zu bekämpfen.

Im Kapitel „3.1. Identifikatorabgleich“ heißt es:

   E-Mail-Authentifizierungstechnologien authentifizieren verschiedene (und
  unterschiedliche) Aspekte einer einzelnen Nachricht.  Beispielsweise authentifiziert [DKIM]
  die Domäne, die die Nachricht signiert hat,
  während [SPF] entweder die Domäne authentifizieren kann, die im
  RFC5321.MailFrom-Teil (Mail-From) von [SMTP] oder im RFC5321.EHLO/
   HELO-Domäne oder beides.  Dies können unterschiedliche Domänen sein, und sie sind
   für den Endbenutzer in der Regel nicht sichtbar.

   DMARC authentifiziert die Verwendung der RFC5322.From-Domäne, indem es verlangt, dass
   diese mit einem authentifizierten Identifikator übereinstimmt (abgestimmt ist).
   
   -- https://tools.ietf.org/html/rfc7489#section-3.1

Das bedeutet ganz einfach:

   Wenn ein Absender seine E-Mail mittels SPF und/oder DKIM authentifiziert,  
   muss mindestens eine der Domains mit der Absender-Domain übereinstimmen

Uns war nicht klar, ob eine Nachricht die SPF- oder DKIM-Prüfung
nicht bestehen und dennoch die DMARC-Authentifizierung bestehen könnte.

Wir haben es mit einem Tool getestet, das jedem zur Verfügung steht: einem Gmail-Postfach.
Um das Ergebnis zu sehen, öffnen Sie die Nachricht und wählen Sie „Original anzeigen“:

Test 1 – weitergeleitete Nachricht: SPF-Fehler, DKIM-Bestätigung (abgestimmt)

Test 2 – fehlerhafter DKIM-Schlüssel: DKIM-Fehler, SPF-Bestätigung (abgestimmt)

The result is evident, the message passes DMARC authentication if it occurs:
SPF and domain alignment <OR> DKIM and domain alignment

Um die DMARC-Prüfung zu bestehen, ist es daher in manchen Fällen wichtig, die DKIM-Signatur zu validieren:
Die signierende Domain (d=example.com) muss mit der „From“-Domain übereinstimmen.

Beispiele für „DMARC-PASS“-Ergebnisse, die andernfalls nicht funktioniert hätten:

Fall 1 – Durch die Weiterleitung wird die SPF-Authentifizierung unterbrochen

• SPF-FEHLER: SPF-Authentifizierungsprüfungen schlagen meist fehl,
  da eine neue Entität, die nicht im SPF-Eintrag des ursprünglichen Absenders aufgeführt ist, die weitergeleitete E-Mail versendet

• DKIM-PASS (angepasst): Die Weiterleitung von E-Mails hat keinen Einfluss auf die DKIM-Signatur

Ergebnis: Dank der DKIM-Übereinstimmung besteht die Nachricht die DMARC-Prüfung.

Fall 2 – Die vom ESP (E-Mail-Dienstanbieter) bereitgestellte SPF-Domäne
kann NICHT mit der Absender-Domäne abgeglichen werden

• SPF~PASS (nicht abgeglichen): Die SPF-Authentifizierung schlägt beim Abgleich der Domänen fehl,
  da die von ESP in der „Mail-From“-Adresse verwendete Domäne von der im „From“-Feld angegebenen abweicht

• DKIM-PASS (abgestimmt): Die DKIM-Signatur verwendet dieselbe Domain wie der Absender

Ergebnis: Dank der DKIM-Übereinstimmung besteht die Nachricht die DMARC-Prüfung.

Die beliebtesten E-Mail-Anbieter

Welche E-Mail-Anbieter sind 2020 am beliebtesten?

Um die Zustellbarkeit von E-Mails zu überwachen, ist es wichtig zu wissen, welche E-Mail-Anbieter Ihre Empfänger nutzen.

Business-to-Business

Für den B2B-Bereich liegen uns keine genauen Zahlen vor. Der Großteil der geschäftlichen E-Mail-Postfächer wird auf „Cloud-Office-Suiten“ umgestellt, wobei sich der Markt zwischen „G Suite“ und „Office 365“ aufteilt.
Zusammen decken sie laut Daten von datanyze.com mehr als 90 % des weltweiten Marktanteils für geschäftliche E-Mail-Dienste ab.

Diese Informationen für ein einzelnes Unternehmen zu sammeln, ist recht einfach.
Anhand des MX-Eintrags der Unternehmensdomain lässt sich der verwendete E-Mail-Anbieter erkennen:
aspmx.l.google.com für „G Suite“
mail.protection.outlook.com für „Office 365“

Wenn Ihr Unternehmen im B2B-Bereich tätig ist, empfiehlt es sich, regelmäßig die Postfächer dieser beiden Anbieter zu überprüfen.

