Mails, Mails, Mails…

Monsters with Emails

Auch in Zeiten von Whatsapp, Threema, Signal, Skype, Telegram, Discord, Teams, Slack oder Facebook: Ohne sie geht gar nix. Leider kommen aber unsere wunderschön formatierten Emails nicht immer an und landen im Spam Folder, werden zurückgewiesen oder schlimmer: sie landen im Nirvana. Emails sind nach wie vor der wichtigste -und bequemste- Kommunikationsweg zu den KundenInnen.

Deshalb mal wieder aktuelle Infos von dieser Front, inklusive einiger Begriffsklärungen (Fett, in Klammern). Hierbei soll es nur um die Tricks bei der Zustellung der Emails gehen, nicht um die Sicherung des Inhaltes einer Mail (das wäre ein eigener langer Artikel). Übrigens enthält die aktuelle c’t (24/2023) einige Beitrage zum Thema, die diesen Beitrag, der auf unser System zugeschnitten ist, sehr schön ergänzen.

Wir als Ökobox-Online erzeugen aktuell über 2 Mio Emails pro Monat für alle Anwender, fast alle von denen stellen wir auch über unsere eigenen Mailserver zu (Standard-Einstellung bei uns). Den Prozess kann man sich etwa so visualisieren:

PCG -> Shop -> ÖO-Mailserver -> Ziel -> Mailserver mit Ziel -> Mailbox

Natürlich möchten wir, dass unsere Mail sicher in der Ziel-Mailbox ankommt. Aber das wollen ja alle (also auch die, die uns was Verkaufen wollen, Monster die uns reinlegen wollen, Phisher die an unser Geld wollen…) …. deshalb unternimmt der Provider (der „Zur-Verfügung-Steller“) der Mailbox (=Briefkasten) viel, um die gewünschte von der ungewünschten Mail zu trennen. Das ist nicht einfach, weil der ja nicht wissen kann was nun gerade von uns „gewünscht“ ist oder nicht. Und während viele geduldig immer wieder die gedruckten Kataloge aus dem Briefkasten entsorgen, schimpfen sie über den Provider, weil er doch so viel Spam durchlässt. Der Provider wiederum hat ein eigenes Interesse, weil er den Mailbox-Benutzer braucht um selber Werbung an den Mann/die Frau zu bringen (z.B. Google oder Outlook.com), oder weil er für seinen Dienst bezahlt wird (z.B. gmx pro oder posteo).

Das Thema, also wer wem unaufgefordert eine Nachricht senden darf, ist offensichtlich zu komplex um in Parlamenten verhandelt zu werden, deshalb haben sich die Techniker über die Jahre eine Reihe verrückter Dinge ausgedacht, um das Problem in den Griff zu bekommen. Allerdings wird das schnell sehr -sagen wir mal- umfangreich. Vielleicht so vielschichtig wie ein Lieferservice, der vor 15 Jahren ja auch noch ganz einfach war …

Im Kern geht es um die „Reputation“ eines Mail-Senders. Ist die gut, kommt die Mail an, ist sie das nicht (oder unbekannt), kommt sie …vielleicht an. Ganz so wie mit Nachrichten im echten Leben. Damit man diese Reputation aber an irgendwas festmachen kann, muss man das Gegenüber (den Absender) sicher erkennen – wie bei einer Postkarte hat man dazu aber zunächst mal nur das, was als Absender draufsteht. Und ob das stimmt…

Sicherheitstechniken

Sowas kann man in der Computerei kryprografisch absichern…supercool, aber das ist so kryptisch wie es klingt. Es braucht eine saubere Infrastruktur (also richtig installierte Programme und Zertifikate) und insbesondere Leute die verstehen was sie encrypten, signieren (DKIM) und , was „Schlüssel“, deren Bekanntmachung (DNS) und deren Gültigkeiten sind, und wie man das Ganze prüfen kann (DMARC). D.h. es ist teuer und braucht immer wieder Betreuung.

Im Internet kann man aber auch den Briefkasten rausfinden, wo die Mail „eingeworfen“ wurde (Mailserver, SMTP Server). Der hat eine Adresse, und wer eine eigene Domain hat, kann öffentlich (DNS) anzeigen und bestimmen (SPF), von welchem Servern eigene Mails überhaupt eingeworfen werden dürfen. Da man sich bei seinem eigenen Email-Konto (SMTP) typischerweise erstmal mit Benutzernamen und Passwort anmelden muss, ist dieser Mechanismus schon mal recht hilfreich um zu verhindern, dass Bösewichter unter dem eigenen Namen Mails versenden, denn sowas kann eine Empfängerin leicht prüfen.

