IP-Adressen auf der Whitelist

Versenden Sie E-Mails, ohne sich um die Benutzerauthentifizierung kümmern zu müssen.

Wir stellen Ihnen einen offenen Port zur Verfügung, über den Sie Daten übertragen können:
Dabei wird lediglich die IP-Adresse Ihrer Verbindung überprüft.

Geben Sie einfach unter
an, von welchen IP-Adressen aus Sie sich verbinden, und schon können Sie Ihre E-Mails versenden.

digital signierte Nachrichten

Um sich vor E-Mail-Missbrauch zu schützen,überprüfen immer mehr E-Mail-Server
die Identität des Absenders, bevor sie die Nachricht zustellen.

Wenn Sie E-Mails ohne RealSender versenden, können Ihre Empfänger nicht sicher sein,
dass die empfangene Nachricht tatsächlich von Ihnen stammt.

Wenn Sie E-Mails mit RealSender versenden, werden alle Nachrichten, die Sie
senden, digital signiert, sodass die Empfänger ihnen vertrauen können.

Es gibt zwei Standards zur Überprüfung der Absenderidentität: SPF und DKIM.
RealSender bietet beide an:

• In der SPF-Eintragung wird festgelegt, welche SMTP-Server für eine bestimmte Domain autorisiert sind
• DKIM signiert jede Nachricht, die von einer bestimmten Domain und dem zugehörigen SMTP-Server gesendet wird
  Alle Informationen, die zur Überprüfung der DKIM-signierten Nachrichten verwendet werden
  werden in den DNS-Einstellungen der Domain gespeichert und gesichert

feste IP-Adresse

Die „Internetprotokolladresse“ oder „IP-Adresse“
ist vergleichbar mit einer Telefonnummer Ihres Festnetzanschlusses oder Mobiltelefons.

Es handelt sich um personenbezogene Daten, die automatisch
von einem anderen Computer erfasst werden, sobald eine Verbindung über das Internet hergestellt wird.
Kein anderes Gerät im Internet hat dieselbe IP-Adresse.
Dies ist notwendig, damit ein Gerät mit einem anderen kommunizieren kann.

„Dedizierte“ IP-Adressen sind für den Versand von E-Mails
wichtig, da ihre Reputation einen entscheidenden Einfluss darauf hat, ob die E-Mails angenommen werden oder nicht.

Die Verwendung „gemeinsam genutzter“ IP-Adressen für die geschäftliche Kommunikation
ist so, als würde man jedes Mal einen anderen Vertriebsmitarbeiter zum selben Kunden schicken.
Da der Empfänger ihn nicht kennt, wird er ihm mit Misstrauen begegnen.
In extremen Fällen, wenn derselbe Verkäufer jeden Tag andere Produkte anbietet,
ist es sehr wahrscheinlich, dass er beim nächsten Mal, wenn er an die Tür klopft, nicht mehr willkommen ist.

Die meisten SMTP-Dienste im Internet stellen ihren Kunden „gemeinsam genutzte“ IP-Adressen zur Verfügung.
Jedes Mal, wenn Sie eine E-Mail versenden, wird eine andere IP-Adresse zugewiesen.
Ähnliches gilt für Cloud-Hosting-Anbieter, die ihre Dienste auf Minutenbasis anbieten.
In diesem Fall vergeben sie eine oder mehrere „vorübergehend zugewiesene“ IP-Adressen.

Seit seiner Gründung im Jahr 2009 hat sich RealSender dazu entschlossen, ausschließlich SMTP-Server mit „dedizierten“ IP-Adressen anzubieten.
Das bedeutet, dass jeder Kunde eine IP-Adresse erhält, die sich im Laufe der Zeit nicht ändert.
Durch die Verknüpfung mit dem Unternehmensdomainnamen mittels E-Mail-Authentifizierung gewinnen beide an Glaubwürdigkeit.

Wenn Ihre Mitteilungen konsistent sind und den Erwartungen entsprechen,
werden sie nach und nach von den Empfängern wahrgenommen, die ihnen eine höhere Reputation zuerkennen.
Dieses Vertrauen kann ein hohes Niveau erreichen, sodass alle von Ihnen gesendeten Mitteilungen
automatisch akzeptiert und als „Wichtig“ oder „Hohe Priorität“ eingestuft werden.

Sicherheitseinstellungen

Wechseln Sie von Ihrem derzeitigen Mailserver zur sicheren Umgebung von RealSender.

Sie können dieselben Anmeldedaten
sowie den SMTP-Hostnamen verwenden, sofern dieser unter Ihrer Domain liegt.

Sie können E-Mails sicher versenden, auch ohne Authentifizierung.

Themen in diesem Bereich:

Einstellungen des E-Mail-Programms

So starten Sie mit RealSender:

1. Fordern Sie ein kostenloses Testkontoan
   
   
2. Ändern Sie die Einstellungen für den Postausgang (SMTP) in Ihrem E-Mail-Programm:
   Outlook – Outlook 2007 – Outlook 2013, 2016 – Mac OS X Mail – Thunderbird – Zimbra Desktop
   
   Ist Ihr Programm nicht in der Liste oben aufgeführt? Kontaktieren Sie uns!
   
   Besuchen Sie den Bereich„E-Mail-Server“, wenn Sie ein zentrales E-Mail-System verwenden.
   Schauen Sie in unserem Bereich„Newsletter-Software“vorbei, wenn Sie Massen-E-Mails versenden möchten.
   
   
3. Ändern Sie die Einstellungen Ihrer Domain, um die gesendeten Nachrichten mit SPF zu authentifizieren
   (dies geschieht in der Regel nach Ablauf der Testphase)
   
   

• Warum? Wenn Sie möchten, dass E-Mails von Ihrer Domain über einen Drittanbieter-Dienst versendet werden,
  müssen Sie Ihren SPF-Eintrag so konfigurieren, dass der Versand von den IP-Adressen des Dienstanbieters zugelassen wird.
  Wenn Sie dies nicht tun, laufen Sie Gefahr, dass E-Mail-Empfänger alle von Ihrer Domain versendeten E-Mails ablehnen.
  
  
• Die Einrichtung des RealSender-SPF-Eintrags ist ganz einfach:
  Sie müssen lediglich „include:spf.realsender.com“ zu Ihrem SPF-Eintrag hinzufügen – fertig.

Wir signieren E-Mails automatisch mit DKIM, sodass Sie nichts weiter tun müssen.

Haben Sie Fragen? Kontaktieren Sie uns!

E-Mail-Server-Einstellungen

So starten Sie mit RealSender:

1. Fordern Sie ein kostenloses Testkontoan
   
   
2. Ändern Sie die Einstellungen für den Postausgang (SMTP) auf Ihrem E-Mail-Server:
   Microsoft Exchange Server – Microsoft Office 365 – Zimbra Collaboration
   
   Ist Ihr Server nicht in der obigen Liste aufgeführt? Kontaktieren Sie uns!
   
   Besuchen Sie die Seite„E-Mail-Client“, wenn Sie individuell konfigurierte E-Mail-Clients verwenden.
   Schauen Sie in unserem Bereich„Newsletter-Software“nach, wenn Sie Massen-E-Mails versenden möchten.
   
   
3. Ändern Sie die Einstellungen Ihrer Domain, um die gesendeten Nachrichten mit SPF zu authentifizieren
   (dies geschieht in der Regel nach Ablauf der Testphase)
   
   

• Warum? Wenn Sie möchten, dass E-Mails von Ihrer Domain über einen Drittanbieter-Dienst versendet werden,
  müssen Sie Ihren SPF-Eintrag so konfigurieren, dass der Versand von den IP-Adressen des Dienstanbieters zugelassen wird.
  Wenn Sie dies nicht tun, laufen Sie Gefahr, dass E-Mail-Empfänger alle von Ihrer Domain versendeten E-Mails ablehnen.
  
  
• Die Einrichtung des RealSender-SPF-Eintrags ist ganz einfach:
  Sie müssen lediglich „include:spf.realsender.com“ zu Ihrem SPF-Eintrag hinzufügen – fertig.

Wir signieren E-Mails automatisch mit DKIM, sodass Sie nichts weiter tun müssen.

Haben Sie Fragen? Kontaktieren Sie uns!

Inxbox-App

Die „inxbox“-App von RealSender ist ein sofort einsatzbereiter E-Mail-Server,
der alle an die autorisierte Domain gesendeten Nachrichten empfängt.
Er ist sofort betriebsbereit, sobald der MX-Eintrag auf ihn verweist.

Er wird oft als Notfall-Mailserver eingesetzt.

Sollte Ihr üblicher E-Mail-Dienst ausfallen,
nimmt inxbox alle an ihn gesendeten Nachrichten sofort entgegen.
Ohne dass eine spezielle Konfiguration erforderlich ist,
wie beispielsweise die Angabe einzelner Benutzer-E-Mail-Adressen.

Wenn „
“ als historisches E-Mail-Archiv konfiguriert ist, speichert ein automatischer Prozess die Nachrichten
nach Empfänger, Monat und Jahr.

Hauptmerkmale:

Spamstop-App

E-Mails sind der Hauptkanal für Cyberangriffe.

Das Fälschen der Absenderadresse lässt sich anhand der E-Mail-Authentifizierungsdaten erkennen.

Die „spamstop“-App von RealSender zeigt die Ergebnisse der Echtheitsprüfungen
direkt im Betreff der empfangenen Nachrichten an.

In Kombination mit einem Filter
, der Nachrichten nach Absendern sortiert, die NICHT in Ihrem Adressbuch enthalten sind, ist dies eine effiziente Anti-Spam-Lösung.

Es kann für die gesamte Domain oder auch nur für einige wenige E-Mail-Adressen aktiviert werden.

Hauptmerkmale:

Einstellungen der Newsletter-Software

So starten Sie mit RealSender:

1. Fordern Sie ein kostenloses Testkontoan
   
   
2. Ändern Sie die Einstellungen für den Postausgang (SMTP) in Ihrer Newsletter-Software:
   GroupMail – Inxmail Professional – Joomla AcyMailing – MaxBulk Mailer – phplist
   SendBlaster – Sendy – WordPress MailPoet 3 – WordPress MailPoet 2 – WordPress Mailster
   
   Ist Ihr Programm nicht in der Liste oben aufgeführt? Kontaktieren Sie uns!
   Alternativ können Sie die Option„copymail app“prüfen!
   
   Besuchen Sie die Seite„E-Mail-Client“, wenn Sie individuell konfigurierte E-Mail-Clients verwenden.
   Besuchen Sie den Bereich„E-Mail-Server“, wenn Sie ein zentralisiertes E-Mail-System verwenden.
   
   
3. Ändern Sie die Einstellungen Ihrer Domain, um die gesendeten Nachrichten mit SPF zu authentifizieren
   (dies geschieht in der Regel nach Ablauf der Testphase)
   
   

• Warum? Wenn Sie möchten, dass E-Mails von Ihrer Domain über einen Drittanbieter-Dienst versendet werden,
  müssen Sie Ihren SPF-Eintrag so konfigurieren, dass der Versand von den IP-Adressen des Dienstanbieters zugelassen wird.
  Wenn Sie dies nicht tun, laufen Sie Gefahr, dass E-Mail-Empfänger alle von Ihrer Domain versendeten E-Mails ablehnen.
  
  
• Die Einrichtung des RealSender-SPF-Eintrags ist ganz einfach:
  Sie müssen lediglich „include:spf.realsender.com“ zu Ihrem SPF-Eintrag hinzufügen – fertig.

Wir signieren E-Mails automatisch mit DKIM, sodass Sie nichts weiter tun müssen.

Haben Sie Fragen? Kontaktieren Sie uns!

die Abmeldung vereinfachen

Bieten Sie den Empfängern stets eine einfache Möglichkeit, sich von Ihren Nachrichten abzumelden. 
Wenn Sie den Empfängern die Möglichkeit geben, sich von Ihren Nachrichten abzumelden, können Sie die Öffnungsraten, 
die Klickraten und die Effizienz des Versands verbessern. 

Wichtig: Wenn Sie mehr als 5.000 Nachrichten pro Tag versenden, 
müssen Ihre Marketing- und Abonnement-Nachrichten die Abmeldung mit einem Klick unterstützen.

-- Gmail, Richtlinien für E-Mail-Absender, 2024

Erfahren Sie mehr über die „List-Unsubscribe“-Header in RFC 2369 und RFC 8058.

Nachdem wir festgestellt hatten, dass die meisten unserer Kunden in ihren versendeten Nachrichten KEINE „List-Unsubscribe:“-Header verwendeten,
haben wir beschlossen, diese automatisch zu jeder Nachricht hinzuzufügen – allerdings nur, wenn diese Header noch nicht vorhanden sind.

Stornierungsanfragen MÜSSEN innerhalb von zwei Tagen bearbeitet werden.
Sie dürfen NICHT mit einer Abmeldeanfrage auf andere Weise antworten.

Gmail und andere Anbieter generieren automatisch eine E-Mail-Nachricht.
Diese wird an die E-Mail-Adresse gesendet, die Sie uns mitteilen (auch an mehrere Adressen).

Alternativ können Sie unter der Webadresse: rsXXX-realsender.com/unsubs
auf alle in den letzten sieben Tagen eingegangenen Abmeldeanfragen zugreifen,
im JSON-Format, wie im folgenden Beispiel gezeigt:

  {
    "mailbox": "rsXXX",
    "id": "20241107T001800-0000",
    "from": "<john.doe@gmail.com>",
    "to": [
      "<abuse@rsXXX-realsender.com>"
    ],
    "subject": "RealSender :: rsXXX Nov-7 4A6NDqsl008203 :: please UNSUBSCRIBE me ::",
    "date": "2024-11-07T00:18:00.938050657+01:00",
    "posix-millis": 1730935080938,
    "size": 4350,
    "seen": false
  },

Bouncehandler-App

Das wiederholte Versenden an falsche oder inaktive Empfänger gilt als „Spam-Verhalten“.
In den letzten Jahren wurden aus diesem Grund immer mehr SMTP-Server auf schwarze Listen gesetzt.

Der auffälligste Fehler tritt auf, wenn das Postfach der Mail-From-/Return-Path-Adresse,
– also das Postfach, in dem die zurückgesendeten Nachrichten landen – voll oder nicht vorhanden ist.
Wenn bei Tausenden von versendeten Nachrichten 20 % zurückkommen, ist selbst ein großes Postfach innerhalb weniger Minuten schnell voll.

Dass alle zurückgewiesenen Nachrichten empfangen werden, ohne dass sie gelesen werden, könnte als kleiner Makel angesehen werden.
Sie senden weiterhin E-Mails an Adressen, von denen sie zurückkommen, mit Fehlerdetails, die niemanden interessieren.

In beiden Fällen führt dies dazu, dass der SMTP-Server auf die schwarze Liste gesetzt wird. Auf diese Weise werden unter
nicht nur Nachrichten an ungültige Empfänger nicht zugestellt, sondern gültige Empfänger erhalten sie zudem als SPAM.

Um das erste Problem zu lösen, bieten wir schon seit Langem„Newsletter-Postfächer“an.
Die Analyse von Rückläufern ist schwieriger und erfordert ein Tool, das sehr gut funktioniert.

Wir haben uns für„Sisimai: Mail Analyzing Interface“entschieden, früher bekannt als bounceHammer 4: ein Tool zur Analyse von Fehler-E-Mails.
Eine Open-Source-Software, die Bounce-Mails nach RFC 5322 analysiert und strukturierte Daten im JSON-Format generiert.

Um einen Überblick über alle möglichen Fehlercodes zu erhalten, die Sisimai auswertet, werfen Sie einen Blick auf„The SMTP Field Manual“,
eine Sammlung von SMTP-Fehlercodes in Rohform, die von den wichtigsten E-Mail-Anbietern stammen.

Die automatische Sperrliste

Die Implementierung des Bounce-Handlers in RealSender ist ganz einfach.

1. Aktivieren Sie die„Newsletter-Mailbox“
2. Konfigurieren Sie Ihre Absenderanwendung so, dass sie die neue Return-Path-Adresse verwendet
3. Bitten Sie darum, die Einrichtung zu überprüfen und den „Bounce-Handler“ zu aktivieren

Die App „bouncehandler“ beginnt mit der Überprüfung der zurückgewiesenen Nachrichten.
Zwei Sperrlisten werden aktiviert:

1. Die Blockliste für Hard Bounces
   enthält alle E-Mail-Adressen, bei denen ein dauerhafter Fehler aufgetreten ist,
   wie z. B. „Benutzer unbekannt“ oder „Host nicht erreichbar“
   
   Das wöchentliche Protokoll der Hard Bounces ist unter folgender Webadresse verfügbar:
   https://…hardbounces.email.weekly

2. Die Blockliste für Soft Bounces
   enthält alle E-Mail-Adressen, bei denen drei oder mehr vorübergehende Fehler aufgetreten sind,
   wie z. B. „Postfach voll“, wobei zwischen den einzelnen Fehlern mindestens eine Woche liegen muss
   
   Das wöchentliche Soft-Bounce-Protokoll ist unter folgender Webadresse verfügbar:
   https://…softbounces.email.weekly

Das Senden von Nachrichten an einen Empfänger, der auf der Sperrliste steht, führt zu folgender Fehlermeldung:

Verwalten Sie Ihre Blöcke unabhängig voneinander

Wir stellen Ihnen die folgenden Dateien zur Verfügung:
als Webadressen, die durch ein Passwort oder eine IP-Adresse geschützt sind:

https://…bounces.json
the details of the bounces received in the last seven days, in JSON format, such as:

  {
    "feedbacktype": "",
    "addresser": "info@circuitocinemascuole.com",
    "diagnostictype": "SMTP",
    "timezoneoffset": "+0200",
    "lhost": "linp.arubabusiness.it",
    "destination": "gmail.com",
    "timestamp": 1635536166,
    "senderdomain": "circuitocinemascuole.com",
    "deliverystatus": "5.1.1",
    "token": "daad8f8fc89cef70e1406a9d2b38be6c35326e03",
    "recipient": "...@gmail.com",
    "subject": "Prenotazioni aperte_Giornata Internazionale dei Diritti dell'Infanzia e dell'Adolescenza_Film FIGLI DEL SOLE",
    "origin": "/home/rs109-bounce/Maildir/new/1635528969.21113_0.rsbox.realsender.com",
    "rhost": "gmail-smtp-in.l.google.com",
    "reason": "userunknown",
    "diagnosticcode": "550-5.1.1 The email account that you tried to reach does not exist. Please try double-checking the recipient's email address for typos or unnecessary spaces. Learn more at https://support.google.com/mail/?p=NoSuchUser z3si7494964ybg.507 - gsmtp 503 5.5.1 RCPT first. z3si7494964ybg.507 - gsmtp",
    "messageid": "McuPi4DjtlyhvlSMVNB4wTXsUKQeIy6XwlKoAZuJ4@www.circuitocinemascuole.com",
    "listid": "",
    "action": "failed",
    "softbounce": 0,
    "replycode": "550",
    "catch": null,
    "alias": "",
    "smtpagent": "Sendmail",
    "smtpcommand": "DATA"
  },

https://…hardbounces.json
the details of the hard bounces ¹ received in the last seven days, in JSON format

https://…hardbounces.email
the list of email addresses that generated a hard bounce ¹ in the last seven days

¹ = Auswahlkriterien: softbounce == 0

https://…softbounces.json
the details of the soft bounces ² received in the last seven days, in JSON format

https://…softbounces.email
the list of email addresses that generated a soft bounce ² in the last seven days

² = Auswahlkriterien: softbounce == 1

Dies sind dieselben Dateien, die auch von der automatischen Sperrliste verwendet werden:

https://…hardbouncesfull.email
the list of all email addresses that generated two or more hard bounces
at least one week away from each other

https://…softbouncesfull.email
the list of all email addresses that generated three or more soft bounces
at least one week away from each other

Copymail-App

Mit der App „copymail“ von RealSender können Sie Massen-E-Mails
an bis zu Tausende von Empfängern direkt aus Ihrem E-Mail-Programm versenden.

In drei einfachen Schritten:

1. Laden Sie Ihre Empfängerliste hoch
2. Senden Sie die Nachricht, die Sie versenden möchten, an die E-Mail-Adresse „list-post“, die wir Ihnen mitteilen werden
3. die Nachricht genehmigen, um die Zustellung zu starten

Jeder Empfänger erhält die Nachricht so, als wäre sie ausschließlich an ihn selbst gesendet worden,
wobei Ihre E-Mail-Adresse als Absender angegeben ist.

Wichtigste Merkmale:

• Mitgliederverzeichnis
• Massenabonnements
• Zurückgestellte Nachrichten (zur Freigabe anstehend)

Mitgliederverzeichnis

Zurück zum Anfang

Massenabonnements

Zurück zum Anfang

Zurückgestellte Nachrichten (zur Freigabe anstehend)

Zurück zum Anfang

SMTP ohne Authentifizierung

Manchmal ermöglichen alte Softwareprogramme oder sehr einfache Anwendungen
keine sichere Authentifizierung, wie sie von RealSender verlangt wird.

Die Lösung besteht darin, einen Port für den Durchgang über den SMTP-Server
zu öffnen, wobei lediglich die IP-Adresse der Verbindung und die E-Mail-Adresse des Absenders überprüft werden.

Auf diese Weise können Sie Ihre E-Mails ohne Authentifizierung versenden,
aber Sie haben jederzeit die Möglichkeit, sich zu authentifizieren, wann immer dies möglich ist.

RealSender-Partner und große Organisationen
können die Liste der autorisierten IP-Adressen selbstständig aktualisieren.

SMTP mit eigenem Hostnamen

Der SMTP-Hostname eines Unternehmens wird in den Einstellungen mehrerer Anwendungen verwendet.
Eine Änderung ist fehleranfällig und zeitaufwendig.

Mit RealSender können Sie Ihre Subdomain festlegen, zum Beispiel:

smtp.deine-E-Mail-Domain.com

Wir kümmern uns um alles, einschließlich der SSL-Zertifikate
, die für die sichere SMTP-Authentifizierung erforderlich sind.

Mit dieser Konfiguration können Sie ganz beruhigt sein,
da Sie wissen, dass der SMTP-Hostname unter Ihrer Kontrolle steht.

Ihre IT-Mitarbeiter müssen sich nicht mehr merken, wo
konfiguriert ist, da es nicht mehr geändert werden muss.

Bitte beachten Sie: Die erforderliche Sonderkonfiguration
ist mit zusätzlichen jährlichen Kosten verbunden
, die im Rahmen der Angebotsphase näher erläutert werden.

Übermittlung über die API

Themen in diesem Bereich:

Übertragung per HTTP-Anfrage

Themen in diesem Bereich:

Versenden über den Formular-Generator

Es kann schwierig sein, über das Internet klare und strukturierte Informationen zu erhalten.
Dazu ist eine Benutzeroberfläche zum Ausfüllen sowie eine Serveranwendung erforderlich, die die Daten übermittelt.

Mit dem „Formular-Generator“ von RealSender können Sie einfache und responsive Formulare erstellen,
die somit auch auf Tablets und Smartphones mit kleinen Bildschirmen genutzt werden können,
und die die Daten direkt an Ihre E-Mail-Adresse senden.

Einige „Drag & Drop“-Komponenten helfen Ihnen dabei, Ihre Fragen zu strukturieren:

Die Quelle kann als gebrauchsfertige „form.html“-Datei heruntergeladen werden:

Sie können den „Formular-Generator“ selbst unter folgender Adresse ausprobieren:
» formmail.realsender.com/form_builder

• Fügen Sie ein „Texteingabefeld“ und eine „Schaltfläche“ (auf der Registerkarte „Schaltflächen“) hinzu, mit denen Sie das Formular absenden können
• Klicken Sie auf die Schaltfläche „Herunterladen“ (auf der Registerkarte „Gerendert“), um die Datei lokal zu speichern
• Öffne die Datei „form.html“, gib einen Text ein und klicke auf die Schaltfläche, um den Inhalt zu übermitteln:
  (HINWEIS: Da die Seite nicht online veröffentlicht ist, wird die „Dankeseite“ noch unausgereift sein)

Die Nachricht wird im„Temporary-E-Mail“-Dienst von RealSender empfangen: inxbox.realsender.com

HINWEIS: In der Datei „form.html“ können drei Parameter geändert werden:
- recipient = der Code, der der E-Mail-Adresse des Empfängers zugeordnet ist
  Um Missbrauch zu verhindern, wird die E-Mail-Adresse im Absenderskript vorab verschlüsselt
  Wenn „0“ angegeben wird, wird die Nachricht in der „temporären E-Mail“ von RealSender empfangen
- email = die E-Mail-Adresse der Person, die das Formular ausfüllt (ID=E-Mail)
  Sie wird nur verwendet, wenn im Formular KEIN „E-Mail“-Feld vorhanden ist
- subject = der Betreff der E-Mail-Nachricht

Fordern Sie eine kostenlose Testversion an, wenn Sie die HTML-Datei online veröffentlichen möchten.
Sie erhalten dann ein ansprechendes Bestätigungs-Popup wie das unten abgebildete.
Die eingegebenen Daten werden direkt an Ihre E-Mail-Adresse gesendet.

Versenden über den Link-Builder

Sie können den „Link Builder“ unter folgender Adresse ausprobieren:
» flashmail.realsender.com/link_builder

Einige Beispiele

Weitere Informationen zur Aktion dieses Monats finden Sie hier:  
https://click.youremaildomain.com/s/flash.pl?promo=yes

Wenn Sie an der Veranstaltung teilnehmen möchten, klicken Sie bitte hier:  
https://click.youremaildomain.com/s/flash.pl?event=yes

Um das neue Produkt zu bestellen, klicken Sie hier: 
https://click.youremaildomain.com/s/flash.pl?newproduct=yes

Wenn Sie die E-Mail-Adresse wie unten angegeben an das Ende des Links anhängen (
), wird das Feld „Antwort an“ automatisch ausgefüllt, sodass die Antwort an die E-Mail-Adresse der Person gesendet wird, die auf den Link geklickt hat:

&email=name@example.com

Um die „Landing Page“ festzulegen, die nach dem Absenden der Daten angezeigt wird,
fügen Sie den Parameter „rdir“ am Ende des Links hinzu, wie unten gezeigt:

&rdir=/ok

Geben Sie alternativ Ihre Website-Adresse an, zum Beispiel:

&rdir=www.example.com/thankyou

Einrichtung

Um zu verhindern, dass die in Ihren Mitteilungen enthaltenen Links
als „Phishing-Versuch“ eingestuft werden,
muss eine Subdomain der sendenden Domain konfiguriert werden, zum Beispiel:

click.yourmaildomain.com     CNAME    click.realsender.com

Der Empfänger der Benachrichtigung – auch mehrere – wird im Skript festgelegt.
Bitte teilen Sie uns dies während der Konfigurationsphase mit.

Webmail

In den obigen Beispielen werden Benachrichtigungen an
gesendet, unsere temporäre E-Mail-Adresse, die unter folgender Adresse zu finden ist:
https://inxbox.realsender.com/monitor

usercode-App

Ein „Benutzercode“ ist ein alphanumerischer Code, den der Benutzer bei der Anmeldung an einem geschützten System eingibt.

Die RealSender-App „usercode“ generiert stündlich automatisch einen eindeutigen Benutzercode,
der auf Anfrage an die zugehörige E-Mail-Adresse gesendet wird.

Nur vorab autorisierte E-Mail-Adressen können den Benutzercode anfordern.
Die Länge und Komplexität des Benutzercodes werden bei der Systemkonfiguration festgelegt.

Hier ist beispielsweise der Inhalt der E-Mail-Nachricht, die den Benutzercode versendet:

Dein Benutzercode lautet: 665407

!! Der Benutzercode läuft stündlich um:03 ab

Die Integration in Ihr Sicherheitssystem ist ganz einfach:

1. Wir konfigurieren die IP-Adresse, die zum Abrufen des Benutzercodes berechtigt ist
2. Sie richten einen Cronjob* ein, der das Passwort anhand des abgerufenen Benutzercodes automatisch aktualisiert
   (die Aktualisierung muss für jeden Benutzer durchgeführt werden, der zum Zugriff auf das System berechtigt ist)
   * = ein zeitgesteuerter Task-Scheduler, der dazu dient, Befehle in bestimmten Intervallen automatisch auszuführen

Um die Sicherheit zu erhöhen, empfehlen wir, den „fail2ban“-Schutz zu aktivieren (
), der Besucher nach einer bestimmten Anzahl erfolgloser Anmeldeversuche sperrt.

Sie können sich die Funktionsweise ansehen, indem Sie ein RealSender-Testkonto aktivieren.
Zusammen mit den Daten zum Versenden von E-Mails erhalten Sie Anweisungen für den Zugriff auf Ihren Benutzerbereich.

Hier ist beispielsweise der Inhalt der E-Mail mit den Anweisungen
für den Zugriff auf den RealSender-Benutzerbereich und den Webspace:

Link zu Ihrem Benutzerbereich:
https://username:usercode@rsXXX.realsender.com/reserved.area/

Link zu Ihrem Webspace:
https://username:usercode@rsXXX.realsender.com/view/

!! Die Links verfallen stündlich um :03

In diesem Fall wird der Usercode in einem webbasierten Zugangssystem verwendet, das durch „Basic Auth“ geschützt ist.
Sowohl der Parameter „username“ als auch der Parameter „usercode“ werden automatisch ausgefüllt,
wodurch dem Benutzer ein einfacher und schneller Zugriff ermöglicht wird.

