Die Bedeutung der E-Mail-Zustellbarkeit für die E-Mail-Marketingstrategie eines Unternehmens wurde möglicherweise schon häufig diskutiert. Dennoch ist Ihnen vielleicht noch nicht vollständig klar, wie sie sich konkret auswirkt.
Wer schon länger in der Branche tätig ist, hat wahrscheinlich schon von einigen größeren Datenpannen gehört, die kleine und mittlere Unternehmen sowie Großunternehmen betrafen. Zuletzt wurden auch Dienste wie Mailchimp, Klaviyo und Signal kompromittiert.
Angesichts des Umfangs an personenbezogenen Daten, der erforderlich ist, um Klickraten von 10 % oder mehr zu erzielen, ist es nicht verwunderlich, dass diese Datenschutzverletzungen zu verunsicherten Kunden führen und die Impressionen und Zustellbarkeit nachfolgender Marketing-E-Mails stark einschränken.
Aufgrund der vielfältigen Auswirkungen mangelnder Sicherheit auf das Markenvertrauen und Ihre Marketingstrategie ist es unerlässlich, sicherzustellen, dass jeder Schritt Ihres Marketingprozesses, von Ihrer Seite bis zu der Ihrer Kunden, sicher bleibt.
Je nach Art der von Hackern ausgenutzten Sicherheitslücke können solche Sicherheitsverletzungen auch zu rechtlichen Schritten wegen Nichteinhaltung des CAN-SPAM-Gesetzes (Controlling the Assault of Non-Solicited Pornography and Marketing Act) führen. Allgemeine Datenschutzverordnung (GDPR/DSGVO), Kanadas Anti-Spam-Gesetzgebung (CASL) usw. Daher sollten Sie die besten Vorgehensweisen beachten, um Ihre Marketingstrategie, Kundendaten und das Vertrauen in Ihr Unternehmen zu schützen.
Umsetzbare Sicherheitsziele: Wo anfangen?
Es ist zwar allgemein bekannt, dass E-Mail-Empfänger anfällig für Cyberangriffe sind, doch wird oft übersehen, dass dieselben Methoden auch gegen E-Mail-Vermarkter eingesetzt werden können.
Wenn dies geschieht, hat es aufgrund der großen Menge an sensiblen personenbezogenen Daten, die E-Mail-Marketer verwalten, weitaus gravierendere Folgen. Daher sollten E-Mail-Marketer Maßnahmen zum Schutz vor den häufigsten Cybersicherheitsbedrohungen wie Malware, Phishing und manipulierten Anhängen implementieren.
Daher sollten Ihre Bemühungen zunächst darauf abzielen, Datenverluste auf diesem Wege zu verhindern; Sie wollen sicherlich nicht, dass Ihre Texte und Handlungsaufforderungen für böswillige Zwecke missbraucht werden. Darüber hinaus sollte Ihre Sicherheitsinfrastruktur systemische Schwachstellen beheben, wie beispielsweise fehlende E-Mail-Sicherheitsprotokolle, unzureichende Verschlüsselungsmaßnahmen und mangelndes menschliches Urteilsvermögen (in Bezug auf Ihr Marketingteam und Ihre Kunden).
Schließlich ist es unerlässlich, Maßnahmen zu integrieren, die die spezifischen Fehler Ihres aktuellen E-Mail-Systems beheben, einschließlich Ihres E-Mail-Clients, Ihres E-Mail-Dienstanbieters, Ihres Internetdienstanbieters usw.
E-Mail-Sicherheitsprotokolle
Ohne robuste Sicherheitsmaßnahmen reichen E-Mail-Sicherheitsprotokolle wie Simple Mail Transfer Protocol (SMTP), Internet Message Format (IMF), Internet Message Access Protocol 4 (IMAP4) und Post Office Protocol 3 (POP3) nicht aus, um den Datenschutz zu gewährleisten.
Die beste Vorgehensweise für E-Mail-Sicherheit ist die Integration und der Einsatz mehrerer E-Mail-Sicherheitsprotokolle und -tools. Hier sind einige Lösungen, die Sie in Ihre Umgebung integrieren können.