(Dies ist übrigens ein typisches Problem, wenn Google weitergeleitete Emails als Spam markiert oder ablehnt: der Weiter-Leiter tut nämlich so als wäre er der originale Sender - der hat aber festgelegt, das nur bestimmte Server seine Emails senden dürfen. Google bemerkt dies zu Recht und lehnt die Mail ab -sofern sie nicht signiert ist).

Wir senden meist „im Auftrag“ des Anwenders

Eine Komplikation besteht aber weiter: Die (meisten) Online-Shops senden Emails (z.B. „Ihre Bestellung ist eingegangen“) von der Domain „oekobox-online.eu“, in der Mail selber (also auf der Postkarte) steht aber „xyz-biokiste.de“. Das ist für einen Empfänger nicht unbedingt stimmig, und hier beginnt eine Grauzone, für die die Techniker noch keine klare (oder einfache) Lösung gefunden haben. Wir (Ökobox-Online) senden Emails im Auftrag der Kunden. Sozusagen als Überbringer, etwa so wie ein DPD/UPS/Hermes eine Bestellung ausliefert. Da klingelt ja auch der Paketmann/Frau, und nicht der Absender selber.

Viele Mail-Empfänger Administratoren erkennen diese Komplikation nicht und stellen Ihr System der Einfachheit halber so ein, Mails nur empfangen werden, wenn, der auch auf der Postkarte draufsteht auch der Überbringer ist. Dadurch landen unsere Mails mitunter im Spam-Ordner oder kommen nicht an.

Manche Provider haben so strikte Regeln, so dass diese Technik gar nicht möglich ist – hier senden wir die Mail in unserem Namen – am Klartextnamen des Absenders und am Inhalt erkennen die Empfänger dann dass die Mail vom Kistenbetrieb ist.

Alternative: Versand mit Anwender-Mailserver

Nun werden einige sagen, „ok, dann sendet doch von einem Mailserver der xyz-biokiste.de“ (Einstellung „Anwender-Mailserver verwenden“).

PCG -> Shop -> ÖO-Mailserver -> Anwender MS -> Ziel-Mailserver mit Ziel-Mailbox

Nun gibt es eine Reihe von neuen potentiellen Schwierigkeiten:

In der Regel verwendet man keinen eigenen Mailserver, sondern darf einen Mailserver des Providers „mitbenutzen“. Sinnvoll, soviele Mails sendet ein Betrieb ja nun auch wieder nicht. Aber:

  • Der Provider kennt seine Kunden nicht so gut….und erlaubt nur wenige Mails (pro Stunde z.B.) zu versenden, es könnte sich ja auch um Fehler oder gehackte Kundenkonten handeln – und die Reputation des (Provider-)eigenen Servers gilt es zu schützen. Problematisch bei Serienmails, schon bei wenigen 100 Emails muss man „throttlen“ (verlangsamen, Einstellungen->Mail).
  • es kann sein (und ist bei großen Providern wahrscheinlich), dass der Mailserver immer mal wieder als Spamversender aufgefallen ist, und deshalb eine schlechte Reputation hat. Das gibt Minuspunkte in der Reputation, was mitunter dazu führt, das die Gesamtminuspunkte höher sind als die über unsere Server gesendeten Emails.
  • Gerade bei sehr großen Providern hilft der SPF-Eintrag nur wenig, weil es viele gehackte Konten gibt, die ja legal ebenso diesen Provider Mailserver mitbenutzen dürfen.

Wir mögen diese Option nicht so gern, weil es immer wieder Aufwand ist den Zugang beim Provider funktional zu halten; so wird oft unbedacht das Passwort gewechselt, gelegentlich wird der Account gesperrt , manchmal müssen Zertifikate ausgetauscht werden. Zudem können wir bei dieser Einstellung nicht mehr den Weg zum Ziel-Server verfolgen und können keine Anfragen „Warum ist die Mail nicht angekommen“ beantworten. Auch das automatische Bearbeiten der Rückläufer gelingt dann nicht mehr. Bis zu einem erfolgreichen Setup kann es schon mal paar Stunden dauern.

Was ist die beste Einstellung?

Das hängt vom Resultat ab 😉 d.h. oft muss man es ausprobieren. Jeder Provider baut andere Mechanismen und Regeln ein, die wir nicht kennen. Typischerweise gibt es eine Reihe von Tests, und je nach Ergebnis wird ein „Spam Score“ errechnet.

Weil unsere Server eine sehr hohe Zahl an Emails senden, wir dies schon lange tun und es dabei sehr wenig Beschwerden gibt, haben wir eine sehr gute Reputation. Obwohl wir einige Techniken (wie die o.g. DKIM/DMARC) nicht anwenden und die erwähnte „im Auftrag“ Methode auch zu Minuspunkten führen kann.