Reverse-Proxy-App

Der E-Mail-Proxy-Server bietet Ihnen folgende Möglichkeiten:

• Verbessern Sie die Sicherheit, Leistung und Skalierbarkeit Ihres SMTP-Servers
• Einfacher Anschluss an zertifizierte E-Mail-Anbieter
• Vereinfachen Sie die E-Mail-Kommunikation mit einer einzigen Zeile
• Benachrichtigungen an die ntfy-App senden (verfügbar für Android und iPhone)
• mit Empfängern kommunizieren, deren Handynummern nur bekannt sind

Hauptmerkmale:

Über uns

Nachdem wir von 2006 bis 2009 über ein Jahrzehnt lang
– eine deutsche E-Mail-Marketing-Plattform – vertrieben hatten,
wussten wir, wie wichtig die Reputation des SMTP-Servers ist.

Es gab nur einen Weg, dies zu gewährleisten:
einen dedizierten SMTP-Server mit eigener IP-Adresse für jeden Kunden.

Dies war unser erster Schritt auf dem Weg zur Bereitstellung innovativer Lösungen,
in einer zuverlässigen, ständig überwachten Umgebung.

Unsere Aufgabe ist es: „um Ihre E-Mails wirkungsvoller zu gestalten“.
Wir arbeiten jeden Tag hart dafür.

bietet Ihnen volle Kontrolle und Transparenz über Ihre ausgehenden E-Mails, damit die Empfänger Ihre Nachrichten erhalten und ihnen vertrauen.

Kontakte

Bei geschäftlichen oder technischen Fragen:

1. Hier finden Sie einen Link, über den Sie mit einem Experten chatten können

2. Ein Online-Formular ausfüllen

3. E-Mail: contact@mx.realsender.com

4. Telefon: +41 61 5000365

5. SMS: +41 79 6276163

Unser Büro ist montags bis freitags von 9:00 bis 19:00 Uhr (MEZ) geöffnet.

So erreichen Sie uns:

• Park+Rail am Bahnhof
  6855 Stabio – Schweiz
  
  
• Mailand-Malpensa (MXP)
  internationaler Flughafen
  
  

Umsatzsteuer-Identifikationsnummer: IT02457460125

Tarife & Preise

	RealSender – ein dedizierter SMTP-Server , der bis zu 10.000 E-Mails pro Woche versenden kann (wird in der Regel für 1:1-E-Mails und Transaktions-E-Mails verwendet)
	HighSender – ein E-Mail-Gateway zu mehreren dedizierten SMTP-Servern – leitet E-Mails über 2 bis 100 Server weiter, wobei die Last automatisch verteilt wird – kann bis zu 1.000.000 E-Mails pro Woche versenden (wird in der Regel für Newsletter und Massenversendungen genutzt)
	Für Dienste, die als „Apps“ bezeichnet werden, fallen zusätzliche Kosten an. Bitte kontaktieren Sie uns für weitere Informationen.

Nutzungsbedingungen

RealSender verfolgt eine Null-Toleranz-Politik gegenüber SPAM (unerwünschte Werbe-E-Mails). Kunden, die unaufgeforderte kommerzielle E-Mails, verbotene Werbung oder andere belästigende oder illegale Inhalte per E-Mail versenden, müssen mit einer sofortigen Kündigung ihres Kontos ohne Rückerstattung rechnen. Wiederholte Sendungen an falsche Empfänger und die Nichteinhaltung des wöchentlichen Limits gelten als „Spammer-Verhalten“.

Die „Absenderadressen“ für jedes RealSender-Konto müssen unter einem oder mehreren Domainnamen liegen, die von demselben Unternehmen registriert wurden. Jeder Server kann bis zu 10.000 E-Mails pro Woche versenden. Die Anzahl der Empfänger pro E-Mail ist auf 100 begrenzt. Der RealSender-Dienst ist ausschließlich für geschäftliche Zwecke bestimmt: Es sind sowohl eine vollständige Postanschrift als auch eine Steuernummer erforderlich.

RealSender leitet die E-Mails lediglich weiter und überprüft deren Inhalt weder in rechtlicher noch in sachlicher oder sonstiger Hinsicht. RealSender übernimmt zudem keine Verantwortung für den Inhalt der von ihm weitergeleiteten E-Mails.

Der Kunde verpflichtet sich, RealSender von jeglicher Haftung für jegliche Nutzung seines Kontos freizustellen. Darüber hinaus verpflichtet sich der Kunde, RealSender von allen Ansprüchen und Aufwendungen, einschließlich angemessener Anwaltskosten, freizustellen und schadlos zu halten, die sich aus einem Verstoß des Kunden gegen die Dienstleistungsvereinbarung oder aus einem direkten oder indirekten Schaden ergeben, den der Kunde einer anderen Partei zugefügt hat.

Der Kunde erklärt sich ausdrücklich damit einverstanden, dass die Nutzung des Dienstes von RealSender auf sein alleiniges Risiko erfolgt. Weder RealSender noch seine Informationsanbieter, Lizenzgeber, Mitarbeiter oder Beauftragten garantieren, dass der Dienst unterbrechungsfrei oder fehlerfrei ist; ebenso wenig übernehmen RealSender oder seine Informationsanbieter, Lizenzgeber, Mitarbeiter oder Beauftragten eine Gewährleistung hinsichtlich der Ergebnisse, die durch die Nutzung des Dienstes erzielt werden. Der Dienst wird „wie besehen“ ohne jegliche ausdrückliche oder stillschweigende Gewährleistung bereitgestellt, einschließlich, aber nicht beschränkt auf Gewährleistungen hinsichtlich des Eigentumsrechts oder stillschweigende Gewährleistungen der Marktgängigkeit oder Eignung für einen bestimmten Zweck oder anderweitig, mit Ausnahme jener Gewährleistungen, die sich aus den für diese Dienstleistungsvereinbarung geltenden Gesetzen ergeben und die nicht ausgeschlossen, eingeschränkt oder geändert werden können. Weder RealSender noch andere an der Erstellung, Produktion oder Bereitstellung des Dienstes beteiligte Personen haften für direkte, indirekte, zufällige, besondere oder Folgeschäden, die sich aus der Nutzung des Dienstes, der Unmöglichkeit der Nutzung des Dienstes oder aus einer Verletzung einer Gewährleistung ergeben. Der Kunde erkennt ausdrücklich an, dass die Bestimmungen dieses Absatzes auch für alle Inhalte Dritter und alle anderen über den Dienst verfügbaren Inhalte gelten.

Nach schriftlicher, per Fax oder per E-Mail an den Kunden übermittelter Mitteilung ist RealSender berechtigt, diesen Dienstleistungsvertrag oder die Preise zu ändern sowie nach eigenem Ermessen ohne vorherige Ankündigung einzelne oder alle Aspekte der Dienstleistung einzustellen oder anzupassen.

RealSender und Inxbox sind in der EU eingetragene Marken.

Grenzen unseres Angebots

• Für jeden Kunden wird ein eigener SMTP-Server eingerichtet, optimiert und rund um die Uhr in Betrieb gehalten.
  Dies ist mit minimalen Kosten verbunden, die Sie in gemeinsam genutzten SMTP-Umgebungen nicht finden werden,
  die hingegen nur sehr wenige Garantien bieten und für ihre Nutzer mit hohen Risiken verbunden sind.

• Wir haben keinen Einfluss auf den Inhalt der versendeten Nachrichten; diese können dazu führen, dass sie im Spam- oder Junk-Ordner landen.

• Einige Freemail-Anbieter leiten Nachrichten von unbekannten Absendern standardmäßig in den Spam-Ordner weiter.
  
  Ihr Antispam-System lernt daraus, wie ihre Nutzer mit den empfangenen Nachrichten umgehen.
  Wenn der einzelne Empfänger die empfangene E-Mail einmal als KEINEN Spam markiert, lernt das System, dass es sich um gültige Nachrichten handelt
  und beginnt, sie in den Ordner „Posteingang“ statt in den „Spam“-Ordner zu leiten.
  
  Alternativ muss der Absender im Adressbuch des Empfängers stehen oder zuvor E-Mails ausgetauscht haben.
  
  Unsere technischen Mitarbeiter helfen Ihnen dabei, diese Fälle zu identifizieren und eine effektive Zustellstrategie zu implementieren.

Datenschutzerklärung

RealSender leitet die E-Mails lediglich im Auftrag seiner Kunden weiter und überwacht oder archiviert deren Inhalt nicht.

Wir speichern die Protokolle der letzten 7 Tage sowie die Statistiken zum generierten Datenverkehr, die den Kunden wie hier beschrieben zur Verfügung stehen:
Protokolle & Zustellungs
Statistiken

Die Nutzung des Dienstes setzt voraus, dass unsere Kunden die Nutzungsbedingungen akzeptieren.

Im Falle von Missbrauch können wir dank des automatischen Überwachungssystems für Sperrlisten schnell reagieren.

Auf allen Startseiten unserer Server ist die E-Mail-Adresse angegeben, an die unerwünschte Werbe-E-Mails unserer Kunden gemeldet werden können: [abuse@realsender.com] (mailto: abuse@realsender.com)

Sie können den Datenschutzbeauftragten über dieses Formular erreichen.

Glossar

• Closed-Loop-Marketing
  Der Prozess, durch den Kundendaten in Ihre Marketingkampagnen einfließen und die Umsatzleistung steigern können.

• DomainKeys Identified Mail (DKIM)
  DKIM ist ein E-Mail-Authentifizierungsprotokoll, das es dem Absender ermöglicht, ausgehende E-Mails mithilfe von Public-Key-Kryptografie so zu signieren, dass dies vom Empfänger überprüft werden kann. Die DKIM-Spezifikation basiert auf den früheren Protokollen Domain Keys und Identified Internet Mail. DKIM ist in IETF RFC 4871 definiert. Der DKIM-Standard wird bereits von Gmail und anderen großen Unternehmen eingesetzt, um Phishing und Spoofing aus dem E-Mail-Verkehr vollständig zu eliminieren.

• E-Mail-Authentifizierung Eine Technologie, die überprüft, ob eine E-Mail-Nachricht tatsächlich von der Domain stammt, von der sie angeblich gesendet wurde [2]. Die Überprüfung der Identität einer E-Mail ist zu einem entscheidenden ersten Schritt geworden, um Spam, Fälschungen, Betrug und sogar schwerwiegendere Straftaten zu verhindern. [3]

• Internet Engineering Task Force (IETF)
  Die Internet Engineering Task Force ist eine große, offene internationale Gemeinschaft aus Netzwerkentwicklern, Betreibern, Anbietern und Forschern, die sich mit der Weiterentwicklung der Internetarchitektur und dem reibungslosen Betrieb des Internets befassen. Sie steht allen Interessierten offen. Das Ziel der IETF ist es, das Internet besser funktionieren zu lassen.

• Message Transfer Agent (MTA)
  Jedes System, auf dem SMTP-Routing-Software läuft, das eine Nachricht entgegennehmen, verarbeiten, Zielinformationen im DNS (oder einer anderen Routing-Tabelle) nachschlagen und an das vorgesehene Empfängersystem zustellen kann. MTAs sind in der Regel Serveranwendungen wie Sendmail, Microsoft Exchange, Postfix, Lotus Domino, qmail, PowerMTA usw.

• Secure SMTP
  Erweiterung des SMTP-Dienstes, die es einem SMTP-Server und einem SMTP-Client ermöglicht, TLS (Transport Layer Security) zu nutzen, um eine vertrauliche, authentifizierte Kommunikation über das Internet zu gewährleisten. [1]

• Sender Policy Framework (SPF)
  SPF ist ein pfadbasiertes E-Mail-Authentifizierungsprotokoll, das es E-Mail-Empfängern ermöglicht, festzustellen, ob der Absender zur Nutzung der in der Kopfzeile der Nachricht angegebenen Domains berechtigt ist, indem die IP-Adresse des ausgehenden MTA des Absenders anhand der vom Absender in DNS-TXT-Einträgen veröffentlichten Informationen überprüft wird. SPF ist in IETF RFC 4408 definiert.

• Das Simple Mail Transfer Protocol (SMTP)
  ist ein Internetstandard für die Übertragung von elektronischer Post (E-Mail) über IP-Netzwerke. SMTP wurde erstmals von Jonathan Postel in IETF RFC 821 (1982) definiert und zuletzt durch IETF RFC 5321 (2008) aktualisiert, das die Erweiterungen des Extended SMTP (ESMTP) enthält; es ist das heute weit verbreitete Protokoll. SMTP ist für den Transport ausgehender E-Mails vorgesehen und nutzt Port 25.

• Transport Layer Security (TLS)
  Das TLS-Protokoll gewährleistet die Sicherheit der Kommunikation über das Internet. Das Protokoll ermöglicht es Client-Server-Anwendungen, auf eine Weise zu kommunizieren, die darauf ausgelegt ist, das Abhören, die Manipulation oder die Fälschung von Nachrichten zu verhindern. TLS ist ein Protokoll im IETF-Standardisierungsprozess, das zuletzt in RFC 5246 aktualisiert wurde.

Quellenangaben:

[1] RFC 3207 – SMTP-Dienst-Erweiterung für sicheres SMTP über Transport Layer Security
[2] OTA-Bericht zum Stand der E-Mail-Authentifizierung 2008
[3] E-Mail-Authentifizierung von David MacQuigg

Grundlagen der E-Mail-Authentifizierung

Themen in diesem Bereich:

E-Mail-Authentifizierung – Erweitert

Themen in diesem Bereich:

Analyse der E-Mail-Zustellung

Themen in diesem Bereich:

Systemstatusseite

Um die ordnungsgemäße Funktion des Dienstes
zu überprüfen, haben wir eine automatische Testumgebung eingerichtet.

Eine externe Anwendung stellt alle zehn Minuten eine Verbindung zu jedem SMTP-Server her
und versendet eine echte Nachricht. Durch den erfolgreichen Versand der E-Mail können wir
die Verfügbarkeit und die ordnungsgemäße Funktion des Systems gewährleisten.

Das Ergebnis wird auf der „Statusseite“ Ihres RealSender-Servers unter
veröffentlicht und ist unter der Webadresse rsXXX-realsender.com/status frei zugänglich

Die Daten werden in Echtzeit angezeigt, wie in den unten aufgeführten Beispieldaten zu sehen ist.
Die angezeigten Informationen beziehen sich auf die letzten vierundzwanzig Stunden.

11.09.2024 06:25:26 UTC        
rsXXX – alle zehn Minuten UPTIME-PRÜFUNG (eine E-Mail wurde erfolgreich versendet) – OK

11.09.2024 06:16:18 UTC        
rsXXX – alle zehn Minuten UPTIME-PRÜFUNG (eine E-Mail wurde erfolgreich versendet) – OK

2024-09-11 06:05:56 UTC        
rsXXX – alle zehn Minuten UPTIME-PRÜFUNG (eine E-Mail wurde erfolgreich versendet) – OK

2024-09-11 05:55:41 UTC        
rsXXX – alle zehn Minuten UPTIME-PRÜFUNG (eine E-Mail wurde erfolgreich versendet) – OK

2024-09-11 05:45:57 UTC        
rsXXX – alle zehn Minuten UPTIME-PRÜFUNG (eine E-Mail wurde erfolgreich versendet) – OK

2024-09-11 05:35:58 UTC        
rsXXX – alle zehn Minuten UPTIME-PRÜFUNG (eine E-Mail wurde erfolgreich versendet) – OK

2024-09-11 05:25:27 UTC        
rsXXX – alle zehn Minuten UPTIME-PRÜFUNG (eine E-Mail wurde erfolgreich versendet) – OK

2024-09-11 05:16:30 UTC        
rsXXX – alle zehn Minuten UPTIME-PRÜFUNG (eine E-Mail wurde erfolgreich versendet) – OK

2024-09-11 05:05:57 UTC        
rsXXX – alle zehn Minuten UPTIME-PRÜFUNG (eine E-Mail wurde erfolgreich versendet) – OK

2024-09-11 04:55:36 UTC        
rsXXX – alle zehn Minuten UPTIME-PRÜFUNG (eine E-Mail wurde erfolgreich versendet) – OK

click.it Link-Tracker

Auf dieser Seite werden Tracking-Links erstellt, die folgende Daten übermitteln:
» clickit.realsender.com

Die kostenlose Version ist voll funktionsfähig, weist jedoch einige Einschränkungen auf:

• Die E-Mails werden an das temporäre Demo-Postfach „inbox“ gesendet und dort sieben Tage lang gespeichert.
• Nach dem Klick zeigt der Browser eine Standard-Dankesseite an
• Die Tracking-Domain lautet „click.it“

Die kostenpflichtige Version ist individuell angepasst und bietet Ihnen folgende Möglichkeiten:

• Senden Sie die Nachrichten an Ihre E-Mail-Adresse, z. B.: test@example.com
• Geben Sie Ihre eigene Landingpage an, z. B.: www.example.com/thankyou
• Verwenden Sie Ihre Tracking-Subdomain, z. B.: https://click.example.com

email.locker

email.locker ist ein Ort, an dem E-Mails gespeichert und bei Bedarf abgerufen werden können.
Nach sieben Tagen werden die E-Mails automatisch gelöscht.

Probieren Sie es jetzt aus:

1. Senden Sie eine Nachricht an: any.word@email.locker
2. Rufen Sie die Box unter folgender Adresse auf: https://email.locker/any.word

E-Mail-Locker- Boxen werden spontan erstellt, indem man eine E-Mail-Nachricht an sie sendet.
Da keine Registrierung erforderlich ist, fungiert die E-Mail-Locker-Adresse im Grunde genommen als Passwort,
wählen Sie also etwas, das nicht leicht zu erraten ist.

Wenn Sie vertrauliche Informationen erhalten, sollten Sie in Erwägung ziehen, den Ordner zu sperren und den Zugriff darauf einzuschränken
oder sich eine eigene E-Mail-Adresse unter „@locker.yourcompany.com“ einzurichten. Kontaktieren Sie uns für weitere Informationen.

Alle an email.locker eingehenden Nachrichten werden mit RealSender-Authentifizierungsprüfungen gescannt,
sodass Sie überprüfen können, ob die Absenderadresse echt oder gefälscht ist.

Dem Betreff jeder empfangenen E-Mail wird ein Präfix hinzugefügt,
und zeigt Ihnen an, ob die Absender-Domain korrekt authentifiziert ist mit SPF und DKIM.
Ein Finale || OK || wird hinzugefügt, wenn Sie sich zu 100 % der Echtheit der Absenderdomain sicher sein können.

Enigma Secure E-Mail

E-Mails sind weder privat noch sicher. Sie wurden nicht unter Berücksichtigung von Datenschutz oder Sicherheit entwickelt.
Jeder, der Ihre E-Mail während der Übertragung abfängt, kann sie lesen,
einschließlich Ihres Internetanbieters, eines Hackers oder der NSA (US-amerikanische Nationale Sicherheitsbehörde).

Eine End-to-End-Verschlüsselung (e2ee) für E-Mails kann eingesetzt werden, um sicherzustellen,
dass nur der Absender und der Empfänger einer Nachricht den Inhalt lesen können.
PGP ist die beste Lösung für eine sichere Kommunikation mit einem Partner, der
es bereits nutzt. Es könnte schwierig sein, Ihren Gesprächspartner dazu zu bewegen, PGP zu nutzen.

Enigma ist eine App, die auf dem Open-Source-Projekt SnapPass basiert.
Damit kannst du Geheimnisse auf sichere und kurzlebige Weise teilen.
Gib ein ein- oder mehrzeiliges Geheimnis sowie dessen Ablaufzeit ein und klicke auf „URL generieren“.
Teile die einmalig verwendbare URL mit dem gewünschten Empfänger.

Probieren Sie es aus:
enigma.realsender.com

inxsend – gefälschter SMTP-/API-Dienst

inxsend ist ein gefälschter SMTP-/API-Dienst,

mit dem sich E-Mails in Anwendungen ganz einfach testen lassen,
indem alle Nachrichten an einen einzigen Mailserver gesendet werden

Einstellungen für den SMTP-Server

Konfigurieren Sie den SMTP-Server mit den folgenden Parametern:

Servername: inxsend.realsender.com  
Port:        25 |oder| 2525 |oder| 587 (+TLS) |oder| 465 (+SSL)  
Benutzername:   CDED54  
Passwort:    478DED

Einstellungen für den API-Server

Verwenden Sie den API-Zugriff wie in der Anleitung„Versenden über API“beschrieben, mit den folgenden Parametern:

Serveradresse: (https://) inxsend-api.realsender.com/mail/send
apiuser:        CDED54  
apipass:        478DED

Eine Testnachricht senden

Senden Sie eine Nachricht an:
[IhrName]@inxbox.realsender.com

!! Alle empfangenen Nachrichten sind für jeden sichtbar !!
(andere Empfänger werden abgelehnt)

Teilen Sie uns bitte mit, wenn Sie Probleme haben.

Empfang prüfen

Öffnen Sie https://inxbox.realsender.com/monitor und prüfen Sie die Empfangsqualität
(verwenden Sie den Google Chrome-Browser > Neues Inkognito-Fenster oder den Microsoft Edge-Browser)

Weitere Informationen zu diesem Postfach finden Sie unter: inxbox demo temporary email.

Testprogramm für SPF und DKIM

RealSender bietet unter
ein kostenloses Online-Prüftool an, mit dem Sie Ihre SPF- und DKIM-Einstellungen durch das Versenden einer E-Mail überprüfen können:

1. Senden Sie eine E-Mail an spf@tester.realsender.com
2. Überprüfen Sie die SPF-Validierungsergebnisse online unter tester.realsender.com/spf
   (es dauert etwa eine Minute, bis die Ergebnisse angezeigt werden)

Bei der Überprüfung wird der Betreffzeile „
“ ein Präfix hinzugefügt, falls die Nachricht nicht ordnungsgemäß authentifiziert wurde.

Details on how it works
are located in the “email authentication basics” area of the website:
email authentication basics :: <spf> check online

Richtlinien zur E-Mail-Authentifizierung

!! ACHTUNG !! Dieses Dokument wurde automatisch aus dem Italienischen übersetzt

Leitlinien

Einrichtung des E-Mail-Dienstes für die Authentifizierung

Die italienische Nationale Agentur für Cybersicherheit hat Leitlinien für die Konfiguration des E-Mail-Dienstes im Hinblick auf die Authentifizierung veröffentlicht, mit dem Ziel, die Zuverlässigkeit des E-Mail-Dienstes für alle betroffenen Organisationen zu stärken und dessen Sicherheitsniveau insgesamt zu erhöhen.

Versionskontrolle

INHALT

1. Einleitung

1.1. Ausgangspunkt

E-Mail ist heute einer der wichtigsten Dienste im digitalen Umfeld, da sie zu den Hauptkanälen gehört, die von Unternehmen und Nutzern für die Kommunikation und den Informationsaustausch genutzt werden¹.

Die Funktionsweise des E-Mail-Dienstes und insbesondere die Übertragung von Nachrichten basieren auf dem SMTP-Protokoll, das jedoch von Haus aus keine ausreichenden Mechanismen zur Absenderauthentifizierung und zum Schutz der Vertraulichkeit und Integrität von Nachrichten enthält. Diese Schwachstellen setzen das System der Gefahr von Angriffen wie Spoofing, Phishing, Manipulation und dem Abfangen von Nachrichten während der Übertragung aus.

Um die Schwachstellen des SMTP-Protokolls zu beheben und damit das Risiko durch die oben genannten Angriffe zu verringern, wurden im Laufe der Zeit Mechanismen zur Absenderauthentifizierung und zum Schutz der Nachrichtenintegrität entwickelt, wie beispielsweise SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance).

Diese Richtlinien veranschaulichen diese Mechanismen mit dem Ziel, die Zuverlässigkeit des E-Mail-Dienstes zu stärken und dessen Sicherheitsniveau insgesamt zu erhöhen, wobei insbesondere auf die in Kapitel 4 beschriebenen Bedrohungen Bezug genommen wird.

Die zum Schutz der Vertraulichkeit von E-Mail-Nachrichten erforderlichen Maßnahmen und Protokolle (wie S/MIME und OpenPGP, die die Verschlüsselung von Nachrichten betreffen) sind nicht Gegenstand dieser Richtlinien.

1.2. Referenzvorschriften

1.3. Referenzdokumente

» Zurück zum Anfang

2. Rechtlicher Rahmen

Zum Schutz der digitalen Ressourcen des Landes, einschließlich E-Mail-Diensten und der Infrastruktur, auf der diese gehostet werden, wurde ein umfassendes Bündel an Sicherheitsmaßnahmen auf der Grundlage der geltenden Rechtsvorschriften eingeführt, das ständig aktualisiert wird.

Das höchste Schutzniveau für die wichtigsten Dienste des Landes, die mit dem Schutz der nationalen Sicherheit in Zusammenhang stehen, wird durch den Nationalen Cybersicherheitsperimeter gewährleistet, der durch das Gesetzesdekret Nr. 105 vom 21. September 2019 eingerichtet und mit Änderungen durch das Gesetz Nr. 133 vom 18. November 2019 umgesetzt wurde. Dieser sieht Sicherheitsmaßnahmen mit besonders hohem Schutzniveau vor, die in Anhang B des Dekrets des Ministerpräsidenten vom 14. April 2021, Nr. 81, die für die Netzwerke, Informationssysteme und IT-Dienste öffentlicher und privater Einrichtungen gelten, von denen die Ausübung einer wesentlichen staatlichen Funktion oder die Erbringung einer wesentlichen Dienstleistung zur Aufrechterhaltung ziviler, sozialer oder wirtschaftlicher Aktivitäten abhängt, die für die Interessen des Staates von grundlegender Bedeutung sind und deren Gefährdung zu einer Beeinträchtigung der nationalen Sicherheit führen könnte.

Darüber hinaus unterliegen E-Mail-Dienste, wie alle digitalen Dienste der öffentlichen Verwaltung, den Bestimmungen der sogenannten Cloud-Verordnung, die gemäß Artikel 33-septies des Gesetzesdekrets Nr. 179 vom 18. Oktober 2012 erlassen und von der Nationalen Agentur für Cybersicherheit (ACN) mit dem Direktorialdekret Nr. 21007 vom 27. Juni 2024 aktualisiert wurde. Gemäß der vorgenannten Verordnung sind alle öffentlichen Verwaltungen aufgefordert, ihre digitalen Daten und Dienste nach dem von der ACN erstellten Modell als gewöhnlich, kritisch oder strategisch einzustufen. Diese Maßnahme zielt darauf ab, sicherzustellen, dass digitale Daten und Dienste der öffentlichen Verwaltung über digitale Infrastrukturen und Cloud-Dienste verarbeitet und bereitgestellt werden, die den Anforderungen – einschließlich der Sicherheitsanforderungen – entsprechen, die den mit der jeweiligen Einstufungsstufe verbundenen Risiken angemessen sind, wie in der Verordnung dargelegt.

Mit dem Gesetzesdekret Nr. 138 vom 4. September 2024 (dem sogenannten NIS-Dekret) zur Umsetzung der Richtlinie (EU) 2022/2555 wurden – über die Anhänge 1 und 2 des ACN-Beschlusses 379907/2025 – die grundlegenden Sicherheitsmaßnahmen fest, die wesentliche und wichtige Stellen zur Erfüllung der Verpflichtungen gemäß den Artikeln 23 und 24 des NIS-Dekrets ergreifen müssen, und definiert damit einen Sicherheitsrahmen zur Stärkung des Schutzes von Netz- und Informationssystemen, einschließlich E-Mail-Diensten.

» Zurück zum Anfang

3. Architektur des E-Mail-Dienstes

Wie bereits eingangs erwähnt, basiert die Funktionsweise des E-Mail-Dienstes auf dem SMTP-Protokoll, das die Übertragung von E-Mail-Nachrichten vom Absender zum Empfänger regelt.

Das SMTP-Protokoll wurde ursprünglich 1982 definiert² als Store-and-Forward-Protokoll definiert, bei dem der Absender über seinen E-Mail-Client – in der Fachsprache Mail User Agent (MUA) – eine Nachricht erstellt, die an den Mailserver des Absenders gesendet wird. Dieser leitet die Nachricht über eine Komponente namens Mail Transfer Agent (MTA) weiter, möglicherweise auch über einen oder mehrere zwischengeschaltete MTAs, und liefert sie an den MTA des Ziel-Mailservers. Der Empfänger greift über seinen E-Mail-Client (MUA) auf die Nachricht zu[1].

Der MTA ist somit eine Komponente des E-Mail-Dienstes, die die Übertragung von E-Mail-Nachrichten vom Absender zum Empfänger übernimmt. MTA-Komponenten sind auf den Mail-Servern des Absenders und des Empfängers vorhanden, und es können auch Zwischen-MTAs konfiguriert werden, beispielsweise zur Verwaltung von Verteilerlisten.

Obwohl der Begriff MTA eine bestimmte Komponente von E-Mail-Servern bezeichnet³, wird in diesem Dokument auf diese hauptsächlich in ihrer Funktion als MTAs Bezug genommen; sofern keine Unklarheiten bestehen, wird der Begriff „E-Mail-Server“ der Einfachheit halber häufig anstelle des spezifischeren Begriffs „MTA“ verwendet.

In diesem Leitfaden konzentrieren wir uns auf die Konfiguration der Protokolle SPF, DKIM und DMARC, damit Mailserver die Echtheit und Integrität von E-Mail-Nachrichten überprüfen können.

» Zurück zum Anfang

4. Drohungen

Das im vorigen Kapitel vorgestellte SMTP-Protokoll war ursprünglich für den Einsatz in einem relativ kleinen akademischen Netzwerk konzipiert und berücksichtigte keine Aspekte hinsichtlich der Sicherheit der übertragenen Nachrichten oder der Absenderauthentifizierung [1].

