Entsprechend Punkt 2.13 der CSA Kriterien muss ein E-Mail-Versender die Kontrolle über seine für ihn versendenden E-Mail-Server/ E-Mail-Hosts haben. In der neuen Version der CSA Kriterien ab 2022 muss der Versender dies auch mit Hilfe eines eindeutigen Tokens für jeden Host – der CSA Host Verification – nachweisen.

Was Unternehmen als E-Mail-Versender jetzt beachten müssen

Geschäfte geschlossen, Restaurants zu, Hotels leer, die Corona-Pandemie hat Deutschland in den letzten Wochen weitgehend zum Stillstand gebracht, und viele kleine und mittlere Unternehmen in eine gefährliche Schieflage. Aber Not macht bekanntlich erfinderisch und so haben viele Unternehmer ihr Geschäft dahin verlegt, wo es keine, zumindest den menschlichen Körper schädigenden Viren gibt, ins Internet. Und auch die Kunden verlegen ihren Einkauf angesichts geschlossener Ladentüren ins World Wide Web. Das hat Folgen: Nach Angaben der zum 1&1-Konzern gehörenden Mail-Anbieter WEB.DE und GMX hat die E-Mail-Nutzung seit Beginn der Corona-Krise um satte 40 Prozent zugenommen, Shopping E-Mails legten mehr als 30 Prozent zu. Diese Entwicklung ist grundsätzlich kein Problem, allerdings machen sich findige Betrüger die momentane Situation zu Nutze, indem sie das Vertrauen der Empfänger missbrauchen. Eine Google-Suche nach den Begriffen „E-Mail“ und „Corona“ ergibt fast ausschließlich Treffer, die sich mit Phishing befassen. So warnte beispielsweise auch die Verbraucherzentrale jüngst vor einer Phishing-Mail, die angeblich von der Sparkasse kommen sollte. Kunden sollten über einen Link persönliche Daten angeben, die dann sofort bei den Betrügern landeten. Die Phisher nutzen dabei die Tatsache, dass Kundenbeziehungen durch Corona vermehrt über Mail gepflegt werden und dass die Empfänger dies auch akzeptieren und vielleicht nicht die gebotene Vorsicht walten lassen. Das ist ärgerlich für die Empfänger solcher Mails und kann im schlimmsten Fall richtig ins Geld gehen. Das hohe Aufkommen solcher Mails kann also auch Konsequenzen für durchaus seriöse Versender von E-Mails haben, wenn in Ihrem Namen wie im oben genannten Fall Phishing-Mails versendet werden. Ein zweites Problem ist Spam. Mails mit dubiosen Angeboten von Atemschutzmasken oder Desinfektionsmitteln beispielsweise nutzen die Ängste der Empfänger für ihre Zwecke aus. Sogar Spam-Mails im Namen der Weltgesundheitsorganisation (WHO) sind schon aufgetaucht. Das haben auch die Mailbox-Provider erkannt und setzen ihre Spam-Regeln noch rigoroser um. Und ganz wichtig für die Versender: Wer einmal im Spam-Ordner eines Empfängers gelandet ist, der wird es auch in Zukunft nicht in den Posteingangsordner des gleichen Empfängers schaffen. In diesem Zusammenhang ist es also besonders wichtig für Versender, dass sie sich strikt an bestimmte Regeln halten, damit ihre Mails auch zugestellt werden. Gerade kleine und mittlere Unternehmen, die ihre Geschäftsaktivitäten angesichts der Krise ins Internet verlegt haben und jetzt auch vermehrt E-Mails versenden, haben oft wenig Ahnung davon, wie sie sich davor schützen können, für Phishing-Attacken missbraucht zu werden oder als vermeintliche Spammer den guten Ruf zu verlieren. Die Certified Senders Alliance (CSA), ein White-Listing Project des eco – Verband der Internetwirtschaft e.V. in Kooperation mit dem Deutschen Dialogmarketing Verband (DDV), hat es sich zum erklärten Ziel gemacht, die Qualität kommerzieller E-Mails zu erhöhen und dadurch die Zustellbarkeit zu erhöhen und die Reputation der Versender zu schützen. Die Mailexperten der CSA empfehlen Unternehmen die Einhaltung der folgenden fünf Basics, um ihre Identität im Netz zu schützen und dafür zu sorgen, dass ihre E-Mails heute und in der Zukunft im Postfach des Empfängers landen.

