[Spam] Mails

von | Mrz 3, 2020 | Ratgeber

Obwohl EMails unsicherer sind als Postkarten gehört dieser Weg der Nachrichtenübermittlung noch immer zu den beliebtesten, weil sich ein beliebig langer und formatierter Text sogar mit Anhängen in der Regel in Sekunden an viele Empfänger zustellen lässt.

Da ist es nicht verwunderlich, dass EMails auch missbraucht werden. Nichts ist günstiger als Werbung in Masse per EMail zu versenden. Dieses Verhalten hat jedoch zur Auswirkung, dass Gegenmaßnahmen ergriffen werden um solche Vorgänge einzugrenzen, was wiederum dazu führt, dass oft die eigenen Mails als SPAM ausgesondert werden und somit den gewünschten Empfänger nicht erreichen. Es ist das klassische Hase-Igel-Rennen.

Der Mailverkehr beinhaltet den Mailversand sowie den Mailempfang.

Mailempfang:

Jeder Mailempfänger (und sein Mailprovider) definieren eigene Regeln wie mit einer eingehenden Mail zu verfahren ist. Hierzu gehören auch Regeln zur Identifizierung als SPAM oder JUNK (beides bedeutet soviel wie „MÜLL“, also unerwünschte Nachrichten). Es ist auch gut so, dass es keine eindeutige Regel zur Identifizierung gibt, denn diese würde von den „bösen Buben“ natürlich sofort umgangen werden, denn leider ist kein Absender bereit freiwillig seine Nachricht als „ich bin SPAM“ zu markieren.

Mailversand:

Auf was müssen wir nun achten, wenn wir seriöse Mails versenden um zu vermeiden beim Empfänger im Mülleimer zu landen? Hier gibt es grundsätzlich zwei Wege wie Mails versendet werden:

unauthentifizierter Mailversand

Die meisten Anwendungen wie WordPress, Typo3, Shopware und so weiter versenden im Standard unauthentifziert per PHP, weil es für die Benutzer meistens einfacher ist. Jede gängige Anwendung benötigt die Scriptsprache PHP. Daher ist diese in der Regel auf allen Webservern bereits installiert und wird auch für den Mailversand genutzt. Dabei übergibt ein PHP-Script die Maildaten an einen Mailserver, der diese wiederum dem jeweiligen Empfänger zustellt. Dabei ist keine Anmeldung an einem Postfach erforderlich und wird somit ohne Authentifizierung versendet. Daher ist dies auch der klassische Weg, den die „bösen Buben“ bevorzugt verwenden.

authentifizierter Mailversand

Hierbei ist für den Mailversand eine Anmeldung an einem Postfach erforderlich. Dies verleiht der EMail eine deutlich bessere Qualität als ein unauthentifizierter Versand, da diese Zugangsdaten hoffentlich nur einer kennt. Bei einem Mailclient (Outlook, Thunderbird, Evolution, …) ist dieser Weg der Nachrichtenübermittlung der Standard. Man gibt entgegen der unauthentifizierten Versandmethode den Mailserver, Port, Benutzername und Passwort an um Mails versenden zu können. Daher sollte diese Methode auch für die eigene Webseite (Kontaktformular, Newsletter) Verwendung finden.

[SPAM] Merkmale

Um vom Mailbetreiber des Absenders und Empfängers sowie des empfangenden Mailclient möglichst nicht als Müll definiert zu werden sollten beim Mailversand über eine Webseite folgende Punkte beachtet werden:

  • Versand per SMTP anstatt per PHP
  • gültige Absenderadresse
  • gültige Reply-To-Adresse
  • Absenderadresse identisch mit Reply-To-Adresse
  • Vermeidung bestimmter Worte (Sex, Viagra, …) im Text
  • Vermeidung von Links die auf einer Sperrliste stehen
  • Abmeldelink in jeder EMail bei Newsletter
  • Double-Optin für die Registrierung bei Newsletter
  • (re) Captcha bei Kontaktformularen
  • maximale Anzahl pro Mails in einer Zeiteinheit nicht überschreiten (beim Mailprovider erfragen)
  • maximale Anzahl gleichzeitiger Empfänger

Dies sind bereits so einige Punkte die dazu beitragen seriöse EMails sauber zu versenden und somit beim Empfänger möglichst nicht als SPAM oder JUNK automatisch aussortiert zu werden. Eine Garantie ist es natürlich trotzdem nicht, da keiner weis, was zum Beispiel der Empfänger an seinem eigenen Mailclient für individuelle Regeln erstellt hat.