Die zunehmende Verbreitung von E-Mails und die dem SMTP-Protokoll innewohnenden Schwachstellen haben im Laufe der Zeit die Entstehung von Angriffen begünstigt, deren Hauptarten in den folgenden Absätzen kurz erläutert werden.

4.1. Absender-Spoofing

Spoofing ist eine Technik für Cyberangriffe, bei der die Absenderadresse einer Nachricht gefälscht wird, sodass diese scheinbar von einer vertrauenswürdigen Adresse stammt (wie beispielsweise von einem Kollegen, einem Bekannten oder der eigenen Bank), um den Empfänger dazu zu verleiten, potenziell gefährliche Handlungen vorzunehmen, wie zum Beispiel das Öffnen eines E-Mail-Anhangs oder das Anklicken von Links in der Nachricht.

Diese Art von Angriff ist relativ einfach durchzuführen, da das SMTP-Protokoll keine Mechanismen zur Absenderauthentifizierung enthält und es daher über den E-Mail-Client möglich ist, beim Versenden der Nachricht eine beliebige Absenderadresse anzugeben.

E-Mail-Adresse des Absenders: envelope-from und message-from

Das E-Mail-Format sieht zwei unterschiedliche Felder vor, um die E-Mail-Adresse des Absenders anzugeben. Diese Felder heißen „envelope-from“ und „message-from“: Das erste (auch als „return-path“ bezeichnet, da es die E-Mail-Adresse angibt, an die etwaige Fehlermeldungen gesendet werden müssen, falls eine E-Mail den Empfänger nicht erreicht) ist die Adresse, die für die korrekte Weiterleitung der Nachricht verwendet wird; das zweite ist die Adresse, die dem Empfänger im Kopf der empfangenen Nachricht angezeigt wird.

Um einen Vergleich mit dem Versand eines Briefes in einem Umschlag per Post anzustellen: Der „envelope-from“ entspricht der Absenderadresse auf dem Briefumschlag, während der „message-from“ der Kopfzeile im Brief entspricht, aus der hervorgeht, wer den Brief an den Empfänger verfasst hat.

Es ist wichtig zu beachten, dass die beiden Adressen nicht unbedingt übereinstimmen müssen. Diese Unterscheidung ermöglicht die Handhabung von Situationen wie beispielsweise der Weiterleitung von Nachrichten durch Dienste von Drittanbietern, der Verteilung über Mailinglisten oder automatischen E-Mail-Antworten.

Es ist in der Tat möglich, einen beliebigen Absender sowohl auf der „Message-From“-Ebene (die E-Mail-Adresse des Absenders, die dem Empfänger im Kopf der empfangenen Nachricht angezeigt wird) als auch auf der „Envelope-From“-Ebene (die E-Mail-Adresse des Absenders, die für die Übermittlung der Nachricht verwendet wird) anzugeben.

Um diesen Bedrohungen entgegenzuwirken, ist es daher unerlässlich, Mechanismen bereitzustellen, die eine zuverlässige Authentifizierung des Absenders ermöglichen und sicherstellen, dass die Person, die die Nachricht gesendet hat, tatsächlich dazu berechtigt ist.

4.2. Phishing

Phishing ist eine Technik für Cyberangriffe, die darauf abzielt, Informationen (wie beispielsweise Anmeldedaten, Kreditkartennummern oder andere sensible Daten) auf betrügerische Weise zu erlangen, in der Regel durch das Versenden von irreführenden Nachrichten, die den Anschein erwecken, von vertrauenswürdigen Absendern zu stammen³.

Das im vorigen Absatz behandelte Spoofing gehört zu den wichtigsten Techniken, die Angreifer einsetzen, um die Identität des Absenders zu fälschen und den Anschein zu erwecken, die Nachricht stamme von einem legitimen Nutzer oder einer legitimen Domain.

Alternativ kann eine Absenderadresse bzw. -domain verwendet werden, die der vom Empfänger erkannten ähnelt, indem beispielsweise der sogenannte Anzeigename geändert wird⁴ , um die scheinbare Authentizität der Nachricht zu verstärken.

Zum Versenden von Phishing-Nachrichten können auch legitime Konten genutzt werden, die zuvor vom Angreifer kompromittiert wurden.

Eine Phishing-Nachricht ist in der Regel so verfasst, dass sie beim Empfänger ein Gefühl der Dringlichkeit, Besorgnis oder wirtschaftlichen Verlockung hervorruft. Dadurch werden Situationen geschaffen, die den Empfänger dazu veranlassen, impulsiv zu reagieren und bestimmte Handlungen auszuführen, wie beispielsweise das Öffnen bösartiger Anhänge oder das Anklicken von Links, die auf scheinbar legitime Websites weiterleiten, die jedoch in Wirklichkeit vom Angreifer erstellt wurden, um Informationen zu stehlen und/oder Malware zu installieren.

In der Regel werden Phishing-Angriffe durchgeführt, indem dieselbe E-Mail-Nachricht an eine große Anzahl von Opfern versendet wird, ohne den Text an das jeweilige Profil der Opfer anzupassen.

Eine Variante des Phishing ist das sogenannte Spear-Phishing, bei dem der Angreifer das Profil des Opfers kennt und gezielt darauf abzielt.

Im Gegensatz zu einer gewöhnlichen Phishing-E-Mail nutzt eine Spear-Phishing-Nachricht präzisere Kontextinformationen, um den Nutzer davon zu überzeugen, dass er es mit einem vertrauenswürdigen Absender zu tun hat [2].

4.3. Manipulation von Nachrichten

Der Inhalt einer E-Mail-Nachricht kann – wie jede andere Kommunikation, die über das Internet übertragen wird und keine End-to-End-Verschlüsselung (E2EE) nutzt – während der Übertragung zwischen Absender und Empfänger abgefangen und verändert werden (eine Art von Bedrohung, die gemeinhin als „Man-in-the-Middle“-Angriff bezeichnet wird).

Folglich besteht nicht nur die Gefahr eines Verlusts der Vertraulichkeit, sondern es kann auch vorkommen, dass die empfangene Nachricht nicht mit der ursprünglich vom Absender verfassten Nachricht übereinstimmt.

Ein Angreifer könnte beispielsweise den Inhalt der Nachricht so manipulieren, dass sie den Anschein erweckt, von einem vertrauenswürdigen Absender zu stammen, den Text oder darin enthaltene Links und/oder Anhänge ändern oder schädlichen Code einfügen.

Der Empfänger, der der scheinbaren Echtheit der Nachricht vertraut, kann so dazu verleitet werden, potenziell schädliche Handlungen vorzunehmen, wie beispielsweise die Weitergabe von Anmeldedaten, die Autorisierung von Zahlungen oder das Öffnen schädlicher Dateien.

Um diesen Bedrohungen entgegenzuwirken, ist es daher unerlässlich, Mechanismen einzuführen, die die Integrität und Authentizität der Nachricht gewährleisten und sicherstellen, dass der empfangene Inhalt nicht verändert wurde und der Absender tatsächlich der ist, für den er sich ausgibt.

» Zurück zum Anfang

5. Gegenmaßnahmen

In Kapitel 2 wurden die Vorschriften in Erinnerung gerufen, die Sicherheitsmaßnahmen auch zum Schutz von E-Mail-Diensten vorsehen. Dieses Dokument soll in erster Linie als Leitfaden für die Umsetzung der in diesen Vorschriften vorgesehenen und in Anhang A aufgeführten Sicherheitsmaßnahmen dienen, die auch für die Konfiguration von E-Mail-Diensten relevant sind, um die mit den in Kapitel 4 behandelten Bedrohungen verbundenen Risiken zu mindern. Es sei jedoch darauf hingewiesen, dass die in diesen Leitlinien enthaltenen Hinweise auch denjenigen empfohlen werden, die nicht den oben genannten Vorschriften unterliegen.

Die betreffenden Sicherheitsmaßnahmen beziehen sich nicht ausdrücklich auf die Konfiguration des E-Mail-Dienstes, sondern – je nach der jeweiligen Verordnung – auf die Konfiguration von IT-Systemen und industriellen Steuerungssystemen (PSNC und Cloud-Verordnung) oder von Informations- und Netzwerksystemen (NIS2). Die E-Mail-Dienste, die Gegenstand dieser Leitlinien sind, fallen unter beide Arten von Systemen.

Insbesondere werden im Folgenden die Protokolle SPF, DKIM und DMARC erläutert, die Sicherheitsmechanismen bieten, die darauf abzielen, die allgemeine Sicherheit des E-Mail-Dienstes und insbesondere die Absenderauthentifizierung sowie die Überprüfung der Nachrichtenintegrität zu verbessern.

5.1. SPF

SPF – Sender Policy Framework ist ein durch RFC 7208 formalisiertes Authentifizierungsprotokoll, das es einem Domaininhaber ermöglicht, festzulegen, welche IP-Adressen berechtigt sind, E-Mail-Nachrichten in seinem Namen zu versenden, und die Richtlinien festzulegen, die der Empfänger anwenden muss, wenn die mit der Domain verknüpfte IP-Adresse⁵ der E-Mail-Adresse des Absenders nicht zu den ausdrücklich autorisierten gehört.

Die autorisierten IP-Adressen sind in einem DNS-TXT-Eintrag aufgeführt, der sich auf die Absenderdomain bezieht und als SPF-Eintrag bezeichnet wird; dies wird im folgenden Abschnitt dieses Absatzes erläutert.

Auf diese Weise wird der E-Mail-Server des Empfängers⁶ beim Empfang einer Nachricht von einer bestimmten Domain den zugehörigen SPF-Eintrag abfragen und deren Herkunft authentifizieren, indem er überprüft, ob die IP-Adresse, von der die Nachricht empfangen wurde, zu denjenigen gehört, die zum Versenden von Nachrichten im Namen der Domain berechtigt sind.

Es ist wichtig zu beachten, dass die auf SPF-Ebene überprüfte Domain diejenige ist, die sich auf den „Envelope-From“-Eintrag bezieht; folglich reicht die Einführung des SPF-Protokolls allein nicht aus, um Spoofing zu verhindern, da diese Art von Angriff auf der „Message-From“-Ebene durchgeführt werden könnte⁷.

Falls ein Unternehmen seinen E-Mail-Dienst ganz oder teilweise an einen Dritten, wie beispielsweise einen Cloud-Anbieter, auslagert, muss es sicherstellen, dass die von diesen Anbietern versendeten Nachrichten die SPF-Prüfung bestehen. Zu diesem Zweck sollte das Unternehmen in seinen SPF-Eintrag die IP-Adressen aufnehmen, von denen aus die Anbieter E-Mails im Namen der Unternehmensdomain versenden.

Bei der automatischen E-Mail-Weiterleitung werden Nachrichten in der Regel über einen Zwischenserver umgeleitet, sodass die IP-Adresse, von der die endgültige Zustellung erfolgt, nicht mehr mit der ursprünglich von der Absenderdomain autorisierten IP-Adresse übereinstimmt. Um in diesen Fällen ein Scheitern der SPF-Überprüfung zu vermeiden, ist es erforderlich, auch alle zwischengeschalteten Weiterleitungsserver zu autorisieren oder auf Mechanismen wie SRS (Sender Rewriting Scheme) oder ARC (Authenticated Received Chain) zurückzugreifen, die insbesondere bei einer Vielzahl von zwischengeschalteten Weiterleitungsservern effektiver sein können.

Es ist zu beachten, dass SPF nur dann wirklich wirksam ist, wenn es nicht nur vom Absender, sondern auch vom Empfänger korrekt konfiguriert wird. Insbesondere:

• Der Absender muss den SPF-Eintrag auf dem entsprechenden DNS-Server veröffentlichen und darin die Adressen angeben, die berechtigt sind, E-Mails in seinem Namen zu versenden;
• Der Empfänger muss seinen eigenen Mailserver so konfigurieren, dass dieser bei empfangenen Nachrichten eine SPF-Prüfung durchführt und die daraus resultierenden Richtlinien konsequent anwendet.

5.1.1. SPF-Eintrag

Ein SPF-Eintrag ist ein DNS-Eintrag vom Typ TXT, dessen Name der Absenderdomain entspricht und dessen Inhalt aus⁸ aus dem Abschnitt, der die Version angibt⁹ sowie einer Reihe von Anweisungen, die das Verhalten des E-Mail-Servers des Empfängers festlegen, wenn eine Übereinstimmung zwischen der IP-Adresse der Absenderdomain und einer Anweisung vorliegt.

Die Anweisungen bestehen aus einem Mechanismus, dem ein Qualifizierer vorangestellt ist. Die wichtigsten Mechanismen, die in SPF-Einträgen verwendet werden, sind [2]:

• ip4, listet autorisierte IPv4-Adressen auf;
• ip6, listet autorisierte IPv6-Adressen auf;
• a) autorisiert die im A-Eintrag der Domain aufgeführten IP-Adressen;
• mx, autorisiert IP-Adressen, die mit den MX-Einträgen der Domain verknüpft sind;
• umfasst, autorisiert IP-Adressen, die im SPF-Eintrag einer anderen Domain aufgeführt sind;
• „all“ steht für alle IP-Adressen, die nicht ausdrücklich über die anderen Mechanismen autorisiert wurden.

Insbesondere die alle Dieser Mechanismus ermöglicht es, Richtlinien für Nachrichten festzulegen, die von IP-Adressen stammen, die durch frühere Mechanismen nicht erfasst wurden.

Darüber hinaus stellt SPF die folgenden Qualifizierer zur Verknüpfung mit Mechanismen bereit:

• + (pass) bedeutet, dass IP-Adressen, die dem zugehörigen Mechanismus entsprechen, zugelassen sind. Dies ist der Standardqualifizierer, sofern kein anderer angegeben ist;
• - (fail) bedeutet, dass IP-Adressen, die dem zugehörigen Mechanismus entsprechen, nicht autorisiert sind;
• ~ (softfail) weist darauf hin, dass IP-Adressen, die dem zugehörigen Mechanismus entsprechen, wahrscheinlich nicht autorisiert sind. Dies ist eine unsicherere Aussage als die vorherige. In diesen Fällen sollte die Nachricht akzeptiert, aber für eine eingehendere Analyse markiert werden; dies wird beispielsweise bei der Fehlersuche oder dann verwendet, wenn zu erwarten ist, dass die SPF-Überprüfung möglicherweise nicht erfolgreich sein wird;
• ? (neutral) bedeutet, dass für IP-Adressen, die dem zugehörigen Mechanismus entsprechen, keine Angabe gemacht wird. Standardmäßig wird die Nachricht akzeptiert.

Es ist wichtig zu betonen, dass der SPF-Eintrag in der Praxis dazu dient, autorisierte IP-Adressen anzugeben, wobei auf die Anweisung zurückgegriffen wird -alle um festzulegen, dass alle anderen Adressen nicht zugelassen sind (siehe hierzu die folgenden Beispiele). Dies ist die empfohlene Konfiguration, da sie es ermöglicht, zugelassene IP-Adressen ausdrücklich anzugeben und alle anderen auszuschließen.

Auf jeden Fall wird empfohlen, die Anweisung niemals zu verwenden +alle (oder das Äquivalent alle), da dies einer Freigabe aller IP-Adressen entsprechen würde.

Beispiele für SPF-Einträge

Eine bestimmte IP-Adresse autorisieren

v=spf1 ip4:203.0.113.0 -all

Der oben gezeigte SPF-Eintrag verwendet SPF Version 1 und autorisiert über den ip4 Mechanismus der IP-Adresse 203.0.113.0 (da für das ip4 Mechanismus, die Standardeinstellung + wird implizit verwendet). Das -alle Richtlinie, die von der alle Mechanismus und die - Der Qualifizierer „(fail)“ gibt an, dass alle anderen Adressen nicht zugelassen sind.

Einen bestimmten IP-Adressbereich autorisieren

v=spf1 ip4:203.0.113.0/24 -all

Der oben gezeigte SPF-Eintrag entspricht dem vorherigen, autorisiert jedoch alle IP-Adressen der 203.0.113.0/24 Adressraum.

Mehrere IP-Adressen autorisieren

v=spf1 ip4:203.0.113.22 ip4:203.0.113.44 -all

Der oben gezeigte SPF-Eintrag autorisiert ausschließlich die IPv4-Adressen 203.0.113.22 und 203.0.113.44.

MX-Einträge und eine bestimmte Domain autorisieren

v=spf1 mx include:spf.emailprovider.it -all

Der oben angezeigte SPF-Eintrag autorisiert ausschließlich die IP-Adressen der MX-Einträge derselben Domain wie der SPF-Eintrag sowie die autorisierten IP-Adressen der Domain. spf.emailprovider.it (zum Beispiel die Domain eines E-Mail-Anbieters).

5.1.2. Authentifizierungsprozess

Ist die SPF-Überprüfung korrekt konfiguriert, ruft der Mailserver des Empfängers beim Empfang einer neuen E-Mail-Nachricht den SPF-Eintrag der Absenderdomain ab, indem er den DNS-Server abfragt, der die Einträge dieser Domain enthält, wie sie sich aus der im „Envelope-From“-Feld angegebenen Adresse ergibt. Wenn beispielsweise die im „Envelope-From“-Feld angegebene Adresse lautet alice@example.com, ruft der Mailserver des Empfängers den SPF-Eintrag der Domain ab beispiel.com.

Der Mailserver des Empfängers führt daraufhin die SPF-Überprüfung durch und analysiert den SPF-Eintrag, um festzustellen, ob die IP-Adresse, von der die Nachricht empfangen wurde, zum Versenden von E-Mails für den beispiel.com Domain. Falls die E-Mail die SPF-Überprüfung besteht, wird sie an den Empfänger zugestellt.

Wenn beispielsweise der SPF-Eintrag der beispiel.com Domain waren v=spf1 ip4:203.0.113.22 -all Die Überprüfung würde nur erfolgreich sein, wenn die IP-Adresse des Absenderservers 203.0.113.22, während dies bei jeder anderen Adresse fehlschlagen würde.

» Zurück zum Anfang

5.2. DKIM

DKIM – DomainKeys Identified Mail ist ein durch RFC 6376 standardisiertes Authentifizierungsprotokoll, das es einem Domaininhaber ermöglicht, die Echtheit versendeter E-Mail-Nachrichten zu gewährleisten, indem er eine digitale Signatur (DKIM-Signatur) anbringt, die vom Mailserver mithilfe öffentlicher kryptografischer Algorithmen generiert und in die Kopfzeilen der zu übermittelnden Nachricht eingefügt wird.

Damit der Empfänger überprüfen kann, ob die Nachricht während der Übertragung nicht verändert wurde, wird der mit der DKIM-Signatur verbundene öffentliche Schlüssel in einem TXT-Eintrag des öffentlichen DNS der Absenderdomain gespeichert – dem sogenannten DKIM-Eintrag –, der vom Mailserver des Empfängers beim Empfang der Nachricht abgefragt wird.

Die DKIM-Signatur und der DKIM-Eintrag werden in den folgenden Abschnitten dieses Absatzes erläutert.

Genau wie bei SPF muss auch DKIM vom Absender und vom Empfänger korrekt konfiguriert werden, insbesondere:

• Der Absender muss seinen Mailserver so konfigurieren, dass er DKIM-Signaturen erstellt, und den DKIM-Eintrag im entsprechenden DNS-Server veröffentlichen;
• Der Empfänger muss seinen Mailserver so konfigurieren, dass dieser bei empfangenen Nachrichten eine DKIM-Überprüfung durchführt.

5.2.1. DKIM-Signatur

Die DKIM-Signatur wird ausgehend von bestimmten Elementen des Nachrichtentextes und der Kopfzeilen generiert und besteht aus einer Reihe von Schlüssel-Wert-Paaren, die Elemente angeben, darunter:

• v: Protokollversion¹⁰;
• a: verwendeter Verschlüsselungsalgorithmus¹¹;
• d: Signieren der Domäne zur Bestätigung der Nachrichtenauthentizität¹²;
• s: Selektor, der angibt, nach welchem öffentlichen DKIM-Schlüssel im DNS-Eintrag gesucht werden soll¹³;
• h: Liste der in der Signatur enthaltenen E-Mail-Header¹⁴;
• bh: Hashwert des Nachrichtentextes, kodiert im Base64-Format¹⁵;
• b: die mit dem privaten Schlüssel erzeugte und im Base64-Format kodierte digitale Signatur¹⁶;
• x: Gültigkeitsdauer der Signatur;
• c: Art der Kanonisierung.

Kanonisierung ist der Prozess der Normalisierung von Nachrichtenelementen vor der digitalen Signatur, um die Auswirkungen kleinerer Änderungen zu minimieren, die während der Übertragung auftreten können, wie beispielsweise wiederholte Leerzeichen oder Zeilenumbrüche. Es gibt zwei Arten der Kanonisierung: die einfache Kanonisierung, bei der eine exakte Übereinstimmung zwischen der ursprünglichen und der empfangenen Nachricht erforderlich ist, und die lockere Kanonisierung, bei der Normalisierungen wie das Entfernen von Leerzeichen, die Umwandlung von Großbuchstaben in Kleinbuchstaben in den Kopfzeilen und die Reduzierung aufeinanderfolgender Leerzeilen im Nachrichtentext vorgenommen werden.

5.2.2. DKIM-Eintrag

Der DKIM-Eintrag wird in einem DNS-Eintrag vom Typ TXT gespeichert, dessen Name folgende Struktur aufweist selector._domainkey.domain, wo _domainkey ist eine Kennzeichnung, die angibt, dass es sich bei dem DNS-Eintrag tatsächlich um einen DKIM-Eintrag handelt. Der Inhalt des DKIM-Eintrags besteht aus einer Reihe von Schlüssel-Wert-Paaren, die verschiedene Elemente festlegen, darunter:

• v: Protokollversion;
• k: Schlüsseltyp, standardmäßig RSA;
• p: Öffentlicher Schlüssel im Base64-Format.

Beispiel für einen DKIM-Eintrag

Name: s1._domainkey.example.com
Wert: v=DKIM1; k=rsa; p=Y2hpYXZ1cHViYmxpY2FkaWVzZW1waW8h...

Der Beispiel-DKIM-Eintrag ist mit dem Selektor verknüpft s1 der beispiel.com Domain, verwendet Version 1 und enthält den öffentlichen RSA-Schlüssel im Base64-Format (Y2hpYXZ1cHViYmxpY2FkaWVzZW1waW8h...).

5.2.3. Authentifizierungsprozess

Wenn das DKIM-Protokoll sowohl auf dem Mailserver des Absenders als auch auf dem des Empfängers korrekt konfiguriert ist, sieht der Ablauf des DKIM-Authentifizierungs- und -Verifizierungsprozesses vor, dass der Mailserver des Absenders die DKIM-Signatur der Nachricht gemäß Abschnitt 5.2.1 erstellt, die der Nachricht selbst hinzugefügt wird. Die DKIM-Signatur enthält insbesondere im d Feld „Signaturdomäne“¹⁷ und in der b Tragen Sie die digitale Signatur der Nachricht ein, die mit dem privaten Schlüssel der signierenden Domäne erstellt wurde.

Nach dem Empfang einer Nachricht ruft der Mailserver des Empfängers den DKIM-Eintrag der signierenden Domain ab (d Feld der DKIM-Signatur) vom DNS-Server, der die Einträge dieser Domain enthält. Anschließend verwendet es den im DKIM-Eintrag enthaltenen öffentlichen Schlüssel, um die digitale Signatur zu überprüfen (b (Feld), das in der DKIM-Signatur enthalten ist. Ist die Überprüfung erfolgreich, wird die Nachricht an den Empfänger zugestellt.

5.2.4. Kryptografische Aspekte

Im Bereich der Kryptografie wurde bei DKIM bislang der RSA-Algorithmus verwendet, insbesondere in der Variante rsa-sha256, die seit 2007 als Standard gilt. Die neue Alternative, die durch RFC 8463 eingeführt wurde, ist Ed25519-SHA256, eine moderne Form der digitalen Signatur auf Basis elliptischer Kurven, die eine höhere Effizienz und wesentlich kompaktere Schlüssel gewährleistet.

Auf technischer Ebene bleibt RSA mit einer Schlüssellänge von 2048 Bit der universelle Standard, doch die Schlüssel sind lang und die Signaturen relativ groß, während Ed25519 neunmal kürzere Schlüssel und viermal kleinere Signaturen bietet, wobei die Signaturleistung im Vergleich zu RSA 2048 bis zu dreißigmal höher ist. Trotz dieser Vorteile ist die Unterstützung in der Praxis begrenzt: Im Jahr 2026 wird Ed25519 nur von wenigen Anbietern verifiziert, während einige große Betreiber weder die Signierung noch die Verifizierung zuverlässig unterstützen, was es als alleinige Lösung im Produktivbetrieb ungeeignet macht.

Aus diesem Grund wird die Verwendung von Ed25519 – obwohl es technisch überlegen ist – zum Zeitpunkt der Erstellung dieses Dokuments nicht empfohlen, außer in Kombination mit RSA im Rahmen einer doppelten Signatur, und zwar aus experimentellen Gründen und als Maßnahme zur Gewährleistung der zukünftigen Kompatibilität. Bis große Anbieter die Überprüfung dieses Verfahrens vollständig implementiert haben, bleibt RSA unverzichtbar, um eine maximale Zuverlässigkeit bei der Nachrichtenzustellung zu gewährleisten.

Im Hinblick auf die langfristige Sicherheit ist zu beachten, dass weder RSA noch Ed25519 gegen Angriffe durch künftige Quantencomputer resistent sind [3] und dass der Übergang zu postquanten-sicheren Algorithmen neue DKIM-Standards erfordern wird, die derzeit noch nicht existieren. Daher ist es unerlässlich, die Entwicklungen im Bereich der Kryptografie der nächsten Generation sowie künftige Empfehlungen des ACN in diesem Bereich aufmerksam zu verfolgen.

Was die Verwaltung kryptografischer Schlüssel betrifft, muss der private DKIM-Schlüssel durch strenge Sicherheitsmaßnahmen geschützt werden. Dazu gehört, ihn auf isolierten Systemen zu speichern, auf die nur autorisierte Dienste Zugriff haben, sowie restriktive Zugriffsrechte, regelmäßige Rotation und ständige Überwachung, um unbefugten Zugriff oder Kompromittierungen zu verhindern.

» Zurück zum Anfang

5.3. DMARC

DMARC – Domain-based Message Authentication, Reporting and Conformance ist ein durch RFC 7489 formalisiertes Authentifizierungsprotokoll, das¹⁸ die Mechanismen SPF und DKIM integriert und es einem Domain-Inhaber ermöglicht, den Empfängern von Nachrichten, die von dieser Domain gesendet werden, Richtlinien für den Umgang mit solchen Nachrichten vorzugeben, die die SPF- und DKIM-Prüfungen nicht bestehen.

Insbesondere führt DMARC einen Authentifizierungsmechanismus ein – das sogenannte „Alignment“ –, der die Übereinstimmung zwischen den durch SPF und DKIM authentifizierten Domänen und der Domäne überprüft, auf die sich die Nachricht von Feld der empfangenen Nachricht. Beachten Sie, dass die Überprüfung der Ausrichtung zwischen dem Nachricht von Feld, und die SPF/DKIM-Domäne schlägt in jedem Fall fehl, wenn die entsprechende SPF/DKIM-Überprüfung fehlschlägt (siehe Abbildung 4).

Die Ausrichtung kann überprüft werden in streng Modus, bei dem eine exakte Übereinstimmung zwischen den durch SPF/DKIM authentifizierten Domänen und derjenigen erforderlich ist, die sich auf die Nachricht von Feld oder entspannt, wobei es ausreicht, dass die Hauptdomains übereinstimmen, auch wenn sich die Subdomains unterscheiden können.

Zum Beispiel in entspannt Modus für Domains sub1.example.com und sub2.example.com würde für die DMARC-Überprüfung eine Übereinstimmung gefunden (da die primäre Domain, beispiel.com, ist dasselbe). In streng In diesem Modus würde die DMARC-Übereinstimmungsprüfung jedoch fehlschlagen, da keine exakte Übereinstimmung zwischen den Domänen vorliegt.

Durch die Überprüfung der Übereinstimmung kann ein Angreifer, selbst wenn es ihm gelänge, die SPF- und/oder DKIM-Prüfungen mithilfe eines Nachricht von anders als der Absenderadresse Selbst wenn die E-Mail durch SPF authentifiziert wurde und/oder von der authentifizierten Signaturdomäne stammt, würde DMARC die Diskrepanz dennoch erkennen und so eine konsistente und zuverlässige Überprüfung der Identität des Absenders gewährleisten [2].

Richtlinien für den Umgang mit fehlgeschlagenen Nachrichten¹⁹ DMARC-Überprüfung sind in einem TXT-Eintrag des relativen DNS-Servers der Absenderdomain festgelegt, der als DMARC-Eintrag bezeichnet wird und im folgenden Abschnitt dieses Absatzes erläutert wird.

DMARC ermöglicht es außerdem, Empfänger dazu aufzufordern, Berichte an die Inhaber der Absenderdomain zu senden, die sich auf Nachrichten beziehen, die angeblich von dieser Domain stammen. Auf diese Weise kann der Domaininhaber überprüfen, ob und in welchem Umfang seine Domain unbefugt genutzt wird, indem er beispielsweise analysiert, wie viele der Nachrichten, die angeblich von seiner Domain stammen, tatsächlich auf ihn zurückzuführen sind.

Genau wie bei SPF und DKIM muss auch DMARC vom Absender und vom Empfänger korrekt konfiguriert werden, insbesondere:

• Der Absender muss den DMARC-Eintrag in seinem DNS veröffentlichen und dabei die Richtlinien angeben, nach denen Nachrichten zu behandeln sind, die die DMARC-Überprüfung nicht bestehen;
• Der Empfänger muss seinen Mailserver so konfigurieren, dass bei empfangenen Nachrichten eine DMARC-Überprüfung durchgeführt wird.

