E-Mail-Klicks von der Firewall

Als wir Mitte letzten Jahres unsere Studie zum E-Mail-Marketing von 6.000 US eCommerce-Firmen per E-Mail-Kampagne bei einigen Tausend Digitalmarketing-Fachleuten bewarben, entdeckten wir bei genauer Prüfung der Klick-Response Erstaunliches: Knapp die Hälfte der Klicks wurde binnen Sekunden nach dem technischen Versand getätigt. Und diese Klicks traten häufig „geklumpt" auf: Sie konzentrierten sich auf eine kleine Anzahl von Firmen. In diesen hatten scheinbar alle Empfänger Klickaktivität gezeigt (unsere Versandliste enthielt pro Firma bis zu fünf Ansprechpartner). Dieses Response-Verhalten erschien uns nicht realistisch. Wir beschlossen, diesem Phänomen auf den Grund zu gehen.

Phishern auf der Spur

Unsere Recherchen ergaben, dass Organisationen mit eigenem Mailserver ihre Spamabwehr-Systeme nicht nur hinsichtlich der Präzision der Filteralgorithmen, sondern vor allem auch methodisch in den letzten Jahren aufgerüstet haben. Traditionell greifen die meisten serverseitigen Sicherheits-Module nur auf mächtige Anti-Spam-Regel-Engines und Blacklists in der Cloud zurück, die von Sicherheitsexperten aus aller Welt rund um die Uhr mit neuen Mustern und Regeln zur Erkennung von Phishing-Mails gefüttert werden. Zur Datenbank-Abfrage braucht man nur die URL aus der E-Mail – man muss sie also keineswegs aufwändig maschinell klicken.

Eine auf diese Weise enttarnte Phishing-Domain ist für Spam-Versender schon aus einem trivialen Grund problematisch: Die Entwicklung eines Spam- oder Phishing-Angebots kostet schlicht Arbeit und Zeit. Stellen Spammer und Phisher fest, dass ihre URL enttarnt wurde, machen sie deshalb nicht alles komplett neu, sondern verschleiern die URL. Am einfachsten ist das Verschleiern mittels eines Shortening-Services wie Bitly oder TinyURL. Mitunter wird auch eine neue, unbelastete Domain eingesetzt. In beiden Fällen ist unter der URL kein Inhalt zu finden. Stattdessen leitet sie via HTTP 301 oder HTTP 302 auf eine andere Adresse weiter. Um zur Adresse des Inhalts zu gelangen, muss das Sicherheits-Modul wie ein Browser agieren: es öffnet den Link und verfolgt alle Weiterleitungen. So entsteht der automatische Klick.

Im Zuge des Wettrüstens zwischen Phishern und Sicherheitsexperten entstanden auf der einen Seite ganze Weiterleitungs-Netzwerke und auf der anderen Seite ausgefeilte Abwehr-Algorithmen wie die patentierte „Multilevel-Intent-Analysis" der Security-Firma Barracuda. Laut dem Patent wird mindestens ein Link aus jeder E-Mail geöffnet.

B2B-Mailings besonders betroffen

Der patentierte Algorithmus deckt sich mit unserer eingangs geschilderten Beobachtung: Diverse Unternehmens-Server klickten den ersten Link in jeder E-Mail an. Erfolgt der E-Mail-Versand über B2B-Plattformen wie Marketo, Eloqua, Salesforce Pardot und Hubspot, bei denen jedes Response-Signal ins Scoring eingeht, kann dies zu verfälschten Lead Scores und entsprechenden Fehlsteuerungen im Lead-Nurturing führen. Am Ende wundern sich die Vertriebsmitarbeiter über „Marketing Qualified Leads", die sich trotz hohen Lead-Scores und damit vorgeblichem Kaufinteresse im persönlichen Gespräch als nicht interessiert herausstellen.