Ein weiterer Anbieter ist Zoho (mx.zoho.com), dessen Marktanteil bei etwa 2 % liegt (Quelle: ciodive.com).

Business-to-Consumer

Im B2C-Bereich ist die Analyse komplexer. Es gibt keine öffentlich zugänglichen „E-Mail-Öffnungsdaten“, die auf dem Internetverkehr basieren.

Die einzige Möglichkeit, Informationen über E-Mail-Empfänger zu erhalten, besteht darin, diese aus unserer Kontaktliste zu extrahieren oder sie von großen E-Mail-Anbietern zu beziehen. Einige von ihnen erstellen Jahresberichte, um diese mit der Internet-Community zu teilen.

Die folgenden Daten zeigen die drei führenden E-Mail-Anbieter in 25 Ländern; die Informationen stammen aus der von Sendgrid veröffentlichten „2019 Email Benchmark and Engagement Study“.

Länder

Argentinien, Australien, Belgien, Brasilien, Kanada, Chile, China, Kolumbien, Dänemark, Frankreich, Deutschland, Indien, Indonesien, Italien, Japan, Mexiko, Neuseeland, Russland, Saudi-Arabien, Spanien, Südafrika, Schweden, Schweiz, Vereinigtes Königreich, Vereinigte Staaten

Argentinien

Zurück zum Anfang

Australien

Zurück zum Anfang

Belgien

Zurück zum Anfang

Brasilien

Zurück zum Anfang

Kanada

Zurück zum Anfang

Chile

Zurück zum Anfang

China

Hinweis: Die Informationen stammen aus „Länderübersicht: China“ von ReturnPath

Zurück zum Anfang

Kolumbien

Zurück zum Anfang

Dänemark

Zurück zum Anfang

Frankreich

Zurück zum Anfang

Deutschland

Zurück zum Anfang

Indien

Zurück zum Anfang

Indonesien

Zurück zum Anfang

Italien

Zurück zum Anfang

Japan

Zurück zum Anfang

Mexiko

Zurück zum Anfang

Niederlande

Zurück zum Anfang

Neuseeland

Zurück zum Anfang

Russland

Zurück zum Anfang

Saudi-Arabien

Zurück zum Anfang

Spanien

Zurück zum Anfang

Südafrika

Zurück zum Anfang

Schweden

Zurück zum Anfang

Schweiz

Zurück zum Anfang

Vereinigtes Königreich

Zurück zum Anfang

Vereinigte Staaten

Zurück zum Anfang

So funktioniert DMARC

Wie funktioniert DMARC im Jahr 2020 mit Gmail und Office 365?

Wir haben untersucht, wie sich die E-Mail-Authentifizierung auf die Zustellungs
bei Google Mail und Office 365 auswirkt – den beliebtesten Anbietern von geschäftlichen E-Mail-Diensten.

Die Ergebnisse lassen sich in zwei Gruppen unterteilen:

1. E-Mail-Zustellung
   (Wie sich SPF, DKIM und DMARC auf die Zustellung gesendeter Nachrichten auswirken)
   Google Mail: Die E-Mails werden immer angenommen, die Authentifizierung scheint überhaupt keine Rolle zu spielen
   Office 365: Reagiert im Allgemeinen auf SPF und DKIM. Der einzige Weg, um konsistente Ergebnisse zu erzielen und den Posteingang zu erreichen, besteht darin, diese mit DMARC zu verknüpfen
    

2. Schutz vor E-Mail-Spoofing
   (Wie SPF, DKIM und DMARC die E-Mail-Adresse des Absenders vor Spoofing schützen*)
   * = lässt die Nachricht so erscheinen, als stamme sie von einer anderen Person als dem tatsächlichen Absender
   Google Mail: Durch die Kombination von DMARC und SPF (Fail- oder Softfail-Qualifier) werden gefälschte Absender in den Spam-Ordner gefiltert oder abgelehnt (abhängig von Ihren DMARC-Einstellungen)
   Office 365: SPF (Fail- oder Softfail-Qualifier) reicht aus, um gefälschte Absender in den Junk-E-Mail-Ordner zu leiten

 
Sie lassen sich wie folgt zusammenfassen:

 
Nachfolgend finden Sie eine vollständige Übersicht über die durchgeführten Tests.

Anmerkungen:

• Die Absenderadresse (sichtbarer Absender) und die Absenderadresse im Umschlag (Return-Path) stammen aus derselben Domain
• „dkim pass“: Die DKIM-Signaturdomäne stimmt mit der der Absenderadresse überein
• „dkim diff“: Die DKIM-Signaturdomäne unterscheidet sich von der der Absenderadresse
• Die Sternchen in der zweiten Gruppe bedeuten, dass die Ergebnisse im Laufe der Zeit nicht konsistent waren