5.3.1. DMARC-Eintrag

Der Name des DMARC-Eintrags hat folgende Struktur _dmarc.domain, wo _dmarc ist ein Kennzeichen, das angibt, dass es sich bei dem DNS-Eintrag um einen DMARC-Eintrag handelt, und Domäne ist die Domäne, auf die sich die Richtlinie bezieht.

Der DMARC-Eintrag besteht aus einer Reihe von Schlüssel-Wert-Paaren, die verschiedene Elemente festlegen, darunter:

• v: DMARC-Protokollversion²⁰;
• p: Richtlinie für Nachrichten, die die DMARC-Überprüfung nicht bestehen; kann einen der folgenden Werte annehmen keine, Quarantäne, ablehnen;
• aspf: Ausrichtungsmodus für die SPF-Prüfung (kann entspannt, Standardwert oder streng);
• adkim: Ausrichtungsmodus für die DKIM-Prüfung (kann entspannt, Standardwert oder streng);
• rua: E-Mail-Adressen, an die aggregierte Berichte mit statistischen und zusammenfassenden Informationen zu den von der Absenderdomain empfangenen Nachrichten gesendet werden sollen;
• ruf: E-Mail-Adressen, an die detaillierte Berichte über einzelne Nachrichten gesendet werden sollen, die von der Absenderdomain empfangen wurden und die DMARC-Überprüfung nicht bestanden haben.

Beispiel für einen DMARC-Eintrag

Name:
_dmarc.example.com
Wert:
v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-fail@example.com; adkim=s; aspf=s

Der Beispiel-DMARC-Eintrag ist mit dem beispiel.com Domäne, verwendet Version 1 und gibt die ablehnen Richtlinie für E-Mails, die die DMARC-Überprüfung nicht bestehen, mit der Aufforderung streng Modus (s) zur Überprüfung der Übereinstimmung von SPF- und DKIM-Domänen sowie zur Übermittlung von Sammelberichten an die E-Mail-Adresse dmarc-reports@example.com sowie Fehlermeldungen an die Adresse dmarc-fail@example.com.

5.3.2. DMARC-Richtlinien

Wie im vorigen Absatz beschrieben, gibt der DMARC-Eintrag die Richtlinie an, die der empfangende Mailserver auf Nachrichten anwenden soll, die die DMARC-Überprüfung nicht bestehen. Folgende Richtlinien sind möglich:

• keine: Die Absenderdomain gibt keine Hinweise darauf, dass Nachrichten, die die DMARC-Überprüfung nicht bestehen, nicht zugestellt werden;
• quarantine: Die Absenderdomain gibt an, dass Nachrichten, die die DMARC-Überprüfung nicht bestehen, als verdächtig eingestuft werden sollten (z. B. einer weiteren Prüfung unterzogen, als Spam behandelt oder als verdächtig gekennzeichnet werden);
• Ablehnen: Die Absenderdomäne gibt an, dass Nachrichten, die die DMARC-Überprüfung nicht bestehen, abgelehnt werden sollen.

5.3.3. Überprüfung der Richtlinien und Antragsverfahren

Wenn das DMARC-Protokoll sowohl auf dem Mailserver des Absenders als auch auf dem des Empfängers korrekt konfiguriert ist, ruft der Mailserver des Empfängers beim Empfang der Nachricht die SPF- und DKIM-Einträge ab, um die entsprechenden Überprüfungen sowie die DMARC-Überprüfung durchzuführen (wie im Einleitungsteil von Abschnitt 5.2.4 beschrieben). Falls die Nachricht die DMARC-Überprüfung nicht besteht, wird die im DMARC-Eintrag angegebene Richtlinie (keine, Quarantäne oder ablehnen) wird angewendet.

Beachten Sie, dass jeder Mailserver lokale Heuristiken und Richtlinien anwenden kann, um über die Zustellung einer Nachricht zu entscheiden, wobei auch die Ergebnisse der SPF-, DKIM- und DMARC-Prüfungen berücksichtigt werden. Daher findet im Allgemeinen nach den oben genannten Prüfungen ein zusätzlicher Entscheidungsprozess statt („Standardfilter“ in Abbildung 5), der auch weitere Überprüfungen (wie beispielsweise Anti-Spam- und Anti-Malware-Filter) umfassen kann.

Darüber hinaus kann der empfangende Mailserver Folgendes übermitteln:

• an die in der Straße Feld des DMARC-Eintrags, aggregierte Berichte mit statistischen Daten und Zusammenfassungen zu den von der Absenderdomain empfangenen Nachrichten;
• an die in der ruf Feld des DMARC-Eintrags, detaillierte Berichte zu einzelnen Nachrichten, die von der Absenderdomain empfangen wurden und die DMARC-Überprüfung nicht bestanden haben.

» Zurück zum Anfang

6. Schlussfolgerungen

Wie im vorigen Kapitel erläutert, ist es zur bestmöglichen Abwehr von Bedrohungen im Zusammenhang mit der Vortäuschung der Absenderdomain erforderlich, dass alle drei untersuchten Protokolle gemeinsam implementiert werden, und insbesondere, dass [3]:

• die Absenderdomain veröffentlicht SPF-, DKIM- und DMARC-Einträge korrekt im DNS;
• Der Mailserver des Absenders ist so konfiguriert, dass er Nachrichten mit DKIM signiert;
• Der Mailserver des Empfängers ist so konfiguriert, dass er SPF- und DKIM-Prüfungen durchführt und DMARC-Richtlinien anwendet.

Im Hinblick auf die Protokollimplementierung werden zudem folgende Empfehlungen ausgesprochen [2]:

• Konfigurieren Sie SPF so, dass festgelegt wird, welche IP-Adressen berechtigt sind, E-Mails im Namen der Domain zu versenden; für Domains, die nicht für den E-Mail-Versand genutzt werden, beispielsweise solche, die ausschließlich für Websites bestimmt sind, sollte dennoch ein SPF-Eintrag erstellt werden, um ausdrücklich anzugeben, dass es für diese Domain keine gültigen E-Mail-Absender gibt;
• Verwenden Sie modernste Verschlüsselungsprotokolle und Algorithmen, die für DKIM-Schlüssel als sicher gelten; zum Zeitpunkt der Erstellung dieses Dokuments wird 2048-Bit-RSA empfohlen;
• den auf dem Mailserver gespeicherten privaten DKIM-Schlüssel durch strenge Zugriffsberechtigungen angemessen zu schützen und sicherzustellen, dass ausschließlich die Mailserver-Software Lesezugriff auf den Schlüssel hat;
• Konfigurieren Sie jeden Mailserver mit einem eindeutigen Schlüsselpaar und einem Selektor, um die Auswirkungen einer möglichen Kompromittierung des privaten Schlüssels zu minimieren;
• den privaten Schlüssel sowohl vor versehentlicher Offenlegung als auch vor Zugriffs- oder Manipulationsversuchen durch einen Angreifer schützen;
• sicherstellen, dass die für Mailinglisten zuständige Software DKIM-Signaturen in eingehenden Nachrichten überprüft und ausgehende Nachrichten mit neuen DKIM-Signaturen versieht;
• Verwenden Sie für jeden Drittanbieter, der E-Mails im Namen der Organisation versendet, eindeutige DKIM-Schlüsselpaare;
• DKIM-Schlüsselpaare regelmäßig (mindestens alle sechs Monate) zu rotieren, um die Auswirkungen einer möglichen Kompromittierung zu mindern;
• Schlüssel bei Verdacht auf eine Kompromittierung unverzüglich widerrufen;
• Überwachen Sie die DMARC-Berichte, um Konfigurationsfehler oder Missbrauchsversuche zu erkennen.

Weitere Informationen finden Sie in den unter „Referenzdokumente“ aufgeführten Quellen.

Es ist festzustellen, dass zum angemessenen Schutz der E-Mail-Sicherheit neben den hier untersuchten Authentifizierungsprotokollen weitere Protokolle existieren – die nicht Gegenstand dieser Leitlinien sind –, wie beispielsweise TLS (Transport Layer Security), das die Verschlüsselung des Übertragungskanals gewährleistet, sowie S/MIME und OpenPGP, die sich auf die End-to-End-Verschlüsselung und die Nachrichtenauthentifizierung beziehen.

Es sei zudem darauf hingewiesen, dass – obwohl es sich dabei nicht um ein E-Mail-Sicherheitsprotokoll im engeren Sinne handelt – im Hinblick auf die Sicherheit von E-Mail-Diensten die Implementierung von DNSSEC (Domain Name System Security Extensions) empfohlen wird, einer Erweiterung des DNS-Protokolls, die DNS-Einträge mit kryptografischen Signaturen versieht, um die Integrität und Authentizität von DNS-Abfragen zu gewährleisten. Dank DNSSEC werden beispielsweise Informationen zu SPF-, DKIM- und DMARC-Einträgen während der Übertragung geschützt, wodurch das Risiko von Manipulationen verringert und somit die Sicherheit des E-Mail-Dienstes erhöht wird.

» Zurück zum Anfang

Anhang A: Sicherheitsmaßnahmen

Nationaler Cybersicherheitsperimeter (PSNC)

PR.IP-1: Für die Konfiguration von IT-Systemen und industriellen Steuerungssystemen werden Referenzverfahren (sogenannte Baselines) definiert und verwaltet, die Sicherheitsgrundsätze (z. B. das Prinzip der minimalen Funktionalität) berücksichtigen.

1. Es gibt ein detailliertes, aktualisiertes Dokument, das – auch in Bezug auf die Kategorie ID.AM – mindestens Folgendes enthält:
   • a) die Sicherheitsrichtlinien, die für die Entwicklung von Konfigurationen von IT- und industriellen Steuerungssystemen festgelegt wurden, sowie die ausschließliche Nutzung der festgelegten Konfigurationen;
   • b) die Liste der eingesetzten IT- und industriellen Steuerungssystemkonfigurationen sowie den Verweis auf die entsprechenden Referenzverfahren;
   • c) die eingesetzten Verfahren, Methoden und Technologien, die zur Einhaltung der Sicherheitsrichtlinien beitragen.

Cloud-Regulierung – Digitale Infrastrukturen und Dienste für die öffentliche Verwaltung

PR.IP-01: Für die Konfiguration von IT-Systemen und industriellen Steuerungssystemen werden Referenzverfahren (sogenannte Baselines) definiert und verwaltet, die Sicherheitsgrundsätze (z. B. das Prinzip der minimalen Funktionalität) berücksichtigen.

1. Es werden Richtlinien und Verfahren im Hinblick auf die Anwendungssicherheit festgelegt, um eine angemessene Unterstützung bei der Planung, Umsetzung und Aufrechterhaltung von Sicherheitsfunktionen für Anwendungen zu gewährleisten; diese müssen mindestens einmal jährlich überprüft und aktualisiert werden.
2. Es gibt ein detailliertes, aktualisiertes Dokument, das – auch in Bezug auf die Kategorie ID.AM – mindestens Folgendes enthält:
   • a) die Sicherheitsrichtlinien, die für die Entwicklung von Konfigurationen von IT- und industriellen Steuerungssystemen festgelegt wurden, sowie die ausschließliche Nutzung der festgelegten Konfigurationen;
   • b) die Liste der eingesetzten IT- und industriellen Steuerungssystemkonfigurationen sowie den Verweis auf die entsprechenden Referenzverfahren;
   • c) die eingesetzten Verfahren, Methoden und Technologien, die zur Einhaltung der Sicherheitsrichtlinien beitragen.
3. Die grundlegenden Anforderungen an die Sicherheit verschiedener Anwendungen werden definiert und dokumentiert.
4. Es werden technische Kennzahlen definiert und implementiert, die zur Überwachung der Einhaltung festgelegter Sicherheitsanforderungen und Compliance-Verpflichtungen dienen.
5. Es gibt einen Prozess zur Minderung von Anwendungsschwachstellen und zur Wiederherstellung der Anwendungssicherheit, der die Behebung von Problemen nach Möglichkeit automatisiert.
6. Es gibt ein Verfahren zur Überprüfung der Kompatibilität von Geräten mit Betriebssystemen und Anwendungen.
7. Es gibt ein System zur Verwaltung von Änderungen in Bezug auf das Betriebssystem, Patches und/oder Anwendungen.

Cloud-Regulierung – Cloud-Dienste für die öffentliche Verwaltung

PR.IP-01: Für die Konfiguration von IT-Systemen und industriellen Steuerungssystemen werden Referenzverfahren (sogenannte Baselines) definiert und verwaltet, die Sicherheitsgrundsätze (z. B. das Prinzip der minimalen Funktionalität) berücksichtigen.

1. Es werden Richtlinien und Verfahren im Hinblick auf die Anwendungssicherheit festgelegt, um eine angemessene Unterstützung bei der Planung, Umsetzung und Aufrechterhaltung von Sicherheitsfunktionen für Anwendungen zu gewährleisten; diese müssen mindestens einmal jährlich überprüft und aktualisiert werden [IaaS, SaaS].
2. Es gibt ein detailliertes, aktualisiertes Dokument, das – auch in Bezug auf die Kategorie ID.AM – mindestens Folgendes enthält:
   • a) die Sicherheitsrichtlinien, die für die Entwicklung von Konfigurationen von IT- und industriellen Steuerungssystemen festgelegt wurden, sowie die ausschließliche Nutzung der festgelegten Konfigurationen;
   • b) die Liste der eingesetzten IT- und industriellen Steuerungssystemkonfigurationen sowie den Verweis auf die entsprechenden Referenzverfahren;
   • c) die eingesetzten Prozesse, Methoden und Technologien, die zur Einhaltung der Sicherheitsrichtlinien beitragen [SaaS].
3. Die grundlegenden Anforderungen an die Sicherheit verschiedener Anwendungen werden definiert und dokumentiert.
4. Es werden technische Kennzahlen definiert und implementiert, die zur Überwachung der Einhaltung festgelegter Sicherheitsanforderungen und Compliance-Verpflichtungen dienen. 5. Es gibt einen Prozess zur Minderung von Anwendungsschwachstellen und zur Wiederherstellung der Anwendungssicherheit, der die Behebung von Problemen nach Möglichkeit automatisiert.
5. Es gibt ein Verfahren zur Überprüfung der Kompatibilität von Geräten mit Betriebssystemen und Anwendungen [PaaS, SaaS].
6. Es gibt ein Änderungsmanagement-System für Betriebssysteme, Patches und/oder Anwendungen [PaaS, SaaS].

NIS 2

PR.PS-01: Es werden Verfahren für das Konfigurationsmanagement festgelegt und angewendet.

1. Zumindest für relevante Informationen und Netzwerksysteme sind deren sichere Basiskonfigurationen (abgehärtet) in einer aktuellen Liste definiert und dokumentiert.
2. In Übereinstimmung mit den in der Maßnahme GV.PO-01 genannten Richtlinien werden Verfahren in Bezug auf Punkt 1 festgelegt und dokumentiert.

» Zurück zum Anfang

Literaturverzeichnis

[1] NIST, „Technical Note 1945“.
[2] NIST, „NIST Special Publication 800-177 Revision 1“
[3] Nationale Cybersicherheitsbehörde, „Post-Quanten- und Quantenkryptografie – Vorbereitung auf die Quantenbedrohung“.
[4] Nationale Cybersicherheitsbehörde, „Rahmenwerk für die E-Mail-Authentifizierung“.

» Zurück zum Anfang

eine gute Alternative zu E-Mails mit BCC

In einem früheren Beitrag haben wir die Vor- und Nachteile der Verwendung von BCC-E-Mails erläutert,
siehe:„So versenden und begrenzen Sie BCC-E-Mails“.

In den Schlussfolgerungen haben wir unter anderem Folgendes festgestellt:

Verwenden Sie spezielle Apps für den Versand von Massen-E-Mails.
Die professionellen Systeme verfügen über einen Genehmigungsworkflow
und eine schrittweise Kontrolle;
sie sind darauf ausgelegt, Fehler zu vermeiden.

Zusammenfassung dieses Artikels:

• So funktioniert es
• GNU Mailman „Einweg“-Liste
• Ein kurzer Rückblick auf GNU Mailman
• VERP-Bounce-Management
• Ausrichtung der Absender- und E-Mail-Absenderadresse

So funktioniert es

E-Mail-Marketing-Plattformen können schwierig zu erlernen und zu betreuen sein (falls Sie diese Ihren Kunden zur Verfügung stellen).

Wir möchten Ihnen hier die Möglichkeit vorstellen, die Open-Source-Software „GNU Mailman“ für den Versand Ihrer Massen-E-Mails zu nutzen.
Dieser Vorschlag basiert auf unseren eigenen Erfahrungen mit der benutzerfreundlichen„Copymail App“.

Eine „One-Way“-Liste in Mailman ist eine Konfiguration für Newsletter oder Ankündigungen
, bei der nur autorisierte Moderatoren Beiträge veröffentlichen können und Mitglieder nicht auf der Liste antworten können.

So funktioniert es:

1. Der Nutzer sendet die Nachricht über seinen E-Mail-Client oder über das Webmail an die E-Mail-Adresse der Liste:
   Anschließend muss er den Versand bestätigen, woraufhin die Nachricht serverseitig an alle Abonnenten verteilt wird.

2. Das System verarbeitet automatisch Bounces (zurückgesendete E-Mails) und führt auf Wunsch die Abmeldung durch.
   Abonnements müssen manuell registriert werden.

3. Der Dienst ist äußerst zuverlässig und kann problemlos Tausende von Adressen verarbeiten.
   Der Versand erfolgt über RealSender oder andere SMTP-Server.

Zurück zum Anfang

GNU Mailman „Einweg“-Liste

GNU Mailman ist eine weit verbreitete Software, die von den meisten Internetdienstanbietern angeboten wird.
Im Internet gibt es einige Anleitungen, die erklären, wie man sie für Massenversendungen konfiguriert und nutzt:

• Mitglieder melden sich an, indem sie ein Formular auf Ihrer Website ausfüllen (und auf die Bestätigungs-E-Mail antworten)
• Sie erhalten eine Willkommensnachricht, in der nicht erwähnt wird, wie man Beiträge in der Liste veröffentlicht
• Sie erhalten Ihre Newsletter mit einer Fußzeile, die eine kurze Anleitung zum Abbestellen enthält
• Nur autorisierte Personen dürfen Beiträge in der Liste veröffentlichen (die Newsletter versenden)

Die wichtigste Quelle ist dieses Dokument, das auf zwei Beiträgen von Barry Warsaw in der Mailman-Users-Liste basiert:
Wie erstelle ich einen Newsletter, eine Ankündigung oder eine Einweg-Liste?

Der Text erläutert die wichtigsten Punkte im Detail:

• Wie erstellt man eine individuelle Begrüßungsnachricht und eine Seite mit Informationen zur Liste, ohne dabei zu erwähnen, wie man Beiträge in der Liste veröffentlicht?
• Wie lassen sich Passwortprobleme und Probleme beim Abmelden, mit denen man bei dieser Art von Liste häufig konfrontiert ist, minimieren?
• Wie kann man die Liste so einschränken, dass nur autorisierte Personen Beiträge verfassen können?
• So richten Sie eine Ankündigungsliste ein, um an eine Kontaktadresse zu antworten
• So postest du in der Ankündigungsliste

Ein weiterer Artikel der Stanford University erklärt, wie Mailman
genutzt werden kann, um eine Liste einzurichten, die ausschließlich für Ankündigungen gedacht ist:
So richten Sie eine „einseitige“ Liste nur für Ankündigungen oder einen Newsletter ein – Wissensartikel KB00010792

Zurück zum Anfang

Ein kurzer Rückblick auf GNU Mailman

Mailinglisten können entweder als Diskussionsforen oder als Ankündigungsplattformen dienen. Die Mailman-Software ist in Python geschrieben; vor ihrer Veröffentlichung nutzte die Python-Community Majordomo, einen auf Perl basierenden Mailinglisten-Manager.

Heute betreut Mark Sapiro den stabilen 2.1-Zweig,
, während sich Barry Warsaw auf die neue 3.X-Version konzentriert.

Zwei übergeordnete Grundsätze, die für den anhaltenden Erfolg von Mailman entscheidend sind:

• Keine Nachricht sollte jemals verloren gehen
• Eine Nachricht sollte niemals mehr als einmal übermittelt werden

In Mailman 2 haben die Entwickler das System zur Nachrichtenverarbeitung neu gestaltet, um sicherzustellen, dass diese beiden Grundsätze stets oberste Priorität haben. Dieser Teil des Systems ist nun seit mindestens einem Jahrzehnt stabil und einer der Hauptgründe dafür, dass Mailman heute so weit verbreitet ist.

Zurück zum Anfang

VERP-Bounce-Management

VERP steht für „Variable Envelope Return Path“. Es handelt sich um eine bekannte Technik, die Mailinglisten einsetzen, um Adressen von Empfängern, bei denen es zu Rückläufern kommt, eindeutig zu identifizieren. Wenn die Mailingliste einen Rückläufer erhält, kann sie entsprechende Maßnahmen ergreifen, beispielsweise die betreffende Adresse deaktivieren oder aus der Mitgliederliste entfernen.

Es gibt ein Standardformat für Rückmeldungen, das als „Zustellstatusbenachrichtigungen“ bezeichnet wird. Mailman nutzt eine Bibliothek, die Dutzende von Heuristiken für das Format von Rückmeldungen enthält, die alle im Laufe der zwanzigjährigen Geschichte von Mailman in der Praxis aufgetreten sind.

VERP nutzt eine Anforderung des grundlegenden SMTP-Protokolls aus, um eine eindeutige Erkennung von Bounce-Nachrichten zu gewährleisten, indem solche Bounce-Nachrichten an den Absender der Hülladresse zurückgesendet werden. Dies ist nicht die Von: Feld im Nachrichtentext, aber tatsächlich ist das E-MAIL VON Wert, der im SMTP-Dialog festgelegt wurde. Dieser Wert bleibt während des gesamten Zustellungsvorgangs erhalten, und der endgültige empfangende Mailserver ist gemäß den Standards verpflichtet, die Rückmeldungen an diese Adresse zu senden.

Wenn der Mailman-Server mylist@example.org, dann der VERP-kodierte Absender einer E-Mail, die an eine Mailingliste gesendet wurde anne@example.com lautet: mylist-bounce+anne=example.com@example.org. Zurückgewiesene E-Mails werden an die VERP-verschlüsselte Empfängeradresse gesendet. Mailman kann dann die An: Header, um den ursprünglichen Empfänger zu ermitteln anne@example.com

Die Verwendung von VERP setzt voraus, dass Mailman genau eine Kopie der Nachricht pro Empfänger versendet. VERP erfordert eine eindeutige E-MAIL VON für jeden Empfänger, und das geht nur, indem man eine eigene Kopie der Nachricht versendet. Dieser Ansatz trägt zudem dazu bei, dass die Nachricht nicht als Spam eingestuft wird.

Zurück zum Anfang

Ausrichtung der Absender- und E-Mail-Absenderadresse

Während der Testphase ist die Standardeinstellung „Copymail-AppBei der Konfiguration „“ wird eine von uns bereitgestellte Domain als E-Mail von Adresse (auch bekannt als Bounce-/Return-Path-/Envelope-Adresse), an die zurückgewiesene E-Mails zurückgeschickt werden. Diese E-Mail von Die Domain unterscheidet sich von der Von Absenderadresse (die für die Empfänger sichtbare Adresse des Absenders).

Bevor das System in Betrieb genommen wird, müssen einige Änderungen am DNS vorgenommen werden, um die mit dem Von Domain. Die neuesten E-Mail-Standards ermöglichen es Ihnen, authentifizierte E-Mails unter Verwendung einer Subdomain als E-Mail von Adresse (zum Beispiel, email.deine-E-Mail-Domain.com), wobei die Basisdomain weiterhin als Von/Absender Adresse (zum Beispiel, info@youremaildomain.com). Weitere Einzelheiten finden Sie in der E-Mail-Authentifizierung – Erweitert Seite.

Die gleiche Situation kann auch in anderen Umgebungen auftreten. Wir empfehlen Ihnen, dies bei Ihrem Internetanbieter zu überprüfen.

Zurück zum Anfang

Reverse-Proxy für SMTP-Server

Die wichtigsten Vorteile:

• Sicherheit Es kann böswillige Anfragen blockieren, den Datenverkehr verschlüsseln,
  und Backend-Server vor direkten Angriffen schützen.
• Leistung Es verteilt den eingehenden Datenverkehr auf mehrere Server, wodurch eine Überlastung
  eines einzelnen Servers verhindert und eine höhere Verfügbarkeit gewährleistet wird.
• Skalierbarkeit Damit können Sie Backend-Server ohne Unterbrechung des Dienstes hinzufügen oder entfernen,
  wodurch Sie in der Lage sind, steigendes Datenaufkommen zu bewältigen.

HTTP-only-Reverse-Proxy (Layer 7)

Im Internet stehen verschiedene Tools zur Verfügung; nach eingehender Recherche haben wir zunächst diejenigen ausgeschlossen, die nur das HTTP-Protokoll (Schicht 7) unterstützen:

KEIN Apache-
„Oh je. Nehmen Sie sich einen Moment Zeit, um sich mit den Technologien vertraut zu machen, mit denen Sie arbeiten. E-Mails nutzen SMTP. Apache nutzt HTTP. Apache hat absolut keine Ahnung von SMTP. Wenn Sie mit E-Mail-Nachrichten arbeiten möchten, benötigen Sie eine Technologie, die SMTP versteht.“ – EEAA, kommentiert am 18. August 2016 um 2:49 Uhr

NEIN Caddy
„Caddy kann kein TCP-Proxy sein, sondern nur HTTP über TCP. Verwenden Sie einen Reverse-Proxy, der TCP-Proxy unterstützt, wie Traefik, Nginx oder haproxy, oder nutzen Sie dieses experimentelle Plugin.“ – ElevenNotes, kommentiert am 24. September 2024

Wir haben uns dann auf die drei in den Kommentaren empfohlenen Lösungen konzentriert: „Traefik, NginX oder HAProxy“, und sie nacheinander installiert und getestet.

Traefik war die erste Wahl.

Die meisten Anleitungen begannen mit Docker, einer Plattform, die ich vermeiden und stattdessen eine einfache Lösung wählen wollte, möglicherweise basierend auf einem der Linux-Paketmanager, wie beispielsweise YUM für RPM-basierte Distributionen wie Fedora und CentOS, oder APT (Advanced Package Tool), das bei Debian-basierten Distributionen wie Ubuntu und Debian zum Einsatz kommt.

Nach langer Suche sind wir auf diesen aktuellen Artikel gestoßen, der genau die Art der Installation beschreibt, nach der wir gesucht haben: Traefik als systemd-Dienst einrichten.

Ein Hinweis: Sie müssen die SELinux-Einstellungen von „Enforcing“ auf „Permissive“ ändern.

Nachdem wir erneut zwei Kurse auf Udemy ausprobiert hatten, stießen wir auf diesen hervorragenden Kurs: Traefik Crash Course (ohne Docker) Es gelang uns, das Tool zum Laufen zu bringen, indem wir die bereitgestellten Beispiele nachstellten. Gegen Ende des Videos äußerte der hervorragende Kursleiter seine völlige Ablehnung gegenüber diesem Tool: Traefik Crash Course – 53:50 Zusammenfassung.
Dies hielt uns von weiteren Tests ab, sodass wir uns entschlossen, etwas anderes auszuprobieren.

NginX war die zweite Wahl

In diesem Fall war die Installation einfacher, kurz gesagt mit YUM:
yum install epel-release nginx nginx-mod-stream nginx-mod-mail
Hinweis: In SELinux müssen Sie „relay“ aktivieren:
setsebool -P httpd_can_network_relay 1

Für die Schulung sind wir auf Nummer sicher gegangen und haben denselben Dozenten wie beim letzten Kurs engagiert: NginX-Crashkurs (der erste Teil endet nach etwa einer Stunde und zwanzig Minuten). Auch der Kursleiter ist von dieser Anwendung NICHT überzeugt, insbesondere von der Tatsache, dass sie sowohl als Webserver als auch als Reverse-Proxy fungiert: NginX-Crashkurs – 1:20:10 Zusammenfassung.
Der Bericht endet mit den Worten „Ich würde HAProxy gegenüber NginX vorziehen“, also haben wir beschlossen, auch HAProxy auszuprobieren.

Schließlich haben wir auch HAProxy ausprobiert.

Die Installation war kinderleicht, da es sich um eine sehr verbreitete Anwendung handelt, die in allen Linux-Paketmanagern verfügbar ist, zum Beispiel: yum install haproxy

Wir haben auch unseren bewährten Kursleiter zu Rate gezogen: HAProxy-Crashkurs.

Es funktioniert zwar, ist aber leider NICHT für die SMTP-Authentifizierung geeignet:
„Es ist nicht möglich, HAProxy auf diese Weise zu konfigurieren, da HAProxy SMTP überhaupt nicht unterstützt.“
– lukastribus, kommentiert am 17. August 2023

Ein Standard-SMTP-Server als Reverse-Proxy

Nach zwei Wochen Testphase haben wir festgestellt, dass
es besser ist, einen Standard-SMTP-Server als Reverse-Proxy für andere SMTP-Server zu verwenden.

Es erfüllt seinen Zweck, nutzt ausschließlich das SMTP-Protokoll, authentifiziert Verbindungen ordnungsgemäß,
und kann Anfragen über die „smarhost“-Funktion an andere SMTP-Server weiterleiten.