Senderrichtlinien-Framework (SPF)
SPF Mit SPF können Sie einen Eintrag erstellen, der die IP-Adressen einschränkt, die Ihre Domain zum Versenden von E-Mails an potenzielle Kunden verwenden dürfen. Dies verhindert E-Mail-Spoofing – eine Technik, bei der Angreifer Ihre Domain missbrauchen, um schädliche E-Mails zu versenden. Mithilfe von SPF können Sie festlegen, welche Dienste, Server oder E-Mail-Service-Provider (ESPs) zum Versenden von E-Mails berechtigt sind.
Ein wesentlicher Vorteil besteht darin, dass das Kundenvertrauen gestärkt wird, indem überprüft wird, ob der Absender der E-Mail dazu berechtigt ist. Dadurch können indirekt das Engagement, die Klickrate und der ROI gesteigert werden.
Leider unterstützen nicht alle E-Mail-/Domain-Anbieter dieses Protokoll, da nicht alle die erforderlichen DNS-Daten für die Einrichtung bereitstellen. Daher ist es unerlässlich zu prüfen, welche Anbieter die SPF-Funktionalität unterstützen.
Sobald SPF eingerichtet ist, sollten Sie 2–3 Werktage warten, bis die Änderungen in Ihren nachfolgenden Newslettern, Willkommens-E-Mails, Retargeting-E-Mails usw. sichtbar sind. Anschließend können Sie eine SPF-Diagnosesoftware verwenden, um die Protokolle zu analysieren und die korrekte Funktion zu überprüfen. Es empfiehlt sich jedoch, SPF mit anderen E-Mail-Sicherheitsprotokollen zu kombinieren, da SPF eine wesentliche Schwäche aufweist: die Unfähigkeit, die Autorisierung auf unbefugte Empfänger zu beschränken.
Aus diesem Grund können Angreifer mit ausreichendem technischem Know-how eine Domain aufspüren und einen SPF-Eintrag hinzufügen, der die Nutzung dieser Domain durch ihre IP-Adresse autorisiert. Daher dient SPF lediglich als Grundlage Ihrer Protokollstrategie, und DKIM sollte die Verwendung von SPF ergänzen.
Domänenschlüssel Identifizierte E-Mail (DKIM)
DKIM Es erweitert die SPF-Grundlage um zwei Funktionen: eine Verschlüsselungsinfrastruktur und die Möglichkeit, diese Ihren Kopien oder Inhalten beizufügen. Erstere gewährleistet, dass jede Ihrer E-Mails eindeutig durch zwei Verschlüsselungsschlüssel identifiziert wird: einen privaten und einen öffentlichen Schlüssel.
Der erste Eintrag ist mit Ihrem Message Transfer Agent (MTA) verknüpft und sollte nicht offengelegt werden, während der zweite im DNS-TXT-Eintrag enthalten ist, der zur Protokollkonfiguration verwendet wird. Es ist außerdem wichtig zu beachten, dass die Einrichtung von DKIM etwas aufwendiger ist als die von SPF, da für jede E-Mail-Domäne ein separater Eintrag benötigt wird.
Darüber hinaus trägt DKIM durch die Anbindung an die Kopie oder den Inhalt selbst zur Bestätigung der Identität des ursprünglichen Autors bei. Während es im vorherigen Beispiel Angreifern möglich gewesen wäre, eine Domain zu finden und einen gefälschten SPF-DNS-Eintrag hochzuladen, wäre dies mit DKIM deutlich schwieriger.
Darüber hinaus kann jeder, der eine vermeintliche E-Mail von Ihnen erhält, mithilfe des frei verfügbaren öffentlichen Schlüssels überprüfen, ob die E-Mail-Signatur Ihrem Token entspricht. Wie bei SPF ist es jedoch unerlässlich zu prüfen, welche Anbieter DKIM unterstützen. Nach der Einrichtung sind Wartezeit und Ablauf der DKIM-Diagnose ähnlich wie bei SPF. Obwohl DKIM nicht die offensichtlichen Schwächen von SPF aufweist, liegt die Implementierung des Protokolls im Ermessen des Anbieters Ihres Marketingteams. Die meisten Anbieter implementieren das Protokoll zwar wie beschrieben, sind aber nicht dazu verpflichtet. Daher ist DMARC erforderlich.