Doch gehen wir auf die einzelnen Punkte im Detail ein:

Versand per SMTP anstatt per PHP:

Der Versand über ein Postfach erfolgt mit dem Protokoll SMTP (POP3 und IMAP sind für den Empfang).
In der Regel sollte ein Postfach immer durch Zugangsdaten (Benutzername + Passwort) geschützt sein, daher ist ein SMTP-Versand sicherer als per PHP.

gültige Absenderadresse:

Technisch kann als Absenderadresse alles beliebige eingetragen werden, wie auf einem Briefumschlag auch jeder beliebige Absender geschrieben werden kann.
Wünschenswert wäre hier eine Kontrollfunktion, dass der Absender wirklich der richtige ist. Aber dies gestaltet sich global etwas schwierig (wie beim Brief). Daher muss jeder Absender selbst darauf achten, dass eine gültige Absenderadresse eingetragen ist.

gültige Reply-To-Adresse:

In manchen Situationen macht es Sinn, dass beim Antworten auf eine Mail diese nicht an den Absender geht sondern eine andere Adresse.
Beispiel:
Absender: mitarbeiter-x@firma.de
Reply-To: zentrale@firma.de
Dadurch werden Antworten direkt an die Zentrale geschickt, die dann den Rest verwaltet (z.B. intern an den Mitarbeiter weiterleitet oder einen anderen Mitarbeiter).

Absenderadresse identisch mit Reply-To-Adresse:

Weicht die Absenderadresse jedoch von der Reply-To-Adresse ab, gibt das „Strafpunkte“ (Score).
Solange alle anderen Anforderungen erfüllt sind sollte diese Abweichung kein Problem darstellen.
Zumindest wenn es zu Problemen kommt, sollte man die beiden Adressen gleich setzen.

Vermeidung bestimmter Worte (Sex, Viagra, …) im Text:

Scanner prüfen auch Inhalte einer Mail und sortieren bestimmte Begriffe als Verdächtig aus.
Ob diese Mail dann nur als Verdächtig markiert wird oder gleich gelöscht wird entscheidet der Empfänger.

Vermeidung von Links die auf einer Sperrliste stehen:

Enthält die Mail Links auf Seiten, die aus bestimmten Gründen gesperrt sind wird auch die Mail mit diesem Link als verdächtig eingestuft.

Abmeldelink in jeder EMail bei Newsletter:

Newsletter müssen zusätzliche Regeln erfüllen. So muss in jedem Newsletter ein Link enthalten sein, mit dem sich der Empfänger mit einem Mausklick aus der Verteilerliste löschen kann. Es dürfen vorab keine Fragen nach dem warum, weshalb, wieso kommen. Die Abmeldung muss mit einem Klick durchgeführt werden.

Double-Optin für die Registrierung bei Newsletter:

Man darf nicht willkürlich Empfänger zu einer Liste hinzufügen, sondern der Empfänger muss vorab eine Mail mit einem Bestätigungslink erhalten. Damit ist zum einen sicher gestellt, dass es diese Mailadresse auch gibt (zumindest zu diesem Zeitpunkt) und der Empfänger an der Information auch Interesse bekundet.

Captcha bei Kontaktformularen:

Kontaktformulare werden häufig von bots ausgenutzt, die automatisch die Funktion eines Kontaktformular ausnutzen und Mails versenden. Um dies best möglichst zu verhindern müssen bei einem Formular Schutzmechanismen integriert werden, die dafür sorgen, dass nur ein echter Mensch das Kontaktformular ausfüllt. Im Zuge der DS-GVO sind bei Kontaktformularen auch noch weitere Anforderungen zu erfüllen.

Bislang bekannte Lösungen mit guter Schutzwirkung:
Google reCaptcha: Google ist mit der größte Datensammler und setzt mit dieser Lösung Cookies, daher aus Datenschutzsicht bedenklich.
hCaptcha: Nicht auf Deutsch verfügbar und daher noch nicht getestet.
Friendly Captcha: Deutsches Unternehmen welches keine Cookies setzt und somit Datenschutzkonform arbeitet.

maximale Anzahl pro Mails in einer Zeiteinheit nicht überschreiten (beim Mailprovider erfragen):

Um das eigene Postfach als „bösen Absender“ zu schützen und auch die Mailserver des Betreiber definieren Hoster in der Regel eine maximale Anzahl an Mails die innerhalb eines definierten Zeitraum versendet werden können. Wird bewusst eine höhere Anzahl benötigt muss dies mit dem Hoster geklärt werden.

maximale Anzahl gleichzeitiger Empfänger

Ab 50 Empfängern spricht man von Massenmails. Daher verhindern die meisten Mailclients bereits den Versand einer Mail an 50 oder mehr Empfänger, da dies auf einen klassischen Spam hinweist. Wer an eine größere Empfängerrunde Nachrichten verschicken will/ muss sollte daher unbedingt ein Newslettersystem verwenden. Hinzu kommen bei einer solchen Verfahrensweise auch häufig Datenschutzbedenken, da jeder Empfänger auch die Kontaktdaten der anderen Empfänger lesen kann.

Weitere Infos zu diesem Thema gibt es auch im Blog von Mittwald:
https://www.mittwald.de/blog/mittwald/spam-mails-das-macht-mittwald-dagegen

RoundAboutWEB
AGB

Die Waren und Dienstleistungen von RoundAboutWEB stehen ausschließlich Unternehmern im Sinne von § 14 BGB zur Verfügung.
Ein Vertragsschluss mit Verbrauchern im Sinne von §13 BGB ist ausgeschlossen.