In Postfix, in der Datei „main.cf“, wie folgt:
relayhost = [smarthost_address]:port

In Sendmail, in der Datei „sendmail.mc“, wie folgt
define(`SMART_HOST',`mail.example.com')

Zurück zum Anfang

So extrahieren Sie E-Mail-Adressen

Manchmal haben Sie Daten von Ihrer Website oder Ihrer Unternehmenssoftware exportiert
, die Bestellinformationen oder Kundendaten enthalten.
Möglicherweise benötigten Sie nur die E-Mail-Adresse und das Bestelldatum.

Eine Möglichkeit besteht darin, alle Daten in Excel zu importieren, die unerwünschten Spalten zu löschen
und die verbleibenden zu exportieren.

This may not work well if the email field also contains the email address description,
for example: “Dave Martin <davemartin@bogusemail.com>”.

Es kann mühsam sein, wenn man die Aufgabe mehrmals wiederholen muss
oder wenn man alle Schritte jemand anderem erklären muss.

Extrahieren Sie die gewünschten Daten mithilfe von „regex“

Ein regulärer Ausdruck (kurz „regex“ oder „regexp“ genannt),
ist eine Zeichenfolge, die ein Muster angibt, nach dem im Text gesucht wird.

Ein ganz einfacher Fall ist es, ein Wort, das auf zwei verschiedene Arten geschrieben wird, in einem Texteditor zu finden,
der reguläre Ausdruck seriali[sz]e passt sowohl auf „serialise“ als auch auf „serialize“.

Eine komplexere Situation stellt die Syntax zur Identifizierung im Text dar

• eine E-Mail-Adresse:
  [a-zA-Z0-9._-]+@[a-zA-Z0-9._-]+\.[a-zA-Z0-9_-]+
  Quelle: Stack Overflow – E-Mail-Adressen mit regulären Ausdrücken aus Zeichenfolgen extrahieren

• ein Datum:
  \d{4}-\d{2}-\d{1,2}
  Quelle: Stack Overflow – Regulärer Ausdruck zum Extrahieren eines Datums aus einer Zeichenfolge

Tutorial zu regulären Ausdrücken (Regex)

Empfohlenes YouTube-Video
„38 Minuten, die sich gelohnt haben, das war es absolut wert “:

So finden Sie beliebige Textmuster
(ab Minute 25 wird die Syntax zum Extrahieren von E-Mail-Adressen erklärt)

Spickzettel zur Verwendung regulärer Ausdrücke

RegExr-Online-Tool

Reguläre Ausdrücke werden in der Regel
in fortgeschrittenen Texteditoren wie Notepad++ oder Atom unterstützt.

Es stehen auch kostenlose Online-Tools zur Verfügung, darunter:
https://regexr.com – ein Online-Dienst zum Erlernen, Erstellen und Testen regulärer Ausdrücke.

Erläuterung der Weboberfläche:
„Expression“ ist das Feld, in das die Regex-Syntax eingegeben wird.
„Text“ ist der Inhalt, den Sie analysieren möchten.
Unter „Tools > List“ werden die Ergebnisse der Extraktion angezeigt.

Beispiel 1: Um nur die E-Mail-Adresse zu extrahieren

Ausdruck:
[a-zA-Z0-9._-]+@[a-zA-Z0-9._-]+\.[a-zA-Z0-9_-]+

Text:

Dave Martin
615-555-7164
173 Main St., Springfield RI 55924
davemartin@bogusemail.com

Charles Harris
800-555-5669
969 High St., Atlantis VA 34075
charlesharris@bogusemail.com

Eric Williams
560-555-5153
806 1st St., Faketown AK 86847
laurawilliams@bogusemail.com

Extras > Liste:
$&\n

Ergebnis:

davemartin@bogusemail.com
charlesharris@bogusemail.com
laurawilliams@bogusemail.com

Beispiel 2: Um die E-Mail-Adresse und das Datum zu extrahieren

Ausdruck:
","(.*?)([a-zA-Z0-9._-]+@[a-zA-Z0-9._-]+\.[a-zA-Z0-9_-]+)(.*?)",".*",(\d{2}\.\d{2}\.\d{4})

Text:

"lorem ipsum dolor sit amet","Robert Farrell <rmfarrell@bogusemail.com>","",02.01.2024, ,5379,
"consectetur adipiscing elit","""Mesa, Rene <rmesa@bogusemail.com>""","",04.01.2024, ,20826,
"sed do eiusmod tempor incididunt","Antonio Bugan <antonio@bogusemail.com>","",04.01.2024, ,2856,
"ut labore et dolore magna aliqua","Crawley Down Tennis Club <hello@bogusemail.com>","",05.01.2024, ,4453,

Extras > Liste:
$2,$4\n

Ergebnis:

rmfarrell@bogusemail.com,02.01.2024
rmesa@bogusemail.com,04.01.2024
antonio@bogusemail.com,04.01.2024
hello@bogusemail.com,05.01.2024

Spickzettel zur Verwendung regulärer Ausdrücke

.       - Any Character Except New Line
\d      - Digit (0-9)
\D      - Not a Digit (0-9)
\w      - Word Character (a-z, A-Z, 0-9, _)
\W      - Not a Word Character
\s      - Whitespace (space, tab, newline)
\S      - Not Whitespace (space, tab, newline)

\b      - Word Boundary
\B      - Not a Word Boundary
^       - Beginning of a String
$       - End of a String

[]      - Matches Characters in brackets
[^ ]    - Matches Characters NOT in brackets
|       - Either Or
( )     - Group

Quantifiers:
*       - 0 or More
+       - 1 or More
?       - 0 or One
{3}     - Exact Number
{3,4}   - Range of Numbers (Minimum, Maximum)

Quelle: GitHub-Codeausschnitte

Zurück zum Anfang

So schützen Sie „NO-MAIL“-Domains

Die meisten Unternehmen und öffentlichen Einrichtungen registrieren mehrere Domainnamen.
Unternehmen erwerben oft mehr als eine Domain, um sich gegen Nutzerfehler abzusichern und ihre Marken zu schützen.
In anderen Fällen dienen sie dazu, Veranstaltungen oder Projekte zu bewerben, die besondere Aufmerksamkeit verdienen.

Die Zahlen können bei einer einzelnen Aktivität von einigen Dutzend Domains bis zu mehreren Hundert variieren.
Sie reichen von etwa zweihundert in einer Stadtverwaltung einer Großstadt bis hin zu Tausenden bei Ferrari und Goldman Sachs.

Die Zahlen sind geradezu atemberaubend, wenn man die Gesamtzahl der registrierten Domains betrachtet:
Laut Verisign belief sich diese Zahl Ende 2022 auf 350 Millionen Domainnamen.

Viele dieser Domains dienen lediglich als „Visitenkarte“. Auf der Website sind keine E-Mail-Adressen angegeben.
Kontaktanfragen werden in der Regel auf auszufüllende Formulare oder auf Social-Media-Kanäle weitergeleitet.

Die Verwaltung von E-Mail-Versendungen mit den erforderlichen Authentifizierungsverfahren (SPF, DKIM, DMARC usw.) wird immer komplexer.
Aus diesem Grund wird in der Regel nur eine einzige Domain tatsächlich für die offizielle externe Kommunikation per E-Mail genutzt.

Der Gedanke, die eigene Online-Präsenz zu schützen, kann sich jedoch als zweischneidiges Schwert erweisen.
Falsch konfigurierte „Showcase-Domains“ können von böswilligen Akteuren leicht ausgenutzt werden.

Oft nutzen sie den bekannten Namen des Absenders aus, um das Vertrauen der Empfänger zu gewinnen und sie dazu zu bewegen,
vertrauliche Informationen preiszugeben oder Links und Anhänge zu öffnen.

Die Empfänger laufen Gefahr, die Sicherheit ihrer Systeme zu gefährden,
wodurch Banden digitaler Krimineller Zugriff von außen erhalten.

Die oben erwähnten komplexen Authentifizierungssysteme haben auch ihre positiven Seiten.
Das DMARC-Protokoll wurde entwickelt, um gegen gefälschte E-Mails vorzugehen,
und zu verhindern, dass unbefugte Personen oder Organisationen sich als unsere Absender ausgeben.

Mit einer schnellen Einrichtung können Sie angeben, dass eine bestimmte Domain NICHT in Gebrauch ist,
und Empfänger warnen, E-Mails von dieser Domain abzulehnen.
Es reicht aus, einen Eintrag (eine einzelne Zeile) mit folgendem Hinweis in das DNS der Domain einzufügen:

_dmarc.yourdomain.com. TXT "v=DMARC1; p=reject"

Ob diese Regel gilt, hängt vom System ab, das die Nachrichten empfängt.
Die gute Nachricht ist, dass das DMARC-Protokoll seit März 2015 ein anerkannter IETF-Standard ist.
Die meisten Online-E-Mail-Dienste setzen es ein, um ihre Nutzer zu schützen.

Nachrichten von „NO-MAIL“-Domains werden automatisch zurückgewiesen.

Auf diese Weise schützen Sie Ihr Unternehmen nicht nur vor Missbrauch, sondern verhindern auch, dass „alte“ Domains wie
, die nicht mehr zum Versenden von E-Mails berechtigt oder authentifiziert sind, versehentlich verwendet werden.

Warum nutzen Unternehmen SMS?

Das Problem: ungelesene E-Mails, unbeantwortete Anrufe

Im E-Mail-Posteingang herrscht ein reger Wettbewerb um die Aufmerksamkeit der Verbraucher,
was es für Unternehmen umso schwieriger macht, von ihren Kunden und Interessenten wahrgenommen zu werden.

Es wird immer schwieriger, jemanden dazu zu bringen, eine wichtige E-Mail zu lesen (oder ihn überhaupt ans Telefon zu bekommen)
.

48 % der Verbraucher haben mehr als 50 ungelesene Nachrichten in ihrem Posteingang.
Die meisten Verbraucher verzichten darauf, ungelesene Nachrichten zu löschen, sodass sich die E-Mails immer weiter stapeln.
– Quelle: ZipWhip „Warum Ihre Kunden Ihre E-Mails nicht mehr lesen“ (PDF, 15 MB)

Manche Updates sind dringend und können von entscheidender Bedeutung sein. Der Versand per E-Mail birgt das Risiko
, dass die Nachricht nicht gelesen wird oder im Spam-Ordner landet.

Auf die Frage „Wie viele E-Mail-Konten haben Sie?“ antworteten 77 % mit „zwei oder mehr“.
In der Regel ist auf dem Smartphone nur eines davon eingerichtet.

Es kommt immer häufiger vor, dass man Kunden anruft und KEINE Antwort erhält
oder dass der Anruf auf die Voicemail umgeleitet wird
.

97 % der Verbraucher geben zu, Anrufe von Unternehmen und unbekannten Nummern zu ignorieren.
– Quelle: ZipWhip „Warum Ihre Kunden nicht mehr ans Telefon gehen “ (PDF, 15 MB)

Die Lösung: Schreib mir eine SMS

Durch Covid-19 hat die Nutzung elektronischer Geräte zugenommen,
64 % der Befragten gaben an: „Ich verbringe mehr Zeit mit meinem Handy“.

58 % der Verbraucher geben an, dass SMS für Unternehmen der effektivste Weg ist, sie schnell zu erreichen.
– Quelle: ZipWhip State of Texting 2021 (PDF, 21 MB)

Selbst im E-Commerce, wo für die Registrierung normalerweise eine E-Mail-Adresse erforderlich ist,
bieten einige große Unternehmen, darunter Amazon, die Möglichkeit, sich über die Handynummer zu registrieren.

Die Erklärung: fünf gute Gründe für SMS

1. Es ist unmittelbar
   SMS-Nachrichten werden fast immer gelesen, meist schon Sekunden nach dem Empfang.
   Die Öffnungsrate liegt bei über 95 % (von diesen 95 % erfolgen 90 % innerhalb von drei Minuten nach Zustellung).
   SMS-Nachrichten sind kurz und prägnant, die Kommunikation ist auf das Wesentliche beschränkt und erfolgt unmittelbar.

2. Es ist ganz einfach:
   Sie benötigen keine Internetverbindung, um ihren Empfänger zu erreichen.
   So kann Ihre Marke Zielgruppen erreichen, die sich mit Technologie nicht so gut auskennen.
   Die Nutzung ähnelt der von Videoinhalten (schnell, unmittelbar, in 160 Zeichen zu vermitteln).

3. Es ist allgegenwärtig
   SMS ist mit jedem Mobiltelefon auf der Welt kompatibel, ohne dass neue Apps installiert werden müssen.
   Das Smartphone (oder ein Mobiltelefon der älteren Generation) ist wie der Geldbeutel und die Hausschlüssel immer griffbereit.
   Es bietet die Möglichkeit, über einen zuverlässigen Kanal mit einem Kunden zu interagieren, egal wo er sich gerade befindet.

4. Es ist günstig
   Das Versenden von SMS-Nachrichten ist kostengünstig.
   Die durchschnittliche Länge der versendeten Nachrichten beträgt nicht mehr als 155 Zeichen (das Limit liegt bei 160 Zeichen pro Nachricht).
   Die Kombination von SMS mit Telefonaten oder E-Mails kann bei der Kommunikation mit Kunden Zeit sparen.

5. Es ist interaktiv
   Die Kommunikation erfolgt über einen „unbelasteten“ Kanal, sie wird nicht „aufgedrängt“ und wirkt nicht „aufdringlich“.
   SMS werden als wichtiger eingestuft, sie werden eher geöffnet und gelesen. Außerdem ist die Wahrscheinlichkeit höher, dass sie beantwortet werden.
   Die Sprache von Textnachrichten ist einfach und fördert die Interaktion. Die Antwortraten liegen bei bis zu 45 %.

Wie man mit zurückgesendeten E-Mails umgeht

Zurückgesendete E-Mails oder einfach „Bounces“ sind E-Mails, die automatisch
von einem MTA (Mail Transfer Agent) an den Absender gesendet werden,
um ihn darüber zu informieren, dass die Nachricht beim Empfänger NICHT korrekt angekommen ist

Der Betreff lautet in der Regel „Zurückgesendete E-Mail: Details siehe Transkript“.
Die erläuternden Informationen zur Fehlermeldung, bestehend aus einem Code mit einer Beschreibung, finden Sie im Text der E-Mail.

Der „Statuscode“ sollte eindeutig die Art des Fehlers angeben, der die Rückmeldung verursacht hat
, doch oft müssen die von den einzelnen E-Mail-Anbietern verwendeten Codes und Beschreibungen
analysiert und interpretiert werden, um den Bounce korrekt einzuordnen.

• Welche Risiken bestehen bei zurückgewiesenen E-Mails?
  • Man kann sie nicht ignorieren
  • Du solltest ihre Bedeutung verstehen
  • Du solltest wissen, wie die Behandlung von Bounces funktioniert
• Überprüfen Sie die Anzahl der Bounces
• Neue Trends bei der Bounce-Bearbeitung
• Statuscodes für zurückgewiesene Nachrichten

Welche Risiken bestehen bei zurückgewiesenen E-Mails?

Das Versenden von E-Mails an falsche oder inaktive Empfänger gilt als „Spam-Verhalten“.

Man kann sie nicht ignorieren

Wenn Sie den Rest Ihrer Liste erreichen möchten, sollten Sie am besten keine E-Mails mehr an den „schlechten“ Teil davon senden.
Manchmal wird dies als „Listenpflege“ bezeichnet.

Du solltest ihre Bedeutung verstehen

Es gibt drei Arten von Zustellstatusbenachrichtigungen (DSN): Erfolg – Die E-Mail wurde zugestellt (die Benachrichtigung wird nur gesendet, wenn der Absender dies wünscht)
Hard Bounce – Es ist ein permanenter Fehler aufgetreten
Soft Bounce – Es ist ein vorübergehender Fehler aufgetreten

Hard Bounce (Statuscode 5.XXX.XXX): Die E-Mail-Adresse hat einen permanenten Fehler generiert
wie z. B. „550 5.1.1 … Benutzer unbekannt“ oder „5.1.2 … Host unbekannt“
Ein permanenter Fehler bedeutet, dass Sie niemals wieder an diesen Empfänger senden sollten.
Eine einzige zurückgewiesene Nachricht sollte die Sperrung der E-Mail-Adresse auslösen.

Soft Bounce (Statuscode 4.XXX.XXX): Die E-Mail-Adresse hat einen vorübergehenden Fehler verursacht
wie z. B. „452 4.2.2 … Postfach voll“
Ein vorübergehender Fehler bedeutet, dass Sie die Zustellung zu einem späteren Zeitpunkt erneut versuchen können.
Mindestens drei zurückgewiesene Nachrichten innerhalb weniger Tage sollten die Sperrung der E-Mail-Adresse auslösen.

Du solltest wissen, wie die Behandlung von Bounces funktioniert (und wie man sie anpassen kann)

• Alle zurückgesendeten Nachrichten werden von einer Anwendung heruntergeladen
  sie werden zur Überprüfung durch den Nutzer bereitgestellt, entweder über die App-Oberfläche oder über eine JSON-Datei
  
  
  
• Die Klassifizierung folgt bestimmten Regeln, die bearbeitet werden können
  
  
  
• Die Optionen legen fest, wann Soft-Bounces zu Hard-Bounces „hochgestuft“ werden
  
  

» Zurück zum Anfang

Überprüfen Sie die Anzahl der Bounces

Manchmal kann ein Konfigurationsfehler sowohl auf der Seite des Absenders als auch auf der Seite des Empfängers
zu einem Soft-Bounce oder sogar zu einem Hard-Bounce führen.

Es empfiehlt sich, regelmäßig die Anzahl der in der letzten Woche zurückgesendeten Nachrichten unter
zu überprüfen, um festzustellen, ob die Werte unverändert geblieben sind oder ob Abweichungen vorliegen.
Sollte etwas nicht stimmen, werden Sie dies sofort bemerken. Ein Blick auf die Details der Rückläufer hilft Ihnen dabei, die Ursache zu ermitteln.

Bei einigen Systemen können Sie die Anzahl der Tage (z. B. 180) festlegen,
nach deren Ablauf die Bounce-Informationen eines Abonnenten gelöscht werden.
Auf diese Weise versucht der SMTP-Server, den Empfänger erneut zu kontaktieren.

Versehentlich aktivierte Sperren werden automatisch aufgehoben
, doch die Reputation des SMTP-Servers kann darunter leiden.

» Zurück zum Anfang

Neue Trends bei der Bounce-Bearbeitung

Kurz gesagt: Vorbeugen ist besser als heilen.

Um Rufschädigungen ihrer SMTP-Server zu vermeiden,
nutzen immer mehr ESPs (E-Mail-Dienstleister) eine„E-Mail-Sperrliste“
, die greift, bevor die Nachrichten das Postfach des Empfängers erreichen.

Wenn ein Kunde eine E-Mail sendet, die zu einem Hard Bounce führt,
wird die E-Mail-Adresse, die den Bounce verursacht hat, zur Sperrliste hinzugefügt.

Die Sperrliste gilt für alle Kunden. Mit anderen Worten:
Wenn ein anderer Kunde versucht, eine E-Mail an eine Adresse zu senden, die auf der Sperrliste steht,
wird diese vom SMTP-Server nicht versendet, da die E-Mail-Adresse gesperrt ist.

Durch die Verwendung von SMTP-Servern mit dedizierter IP-Adresse lassen sich einige Probleme im Zusammenhang mit der gemeinsamen Nutzung von Reputationswerten vermeiden.
So kann beispielsweise die „E-Mail-Sperrliste“ ausschließlich auf Ihre IP-Adresse beschränkt werden,
sodass Ihre Mailings nicht beeinträchtigt werden, falls ein anderer Kunde eine Sperrung des SMTP-Servers und die damit verbundenen Bounce-Meldungen verursacht,
.

» Zurück zum Anfang

Statuscodes für zurückgewiesene Nachrichten

Statuscodes zur Kennzeichnung von Hard Bounces und Soft Bounces haben folgende Syntax:
status-code = class „.“ subject „.“ detail

Statuscodes bestehen aus drei durch „.“ getrennten Ziffernfeldern

• Der erste Teilcode (Klasse) gibt an, ob der Versuch, die Daten zu verteilen, erfolgreich war
• Der zweite Untercode (Thema) gibt die wahrscheinliche Ursache für etwaige Lieferabweichungen an
• Der dritte Untercode (Detail) weist auf einen bestimmten Fehlerzustand hin

Der Untercode (Klasse) dient der allgemeinen Klassifizierung des Status.
Die für jede Klasse aufgeführten Werte sind in den RFC 3463 und RFC 6522 wie folgt definiert:

2.XXX.XXX Erfolg (wird nur auf Anfrage des Absenders gesendet)
„Erfolg“ gibt an, dass die DSN eine erfolgreiche Zustellung meldet. 
Detaillierte Untercodes können Hinweise auf für die Zustellung erforderliche Anpassungen enthalten.

4.XXX.XXX Anhaltender vorübergehender Fehler
Ein anhaltender vorübergehender Fehler liegt vor, wenn die gesendete Nachricht zwar gültig ist, 
aber das Fortbestehen einer vorübergehenden Situation dazu geführt hat, dass der Versuch, die Nachricht zu versenden, abgebrochen oder verzögert wurde. 
Wenn dieser Code mit einem Zustellungsfehlerbericht einhergeht, kann der Versand in Zukunft erfolgreich sein.

5.XXX.XXX Dauerhafter Fehler
Ein dauerhafter Fehler ist ein Fehler, der durch erneutes Senden der Nachricht in der aktuellen Form wahrscheinlich nicht behoben werden kann. 
Für eine erfolgreiche Zustellung müssen Änderungen an der Nachricht oder am Zielort vorgenommen werden.

Einige Beispiele für Code und Beschreibungen:

2.0.0: Gesendet (Nachricht zur Zustellung angenommen)

4.2.2: Kontingent überschritten
4.4.5: Nicht genügend Speicherplatz

5.0.0: Ungültiger Domänenname
5.1.1: Benutzer unbekannt
5.7.1: Inhalt der Nachricht abgelehnt

» Zurück zum Anfang

Wie kann ich überprüfen, ob mein SMTP sicher ist?

Angesichts der steigenden Zahl von Ransomware-Angriffen in den 2020er Jahren
– ist E-Mail, unser wichtigster Kommunikationskanal im Internet, noch sicher?

SMTP-Server sind eine besonders sensible Infrastruktur.
Sie können in unserem Namen E-Mail-Nachrichten versenden,
die unsere Empfänger als von vertrauenswürdigen Absendern stammend anerkennen,
da sie vom sendenden Server korrekt authentifiziert werden.

SMTP-Server sind eine besonders sensible Infrastruktur.
Sie versenden in unserem Namen E-Mail-Nachrichten,
die unsere Empfänger als von vertrauenswürdigen Absendern stammend anerkennen,
da sie vom SMTP-Server des Absenders ordnungsgemäß authentifiziert werden.

Was passiert, wenn jemand anderes Ihren SMTP-Server nutzt?
Wie kann ich überprüfen, ob mein SMTP-Server sicher ist?

Die Nutzung sensibler Infrastrukturen im Internet
erfordert ein hohes Maß an Schutz, um Missbrauch zu verhindern.

Wenn Sie versuchen, Nachrichten über smtp.gmail.com
zu versenden, werden Sie blockiert und erhalten folgende „kritische Sicherheitswarnung“:

Weniger sichere App blockiert  
Google hat die App, die Sie nutzen wollten, blockiert, 
da sie unseren Sicherheitsstandards nicht entspricht. [...]

Die einzige Alternative ist die Verwendung von OAuth2, einem Protokoll, bei dem keine Passwortdaten weitergegeben werden
sondern stattdessen Autorisierungstoken zum Identitätsnachweis verwendet werden.

Die am häufigsten verwendeten Mailserver im Internet (Stand: August 2021) sind:
Exim (58 %), Postfix (35 %), Sendmail (4 %)

Um Ihren eigenen Mailserver
weiterhin nutzen zu können und das Risiko eines Hackerangriffs zu verringern, sollten Sie folgende Mindestanforderungen überprüfen:

1. Es werden nur sichere Authentifizierungs
   akzeptiert. Benutzername und Passwort müssen über sichere Verbindungen übertragen werden,
   in der Regel Port 587+TLS oder Port 25+TLS oder Port 465+SSL
   Die Übertragung sensibler Daten im Klartext ist deaktiviert.

2. Die „Mail-From“-Adresse (der Absender) muss überprüft werden:
   Nur von Ihnen autorisierte Absender werden zugelassen

3. Konfigurieren Sie Fail2ban so, dass alle externen Angriffe blockiert werden
   , um Versuche zu verhindern, Ihre Sicherheitsvorkehrungen zu umgehen.
   Insbesondere sollte Fail2ban alle wiederholten Versuche blockieren:

• sich mit einem falschen Benutzernamen oder Passwort anzumelden
• um E-Mails mit einem nicht autorisierten Absender zu versenden
• die SMTP-Verbindung während des Authentifizierungsprozesses zu unterbrechen
  (mehrere unterbrochene Verbindungen führen dazu, dass der SMTP-Dienst für berechtigte Benutzer nicht mehr verfügbar ist)

Die Sperre tritt in der Regel nach drei bis zehn Versuchen ein
und sperrt die Quell-IP für drei bis vierundzwanzig Stunden.

Es ist ganz einfach, diese Punkte zu überprüfen und zu entscheiden, ob
Ihre SMTP-Infrastruktur eine Sicherheitsaktualisierung benötigt.

Fail2ban schützt Ihren Server vor Brute-Force- und DDoS-Angriffen.
Das funktioniert so, als würde ein Fremder an die Tür klopfen,
und nach einer bestimmten Anzahl von Schlägen verschwindet die Tür.

Ein Erfahrungsbericht von Hacker News:

Ich betreibe seit mehreren Jahren meinen eigenen Mailserver und ich glaube, viele andere hier 
nutzen Lösungen wie Mail-in-a-box, mailcow, Mailu usw.

Bis zur Corona-Pandemie hatte ich nie größere Probleme mit meinem Mailserver, aber in den letzten Wochen 
hatte ich sehr hohen eingehenden Datenverkehr – das war zu viel für meinen Server und ich musste ihn jedes Mal manuell neu starten ...

[...] Edit: Ich habe meine Fail2ban-Einstellungen geändert und festgestellt, dass ich hauptsächlich Ziel 
von Brute-Force-Angriffen war, gegen die ich mich mit Tools wie Fail2ban schützen können sollte

Fail2ban ist eine Anwendung zur Protokollauswertung, die Systemprotokolle
auf Anzeichen eines automatisierten Angriffs überwacht.

Wenn anhand der definierten Parameter ein Missbrauchsversuch erkannt wird,
fügt Fail2ban der Firewall (iptables oder firewalld) eine neue Regel hinzu
, um die IP-Adresse des Angreifers entweder für einen festgelegten Zeitraum oder dauerhaft zu sperren.
Fail2ban kann Sie zudem per E-Mail darüber informieren, dass ein Angriff stattfindet.

Fail2ban konzentriert sich in erster Linie auf SSH-Angriffe, kann jedoch unter
so konfiguriert werden, dass es für jeden Dienst funktioniert, der Protokolldateien verwendet und potenziell angegriffen werden kann.

Es ist weit verbreitet. Wenn man bei Google danach sucht, findet man leicht
Konfigurationsbeispiele zum Schutz von Mail-Servern.

DNS-Einstellungen für den E-Mail-Versand

Welche DNS-Einstellungen sind für den Versand von E-Mails erforderlich?

E-Mail-Anbieter verlangen in der Regel, dass Sie die Domain des Absenders
verifizieren, bevor Sie ihre SMTP-Server nutzen können. Dafür gibt es zwei Gründe:

1. Domain-Inhaberschaft nachweisen
   Durch die Verwaltung des DNS weisen Sie nach, dass Sie die Kontrolle über die Absender-Domain haben
   Das bedeutet, dass Sie nicht die Domain einer anderen Person verwenden (Spoofing)

2. Versenden von authentifizierten E-Mails
   Durch die Einrichtung der SPF- und DKIM-Authentifizierung werden Ihre Nachrichten
   von den Empfängern als von einem „echten“ Absender stammend erkannt
   Wenn Ihre Domain und Ihr SMTP-Anbieter einen guten Ruf genießen
   sollten die Nachrichten den Posteingang der Empfänger erreichen

Zusammenfassung:

• E-Mail-Dienstleister: Anforderungen an verifizierte Absender
• Warum ist ein verifizierter Absender so wichtig?
• Was ist Domain-Alignment?
• CNAME-Eintrag oder TXT-Eintrag – was ist besser?
• Was ist eine dedizierte IP-Adresse?
• Sollten wir die DNS-Einstellungen der Unternehmensdomain direkt verwalten?

E-Mail-Dienstleister: Anforderungen an verifizierte Absender

Nachfolgend finden Sie einige der wichtigsten Anbieter, die wir geprüft haben, in alphabetischer Reihenfolge.
Ende Juli 2021 haben wir die Grundeinstellungen getestet, die für den Versand von E-Mails erforderlich sind.
Die verifizierte Domain lautete „emailperfect.com“. Sie wurde 2012 registriert und zuvor noch nie zum Versenden von E-Mails verwendet.

* = Wir haben eine Nachricht an jede der folgenden E-Mail-Adressen gesendet und vermerkt, ob es Anzeichen dafür gab, dass wir es noch einmal versuchen sollten:
Gmail, Hotmail, Yahoo, GMX, Aruba, Tiscali, Exchange Online

Warum ist ein verifizierter Absender so wichtig?