Nutzen Sie nur hochwertige Adressen

Nehmen Sie nur Adressen von Personen in Ihren Verteiler auf, die Sie auf legale Weise generiert haben, von denen Sie wissen, dass Sie ihre Informationen haben möchten und deren Einverständnis Sie jederzeit nachweisen können. Das verschafft Ihnen nicht nur rechtliche Sicherheit, sondern schützt Ihre Reputation und begründet Vertrauen bei Ihren Kunden. Ein kleiner Verteiler mit qualitativ hochwertigen Adressen ist besser als ein großer Verteiler mit Adressen aus zumindest fragwürdigen Quellen. Nutzen Sie auf jeden Fall das Double-Opt-In-Verfahren. Im Zweifelsfall müssen Sie jederzeit eindeutig nachweisen können, dass Sie die Einverständniserklärung jeder Person haben, der Sie eine Mail geschickt haben. Und mit Double-Opt-In (DOI) sind Sie auf der sicheren Seite.

Achten Sie auf einen professionellen Eindruck

Achten Sie bei der Bild- und Wortwahl in Ihren E-Mails auf Qualität. Pixelige Bilder oder Buttons oder auch eine nichtssagende Betreffzeile hinterlassen einen negativen Gesamteindruck. Stellen Sie unbedingt sicher, dass alle Links in Ihrer E-Mail funktionieren und beachten Sie die „Spielregeln“: Jeder Link sollte die Informationen widergeben, die angepriesen werden. Achten Sie beim Gesamtbild Ihres Auftritts darauf, dass er einen vertrauenserweckenden Eindruck macht und nicht nur das rechtlich Notwendige abdeckt.

Reden Sie Klartext

Seien Sie ehrlich, auch wenn es darum geht, neue Abonnenten für Ihren Newsletter zu gewinnen. Sagen Sie, was Sie wollen, in klaren und verständlichen Worten, „verstecken“ Sie Ihre Anfrage zur Werbeeinwilligung nicht. Der Adressat merkt es spätestens, wenn er einen Newsletter bekommt, den er nicht bewusst angefordert hat und diesen dann verärgert wieder abbestellt – oder noch schlimmer- in seinem Postfach als Spam markiert. Stellen Sie einen Bezug für den Empfänger her damit er weiß, warum und auf welcher Grundlage Sie mit ihm kommunizieren. Setzen Sie eine klare Erwartungshaltung beim Empfänger, indem Sie einen Betreff wählen, der sich auch um Inhalt der E-Mail wiederfindet. Und sprechen Sie den Empfänger, wenn möglich, persönlich an.

Seien Sie kein Phish

Schützen Sie sich und Ihre Marke durch Authentifizierung davor, für Phishing missbraucht zu werden. Setzen Sie beim Versand Ihrer E-Mails auf die Standards Sender Policy Framework (SPF), Domain Keys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting and Conformance (DMARC). Mit Hilfe von DMARC, (SPF) und (DKIM) haben Sie die Möglichkeit, Ihre E-Mails für einen Mailboxprovider klar erkennbar zu machen und zugleich festzulegen, wie er E-Mails handhaben soll, die angeblich von Ihnen stammen. Infolgedessen können Phishing E-Mails zuverlässig erkannt und gefiltert werden bevor sie den Empfänger erreichen und möglichen Schaden bei Ihrem Kunden anrichten.

Gehen Sie auf Partnersuche

Begriffe wie SPF, DKIM und DMARC haben Sie noch nie gehört? Sie haben bis jetzt nur einzelne E-Mails versendet, möchten Ihre E-Mail-Kommunikation in der derzeitigen Situation jedoch erweitern? Der Versand im großen Stil erfordert die Beachtung umfangreicher Standards für transaktionale E-Mails (z.B. Rechnungen, Auftragsbestätigungen etc.) und Newsletter. Die CSA hat die erforderlichen technischen und rechtlichen Standards in den CSA Kriterien zusammengefasst. Denken Sie darüber nach, Ihren E-Mail-Versand über einen Email Service Provider abwickeln zu lassen? Von der CSA zertifizierte Versender haben sich dazu verpflichtet, die CSA Kriterien und somit einen sehr hohen Standard einzuhalten. Zertifizierte Versender finden Sie hier. Wenn Ihr E-Mail Service Provider (ESP) die Möglichkeit bietet, nutzen Sie eine Feedback-Loop. Dann erhalten Sie von Ihrem Provider eine Rückmeldung über Adressaten, die Ihre Mail als Spam oder Junk einstufen. Auch das hilft Ihnen bei der Listenhygiene, natürlich nur, wenn Sie die entsprechenden Adressen auch umgehend aus Ihrer Liste entfernen. In der Bibliothek der CSA finden Sie außerdem weitere informative Artikel zu aktuellen Herausforderungen.