Domänenbasierte Nachrichtenauthentifizierung, Berichterstellung und Konformität (DMARC)
DMarc DMARC ist ein E-Mail-Sicherheitsprotokoll, das die Einhaltung von SPF- und DKIM-Einträgen überwacht. Im Wesentlichen analysiert DMARC eine E-Mail auf das Vorhandensein von SPF und DKIM, führt die von Ihnen festgelegten Anweisungen aus, falls eines der Protokolle fehlt, und informiert Sie (oder Ihren E-Mail-Server) über das Fehlen dieser Protokolle.
Obwohl es möglich ist, einen DMARC-TXT-Eintrag auch ohne SPF und DKIM hochzuladen, empfiehlt es sich aus bereits genannten Gründen, diese beiden Protokolle zuerst einzurichten. Ähnlich wie bei den zuvor besprochenen Sicherheitsprotokollen müssen Sie alle Domains, die bereits einen SPF- oder DKIM-Eintrag verwenden, einzeln auflisten und in Ihren DMARC-Eintrag aufnehmen.
Es ist besonders wichtig, die Umstellung auf DMARC über Wochen statt Monate zu verteilen. So können Sie überprüfen, ob Ihre Implementierungsprotokolle zu streng sind (Sie könnten versehentlich legitime E-Mails Ihres Marketingteams als Spam markieren).
Analysieren Sie in den kommenden Wochen die von den E-Mail-Servern der Empfänger zurückgesendeten DMARC-Berichte und prüfen Sie, ob das Protokoll wie vorgesehen funktioniert oder ein Fehler aufgetreten ist. Achten Sie außerdem auf plötzliche, unerklärliche Einbrüche bei der Zustellbarkeit und den Impressionen.
Sie können die Strenge Ihres Protokolls schrittweise erhöhen und dabei stets sicherstellen, dass jede Anweisung wie vorgesehen funktioniert. Nach der Fertigstellung sind Ihre E-Mails vor den meisten Business Email Compromises (BECs) geschützt.
Markenindikatoren zur Botschaftsidentifizierung (BIMI)
BIMI ist ähnlich wie DMARC, der entscheidende Unterschied besteht jedoch darin, dass es Ihnen ermöglicht, Ihre Geschäftslogo auf den E-Mail-Servern der Empfänger (sobald diese E-Mails mit SPF, DKIM und DMARC validiert wurden). Dies trägt dazu bei, Vertrauen, Markenbekanntheit und langfristige Sichtbarkeit zu erhöhen.
Dadurch entfällt auch die Notwendigkeit der zuvor beschriebenen DNS-Abfragen mit öffentlichen und privaten Schlüsseln. Um BIMI zu nutzen, müssen Sie jedoch eine DMARC-Richtlinie implementieren, die verdächtige E-Mails entweder als potenziellen Spam kennzeichnet und an Ihre Domain zurücksendet oder deren Zustellung vollständig blockiert.
Darüber hinaus benötigen Sie eine gute IP-Reputation als anerkannter Betreiber von Massen-E-Mails, die erforderlichen Daten zur Erstellung des BIMI Assertion Record (BAR) sowie ein Logo im SVG-Format.
Leider unterstützen derzeit (Stand Oktober 2022) nur Apple Mail, Fastmail, Pobox, Gmail, Google Workspace, La Poste, Yahoo, AOL, Netscape und Zone BIMI. Darüber hinaus benötigt Gmail ein verifiziertes Markenzertifikat, um Ihr Logo über seine Server anzuzeigen.
Sobald BIMI eingerichtet ist, können Sie es mithilfe eines ähnlichen Verfahrens wie Ihren SPF-Datensatz analysieren und bestätigen, dass es wie vorgesehen funktioniert.
IP- und Domain-Reputation
Wie bereits erwähnt, IP-Reputation ist für die Sicherheit im E-Mail-Marketing unerlässlich, und das aus gutem Grund. IPs mit schlechteren Reputationswerten versenden bekanntermaßen mehr verdächtige E-Mails und erleichtern somit mehr Phishing-Angriffe. Identity Theft Versuche und E-Mail-Spoofing.
Abgesehen von den Auswirkungen auf das Markenvertrauen und die Zustellbarkeit, kann die Verwendung solcher IPs Ihr KMU, Ihr Unternehmen oder Ihre Strafverfolgungsbehörde auch dem Risiko von BECs aussetzen, da böswilligen Akteuren ein einfacher Zugriff auf die auf Ihren Servern gespeicherten Daten ermöglicht wird.