Im Jahr 2021 halten wir es für zwingend erforderlich, dass die Domain des Absenders authentifiziert wird
, damit der Empfänger sicher sein kann, dass die E-Mail-Adresse des Absenders nicht gefälscht wurde.
Eine vorausschauende Authentifizierungsprüfung verringert zudem das Risiko des Missbrauchs von Versandsystemen erheblich.

Aus diesem Grund haben wir einen Anbieter aus der Liste „gelöscht“:
Dieser Anbieter verlangt keine Domain-Validierung, bevor er das Versenden von Nachrichten zulässt.

Was ist Domain-Alignment?

Beim Versenden einer Nachricht haben wir es mit zwei Domänen zu tun:

1. in der Absenderadresse, die für die Empfänger sichtbar ist
2. in der „Mail-From“-Adresse (auch als „Envelope-Absender“ oder „Return-Path“ bezeichnet) steht
   , die verborgen ist und direkt vom E-Mail-Dienstanbieter verwaltet wird, um die zurückgesendeten E-Mails zu empfangen

Die Anforderung der „Domänenübereinstimmung“ lässt sich in diesem Satz zusammenfassen:
„Wenn ein Absender seine E-Mail mithilfe von SPF und/oder DKIM authentifiziert,
muss mindestens eine der Domänen mit der Absender-Domäne übereinstimmen.“

CNAME-Eintrag oder TXT-Eintrag – was ist besser?

Für die DKIM-Authentifizierung ist ein CNAME-Eintrag einfacher zu implementieren.
Das gleiche Ergebnis lässt sich durch Hinzufügen eines 2048-Bit-TXT-Eintrags erzielen, dies ist jedoch komplizierter.
Darüber hinaus ermöglicht die Delegierung des DKIM-Eintrags über CNAME Ihrem Provider
, seinen Schlüssel bei Bedarf aus Sicherheitsgründen zu ändern.

Bei der SPF-Authentifizierung mittels eines CNAME-Eintrags bedeutet dies, dass die „Mail-From“-Adresse
eine von Ihrem E-Mail-Dienstanbieter verwaltete Subdomain ist, beispielsweise: bounce.your-company-name.org.
Der Anbieter übernimmt sowohl die SPF-Authentifizierung als auch die Bearbeitung von zurückgesendeten Nachrichten.

Ein TXT-Eintrag für die SPF-Authentifizierung ist die beste Wahl bei E-Mail-Servern wie Zimbra oder Exchange,
wo jeder Absender die zurückgewiesenen Nachrichten direkt erhält.
Es gibt nur einen TXT-Eintrag für die Domain-Authentifizierung,
was die Verwaltung erschweren kann, wenn Sie mehrere SMTP-Server verwalten.

Was ist eine dedizierte IP-Adresse?

Die „Internetprotokolladresse“ oder „IP-Adresse“
ist vergleichbar mit einer Telefonnummer Ihres Festnetzanschlusses oder Mobiltelefons.

Die meisten SMTP-Dienste stellen ihren Kunden „gemeinsam genutzte“ IP-Adressen zur Verfügung.
Bei jedem Versand einer E-Mail wird eine andere IP-Adresse zugewiesen.

„Feste IP-Adresse“ bedeutet, dass sich die IP-Adresse, von der aus Ihre E-Mails versendet werden, im Laufe der Zeit nicht ändert.
Dies ermöglicht eine hervorragende Kontrolle über die Reputation des Absenders, die nicht durch die Nutzung durch Dritte beeinträchtigt werden kann.

Sollten wir die DNS-Einstellungen der Unternehmensdomain direkt verwalten?

Nicht unbedingt, denn dafür sind gewisse technische Kenntnisse erforderlich.

Die Unternehmensleitung sollte sich bewusst sein, dass bereits wenige Änderungen an den DNS-Einstellungen
schwerwiegende Folgen haben können, wie zum Beispiel:

• Website-Besucher auf einen anderen Webserver weiterleiten
• eingehende Nachrichten an einen anderen Mailserver weiterleiten
• die E-Mail-Authentifizierung unterlaufen, sodass Nachrichten als Spam eingestuft oder abgelehnt werden

» Zurück zum Anfang

So verwalten Sie MAILINGLISTEN

Wie verwaltet man Mailinglisten mit Weitsicht?

1. Zunächst einmal: Warum sollte man einen Mailinglisten-Manager nutzen?
   
   CRM-Systeme (wie Salesforce und Microsoft CRM)
   und geschäftliche E-Mail-Dienste (wie Office 365 und Google Apps Gmail)
   sind für Massenversendungen nicht geeignet.
   
   Sie wurden für die Eins-zu-Eins-Kommunikation entwickelt.
   Oftmals werden zur Vermeidung von Missbrauch tägliche Versandlimits festgelegt.
   
   Häufig müssen Unternehmen E-Mails an die meisten ihrer Kontakte oder an ausgewählte Gruppen versenden.
   Massenversendungen müssen mit speziellen Systemen verwaltet werden,
   die in der Lage sind, große Mengen an Nachrichten zu verarbeiten und automatische Abmeldungen zu bearbeiten.

2. Zweiter Schritt: Wo findet man diese Lösungen?
   
   Die einfache Antwort lautet: Schauen Sie sich „SaaS“-Angebote – Software as a Service – an
   (Mailchimp ist das bekannteste System, Inxmail ist weniger bekannt, wird aber von großen Unternehmen genutzt).
   
   Die Entscheidung zwischen lokaler Installation und Cloud-Diensten ist immer wichtig.
   Wir sind der Meinung, dass die lokale Option dabei hilft, die „Kontrolle über E-Mails zurückzugewinnen“, was wir befürworten.
   
   Selbst wenn Sie sich für eine selbst gehostete Anwendung in der Cloud entscheiden,
   können Sie so problemlos den Anbieter wechseln, während Sie dieselbe Lösung beibehalten.

3. Drei Lösungen sind erwähnenswert:
   

• Sendy ist ausgereift, aber „Closed Source“ und kostenpflichtig.
  
  
• Listmonk ist Open Source. Version 1 wurde 2021 veröffentlicht. Es wurde in Go entwickelt,
  es wird als eigenständige Binärdatei bereitgestellt und benötigt lediglich eine Postgres-Datenbank. Auf GitHub hat es 5,4 Tausend Sterne
  
  
• Mailtrain ist ebenfalls Open Source. Die erste Version wurde 2016 veröffentlicht, Version 2 im Jahr 2021.
  Es nutzt eine MySQL-Datenbank. Auf GitHub hat es 4,8 Tausend Sterne

Auf der Suche nach einer übersichtlichen Benutzeroberfläche, einer auf Listen basierenden Lösung, die leicht zu warten
und im Falle von Problemen einfach wiederherzustellen ist, haben wir uns für listmonk als beste Wahl entschieden.

listmonk ist ein selbst gehosteter, leistungsstarker Manager für Mailinglisten und Newsletter.
Es wird als eigenständige Binärdatei bereitgestellt und benötigt lediglich eine Postgres-Datenbank.

Erste Schritte der Anwendung

Dies ist die ursprüngliche Ankündigung auf Hacker News:

knadh am 12. Juli 2019 [–]

Der Autor hier. Um etwas Kontext dazu zu geben, warum listmonk entwickelt wurde: Bei meiner Arbeit (im regulierten Finanzgeschäft) 
müssen wir regelmäßig E-Mails, meist wichtige Updates, an über 1,5 Millionen Kunden versenden. 
Wir haben lange Zeit phpList verwendet und dann MailTrain und Sendy ausprobiert, bevor wir uns schließlich entschlossen haben, das Rad neu zu erfinden, 
nachdem wir auf eine Reihe von Problemen gestoßen waren, von denen einige wichtige unten aufgeführt sind.

- Leistung. Unangemessen lange Wartezeiten beim Versenden von E-Mails. 
  phpList wurde so langsam, dass die Verarbeitung einer Kampagne mehrere Tage dauerte. 
  listmonk kann N Goroutinen (~Threads) starten und E-Mails an mehrere SMTP-Server senden. 
  Auf einer Standard-EC2-Instanz können wir über 1,5 Millionen E-Mails in wenigen Stunden versenden.

- Der Import von Abonnenten war extrem langsam. Die direkte Integration zur Synchronisierung der Abonnenten mit externen CRMs war umständlich. 
  Direkte DB-Einfügungen waren aufgrund der komplexen Tabellenstrukturen kompliziert. listmonk importiert 10.000 Datensätze pro Sekunde in eine Postgres-Datenbank auf einer Standard-EC2-Instanz.

- Segmentierung. Oft müssen wir Nutzer schnell anhand benutzerdefinierter Attribute und Bedingungen segmentieren und ihnen eine Aktualisierung übermitteln. 
  listmonk unterstützt SQL-Ausdrücke, um Nutzer anhand ihrer Attribute zu segmentieren, die als beliebige JSON-Maps definiert sind (dank des Postgres-Typs JSONB).

- Fehlende dynamische Vorlagen. listmonk-Vorlagen unterstützen Go-Template-Ausdrücke, sodass es möglich ist, Logik in Nachrichten zu schreiben, um diese dynamisch zu gestalten.

Kailash Nadhisist ein sehr aktiver Entwickler im Bereich FOSS (Free and Open Source Software).
Er arbeitet bei Zerodha, Indiens größtem Online-Broker.
Der Blog der technischen Mitarbeiter von Zerodha wird unter zerodha.tech veröffentlicht.

Die Einzelheiten

Listmonk ist sowohl für die Standardnutzung (über die Weboberfläche) als auch für Entwickler (über die API) gut dokumentiert.

Die Lösung eignet sich sowohl für große Verteilerlisten (mit bis zu Millionen von Abonnenten) als auch für kleine Gruppen.
Dank der Funktion zum Abfragen und Segmentieren von Abonnenten,
können Sie eine Auswahl von Abonnenten anhand ihrer Profile und Attribute abfragen und exportieren.
Die extrahierten Daten lassen sich problemlos in eine neue zielgerichtete Mailingliste importieren.

Es fehlen einige wichtige Funktionen wie die Bearbeitung von E-Mail-Bounce-Meldungen.
Diese sollten jedoch in der nächsten Hauptversion verfügbar sein:
Bounce-Bearbeitung #166
Vorschau auf den Screenshot zur Bounce-Bearbeitung

Technische Überlegungen

Wir haben in der Vergangenheit eine andere Go-Anwendung verwendet: RealSender – DMARC REPORTS.
Quelle: dmarc-report-converter. Es funktionierte sofort und ohne Probleme.

„Das Datenbankmanagementsystem PostgreSQL, auf das mehr als zwei Jahrzehnte Entwicklungsarbeit zurückblicken, 
ist heute die fortschrittlichste Open-Source-Datenbank, die es gibt.“
– Eine kurze Geschichte von PostgreSQL – https://www.postgresql.org/docs/9.3/history.html

Wir haben damit bereits einige Erfahrungen gemacht, als wir in der Vergangenheit mit der Installation des Inxmail Professional-Servers gearbeitet haben.
Im Jahr 2017 gab die Inxmail GmbH bekannt, dass sie künftig ausschließlich PostgreSQL unterstützen und alle anderen Datenbanken einstellen werde:

Ab dem 1. Januar 2019 konzentrieren wir uns auf die optimale technische Basis und stellen den Support 
für Windows-Server sowie für MySQL-, Oracle- und MS SQL Server-Datenbanken ein.
Das bedeutet, dass wir nur noch Support für Inxmail Professional auf Basis von Linux-Servern und PostgreSQL anbieten.
-- Inxmail Professional-Lizenzlösung: Änderungen bei unserem System-Support
   https://www.inxmail.de/files/files/de/downloads/Inxmail-Professional-licence-solution-EN.pdf

Das ist sicherlich eine gute Wahl und eine Investition in wertvolles Wissen für Einsteiger.
Die Online-Kurse von Udemy können bei der Erstinstallation und Wartung von PostgreSQL helfen.

Open Source birgt Risiken: Wird ein neues Projekt, das 2019 gestartet wurde, auch in Zukunft weitergeführt?
Das weiß niemand; vielleicht kümmert sich im schlimmsten Fall ein anderer Entwickler darum, aber:

• Es scheint in seinen Grundzügen unverzichtbar zu sein; wenn es jedoch zu komplex wird, ist es schwer zu pflegen.
• Wir haben einen Fehlerbericht für Listmonk eingereicht und innerhalb von zwei Stunden eine Antwort vom Entwickler erhalten
• Der Autor arbeitet in einem großen Unternehmen, das es intern nutzt

E-Mail-Zustellbarkeit

E-Mail-Zustellbarkeit, Fragen und Antworten:

hemancuso am 12. Juli 2019 [–]
Projekte wie dieses scheinen eine großartige Idee zu sein, doch die Zustellbarkeit scheint ein großes Problem zu sein,
das sich nur schwer messen lässt, wenn man nicht über ausreichende Erfahrung verfügt.
Was sind bewährte Vorgehensweisen für die Nutzung/Auswahl eines ESP, 
wenn man ein solches Projekt nutzen und eine angemessene Zustellbarkeit sicherstellen möchte?

knadh am 12. Juli 2019 [–]
Hier spricht der Autor. Wir nutzen Listmonk in unserem Unternehmen (reguliertes Finanzgeschäft) bereits seit über 6 Monaten in der Produktion, 
um E-Mail-Updates, einschließlich regulatorischer Mitteilungen, zu versenden. 
Wir hosten unsere eigenen SMTP-Instanzen mit Postal auf EC2-Instanzen und hatten noch nie Probleme mit der Zustellbarkeit. 
Wenn es sich um legitime E-Mails handelt, halte ich das nicht für ein großes Problem.

Wir sind uns einig, dass das Versenden von erwarteten Mitteilungen an Kunden dazu beitragen sollte, die meisten Zustellungsprobleme zu vermeiden.
Unserer Erfahrung nach steigt die Wahrscheinlichkeit von Problemen mit zunehmender Anzahl.
AWS-EC2-Server werden in Gmail häufig auf die Blacklist gesetzt – alle gesendeten Nachrichten landen im Spam-Ordner.

RealSender bietet dedizierte IP-SMTP-Server an,
die in einer zuverlässigen und ständig überwachten Umgebung betrieben werden.

Über den Namen

goberoi am 13. Juli 2019 [–]
Eine ganz spontane Frage: Wie bist du auf den Namen gekommen?

knadh am 13. Juli 2019 [–]
Ich kann mich nicht mehr genau erinnern, aber ich glaube, der Gedankengang war in etwa:
„stressfreie, unkomplizierte Listenverwaltung“.

Probieren wir es aus

Mit dem Docker-Image können Sie innerhalb weniger Minuten eine funktionsfähige Demo-Installation einrichten.
Alternativ können Sie bei RealSender ein Listmonk-Demo-Konto anfordern.

» Zurück zum Anfang

So versenden Sie Newsletter

Nach der Aufnahme in die Blacklist antwortet der Kundensupport eines großen Anti-Spam-Dienstes oft:
„Bitte überprüfen Sie die Qualität Ihrer Liste, um sicherzustellen, dass die Empfänger an Ihren Mailings interessiert sind.“

„Listenpflege“ und „Interesse der Empfänger“ haben viele Facetten:

A – auf der MASCHINENSEITE – „Listenpflege“

1. ordnungsgemäß verwaltete An- und Abmeldungen
   Der Abonnent muss seine E-Mail-Adresse bestätigt haben (Double-Opt-in),
   Empfänger sollten sich einfach und zuverlässig abmelden können (Opt-out)

2. Versenden Sie E-Mails nur an „aktive“ und voll engagierte Empfänger
   Versenden Sie keine E-Mails wiederholt an Empfänger mit ungültigen Adressen oder vollen Postfächern
   Stellen Sie den Versand an inaktive Empfänger ein; wenn diese nicht interagieren, ist dies ein klares Zeichen für mangelndes Interesse

3. Der Inhalt muss gut strukturiert sein (kein einzelnes Bild) und „responsive“ sein, damit er auf verschiedenen Geräten lesbar ist
   Andernfalls könnten Spamfilter die Nachricht blockieren, bevor sie den Posteingang des Empfängers erreicht

4. Stellen Sie sicher, dass die Server erkennen, wer die E-Mail sendet
   Durch die E-Mail-Authentifizierung können die Ziel-Mailserver Nachrichten als von vertrauenswürdigen Absendern stammend identifizieren

B – auf der MENSCHLICHEN Seite – „Interesse des Empfängers“

1. Abonnenten sollten die Inhalte erwarten, die sie erhalten
   Die Empfänger sollten sich auf Ihre Nachricht freuen und sie zu schätzen wissen

2. Benutzerantworten sollten verwaltet werden
   Manchmal läuft etwas schief oder ein Empfänger möchte einfach mit Ihnen in Kontakt treten,
   vielleicht nur, um Ihnen mitzuteilen, dass er keine weiteren Nachrichten mehr erhalten möchte, auch wenn ein Abmeldelink vorhanden ist

Maschinenseite – „Listenbereinigung“

Die oben aufgeführten Punkte lassen sich bei kleinen Verteilerlisten mit einigen hundert Empfängern problemlos bewältigen.
Oft kennt der Absender sie persönlich, da es sich um Kunden oder Mitglieder eines Vereins handelt.

Es wird kompliziert, wenn die Liste größer ist, mit Tausenden von Empfängern
und mehr Personen an den Mailings arbeiten.
In diesem Fall ist der Einsatz professioneller Tools unerlässlich.

Im Internet gibt es viele professionelle Lösungen für das E-Mail-Marketing,
die international bekannteste ist MailChimp
viele Websites listen auch Alternativen zu MailChimp auf.

Die Mission von EmailTrends lautet: „Die Kontrolle über E-Mails zurückgewinnen“,
Aus diesem Grund schlagen wir eine Alternative vor.

Laut W3Techs laufen 40 % aller Websites im Internet auf WordPress
und es ist die beliebteste Technologie im gesamten Internet in der Kategorie Open Source.

Mit über 200.000 aktiven Installationen ist Mailpoet
eines der meistgenutzten WordPress-Plugins für Newsletter.

MailPoet ist eine Open-Source-Software undgehört seit Ende 2020
zu den Unternehmen, die mit Automattic, der Muttergesellschaft von WordPress,verbunden sind.

Einige Screenshots vermitteln Ihnen vielleicht einen Eindruck davon, wie die verschiedenen Punkte umgesetzt werden:

Mailpoet verfolgt ein „Freemium“-Geschäftsmodell, bei dem Sie folgende Option wählen können:
„Ich möchte nur die Premium-Version ohne Versandfunktion“.

Der dedizierte SMTP-Server von RealSender kann über die Option „Senden mit… > Andere“ konfiguriert werden.
Das Plugin „Bounce Handler MailPoet“ sorgt in Verbindung mit den von RealSender bereitgestellten Newsletter-Postfächern
für die korrekte Authentifizierung der versendeten E-Mail-Nachrichten.

» Zurück zum Anfang

MENSCHLICHE Seite – „Interesse der Empfänger“

Die menschliche Seite ist schwieriger zu erreichen,
sie ist aber auch der Punkt, der den Unterschied ausmacht
wenn das technische Management nicht perfekt ist.

„BE RELEVANT“
ist ein Slogan, der vor einigen Jahren im E-Mail-Marketing verwendet wurde.

Wenn du wertvolle Informationen an Menschen sendest
die du nach langen Gesprächen sehr gut kennst,
spielt es keine Rolle, wie schlecht die Formatierung ist
oder ob die Nachricht im Spam-Ordner landet.

Technische Unvollkommenheiten werden immer verziehen,
sie warten auf Ihre E-Mails, lesen Sie diese
und klicken Sie gegebenenfalls auf die Schaltfläche „Kein Spam“.

» Zurück zum Anfang

So versenden Sie private E-Mails

Wie versendet man private und verschlüsselte E-Mails?

E-Mails sind weder privat noch sicher.
Sie wurden nicht unter Berücksichtigung von Datenschutz oder Sicherheit entwickelt.

Jeder, der Ihre E-Mail während der Übertragung abfängt, kann sie lesen,
einschließlich Ihres Internetanbieters, eines Hackers oder der NSA (US-amerikanische Nationale Sicherheitsbehörde).

Zusammenfassung:

• Datenschutz bei E-Mails: Was passiert derzeit?
• in rechtlicher Hinsicht
• auf der „illegalen“ Seite
  
  
• Datenschutz bei E-Mails: die Herausforderungen
• Anonymität und Vertraulichkeit
• End-to-End-Verschlüsselung
  
  
• E-Mail-Datenschutz: Die Lösungen
• < technical >  Pretty Good Privacy - also known as PGP
• < technical >  How to use PGP encryption
• < easy >  Alternatives to PGP encryption

Was passiert heute?

in rechtlicher Hinsicht

„Der Wert einer Information wird erst dann deutlich, wenn man sie
mit etwas anderem verknüpfen kann, das zu einem späteren Zeitpunkt eintrifft.
Da man keine Punkte verbinden kann, die man nicht hat, treibt uns das in einen Modus,
in dem wir grundsätzlich versuchen, alles zu sammeln und für immer festzuhalten.“

• - Gus Hunt von der CIA über Big Data, in der Huffington Post
• - Gus Hunt von der CIA über Big Data, auf YouTube

„Sie haben gesagt, es seien nur Metadaten, es seien nur Metadaten, […]
mit wem man spricht, wann man mit ihnen spricht, wohin man gereist ist.
Das sind alles Metadaten-Ereignisse.
Bei PRISM geht es um Inhalte. […] Sie können alles sehen, weil es unverschlüsselt ist.“

• - Edward Snowden – TED 2014

Es gibt Dutzende psychologischer Studien, die belegen
, dass Menschen, die wissen, dass sie beobachtet werden könnten,
sich wesentlich konformistischer und gefügiger verhalten.
[…] Massenüberwachung schafft ein Gefängnis im Kopf […]

• - Glenn Greenwald – TEDGlobal 2014

auf der „illegalen“ Seite

Betrüger könnten auch Malware einsetzen, um in das Computernetzwerk eines Unternehmens einzudringen
und Zugriff auf E-Mail-Korrespondenz zu finanziellen Angelegenheiten zu erlangen.

• - Informationszentrum für Betrugsfälle – Manipulation von geschäftlichen E-Mails

Business Email Compromise (BEC) – auch bekannt als Email Account Compromise (EAC)
– ist eine der finanziell schädlichsten Formen der Online-Kriminalität.
Bei einem BEC-Betrug versenden Kriminelle eine E-Mail, die scheinbar von einer bekannten Absenderadresse stammt
und eine legitime Anfrage enthält […]

• - Betrug und Sicherheit – Manipulation von Geschäfts-E-Mails

Zurück zum Anfang

die Herausforderungen

Anonymität und Vertraulichkeit

Anonymität ist etwas anderes als Vertraulichkeit
[…] wir verschlüsseln Nachrichten
damit andere, selbst wenn sie sehen, dass wir eine Nachricht gesendet haben
nicht lesen können, was darin steht
aber manchmal wollen wir gar nicht, dass andere überhaupt sehen, dass wir eine Nachricht gesendet haben

• - So funktioniert TOR – Computerphile

Anonymität im Internet ist schwer zu erreichen.
Dazu sind fundierte Kenntnisse der von Ihnen gewählten Tools erforderlich.

Dieser Leitfaden vermittelt Ihnen vielleicht einen Eindruck von der Komplexität des Themas:
Private E-Mail-Anbieter

Vertraulichkeit ist leichter zu erreichen.

Auch wenn Sie nichts zu verbergen haben, trägt die Verwendung von Verschlüsselung
dazu bei, die Privatsphäre Ihrer Kommunikationspartner zu schützen
und macht Massenüberwachungssystemen das Leben schwer.

Wenn Sie etwas Wichtiges zu verbergen haben, sind Sie in guter Gesellschaft;
Es handelt sich um dieselben Tools, die Whistleblower nutzen, um ihre Identität zu schützen
und gleichzeitig Menschenrechtsverletzungen, Korruption und andere Verbrechen ans Licht zu bringen.

Der entscheidende erste Schritt besteht darin, sich selbst zu schützen
und die Überwachung Ihrer Kommunikation so weit wie möglich zu erschweren.

• - E-Mail-Selbstverteidigung – Ein Leitfaden zum Schutz vor Überwachung mit GnuPG-Verschlüsselung

End-to-End-Verschlüsselung

Durch eine End-to-End-Verschlüsselung (e2ee) für E-Mails kann sichergestellt werden,
dass nur der Absender und die Empfänger einer Nachricht den Inhalt lesen können.

Ohne diesen Schutz können Netzwerkadministratoren,
E-Mail-Anbieter und Behörden Ihre Nachrichten leicht einsehen.

Die Umsetzung von End-to-End-Verschlüsselung erfordert Sorgfalt sowohl seitens des Absenders als auch seitens der Empfänger.
Ein einziger Fehler einer der beteiligten Parteien kann bereits ausreichen, um die Sicherheit der End-to-End-Verschlüsselung zu gefährden.

E-Mail-Metadaten wie Absender- und Empfängeradresse sowie Datum und Uhrzeit können nicht durch End-to-End-Verschlüsselung geschützt werden.
Auch der Betreff der E-Mail bleibt möglicherweise ungeschützt und leicht lesbar, selbst wenn End-to-End-Verschlüsselung verwendet wird.

• - Was ist eine End-to-End-Verschlüsselung in Thunderbird?

Zurück zum Anfang

die Lösungen

< technical >  Pretty Good Privacy - also known as PGP

Die PGP-Software folgt dem OpenPGP-Verschlüsselungsstandard, dem
Standard (RFC 4880) zum Ver- und Entschlüsseln von Daten.

• - Pretty Good Privacy auf Wikipedia

PGP verschlüsselt den Text Ihrer E-Mail in einen Code
, den nur die richtige Person lesen kann.

PGP läuft auf so gut wie jedem Computer oder Smartphone.
Es ist frei lizenziert und kostet nichts.

Jeder Benutzer verfügt über einen eindeutigen öffentlichen Schlüssel und einen privaten Schlüssel,
die aus zufälligen Zahlenfolgen bestehen.

Dein öffentlicher Schlüssel ist nicht wie ein physischer Schlüssel, denn er befindet sich in einem Online-Verzeichnis, von dem andere ihn herunterladen können.
Andere verwenden deinen öffentlichen Schlüssel zusammen mit PGP, um E-Mails zu verschlüsseln, die sie an dich senden.

Dein privater Schlüssel ähnelt eher einem physischen Schlüssel, da du ihn für dich behältst (auf deinem Computer).
Du verwendest PGP und deinen privaten Schlüssel, um verschlüsselte E-Mails zu entschlüsseln, die andere dir senden.

Wenn eine mit PGP verschlüsselte E-Mail in die falschen Hände gerät, sieht sie einfach wie Unsinn aus.
Ohne den privaten Schlüssel des tatsächlichen Empfängers ist es fast unmöglich, sie zu lesen.

Um uns vor Überwachung zu schützen, müssen wir lernen, wann wir PGP nutzen sollten
und damit beginnen, unsere öffentlichen Schlüssel weiterzugeben, wann immer wir E-Mail-Adressen austauschen.

• - E-Mail-Selbstverteidigung – Infografiken

< technical >  How to use PGP encryption

Um PGP zu nutzen, benötigen Sie einen öffentlichen Schlüssel und einen privaten Schlüssel (zusammen als Schlüsselpaar bezeichnet).
Beide bestehen aus einer langen Zeichenfolge zufällig generierter Zahlen und Buchstaben, die für Sie einzigartig ist.
Ihr öffentlicher und Ihr privater Schlüssel sind durch eine spezielle mathematische Funktion miteinander verknüpft.

Es wird eine Anwendung benötigt, die die Schlüssel sowie die Ver- und Entschlüsselung von Nachrichten verwaltet,
hier ist eine Auswahl der beliebtesten Anwendungen:

• Mailvelope ist ein kostenloses Open-Source-Browser-Plugin, das für Mozilla Firefox und Google Chrome verfügbar ist:
  Es ist wahrscheinlich der einfachste Einstieg in PGP:
  „Mailvelope Demonstration“ist ein gut gemachtes Tutorial

• Die Anwendung Mozilla Thunderbird bietet alle notwendigen Funktionen zum Versenden von PGP-signierten Nachrichten
  Einführung in die End-to-End-Verschlüsselung in Thunderbird

• GnuPG ist eine vollständige und kostenlose Implementierung des OpenPGP-Standards
  Ein PGP-Leitfaden für Anfänger mit Gpg4Win [Einfache Einrichtung in 5 Minuten] erklärt, wie man es benutzt

< easy >  Alternatives to PGP encryption

PGP ist die beste Lösung für eine sichere Kommunikation mit einem Partner, der PGP bereits nutzt.
Es könnte schwierig sein, Ihren Gesprächspartner dazu zu bewegen, PGP zu nutzen.

Eine Alternative sind Dienste, mit denen man ein Geheimnis nur einmal weitergeben kann.

Wenn Sie etwas nur einmal versenden möchten, gibt es Open-Source-Webanwendungen
, mit denen Sie Informationen eingeben können, die nur einmal angezeigt werden können.

Sobald der Empfänger die Seite geöffnet hat, werden die Informationen gelöscht,
und in Ihren Chat-Protokollen oder E-Mails bleibt lediglich ein ungültiger Link zurück.

Es ist zwar nicht so sicher, als würde Ihr gesamtes Team PGP verwenden, aber es lässt sich viel einfacher einrichten und erklären.
Wir konnten damit Anmeldedaten an Personen senden, die technisch nicht besonders versiert sind, und diese fanden die Handhabung einfach.

Beispiel (ohne Passwort hinzuzufügen):

Nehmen wir an, du hast ein Passwort. Du möchtest es deiner Kollegin Jane geben. 
Du könntest es ihr per E-Mail schicken, aber dann befindet es sich in ihrer E-Mail, die möglicherweise gesichert wird, 
und wahrscheinlich auf einem Speichermedium landet, das von der NSA kontrolliert wird.