Eine Feedback-Loop ist ein technischer Service von Mailbox Providern, der Spam-Klicks von E-Mail-Empfängern anden Versender zurückmeldet. Diese Funktion kommt zur Anwendung, wenn ein Empfänger in der Oberfläche seines E-Mail Accounts auf den „Spam-Button“ klickt, um sich über den Erhalt einer E-Mail beim Mailbox Provider zu beschweren.

Dieses Dokument befasst sich mit der Transportverschlüsselung von Nachrichten zwischen zwei E-Mail-Servern. Sie ist für eine Grundsicherung des Nachrichtenaustausches unabdingbar. Der Austausch von Nachrichten zwischen einem E-Mail-Client undeinem Server oder die Ende-zu-Ende Verschlüsselung von Nachrichten sind nicht Gegenstand dieses Artikels. Wenn es darum gehen soll, ein sicheres Gesamtsystem zu erschaffen, sollten diese Aspekte zusätzlich zu den Ausführungen in diesem Artikel betrachtet werden.

Es läuft nicht immer alles rund im Internet. Spam, Phishing, Man in the Middle Attacken,Spoofing, die Liste der Bösewichte im Netz und ihrer ausgefeilten Methoden ist lang.Und in fast allen Fällen ist ein Medium beteiligt, das wir alle täglich nutzen, die E-Mail. Dabei nutzen Cyberkriminelle aus nachvollziehbaren Gründen nicht ihre eigene Identität als Absender. Vielmehr bedienen sie sich gerne bei renommierten Unternehmen und Marken, oft bei Banken, Payment-Diensten, Online-Shops oder Zustellfirmen. Grundsätzlich kann es aber jede Marke treffen.

BIMI ist ein Akronym für Brand Indicators for Message Identification. Es handelt sich umeinen offenen Standard, der von mehreren großen Unternehmen im E-Mail-Markt wieGoogle, Verizon Media/Yahoo und Linkedin gemeinsam entwickelt wurde.

Seit den neuen CSA-Regularien, die am 1. Juli 2019 in Kraft getreten sind, ist der One-Click-Unsubscribe (RFC8058) für Newsletter ein verpflichtendes Kriterium bei der CSA. Gesetzlich vorgeschrieben ist es, dass Versender einem Newsletter-Empfänger eine kostenneutrale Möglichkeit ohne nötige Kenntnis von Login-Daten bieten, sich vom Empfang abzumelden. Dies wird schon lange über Unsubscribe-Links oder -Buttons im Newsletter gelöst. Der One-Click-Unsubscribe-Link meldet den Empfänger unmittelbar vom Newsletter ab. Ein Anmelden oder eine zusätzliche Bestätigung darf nicht verlangt werden.

Ist der Ruf erst ruiniert, lebt es sich recht ungeniert. Für Privatpersonen mag das ja vielleicht zumindest teilweise zutreffen. Versandhändler, Dienstleister oder das Bankgewerbe leben aber zum großen Teil von ihrem guten Ruf und sind deshalb auch im Internet darauf bedacht, ihre gute Reputation zu halten bzw. zu optimieren.

Es ist gängige Praxis bei E-Mail Service Providern (ESPs), dass mandantenspezifische oder gar globale Sperrlisten geführt werden, um zu verhindern, dass E-Mail-Adressen wieder ins System importiert werden können, die unter keinen Umständen erneut angeschrieben werden sollen. Beispielsweise weil ein Empfänger sich in der Vergangenheit beschwert hatte und explizit wünscht, keine E-Mails mehr von diesem Versender zu erhalten. Ein versehentlicher Reimport der betroffenen Adresse würde nicht nur den Empfänger verärgern, sondern auch die Reputation des Versenders schädigen.

Für den professionellen E-Mail Versand ist Authentifizierung unbedingt nötig. Wer über SPF und DKIM hinaus DMARC einsetzen möchte, muss zwingend Alignment erfüllen. Doch selbst ohne DMARC ist Alignment ein richtiger und wichtiger Schritt zu einer authentifizierten E-Mail.