Daher kommt der Wechsel zu einer IP-Adresse mit gutem Ruf der Sicherheit Ihrer Kunden und Ihrem Unternehmen zugute. Es ist außerdem wichtig zu erwähnen, dass ein Wechsel des Anbieters, beispielsweise von Klaviyo zu ConvertKit, die Zustellbarkeit von E-Mails verbessern kann.
Ein weiterer wichtiger Faktor ist die Domainreputation. Es ist erwähnenswert, dass Sicherheitsmaßnahmen wie die bereits beschriebenen diesen Wert indirekt verbessern können. Daher ist ein Domainwechsel nicht immer notwendig, um die Domainbewertung zu steigern.
Idealerweise sollten Sie eine IP- und Domain-Reputation von mindestens 70 anstreben, um die Sicherheit und Vertrauenswürdigkeit Ihrer Kopien zu gewährleisten. Verschiedene seriöse Tools zur IP-Reputationsanalyse stehen zur Verfügung, um unseriöse IPs zu identifizieren und etablierte Anbieter zu empfehlen.
Multi-Faktor-Authentifizierung (MFA)
Auch wenn die Wahl eines sicheren E-Mail-Passworts Priorität hat, können Hacker diese Passwörter dennoch mithilfe von Informationen entschlüsseln, die sie aus Datenlecks und ausgeklügelten Phishing-Angriffen gewonnen haben. MFA bietet zusätzliche Sicherheitsebenen. Es schützt Ihr E-Mail-Passwort und verhindert, dass Angreifer Ihr Konto kompromittieren, selbst wenn sie Ihre Anmeldedaten erlangt haben. Konkret erfordert es zusätzliche Verifizierungsmethoden wie die Verwendung eines zufälligen und eindeutigen alphanumerischen Codes, universelle Zwei-Faktor-Authentifizierung (U2F) und biometrische Daten.
U2F-Systeme nutzen physische Geräte, die unabhängig von einer Internetverbindung funktionieren und physisch mit einem PC verbunden werden müssen. Biometrische Daten hingegen lassen sich besser mit mobilen Geräten verarbeiten und nutzen die weite Verbreitung von Fingerabdruckscannern.
Die Einführung einer Multi-Faktor-Authentifizierung (MFA) als Voraussetzung für Ihr Marketingteam ist eine gute Idee, da sie der Zwei-Faktor-Authentifizierung überlegen ist, die auf nur eine zusätzliche Methode beschränkt ist.
Sichere E-Mail-Gateways (SEGs)
SEGs überwachen den ein- und ausgehenden Datenverkehr Ihrer E-Mail-Server. Diese Software schützt effektiv vor BECs und Malware und verhindert deren Zugriff auf Ihre E-Mail-Server. SEGs können lokal eingesetzt werden, wenn Ihr Unternehmen groß genug ist, oder in der Cloud genutzt werden, wenn viele Mitarbeiter im Homeoffice oder im Hybridmodell arbeiten.
Neben der Abwehr eingehender Bedrohungen sind SEGs auch wirksam bei der Verhinderung ausgehender Datenlecks und bei der Bereitstellung von Diagnoseanalysen, die zur weiteren Optimierung der E-Mail-Sicherheit für einzelne Server beitragen.
Darüber hinaus ermöglicht SEGs den Benutzern, E-Mails zu speichern, die möglicherweise auch nach einem systemweiten Datenverlust infolge böswilliger Angriffe noch zugänglich sind.
Virtuelle private Netzwerke (VPNs)
VPNs tragen zur Anonymität des E-Mail-Verkehrs bei, indem sie den Standort der Quelldaten ändern. Neben der Möglichkeit für Experten, die Darstellung und Wirkung ihrer Marketingmaßnahmen in einer völlig anderen Region mithilfe eines VPNs zu analysieren, bieten VPNs durch den Schutz der Privatsphäre auch Sicherheit vor E-Mail-Angriffen und gezieltem Social Engineering, das sich gegen Ihren E-Mail-Client richtet.
VPNs verschleiern zudem die über die Internetnetzwerke, in denen sie verwendet werden, übertragenen Daten. Dadurch werden Datenpakete mit sensiblen Kundendaten geschützt und die Einhaltung von CAN-SPAM, DSGVO und CASL erleichtert.