Man kann die alternative Methode ausprobieren; hilfeich ist aber eine gute Statistik vor und nach der Umstellung zu pflegen, um eine Basis für die finale Einstellung zu haben. Auch muss jeder entscheiden, ob die hoffentlich erhöhte Zustellrate o.g. Nachteile aufwiegen.

Bzgl. der Zustellsicherheit wäre die Verwendung eigener Mailserver inkl. einem kompletten DKIM/DMARC Setup die theoretisch beste Variante. Mit o.g.Nachteilen.

Tipps um die Spam-Einordnung zu minimieren

  • Verwende wenige Bilder, größenoptimiert (hier sind die Bytes gemeint) und mit einem sinnvollen Alternativtext.
  • Bilder sollten auf eigenem Server gespeichert sein oder eingebettet werden
  • Die gesamte Mail soll nicht zu groß sein. 300kb sind auch heute noch ein guter Wert.
  • Vermeide Links auf zu viele verschiedene Domains in Deiner Mail. Da zählen auch oben erwähnt Bildlinks dazu.
  • Insbesondere öffentliche URL-Abkürzer bringen oft Minuspunkte. Du kannst den Abkürzer aus dem Shop-Adminbereich verwenden, dann gibt es sogar etwas Statistik dazu. Auch Links auf Weiterleitungen sollten zumindest innerhalb Deiner Webseite sein.
  • Sende von Deiner Betriebsdomain, bzw. verwende nur Email-Adressen Deiner Betriebsdomain (als Antwortadresse z.B.)
  • Füge oekobox-online als erlaubten Sender für Deine Mails hinzu. Das erfolgt mit der oben erwähnten SPF Technik. Dabei wird dieser Eintrag im DNS Deiner Domain hinterlegt oder hizugefügt : „v=spf1 … include:_spf.oekobox-online.eu ….“
  • Nur wenn Dein eigener Mailserver verwendet wird: Installiere und teste die DKIM/DMARC Einstellungen.

Der nervige „das ist Spam“ Knopf…

Diesen Button gibt es bei einigen Mail-Providern. Die Idee ist, dass durch dessen Nutzung das Mailprogramm trainiert wird und in Zukunft solche Mails automatisch(er) ausfiltert. Leider scheint diese Idee nicht bei allen Nutzern so verstanden worden zu sein – oft wird er offensichtlich geklickt, nur wenn man die betreffende Mail nicht mehr „sehen will“. Da können gerne auch Bestellbestätigungen o.ä. sein, zu deren Zustellung wir verpflichtet sind. Und aus Versehen wird er wohl auch gern geklickt.

Das Problem dabei: Der zu trainierende Filter vergibt dann auch Minuspunkte für den Absender und auch dem Postboten, d.h. unsere gemeinsame Reputation sinkt. Besonders fatal ist das, wenn die Reputation zwischen den Providern kommuniziert wird (was oft der Fall ist), und natürlich bei den „großen“, wie Google oder Apple. Aus diesem Loch kommt man nur schwer wieder raus.

Netterweise haben große Provider die „Spam-Buttons“ mit einer Rückmeldung an und ausgestattet – wir empfangen die, schauen ob das relevant ist und leiten solche Infos mitunter an Euch weiter.

Zwar können wir auch nicht genau sagen , was Ihr bei „Kunde hat Spam bei Bestellbestätigung geklickt“ tun sollt – aber vielleicht habt Ihr den Kunden ja mal am Telefon und könnt ihm das sagen. Sofern es um weniger wichtige Transaktionsnachrichten („Ihr Lieferschein“ oder „Ihre Lieferung kommt bald“) geht, kann man diese ja auch direkt für den Kunden ausschalten (wir überlegen, das automatisch zu tun…).

Update Oktober 2024 / Strato

Die Tage hat der Hoster Strato die Email-Regeln für alle Kunden automatisch geändert- per DMARC wurde festgelegt, das nur signierte oder per SPF „passende“ Mails durchgelassen werden sollen. Natürlich hat das in Folge viele andere Provider gezwungen, ebenso die Infrastruktur zu ändern.

Das führt dazu, das Shop-Mails abgelehnt werden. Folgende Einstellung enspannen diese Situation:

  1. „Eigene DMARC Regel“ anwählen
  2. „Keine SPF Regel“ auswählen
  3. Folgenden TXT-Record einfügen (schoenegge.de durch Deine Domain ersetzen)

Damit ist zwar kein DMARC mehr aktiv. Die SPF Regel allerdings erlaubt nur Mails von Strato(-Kunden) und von uns.

Alternativ kann ein Versand von Ökobox-Online eingeschaltet werden, aber das ist meist nicht gewollt.