Wenn Jane einen Link zum Passwort erhält und ihn nie anklickt, verschwindet das Passwort. 
Wenn die NSA den Link in die Hände bekommt und das Passwort ansieht … nun, dann hat sie das Passwort. 
Außerdem kann Jane das Passwort nicht erhalten, aber jetzt weiß Jane, dass nicht nur jemand ihre E-Mails durchstöbert, 
sondern auch auf Links klickt.

Einige dieser Dienste, die alle kostenlos und Open Source sind, sind unten aufgeführt.
Sie können sich auch dafür entscheiden, eine Instanz auf Ihrem eigenen Webserver zu hosten.

PrivateBin (eine Art sichere Version von PasteBin) wurde in PHP entwickelt
Der Code von PrivateBin ist auf GitHub veröffentlicht – 3100 Sterne
Eine Anleitung für PrivateBin ist auf einer anderen Website verfügbar

OneTimeSecret wurde in Ruby entwickelt
Der Code und die Anleitung zu OneTimeSecret sind auf GitHub veröffentlicht – 1200 Sterne

SnapPass wurde in Python geschrieben. Es wurde ursprünglich von Pinterest entwickelt

Der SnapPass-Code und die Anleitung sind auf GitHub veröffentlicht – 600 Sterne

Zurück zum Anfang

So versenden und begrenzen Sie E-Mails mit BCC

Wie versendet und begrenzt man E-Mails mit Bcc?

„Cc“ steht für „Carbon Copy“ im (alten) Sinne der Anfertigung einer Kopie
auf einer Schreibmaschine unter Verwendung von Kohlepapier.

Das Feld „Bcc:“ in E-Mails (wobei „Bcc“ für „Blind Carbon Copy“ steht)
enthält die Adressen von Empfängern der Nachricht
, deren Adressen den anderen Empfängern der Nachricht nicht offenbart werden sollen.
– IETF RFC 2822 „Internet Message Format“

Der Unterschied zwischen „Bcc“ und „Cc“ liegt in der Anonymität der Empfänger.
Bei Verwendung der Cc-Funktion sind die E-Mail-Adressen im Cc-Feld
für alle Empfänger der E-Mail sichtbar.

Ein Bcc-Empfänger kann den direkten Empfänger (An:) sehen,
er kann jedoch nicht erkennen, wer sonst noch per Bcc in die E-Mail aufgenommen wurde.

Bcc wird oft als benutzerfreundliches System für den Massenversand von E-Mails angesehen.
Im Folgenden finden Sie eine kurze Analyse der Vor- und Nachteile der Verwendung von Bcc.
Am Ende der Seite finden Sie die Schlussfolgerungen sowie einige Vorschläge.

VORTEILE

Es ist ganz einfach: Jeder kann es benutzen.

• Das ist eine einfache Möglichkeit, mehrere E-Mail-Empfänger zu kontaktieren
• Jeder, der über ein E-Mail-Programm verfügt, kann es nutzen
• Bei korrekter Verwendung wird die Privatsphäre der Empfänger gewahrt, da ihre E-Mail-Adressen nicht offengelegt werden

Zurück zum Anfang

NACHTEILE

E-Mail ist ein Ausgangs-Gateway ohne vorherige Überprüfung.
Über „Bcc“ lässt sich die Reichweite auf Hunderte oder Tausende von Kontakten ausweiten.

Bcc sollte als risikoreiches,
potenziell gefährliches Kommunikationsmittel betrachtet werden.

• Es handelt sich um einen fehleranfälligen Prozess; die Risiken sind:
  • versehentlich Bcc-Empfänger in das Cc-Feld einfügen
    dies führt in der Regel zu schwerwiegendem Imageschaden
    eine neue Entschuldigungsnachricht ist der häufigste Ausweg aus dieser Situation
    » Die Namen aller Empfänger werden öffentlich gemacht
    » Unbeabsichtigte (und manchmal absichtliche) Verwendung von „Allen antworten“
    was zu unkontrollierten E-Mail-Ketten führt
    » Es könnte zu einem Datenschutzvorfall aus Sicht der DSGVO kommen
    wenn der Betreff/Text „besondere Kategorien“ personenbezogener Daten enthält und dadurch
    Personen identifiziert, die derselben Kategorie angehören (z. B. Krankheit, sexuelle Orientierung oder Weltanschauung)
  • jemanden versehentlich als Hauptempfänger (sichtbaren Empfänger) hinzufügen
  • jemanden vergessen oder jemanden hinzufügen, der die Nachricht nicht erhalten sollte
    
    
• Es besteht eine hohe Wahrscheinlichkeit, dass die Nachricht als Spam eingestuft wird
  • Das Problem ist, dass die meisten Spammer ihre E-Mails über „Bcc“ versenden
    Die Ziel-Mailserver sind bei der Annahme von Bcc-Nachrichten zurückhaltend
  • Wenn ich dir eine Nachricht per Bcc sende,
    , erhältst du eine E-Mail, die nicht an dich adressiert ist,
    , was bei der Spam-Bewertung als negativer Punkt gewertet wird
  • Wenn dieselbe Nachricht gleichzeitig an „mehrere“ E-Mail-Adressen
    derselben Domain gesendet wird, lassen sich diese leicht zählen und blockieren
    
    
• Es gibt keine Möglichkeit, falsche Adressen zu kontrollieren
  • Es kann vorkommen, dass ein Empfänger mehrere E-Mail-Adressen hat (z. B.
    ). Dies beeinträchtigt den Versand an diesen Empfänger, selbst wenn eine oder mehrere Adressen korrekt sind.
  • Syntaxfehlerhafte Adressen werden ohne Warnung akzeptiert
    zum Beispiel, wenn das @-Zeichen fehlt oder Leerzeichen enthalten sind
    
    
• keine individuelle Anpassung / geringe Auswirkungen / kaum oder gar keine Reaktionen
  • Die Nachricht ist zwangsläufig standardisiert und „anonym“
    Eine persönliche Ansprache ist nicht möglich, kein „Sehr geehrter Herr/Frau …“
  • Ihre Bcc-Empfänger erhalten eine Nachricht, die eigentlich an jemand anderen gerichtet ist
    Es ist unwahrscheinlich, dass sie darauf achten oder darauf reagieren
    
    
• Es ist sehr wahrscheinlich, dass es zu technischen Problemen kommen wird
  • Jede missbräuchliche Handlung durch Spammer oder Hacker kann sich schnell auf viele Empfänger auswirken
    und den Ruf des SMTP-Servers gefährden (z. B. durch die Aufnahme des Servers in eine Blacklist)
  • Das Postfach des Absenders könnte durch Rückläufer (Empfänger unbekannt, Postfach voll usw.) überfüllt werden
    Ihr Anteil kann zwischen 5 % und 20 % der versendeten E-Mails betragen
  • Der Versand kann sich negativ auf E-Mail-Zustellungssysteme (SMTP-Server) auswirken, z. B.:
    zahlreiche „Bitte später erneut versuchen“-Antworten, eine große Anzahl von Nachrichten in der Mail-Warteschlange, Systemabsturz
    
    

Zurück zum Anfang

SCHLUSSFOLGERUNGEN

1. Grenzen setzen

• Überprüfen Sie die von Ihrem E-Mail-Anbieter zugelassene Empfängeranzahl:
  Probieren Sie es selbst aus, um ganz sicher zu sein:
  
  RealSender stellt eine Liste mit 300 @bogusemail.net-Adressen zum Testen zur Verfügung:
  Die Nachrichten gelangen an einen „Black-Hole“-Mailserver:
  bogusemail-test.txt
  
  
• Begrenzen Sie die Anzahl der Empfänger in einer einzelnen Nachricht auf eine kleine Zahl, beispielsweise 20,
  Wenn Sie mehr Empfänger zulassen, können Sie Nachrichten
  ganz einfach an Tausende von E-Mail-Adressen versenden, indem Sie diese einfach in kleine Gruppen aufteilen

2. Werden Sie Profi

• nur den Versand großer E-Mail-Mengen über verschiedene Kanäle zulassen
  
  
• Verwenden Sie beim Versenden vieler Nachrichten eine andere Absenderadresse
  zum Beispiel eine andere Subdomain, wie @news.firmenname.com
  nur autorisierte Personen haben Zugriff darauf
  und sie werden damit sorgfältiger umgehen
  
  
• in strukturierten Büroumgebungen, in denen viele Mitarbeiter mit E-Mails arbeiten,
  verwenden spezielle Apps zum Versenden von Massen-E-Mails
  die professionellen Systeme verfügen über einen Genehmigungs-Workflow
  und eine schrittweise Kontrolle; sie sind darauf ausgelegt, Fehler zu vermeiden

Zurück zum Anfang

Maßnahme E-MAIL-MARKETING

Wie lässt sich die Leistung Ihrer E-Mail-Marketing-Kampagnen messen?
Die folgenden Informationen basieren auf unserer fünfzehnjährigen Erfahrung
mit der E-Mail-Marketing-Plattform Inxmail.

Was sind „E-Mail-Marketingkampagnen“?
Es handelt sich um umfangreiche, auf Einwilligung basierende E-Mails,
deren Inhalt in der Regel auf die Interessen des Empfängers zugeschnitten ist,
und bei denen der Absender anhand des Verhaltens der Empfänger Feedback-Daten erhalten kann.

• E-Mail-Marketing-Kampagnen
• Permission-basiertes Marketing

Die Antworten oder „Feedback-Daten“ bilden die Grundlage für die Kennzahlen
, auf denen die Berichte zur Performance von E-Mail-Marketingkampagnen basieren.
Lassen Sie uns einen Überblick darüber geben, was diese Kennzahlen sind und wie sie gemessen werden:

• Reaktionen der Nutzer verfolgen
• zwei Berechtigungsstufen (datenschutzrechtliche Aspekte)
• So funktioniert die Nutzerverfolgung
• So funktioniert die Messung der Öffnungsrate

Selbst die besten technischen Tools nützen nichts, wenn die Nachrichten nicht im Posteingang des Empfängers ankommen.
Hier kommt die „E-Mail-Zustellbarkeit“ ins Spiel:

• E-Mail-Zustellbarkeit
• E-Mails versenden
• Absprungraten
• Benchmarks für E-Mail-Marketing

E-Mail-Marketing-Kampagnen

Permission-basiertes Marketing

Permission-Marketing, auch „Dialog-Marketing“ genannt,
ist ein Konzept, das Seth Godin 1999 in seinem Bestseller „Permission Marketing“ vorgestellt hat.

In dem Buch wird es als Gegenstück zum „Interruptionsmarketing“ definiert
, das üblicherweise in traditionellen Massenmedien wie Fernsehen und Zeitungen zum Einsatz kommt.

Ziel ist es, eine persönliche und direkte Kommunikation herzustellen,
eine Beziehung zwischen den beiden Parteien aufzubauen und einen „menschlichen“ Dialog in Gang zu setzen,
dessen Erfahrung für beide Seiten nützlich und bereichernd ist.

Zurück zum Anfang

Reaktionen der Nutzer verfolgen

zwei Berechtigungsstufen – datenschutzrechtliche Aspekte

Je nach den erteilten Datenschutzberechtigungen kann der Absender Folgendes aufzeichnen:

• aggregierte Daten
• Daten des einzelnen Nutzers (z. B. wer die E-Mail geöffnet hat, wer darauf geklickt hat)

Aggregierte Daten
Sie liefern allgemeine Rückmeldungen und Informationen zu allgemeinen Trends
(z. B. wie viele die E-Mail geöffnet haben, wie viele darauf geklickt haben)

Einzelbenutzer-Daten
Sie ermöglichen es, individuelle Informationen zu erhalten
durch die Erfassung personenbezogener Daten und das anschließende Versenden personalisierter Nachrichten
auf der Grundlage früherer Interaktionen und des Nutzerverhaltens

Zurück zum Anfang

So funktioniert die Nutzerverfolgung

Unter Link-Tracking versteht man das Ersetzen der endgültigen URL der Website
durch eine fiktive Adresse, die den Besuch erfasst und den Nutzer auf die Zielseite weiterleitet.

In E-Mail-Nachrichten können nur Klicks auf Links nachverfolgt werden.
Externe Bilder, bei denen der E-Mail-Client vor dem Herunterladen um Bestätigung bittet,
werden als Links behandelt. Daher reicht es aus, die URL eines externen Bildes zu tracken
, um die E-Mail-Öffnungsrate zu ermitteln.

Bei der Nachverfolgung wird in der Regel nur die „Mail-ID“ erfasst,
eine eindeutige Kennung der versendeten E-Mail.

Die personalisierte Nachverfolgung erfolgt durch Hinzufügen eines oder mehrerer von der Software generierter Parameter zu den besuchten Seiten,
wie zum Beispiel: example.com/test.html?id=54725788327466628654
Der Parameter „id“ bezieht sich auf einen bestimmten Nutzer und einen bestimmten Link in der Nachricht.

Die gewonnenen Informationen können automatisch
die Daten des Empfängers in der E-Mail-Marketing-Anwendung
aktualisieren oder die Angaben zur Herkunft des Klicks an die Webanalyse-Plattform weiterleiten.

Beispiel: Ein Reisebüro könnte unter
erfassen, wie oft der Nutzer auf Nachrichten zum Thema „Meer“ oder „Berge“ klickt,
wodurch sich ein bestimmter Zähler im Laufe der Zeit erhöht.
Die gesammelten Daten geben Aufschluss über das bevorzugte Reiseziel des Empfängers.

Zurück zum Anfang

So funktioniert die Messung der Öffnungsrate

Die Öffnungsraten werden ermittelt, indem Daten zu Klicks auf nachverfolgte Links
und zu „verborgenen Klicks“ kombiniert werden, die durch heruntergeladene, nachverfolgte Bilder generiert wurden.

Wenn eine Nachricht in der Vorschau des E-Mail-Clients geöffnet wird,
ohne dass die Bilder heruntergeladen oder Links angeklickt werden,
ist es nicht möglich zu erkennen, dass sie geöffnet wurde.

Seit 2003 – zunächst Outlook, dann die meisten E-Mail-Clients –
begannen zum Schutz der Privatsphäre ihrer Nutzer
den automatischen Download von Bildern zu blockieren
, die andernfalls bei jedem Gelesen einer E-Mail nachverfolgt worden wären.

Seit 2013 werden Bilder in Gmail standardmäßig automatisch angezeigt.
Der Download erfolgt über einen Drittanbieter-Server, einen sogenannten „Proxy“,
der das Endgerät des Nutzers verbirgt, es den Betreibern von E-Mail-Marketing-Kampagnen
jedoch dennoch ermöglicht, zu erkennen, dass das Bild heruntergeladen und die Nachricht geöffnet wurde.
Weitere Informationen finden Sie hier:
So funktioniert der neue Gmail-Bild-Proxy und was das für Sie bedeutet

Die Erfassung der Öffnungsraten ist ungenau;
liefert einen niedrigeren Wert als die tatsächlichen Öffnungen.
Es ist dennoch sinnvoll, diese zu messen,
und sei es nur, um die Ergebnisse verschiedener Kampagnen zu vergleichen.

Zurück zum Anfang

E-Mail-Zustellbarkeit

E-Mails versenden

Zunächst muss überprüft werden, ob die E-Mails in den Postfächern
der wichtigsten Freemail-Domains aus Ihrer Liste
sowie im Posteingang der beiden wichtigsten Anbieter von Unternehmens-E-Mail-Konten
– Google Apps und Office 365 – ankommen.

Inhaltsbasierte Spamfilter werden in der Regel durch Domains in URLs (http …) ausgelöst
Ein guter Tipp ist es, in den Links Ihrer Nachrichten nur eine einzige Domain zu verwenden.
Die Domain sollte mit der in der Absenderadresse verwendeten übereinstimmen;
Dies wird als „Domain-Alignment“ bezeichnet und verringert das Risiko, von Phishing-Filtern erfasst zu werden.
Aus demselben Grund sollten Links, sofern sie getrackt werden, eine Subdomain
der in der Absenderadresse verwendeten Domain nutzen.

Echte Tests lassen sich ganz einfach durchführen, indem Sie für jeden E-Mail-Anbieter ein „Test“-Postfach aktivieren:
und anschließend die Weiterleitung der Nachrichten an Ihre E-Mail-Adresse aktivieren:
Senden Sie an jedes Postfach eine Nachricht mit dem Betreff „Testnachricht“
und dem Inhalt „Testnachricht“ sowie dem Link zu Ihrer Domain:
Wenn die Nachricht die Spamfilter passiert, sollten Sie sie in Ihrem Posteingang erhalten.

Zurück zum Anfang

Absprungraten

Es ist normal, dass E-Mails als unzustellbar zurückkommen.
Dies kann an nicht mehr genutzten Adressen,
überfüllten Postfächern oder anderen technischen Problemen liegen.

Je nach „Sauberkeit“ Ihrer Liste,
kann die Absprungrate zwischen 5 % und 20 % schwanken.

Mit steigender Anzahl wird es unmöglich, die zurückgewiesenen E-Mails manuell zu verwalten.
E-Mail-Marketing-Anwendungen verfügen über eine Funktion namens „Bounce Handler“
die zurückgewiesene Nachrichten automatisch herunterlädt,
sie analysiert und entsprechend ihrem Inhalt klassifiziert.

Die Ziel-E-Mail-Adresse wird automatisch deaktiviert
nach einer bestimmten Anzahl von „Hard Bounces“ – also dauerhaften Fehlern wie „Benutzer unbekannt“ und „Host nicht erreichbar“
– oder nach einer größeren Anzahl von „Soft Bounces“ – also vorübergehenden Fehlern wie „Postfach voll“.

Es ist wichtig, die „Bounce-Raten“ (abgewiesene Nachrichten)
oder die komplementären „Zustellungsraten“ (angenommene Nachrichten) zu überwachen. Ihre Summe ergibt 100 %.
Eine Veränderung ihrer Werte ist ein Anzeichen, das untersucht werden sollte.

Zurück zum Anfang

Benchmarks für E-Mail-Marketing

Die größten E-Mail-Marketing-Plattformen veröffentlichen Vergleichszahlen
, die auf den von all ihren Kunden gesammelten Daten basieren.

In den Berichten verwendete Fachbegriffe:

• Öffnungen: Anzahl der Empfänger, die auf mindestens einen nachverfolgten Link geklickt
  oder mindestens ein nachverfolgtes Bild geöffnet haben
• Öffnungsrate: Öffnungen / Anzahl der Empfänger (ohne Bounces)
• Eindeutige Klicks: Anzahl der Empfänger, die mindestens einmal auf einen Link geklickt haben
• Klickquote (CTR): Einmalige Klicks / Anzahl der Empfänger (ohne Bounces)
• Klick-zu-Öffnungs-Rate (CTOR): Eindeutige Klicks / Öffnungen

Hier ist eine kurze Liste; die meisten davon beziehen sich auf die USA:

• Zu den Kunden von Mailchimp zählen Ein-Personen-Startups,
  kleine Unternehmen bis hin zu „Fortune 500“-Unternehmen,
  das gesamte Spektrum ist in diesen Daten vertreten

• E-Mail-Marketing-Benchmarks und Statistiken nach Branchen

• Campaign Monitor hat über 100 Milliarden E-Mails analysiert, die weltweit
  zwischen Januar und Dezember 2020 versendet wurden

• E-Mail-Benchmarks nach Branche und Tag

• Benchmarks zwischen Regionen vergleichen

• Der achte jährliche Deliverability-Benchmark-Bericht von Return Path
  um zu sehen, wie viele E-Mails im Posteingang, im Spam-Ordner oder blockiert gelandet sind.
  
  Inhalt des Deliverability-Benchmark-Berichts 2020 (PDF):

• Was versteht man unter Zustellbarkeit und wie wird sie gemessen?

• Was passiert mit einer E-Mail, nachdem man auf „Senden“ geklickt hat?

• Wie viele E-Mails landen weltweit durchschnittlich im Posteingang und im Spamfilter?

• Zustellbarkeitsstatistiken für 30 einzelne Länder

Zurück zum Anfang

Was gilt als SPAM?

Welche Nutzer und Mailserver werden als Spam-E-Mails eingestuft?

Ausgehend von unseren Erfahrungen mit RealSender,
haben wir versucht, die wichtigsten Punkte zusammenzufassen, die die Zustellung in den Posteingang beeinflussen können.

• Reaktionen der Nutzer
  Die Nachrichten sollten von ihren Empfängern erwartet bzw. gewünscht werden
  
  
• Technische Hinweise
  Es sind grundlegende Einstellungen erforderlich, damit die E-Mails angenommen werden
• IP-Adresse und Reputation der IP-Klasse
• Richtige Einrichtung des SMTP-Servers
• ordnungsgemäße E-Mail-Authentifizierung
• SPAMASSASSIN-Prüfung
  
• Probieren Sie es einfach aus und schauen Sie, was passiert:
  Der einzig sichere Weg, um festzustellen, ob eine E-Mail als Spam eingestuft wird, ist…
  sie zu versenden und zu sehen, wie sie beim Empfänger angezeigt wird.

Es ist sinnlos, die anderen Punkte zu prüfen
, wenn die Nachrichten von den Empfängern nicht erwartet oder gewünscht werden.

Reaktionen der Nutzer

Der Absender sollte sich in die Lage des Empfängers versetzen und versuchen, sich vorzustellen, wie eine E-Mail-Nachricht aufgenommen wird.
Beschwerden von Nutzern können dazu führen, dass der gesamte SMTP-Server oder der Domainname auf eine Blacklist gesetzt wird, was sich auf die Zustellung aller zukünftigen Nachrichten auswirkt.

• Benutzer können ihren Posteingang in der Regel* selbst verwalten: Als „Spam“ gilt das, was der jeweilige Benutzer als Spam betrachtet
  * = Viele Freemail-Anbieter bieten KEINE Möglichkeit, ihre „interne Werbung“ abzubestellen
• Der Nutzer gibt seine Entscheidung bekannt, indem er auf die Schaltfläche „Als Spam melden“ (in Gmail)
  oder die Schaltfläche „Junk“ (in Outlook/Hotmail) klickt
• Die Spamfilter moderner Mailserver reagieren auf Beschwerden von Nutzern: Nach einer bestimmten Anzahl von Klicks auf „Als Spam melden“
  werden alle Nachrichten mit ähnlichem Inhalt direkt in den Spam-Ordner verschoben.

Es sind grundlegende technische Einstellungen erforderlich, damit E-Mails zugestellt werden können.

IP-Adresse und Reputation der IP-Klasse

• IP-Blacklisting für SMTP-Server: Wenn Sie online nach „Blacklist-Check“ suchen, finden Sie zahlreiche Tools.
• Reputation der IP-Adresse eines SMTP-Servers – weitere Informationen finden Sie in unserem Blog-Artikel „SMTP-IP-REPUTATION IST WICHTIG“
• Wenn die Nachrichten von einem PC gesendet werden, sollte auch die Reputation der öffentlichen IP-Adresse der Internetverbindung überprüft werden:
  (Einige SMTP-Server-Anbieter maskieren die IP-Adresse der Internetverbindung, sodass das System des Empfängers nur deren IP-Adresse sieht)

Richtige Einrichtung des SMTP-Servers

• Reverse-DNS-
  , um sicherzustellen, dass die IP-Adresse Ihres Mail-Servers auf den Domainnamen verweist, den Sie für den E-Mail-Versand verwenden
• Der Mail Transfer Agent, also die Anwendung, die E-Mails weiterleitet und zustellt,
  sollte ordnungsgemäß konfiguriert sein, gemäß dem neuesten von der IETF veröffentlichten RFC
  siehe zum Beispiel: Postfix RFC-konform machen

ordnungsgemäße E-Mail-Authentifizierung

Verwenden Sie E-Mail-Authentifizierungsmethoden wie SPF und DKIM, um nachzuweisen, dass Ihre E-Mails und Ihr Domainname zusammengehören.
Ein positiver Nebeneffekt ist, dass Sie damit dazu beitragen, zu verhindern, dass Ihre E-Mail-Domain gefälscht wird.

• SPF ist ein pfadbasiertes E-Mail-Authentifizierungsprotokoll, mit dem E-Mail-Empfänger feststellen können, ob der Absender zur Nutzung der in der Kopfzeile der Nachricht angegebenen Domains berechtigt ist. Dies geschieht durch die Überprüfung der IP-Adresse des ausgehenden MTA des Absenders anhand von Informationen, die der Absender in DNS-TXT-Einträgen veröffentlicht hat. SPF ist in IETF RFC 4408 definiert.
• DKIM ist ein E-Mail-Authentifizierungsprotokoll, das es dem Absender ermöglicht, ausgehende E-Mails mithilfe von Public-Key-Kryptografie so zu signieren, dass dies vom Empfänger überprüft werden kann. DKIM ist in IETF RFC 4871 definiert. Der DKIM-Standard wird von Gmail und anderen großen Unternehmen eingesetzt, um Phishing und Spoofing im E-Mail-Verkehr vollständig zu unterbinden.
• DMARC stützt sich auf die etablierten SPF- und DKIM-Standards für die E-Mail-Authentifizierung. Ziel-Mailserver reagieren auf nicht authentifizierte E-Mails entsprechend der „DMARC-Richtlinie“ des Absenders und melden das Ergebnis an den Absender. DMARC ist im von der Internet Engineering Task Force veröffentlichten Dokument RFC 7489 definiert.

SPAMASSASSIN-Prüfung

• SpamAssassin ist eine serverseitige Software, die zur Filterung von E-Mail-Spam eingesetzt wird. Sie nutzt eine Vielzahl von Techniken zur Spam-Erkennung.
  Jeder Test hat einen Punktwert. Die Punktwerte können positiv oder negativ sein, wobei positive Werte „Spam“ und negative Werte „Ham“ (kein Spam) anzeigen.
  Der Standard-Schwellenwert für den Empfänger liegt bei „5,0“. Liegt der Punktwert einer E-Mail über diesem Schwellenwert, wird sie als Spam markiert.
  Die Software ist so weit verbreitet, dass die Überprüfung des Punktwerts vor dem Versenden von E-Mail-Nachrichten als obligatorisch angesehen werden sollte.
• Zwei Online-Tools können Ihnen dabei helfen, Ihren SpamAssassin-Wert zu überprüfen: ist kein Spam und Mail-Tester
  1. Sie müssen die Nachricht an die angegebene E-Mail-Adresse senden
  2. Klicken Sie nach einigen Sekunden auf die Schaltfläche „Bericht anzeigen“ oder „Ergebnis prüfen“.

Der einzig sichere Weg, um festzustellen, ob eine E-Mail als Spam eingestuft wird, ist…
sie zu versenden und zu sehen, wie sie beim Empfänger angezeigt wird.

Probier es einfach mal aus und schau, was passiert

• Wenn Sie eine zurückgewiesene Nachricht erhalten, kann dies sehr hilfreich sein, da in den letzten Zeilen in der Regel das Problem beschrieben wird, das zur Zurückweisung geführt hat.
  Sollte die Erklärung unverständlich sein, versuchen Sie einfach, eine Nachricht mit dem Betreff und dem Inhalt „Testnachricht“ zu senden, und prüfen Sie, ob diese angenommen wird.
  In diesem Fall sollten Sie dieselbe Nachricht mehrmals senden und den Inhalt dabei schrittweise reduzieren, bis Sie herausfinden, welcher Teil den Spamfilter auslöst.
• Ein detailliertes Versandprotokoll kann Ihnen dabei helfen, zu überprüfen, ob die Nachrichten angenommen oder abgelehnt wurden
  Beispiele für Informationen, die im Protokoll verfügbar sind
• In einigen (seltenen) Fällen ist eine Art „Whitelisting“ erforderlich.
  Manche Spam-Filter lernen daraus, wie Nutzer mit den empfangenen Nachrichten umgehen.
  Wenn der jeweilige Empfänger die empfangene E-Mail einmal als „Kein Spam“ markiert,
  lernt das System, dass es sich um gültige Nachrichten handelt, und leitet sie fortan in den Ordner „Posteingang“ statt in den „Spam“-Ordner weiter.
  Alternativ muss der Absender im Adressbuch des Empfängers gespeichert sein oder zuvor E-Mails mit ihm ausgetauscht haben.

Open-Source-E-Mail-Clients

Wie kann man mit einsatzbereiten Open-Source-E-Mail-Clients wieder die Kontrolle über seine E-Mails erlangen?

In den letzten zehn Jahren hat sich der Bereich der Unternehmens-E-Mail-Postfächer
fast vollständig gewandelt: weg von lokalen E-Mail-Servern hin zu Cloud-Diensten wie Exchange Online (Office 365) oder Gmail for Business (Google Apps).

Die Hauptgründe dafür sind:

• die Notwendigkeit, über mobile und Web-Schnittstellen auf E-Mails zugreifen zu können
• die Notwendigkeit, E-Mail-Postfächer vor Spam und Malware zu schützen

Auf diese Weise wurde das Leben von IT-Fachkräften vereinfacht, indem
die Verantwortung für die Verwaltung der E-Mail-Infrastruktur auf die „großen Tech-Unternehmen“ abgewälzt wurde.

Das Risiko, grundlegende E-Mail-Kenntnisse zu vernachlässigen, kann dazu führen, dass wir E-Mail-
als etwas betrachten, das wie von Zauberhand funktioniert, nur weil Microsoft und Google sich darum kümmern.