Darüber hinaus beschränkt sich die VPN-Sicherheit nicht nur auf böswillige Akteure; VPNs verhindern aufgrund der Wirksamkeit der Authentifizierungstechnologie auch, dass ISPs auf Daten zugreifen können, die Sie über Ihr Netzwerk senden.
Die alleinige Verwendung von VPNs ist jedoch nicht optimal, da VPNs lediglich die Verbindung zwischen zwei festen Endpunkten sichern. Daher bieten VPNs keinen Schutz vor Angriffen, die primär auf Ihr Gerät vor der Datenübertragung abzielen. Darüber hinaus sind die Daten häufig für den VPN-Dienst zugänglich, was ein Sicherheitsrisiko darstellt, falls die Datenbanken des Drittanbieters kompromittiert werden.
Cyber-Sicherheitstraining
Cybersicherheitsschulungen helfen, den größten Schwachpunkt des Datenschutzes zu beheben – menschliches Versagen. Eine fundierte interne Cybersicherheitsschulung ist die effektivste Methode, Social-Engineering-Angriffe zu verhindern. Die Fähigkeit, Betreffzeilen, vertrauenswürdige Domains und Inhalte zu analysieren, ist von entscheidender Bedeutung.
Außerdem ist es unerlässlich, bei Anhängen und Hyperlinks vorsichtig zu sein, da diese am häufigsten für Cyberangriffe verwendet werden.
Cybersicherheitsbewusstsein sollte sich jedoch nicht auf Mitarbeiterschulungen beschränken. Ihre Marketingstrategie sollte Maßnahmen umfassen, die potenzielle Kunden vor Spam, Malware und Phishing-E-Mails warnen. Dies sollte auch auf Landingpages berücksichtigt werden.
Zusammenfassend lässt sich sagen, dass die Fokussierung auf Cybersicherheit, zusammen mit SPF, DKIM, DMARC und BIMI, Ihrem Unternehmen ermöglicht, sich als legitime und vertrauenswürdige Einrichtung zu positionieren, die in der Lage ist, Kundendaten zu schützen und dafür Sorge trägt, dass diese Kunden keinen böswilligen Angriffen ausgesetzt sind.
Dies wird zu einer Steigerung von Markenbekanntheit, Vertrauen und Konversionsraten führen. Um die KPI-Kennzahlen zu optimieren, ist es jedoch unerlässlich, Bucket- und multivariate Tests in Marketingkampagnen zu integrieren.
Verschlüsselung
Dies ist unerlässlich für die E-Mail-Sicherheit. Die direkte Verschlüsselung von Daten und die Nutzung eines VPNs helfen, einige Einschränkungen von reinen VPN-Sicherheitsmaßnahmen zu überwinden. Insbesondere wird Drittanbietern von VPNs der Zugriff auf die Datenpakete verwehrt.
Für die interne Kommunikation eignet sich asymmetrische Verschlüsselung am besten, da die Empfänger zum Zugriff auf die Daten einen öffentlichen und einen privaten Schlüssel benötigen, die ihnen beide zuvor mitgeteilt werden. Für die externe Kommunikation kann Verschlüsselung während der Übertragung verwendet werden.
Takeaways
Jedes E-Mail-Marketing-Team sollte über bewährte Methoden und Strategien verfügen, um Datenschutzverletzungen zu verhindern. Dies trägt zur Sicherung von Unternehmensdaten bei, stärkt das Markenvertrauen und gewährleistet die langfristige Zustellbarkeit von E-Mails.
Diese Maßnahmen sollten sowohl die technischen als auch die menschlichen Aspekte der E-Mail-Sicherheit berücksichtigen und sich dabei auf das Marketingteam und den E-Mail-Empfänger konzentrieren. E-Mail-Sicherheitsprotokolle sind unerlässlich, wobei BIMI, DKIM und DMARC eine zentrale Rolle spielen.
Zusätzlich zu den oben genannten Methoden sollten VPNs, Cybersicherheitsschulungen, Datenverschlüsselung, MFAs, SEGs und der Wechsel zu einer seriösen IP-Adresse in die Sicherheitsinfrastruktur integriert werden.