Wir können die Kontrolle über unsere E-Mails zurückgewinnen, indem wir die einzelnen Komponenten des E-Mail-Systems aufschlüsseln und separat verwalten:

• der Posteingangsserver
• der E-Mail-Client
• der Postausgangsserver

Dies sorgt für eine Isolierung und Segmentierung der Dienste und trägt erheblich zur Sicherheit bei.
Daher gilt die Verringerung der Angriffsfläche durch Isolierung/Segmentierung als bewährte Vorgehensweise.
Zudem erhöht dies die Skalierbarkeit und Stabilität.

E-Mail-Clients sind die wichtigste Schnittstelle zu E-Mail-Postfächern. Es handelt sich um komplexe Software, die mit den Benutzern interagiert.

Auf dem Markt gibt es zahlreiche Lösungen; wir haben sie anhand von zwei Kriterien ausgewählt:

• plattformübergreifende, aktiv betreute und Open-Source-Projekte
• gebrauchsfertig, sodass Systemadministratoren sie problemlos verwalten können

Wir haben uns zwei Optionen überlegt:

1. Mozilla Thunderbird ist ein plattformübergreifender E-Mail-Client mit offenem Quellcode für PCs. Entwickelt von der Mozilla Foundation.
   Es unterstützt sowohl IMAP als auch POP (wobei E-Mails lokal auf Ihrer Festplatte gespeichert werden, sodass Sie auch ohne Internetverbindung darauf zugreifen können).
   Es bietet hervorragende Funktionen zur E-Mail-Filterung und -Verwaltung.
   
   Thunderbird bietet umfassende Unterstützung für die Verwendung mehrerer Konten und Identitäten, einschließlich automatischer Signaturfunktionen.
   Es enthält installationsfertige Versionen für: Windows, Mac OS und Linux. Um aus der Ferne Zugriff zu erhalten, müssen sich Benutzer zunächst mit ihrem Computer verbinden.

2. Die neue Rainloop-Gabelist ein einfacher, moderner, schlanker und schneller webbasierter E-Mail-Client.
   Es kann eine große Anzahl von E-Mail-Konten verwalten, ohne dass eine Datenbankverbindung erforderlich ist.
   Es unterstützt sowohl das SMTP- als auch das IMAP-Protokoll, sodass E-Mails problemlos gesendet und empfangen werden können.
   
   Im Jahr 2020 hat die SnappyMail-GitHub-Projekt wurde veröffentlicht.
   Es handelt sich um eine grundlegend überarbeitete und gesicherte Abspaltung der RainLoop Webmail Community Edition.
   Hier ist die Demo des E-Mail-Clients SnappyMail. Wenn Sie die Admin-Oberfläche ausprobieren möchten, Kontaktieren Sie uns.

Arbeit, E-Mail und Datenschutz

Warnung: Dies ist ein Thema mit erheblichen rechtlichen Auswirkungen.
Wenden Sie sich an qualifizierte Berater, um die geltenden Vorschriften und deren Anwendung zu prüfen.

Die geschäftliche E-Mail-Adresse ist ein Arbeitsinstrument
, das eine beeindruckende Menge an geschäftsrelevanten Informationen enthält.

Die Unternehmen können mit der E-Mail-Adresse
– die ein geschäftliches Arbeitsinstrument ist – machen, was sie wollen, aber wird sie von den Mitarbeitern verfasst und gelesen?
Können sie sie lesen? Können sie sie sichern? Können sie sie archivieren?

Zusammenfassung:

• zwei Arten von geschäftlichen E-Mail-Adressen
• Allgemeine geschäftliche E-Mail-Adressen, keine Einschränkungen
• Firmenpostfach, z. B. Firmenwagen
• Verhaltensrichtlinien
• nur unter bestimmten Bedingungen lesbar
• den Mitarbeiter informieren
• Großbeträge sind verboten
• gesetzliche Anforderungen
• Verpflichtung zur Archivierung von E-Mail-Nachrichten
• Informationspflicht gegenüber dem Arbeitnehmer
• Verpflichtung zur Löschung von E-Mail-Nachrichten
• Verpflichtung zur Deaktivierung der Postfächer

Allgemeine geschäftliche E-Mail-Adressen, keine Einschränkungen

Die geschäftliche E-Mail-Adresse hat einen zwiespältigen Charakter,
sie ist ein Werkzeug, das dem Arbeitgeber gehört, aber vom Arbeitnehmer genutzt wird.

Wir müssen zwischen zwei verschiedenen Arten von geschäftlichen E-Mail-Adressen unterscheiden:

• persönliche Firmen-E-Mail-Adresse, z. B. name.surname@companyname.com
• allgemeine Unternehmens-E-Mail-Adressen wie info, support, sales, marketing, billing usw.
  das heißt, alle Adressen, die NICHT mit einer bestimmten Person verbunden sind

Die allgemeinen Firmenpostfächer sind überhaupt kein Problem,
das Unternehmen überprüft sie, liest alle Nachrichten und unterliegt dabei keinerlei Einschränkungen.

Firmenpostfach, z. B. Firmenwagen

Persönliche E-Mail-Postfächer wie name.surname@companyname.com,
können personenbezogene Daten des Arbeitnehmers enthalten, die der Arbeitgeber schützen muss.

Wenn wir uns für die Nutzung einer solchen Mailbox entscheiden,
müssen wir als Arbeitgeber wissen, welche technischen Standards wir einhalten müssen
und welche Tools wir einsetzen müssen, um die Daten angemessen verarbeiten zu können.

Die E-Mail-Adresse lässt sich mit einem Dienstwagen vergleichen,
sie wird dem Mitarbeiter zur Nutzung im Rahmen seiner beruflichen Aufgaben zur Verfügung gestellt.

Der Arbeitgeber kann beispielsweise den Kilometerstand überprüfen, um sicherzustellen, dass der Mitarbeiter
dieses Arbeitsmittel nicht missbraucht und für private Zwecke nutzt.

Der Arbeitgeber darf jedoch nicht systematisch und ohne konkreten Anlass
überwachen, was der Arbeitnehmer im Firmenwagen tut.

Die E-Mail-Adresse ist das Äquivalent zum Firmenwagen, ein Arbeitsmittel, das sich im Besitz des Unternehmens befindet,
und dem Mitarbeiter zur Verfügung gestellt wird, damit er es für die Arbeit nutzen und seine Aufgaben erfüllen kann.

Was der Mitarbeiter – auch während der Arbeitszeit – versendet und empfängt, ist vergleichbar mit dem, was
im Cockpit des Firmenwagens geschieht, und wird der privaten Korrespondenz gleichgestellt.

Zurück zum Anfang

nur unter bestimmten Bedingungen lesbar

Das Unternehmen kann den Inhalt der E-Mail-Nachrichten nicht einsehen,
dies ist weder systematisch noch ohne konkreten Anlass möglich.
Selbst wenn ein konkreter Anlass vorliegt, ist dies nur unter bestimmten Voraussetzungen möglich.

Es stehen drei unterschiedliche Interessen auf dem Spiel, die gegeneinander abgewogen werden müssen:

• das Interesse des Arbeitgebers am Zugriff auf diese Inhalte
  aus organisatorischen/produktionstechnischen, arbeitsschutztechnischen oder anderen Gründen
  
  
• die berechtigten Erwartungen der Mitarbeiter
  , die diese Inhalte als vertraulich betrachten
  
  
• Dritte, die an die E-Mail-Adresse
  schreiben, sind sich möglicherweise nicht bewusst, dass der Inhalt ihrer Korrespondenz NICHT privat und vertraulich ist.
  (Der übliche Haftungsausschluss am Ende von E-Mail-Nachrichten weist in der Regel darauf hin, dass der Inhalt von anderen gelesen werden kann.)

den Mitarbeiter informieren

Der Mitarbeiter muss in einer angemessenen schriftlichen Mitteilung darüber informiert werden, dass die E-Mail-Adresse
ausschließlich für alle Zwecke im Zusammenhang mit dem Arbeitsverhältnis genutzt werden darf, beispielsweise durch das Verbot der privaten Nutzung.

Das Dokument muss eine Anleitung zur Nutzung der Unternehmens-Tools enthalten,
einschließlich des E-Mail-Postfachs, und darauf hinweisen, dass gemäß den Datenschutzbestimmungen:

• E-Mails werden archiviert, um den gesetzlichen Vorschriften nachzukommen und die Unternehmensressourcen zu schützen
• Das Unternehmen kann in bestimmten Fällen den Inhalt des E-Mail-Postfachs des Mitarbeiters überprüfen

Großbeträge sind verboten

Die sogenannten „massiven Kontrollen“ sind verboten,
wie beispielsweise das systematische Durchsehen des Inhalts des E-Mail-Postfachs eines Mitarbeiters.

Die Grenzen der Arbeitgeberkontrolle beruhen auf drei Grundprinzipien:

• Zum einen gilt der Grundsatz von Treu und Glauben, wonach der Arbeitgeber die Firmen-E-Mail-Postfächer seiner Mitarbeiter nur dann überprüfen darf
  , wenn ein triftiger Grund vorliegt
  , beispielsweise zum Schutz von Unternehmensvermögen, das durch einen Virus gefährdet oder geschädigt werden könnte;
  oder im Falle des Verdachts auf Untreue seitens des Mitarbeiters, um vorbeugende Kontrollen durchzuführen

• die anderen sind die Verhältnismäßigkeit bei der Kontrolle sowie die zeitliche und sachliche Begrenzung der Forschung

Zurück zum Anfang

Verpflichtung zur Archivierung von E-Mail-Nachrichten

Die Vorschriften verlangen, dass der Arbeitgeber nachweisen muss
, dass er angemessene und wirksame Sicherheitsmaßnahmen getroffen hat
zum Schutz von Unternehmensdaten, wie beispielsweise die Archivierung von Unternehmens-E-Mails.

Informationspflicht gegenüber dem Arbeitnehmer

Zugriff auf Daten durch den Arbeitgeber
sofern dies ohne detaillierte Unternehmensangaben erfolgt:

• stellt einen sehr schwerwiegenden Verstoß dar
  
  im persönlichen Bereich des Mitarbeiters können sensible Daten zu finden sein,
  zum Beispiel Informationen über politische, religiöse, sexuelle oder gewerkschaftliche Neigungen,
  deren Vertraulichkeit auf höchstem Niveau gewährleistet sein muss

• Es handelt sich um eine Straftat
  
  Zudem besteht das Risiko, dass alle illegal erlangten Daten
  in einem Gerichtsverfahren unbrauchbar sind

Verpflichtung zur Löschung von E-Mail-Nachrichten

Geschäftskorrespondenz sollte in der Regel maximal zehn Jahre lang aufbewahrt werden.
Um das Unternehmensvermögen zu sichern und sich in etwaigen Rechtsstreitigkeiten verteidigen zu können.

Die Speicherung und Verarbeitung personenbezogener Daten ist nur für einen bestimmten Zweck zulässig.
Wenn dieser Zweck nach einer bestimmten Zeit, beispielsweise nach zehn Jahren, nicht mehr besteht, müssen diese Daten gelöscht werden.

Verpflichtung zur Deaktivierung der Postfächer

Im Falle einer Kündigung oder eines Austritts eines Mitarbeiters muss die E-Mail-Adresse
(Vorname.Nachname) innerhalb kurzer Zeit deaktiviert werden.

Das Unternehmen kann eine automatische Antwort aktivieren, in der der Absender darüber informiert wird, dass das Konto deaktiviert wurde,
und er gebeten wird, an eine andere interne E-Mail-Adresse zu schreiben.

Das historische Archiv der Unternehmensnachrichten gekündigter Mitarbeiter
kann nur dann aufbewahrt werden, wenn der Mitarbeiter darüber informiert wurde, dass seine Nachrichten gespeichert wurden.

Zurück zum Anfang

E-Mails vor Spam schützen

Wie schützt man geschäftliche E-Mails vor Spam?

Es ist fast unmöglich, über E-Mails nachzudenken, ohne dabei das Thema Spam zu berücksichtigen.
Wir haben versucht, die aktuelle Situation und die möglichen Strategien zusammenzufassen:

• Wie viel des E-Mail-Verkehrs ist Spam?
• Wie hoch sind die Kosten durch Spam?
• Was sind die neuesten Anti-Spam-Techniken?
  • Spam-Prävention (bevor es dazu kommt)
  • Spam-Abwehr (während der Spam-Flut)

Wie viel des E-Mail-Verkehrs ist Spam?

Eine seriöse Quelle ist SenderBase, das mittlerweile Talos heißt,
und etwa 85 % Spam-E-Mails sowie 15 % legitime E-Mails ausweist
im Vergleich zum im September 2020 erfassten E-Mail-Verkehr.

Dieser Prozentsatz ist stabil geblieben und hat sich in den letzten zwölf Monaten kaum verändert.

Quelle: E-Mail- und Spam-Daten – Weltweites Gesamtvolumen an E-Mails und Spam.

Zurück zum Anfang

Wie hoch sind die Kosten durch Spam?

Manchmal dient Spam lediglich Werbezwecken, und der Absender
versucht lediglich, mehr Kunden für sein Unternehmen
zu gewinnen, was zu Ablenkung und Zeitverlust führt. Er kann Ihren Posteingang
so überfüllen, dass es schwierig wird, wichtige E-Mails zu finden.

Nicht alle Spam-Mails sind harmlose Werbe-E-Mails.
In vielen Fällen sind die Absichten böswillig und zielen darauf ab, die Systeme der Nutzer zu beschädigen oder zu kapern.
Zu den weltweit häufigsten Varianten bösartigen Spams zählen Trojaner, Spyware und Ransomware.

Zurück zum Anfang

Was sind die neuesten Anti-Spam-Techniken?

Stellen Sie sich die Posteingänge Ihres Unternehmens wie Ihre Haustür vor:
Sie müssen entscheiden, wen Sie hereinlassen und wen Sie draußen lassen.

Keine Methode bietet eine vollständige Lösung für das Spam-Problem.
Jede Methode bringt Kompromisse mit sich zwischen dem fälschlichen Zurückweisen legitimer E-Mails (Falsch-Positive)
und dem Nicht-Zurückweisen von Spam (Falsch-Negative)
sowie den damit verbundenen Kosten in Form von Zeit, Aufwand und Kosten für das ungerechtfertigte Blockieren legitimer E-Mails.

Anti-Spam-Maßnahmen lassen sich in zwei Bereiche unterteilen: Prävention und Bekämpfung.

Spam-Prävention (bevor es dazu kommt)

Schränken Sie die Verfügbarkeit Ihrer E-Mail-Adressen ein, um das Risiko zu verringern, Spam zu erhalten.

• Diskretion
  
  Gib deine E-Mail-Adresse nicht an jeden weiter
  Je weniger bekannt sie ist, desto weniger Spam wirst du erhalten
  Verwende nach Möglichkeit für Online-Anmeldungen eine andere E-Mail-Adresse

• Kontaktformulare
  
  veröffentlichen Ihre E-Mail-Adresse nicht online
  jeder kann sie sehen, „Spambots“ fangen sie ständig ab
  um online kontaktiert zu werden, nutzen Sie sichere* Webformulare / Kontaktformulare
  * = geschützt vor Bots, die sie automatisch ausfüllen

Spam-Abwehr (während der Spam-Flut)

Sobald die Spammer Ihre E-Mail-Adresse haben, verlagert sich der Kampf auf Ihren Mailserver und Ihren Posteingang.

• SpamAssassin-ähnliche Bewertungssysteme
  
  Sie nutzen verschiedene Techniken zur Spam-Erkennung, darunter DNS-basierte E-Mail-Blacklists
  (allgemein als Realtime Blacklist, DNSBL oder RBL bezeichnet), Textanalyse und Bayes'sche Filterung.
  
  Jeder Test hat einen Bewertungswert. Die Bewertungen können positiv oder negativ sein, wobei positive Werte auf „Spam“ und negative auf „Ham“ (kein Spam) hinweisen.
  Der Standard-Punkteschwellenwert für den Empfänger beträgt „5,0“. Liegt die Punktzahl einer E-Mail über diesem Schwellenwert, wird sie als Spam markiert.
  
  Im Internet sind zahlreiche „SpamAssassin-Tests“ verfügbar,
  mit denen Spammer ihre Nachrichten vor dem Versand überprüfen können.

• Unterstützt durch Nutzer
  
  Nutzer dieser Systeme können eingehende E-Mails als legitim oder als Spam kennzeichnen, und diese Markierungen werden in einer zentralen Datenbank gespeichert.
  Sobald eine bestimmte Anzahl von Nutzern eine bestimmte E-Mail als Spam markiert hat, verhindert der Filter automatisch, dass sie in den Posteingängen der übrigen Community-Mitglieder landet.
  
  Manchmal wird das Nutzer-Feedback mit automatisierten Kontrollen kombiniert, wie beispielsweise der Anzahl der Interaktionen mit dem Inhalt der Nachricht,
  der Anzahl der Klicks auf Links und der heruntergeladenen Bilder oder der Häufigkeit, mit der dieselbe Nachricht in mehreren Postfächern auftaucht.
  
  Wenn ein kollaboratives Inhaltsfiltersystem eine große, aktive Nutzerbasis umfasst,
  kann es einen Spam-Ausbruch schnell blockieren, manchmal innerhalb weniger Minuten.
  
  Diese Art von Filter lässt sich von Spammern kaum umgehen.

• E-Mail-Authentifizierung
  
  SPF, DKIM und DMARC sind Authentifizierungsverfahren, mit denen Sie feststellen können, ob die Absenderadresse tatsächlich von dem Absender stammt, der angegeben wird.
  Im Jahr 2020 sind sie weit verbreitet und eine gute Quelle, um vertrauenswürdige Absender zu identifizieren.
  
  Es ist wichtig, im Voraus die genaue Domain zu kennen, von der die E-Mails stammen,
  da man sich sonst leicht durch die einfache Änderung eines Buchstabens täuschen lässt.
  
  Es ist möglich, dass Spammer die E-Mail-Authentifizierung einhalten
  , sodass ihre Nachrichten so aussehen, als kämen sie von „legitimen Absendern“.

• Zugelassene Absender, Whitelist
  
  In einer Whitelist kann man eine Reihe vertrauenswürdiger Adressen oder Domains angeben.
  Zu Beginn sind das persönliche Adressbuch und die bisher empfangenen E-Mails eine große Hilfe.
  
  Befindet sich ein Absender in dieser Liste, werden alle Prüfungen übersprungen und die Nachricht wird ohne Verzögerung empfangen.
  Diese Methode ist einfach zu implementieren und in Verbindung mit der E-Mail-Authentifizierung sehr effektiv, um das Fälschen von E-Mail-Adressen* zu verhindern.
  * = Verwendung eines gefälschten Absenders, um den Anschein zu erwecken, dass die Nachricht von einer anderen Person als dem tatsächlichen Absender stammt
  
  Sobald Ihre Liste vertrauenswürdiger Kontakte vollständig ist, gelangt kein unbekannter Absender mehr in Ihren Posteingang.
  Alle unerwünschten Nachrichten können in ein anderes Postfach umgeleitet werden, das einmal täglich oder seltener überprüft wird.
  
  Spammer werden kaum herausfinden können, wer die vertrauenswürdigen Absender der einzelnen Empfänger sind.
  Selbst wenn sie dies tun, werden Sie durch E-Mail-Authentifizierungsprüfungen auf die betrügerische Nutzung aufmerksam gemacht.

Zurück zum Anfang

So funktioniert DMARC – aktualisiert

Wie funktioniert DMARC mit Gmail und Office 365? (aktualisiert)

Wir haben erneut untersucht, wie sich die E-Mail-Authentifizierung auf die Zustellungs
an Google Mail- und Office 365-Postfächer auswirkt – die beliebtesten E-Mail-Anbieter für Unternehmen.

Die Ergebnisse lassen sich in zwei Gruppen unterteilen:

E-Mail-Zustellung

(Wie sich SPF, DKIM und DMARC auf die Zustellung gesendeter Nachrichten auswirken)

# Google Mail: Die E-Mails werden immer angenommen, die SPF-Authentifizierung scheint überhaupt nicht berücksichtigt zu werden
Die DKIM-Signatur wird nur geprüft, wenn sie mit der Absender-E-Mail-Adresse übereinstimmt und DMARC mit der Richtlinie „quarantine“ oder „reject“ konfiguriert ist.
 
# Office 365: reagiert vollständig auf SPF; wenn eine Nachricht die SPF-Prüfung besteht, gelangt sie in den Posteingang.
Die DKIM-Signatur wird nur berücksichtigt, wenn sie mit der Absender-E-Mail-Adresse übereinstimmt, andernfalls spielt sie keine Rolle.
 
   Hinweise: In der letzten Augustwoche zeigte Office 365 ein seltsames Verhalten:
Nur Nachrichten, die mit DKIM signiert waren (Signaturdomäne stimmte mit der Absenderadresse überein)
und bei denen ein DMARC-Eintrag vorhanden war (mit beliebiger Richtlinie), wurden in den Posteingang zugestellt

Schutz vor Spoofing

(Wie SPF, DKIM und DMARC die E-Mail-Adresse des Absenders vor Spoofing schützen*)
* = Die Nachricht so erscheinen lassen, als stamme sie von einer anderen Person als dem tatsächlichen Absender

# Google Mail: Bei Aktivierung von DMARC werden gefälschte Absender in den Spam-Ordner gefiltert (mit p=quarantine) oder abgelehnt (mit p=reject).
   Es passiert nichts, wenn die Richtlinie auf „none“ (p=none) gesetzt ist; in diesem Fall gelangen alle Nachrichten in den Posteingang.

# Office 365: Die Ergebnisse „spf fail“ oder „spf softfail“ reichen aus, um die gefälschten Absender in den Junk-E-Mail-Ordner zu verschieben.

Authentifizierungsanforderungen

Die vorgeschlagenen Anforderungen an die E-Mail-Authentifizierung lassen sich wie folgt zusammenfassen:

Ergebnisse des E-Mail-Zustellungstests

Nachfolgend finden Sie die vollständige Liste der durchgeführten Tests

Anmerkungen:

• Wenn die Absenderadresse (sichtbarer Absender) und die „Mail-from“-Adresse (auch als „Envelope-From“ oder „Return-Path“ bezeichnet) identisch sind, beziehen sie sich auf dieselbe Domain
• „dkim pass“: Die DKIM-Signaturdomäne stimmt mit der der Absenderadresse überein (die Domänen sind identisch)
• „dkim diff“: Die DKIM-Signaturdomäne unterscheidet sich von der der Absenderadresse (die Domänen sind NICHT aufeinander abgestimmt)

DKIM-Domäne für DMARC

Wie wirkt sich die DKIM-Domänenabgleichung auf die DMARC-Authentifizierung aus?

DMARC (Domain-based Message Authentication, Reporting and Conformance),
ist ein Standard zur E-Mail-Authentifizierung, der entwickelt wurde, um gefälschte E-Mails mit gefälschten Domänen zu bekämpfen.

Im Kapitel „3.1. Identifikatorabgleich“ heißt es:

   E-Mail-Authentifizierungstechnologien authentifizieren verschiedene (und
  unterschiedliche) Aspekte einer einzelnen Nachricht.  Beispielsweise authentifiziert [DKIM]
  die Domäne, die die Nachricht signiert hat,
  während [SPF] entweder die Domäne authentifizieren kann, die im
  RFC5321.MailFrom-Teil (Mail-From) von [SMTP] oder im RFC5321.EHLO/
   HELO-Domäne oder beides.  Dies können unterschiedliche Domänen sein, und sie sind
   für den Endbenutzer in der Regel nicht sichtbar.

   DMARC authentifiziert die Verwendung der RFC5322.From-Domäne, indem es verlangt, dass
   diese mit einem authentifizierten Identifikator übereinstimmt (abgestimmt ist).
   
   -- https://tools.ietf.org/html/rfc7489#section-3.1

Das bedeutet ganz einfach:

   Wenn ein Absender seine E-Mail mittels SPF und/oder DKIM authentifiziert,  
   muss mindestens eine der Domains mit der Absender-Domain übereinstimmen

Uns war nicht klar, ob eine Nachricht die SPF- oder DKIM-Prüfung
nicht bestehen und dennoch die DMARC-Authentifizierung bestehen könnte.

Wir haben es mit einem Tool getestet, das jedem zur Verfügung steht: einem Gmail-Postfach.
Um das Ergebnis zu sehen, öffnen Sie die Nachricht und wählen Sie „Original anzeigen“:

Test 1 – weitergeleitete Nachricht: SPF-Fehler, DKIM-Bestätigung (abgestimmt)

Test 2 – fehlerhafter DKIM-Schlüssel: DKIM-Fehler, SPF-Bestätigung (abgestimmt)

The result is evident, the message passes DMARC authentication if it occurs:
SPF and domain alignment <OR> DKIM and domain alignment

Um die DMARC-Prüfung zu bestehen, ist es daher in manchen Fällen wichtig, die DKIM-Signatur zu validieren:
Die signierende Domain (d=example.com) muss mit der „From“-Domain übereinstimmen.

Beispiele für „DMARC-PASS“-Ergebnisse, die andernfalls nicht funktioniert hätten:

Fall 1 – Durch die Weiterleitung wird die SPF-Authentifizierung unterbrochen

• SPF-FEHLER: SPF-Authentifizierungsprüfungen schlagen meist fehl,
  da eine neue Entität, die nicht im SPF-Eintrag des ursprünglichen Absenders aufgeführt ist, die weitergeleitete E-Mail versendet

• DKIM-PASS (angepasst): Die Weiterleitung von E-Mails hat keinen Einfluss auf die DKIM-Signatur

Ergebnis: Dank der DKIM-Übereinstimmung besteht die Nachricht die DMARC-Prüfung.

Fall 2 – Die vom ESP (E-Mail-Dienstanbieter) bereitgestellte SPF-Domäne
kann NICHT mit der Absender-Domäne abgeglichen werden

• SPF~PASS (nicht abgeglichen): Die SPF-Authentifizierung schlägt beim Abgleich der Domänen fehl,
  da die von ESP in der „Mail-From“-Adresse verwendete Domäne von der im „From“-Feld angegebenen abweicht

• DKIM-PASS (abgestimmt): Die DKIM-Signatur verwendet dieselbe Domain wie der Absender

Ergebnis: Dank der DKIM-Übereinstimmung besteht die Nachricht die DMARC-Prüfung.

Die beliebtesten E-Mail-Anbieter

Welche E-Mail-Anbieter sind 2020 am beliebtesten?

Um die Zustellbarkeit von E-Mails zu überwachen, ist es wichtig zu wissen, welche E-Mail-Anbieter Ihre Empfänger nutzen.

Business-to-Business

Für den B2B-Bereich liegen uns keine genauen Zahlen vor. Der Großteil der geschäftlichen E-Mail-Postfächer wird auf „Cloud-Office-Suiten“ umgestellt, wobei sich der Markt zwischen „G Suite“ und „Office 365“ aufteilt.
Zusammen decken sie laut Daten von datanyze.com mehr als 90 % des weltweiten Marktanteils für geschäftliche E-Mail-Dienste ab.

Diese Informationen für ein einzelnes Unternehmen zu sammeln, ist recht einfach.
Anhand des MX-Eintrags der Unternehmensdomain lässt sich der verwendete E-Mail-Anbieter erkennen:
aspmx.l.google.com für „G Suite“
mail.protection.outlook.com für „Office 365“

Wenn Ihr Unternehmen im B2B-Bereich tätig ist, empfiehlt es sich, regelmäßig die Postfächer dieser beiden Anbieter zu überprüfen.

Ein weiterer Anbieter ist Zoho (mx.zoho.com), dessen Marktanteil bei etwa 2 % liegt (Quelle: ciodive.com).

Business-to-Consumer

Im B2C-Bereich ist die Analyse komplexer. Es gibt keine öffentlich zugänglichen „E-Mail-Öffnungsdaten“, die auf dem Internetverkehr basieren.

Die einzige Möglichkeit, Informationen über E-Mail-Empfänger zu erhalten, besteht darin, diese aus unserer Kontaktliste zu extrahieren oder sie von großen E-Mail-Anbietern zu beziehen. Einige von ihnen erstellen Jahresberichte, um diese mit der Internet-Community zu teilen.

Die folgenden Daten zeigen die drei führenden E-Mail-Anbieter in 25 Ländern; die Informationen stammen aus der von Sendgrid veröffentlichten „2019 Email Benchmark and Engagement Study“.

Länder

Argentinien, Australien, Belgien, Brasilien, Kanada, Chile, China, Kolumbien, Dänemark, Frankreich, Deutschland, Indien, Indonesien, Italien, Japan, Mexiko, Neuseeland, Russland, Saudi-Arabien, Spanien, Südafrika, Schweden, Schweiz, Vereinigtes Königreich, Vereinigte Staaten

Argentinien

Zurück zum Anfang

Australien

Zurück zum Anfang

Belgien

Zurück zum Anfang

Brasilien

Zurück zum Anfang

Kanada

Zurück zum Anfang

Chile

Zurück zum Anfang

China

Hinweis: Die Informationen stammen aus „Länderübersicht: China“ von ReturnPath

Zurück zum Anfang

Kolumbien

Zurück zum Anfang

Dänemark

Zurück zum Anfang

Frankreich

Zurück zum Anfang

Deutschland

Zurück zum Anfang

Indien

Zurück zum Anfang

Indonesien

Zurück zum Anfang

Italien

Zurück zum Anfang

Japan

Zurück zum Anfang

Mexiko

Zurück zum Anfang

Niederlande

Zurück zum Anfang

Neuseeland

Zurück zum Anfang

Russland

Zurück zum Anfang

Saudi-Arabien

Zurück zum Anfang

Spanien

Zurück zum Anfang

Südafrika

Zurück zum Anfang

Schweden

Zurück zum Anfang

Schweiz