Warum die Klickzahlen in B2B-Versandszenarien, nicht aber bei B2C-Mailings verfälscht werden, hat einen einfachen Grund. Für die großen ISPs wie Gmail, Yahoo und Co. besteht kein „internes" Phishing-Risiko. Die Phishing-Mails landen im privaten Mail-Client und schädigen potenziell „nur" die Smartphones, PCs und Bankkonten der Nutzer. Der direkte Schaden durch unachtsames Klicken in B2B-Mails ist ungleich größer. Denn hier agiert der Phisher im ansonsten abgeschotteten Firmennetz. Schafft er es, Mitarbeiter zum Öffnen kompromittierender Links zu bewegen, kann er damit gegebenenfalls Schadsoftware einschleusen und wertvolle Daten stehlen. Drastische Beispiele wie der Diebstahl des RSA-Secret-Keys durch Spear-Phisher oder die Attacken auf das Weiße Haus zeigen das Potential, das in gezielten Spear-Phishing-Attacken steckt. Motiviert von höherer Beute agieren Spear-Phisher trickreicher als klassische Massen-Phisher. Sie spähen Mitarbeiter gezielt aus und erarbeiten detaillierte Social-Engineering-Strategien.

Selbsthilfe für E-Mail Marketer: Maschinelle Klicks minimieren und filtern

Bis heute zögern Email Service Provider (ESPs), Filtermechanismen für maschinelle „Fake"-Klicks in die Reporting-Module ihrer Plattformen einzubauen. Mit ein paar Maßnahmen können E-Mail-Marketing-Verantwortliche sich jedoch selbst helfen:

1. Klickraten filtern

Nicht jeder responsefreudige Empfänger ist tatsächlich interessiert. Maschinelle Klicks erkennt man anhand der folgenden korrelativen Merkmale:

  • Öffnungen und Klicks erfolgten binnen weniger Sekunden nach dem physischen Versand der jeweiligen E-Mail
  • Für alle Empfänger desselben Mailservers wird ein Öffnungs- und/oder Klick-Indikator ausgewiesen

2. Abwarten

Wenn nach dem ersten Autoklick weitere Klick-Ereignisse folgen, sind letztere aller Wahrscheinlichkeit nach echte Interaktionen. Denn die Information über echte Zugriffe geht nicht verloren. In unser eingangs erwähnten E-Mail-Kampagne öffneten die Empfänger 16 % der geprüften Mails noch einmal selbst. Im System ist dies als zweites Öffnen ablesbar.

3. Link-Shortener vermeiden

Nicht jeder E-Mail-Scanner ist streng konfiguriert. Manche öffnen lediglich Links bekannter Link-Shortener oder reagieren alarmiert, wenn der Titel des Links nicht zur verlinkten URL passt. Vermieden werden sollte am besten alles, was als Verschleierungsmaßnahme interpretiert werden kann. Die für das Link-Tracking definierte Domain bzw. Subdomain sollte vertrauenswürdig sein, d. h. einen klaren begrifflichen Bezug zur versendenden Firma haben und idealerweise dem Versender gehören.

4. Einen mehrstufigen Abmeldeprozess erwägen

Ein unangenehmer Nebeneffekt automatisierter Klicks ist die Gefahr unabsichtlicher Abmeldungen von der Verteilerliste, wenn ein „Ein-Klick"-Opt-out-Prozess implementiert ist. Selbst List-Unsubscribe-Header könnten von automatischen Klicks betroffen sein. Diese Nebenwirkung ist mit ein Grund für Hercula-Oneclick, eine Initiative von Gmail und Optivo. Die in einem RFC beschriebene Methode sieht einen zusätzlichen Parameter vor, der nur vom Mail-Client gesetzt werden kann. Eine Abmeldung ist nur in Kombination mit dem Parameter gültig. Versehentliche Abmeldungen wären so leicht identifizierbar. Reguläre Abmeldeprozesse sollten nie als „One-Click"-Prozess implementiert sein, sondern ein „Okay" auf einer Landingpage erfordern.

Hilft mehr Druck auf die Email Service Provider?

Obwohl seit zehn Jahren immer wieder über maschinelle Klicks berichtet wird, zögern die ESPs, explizite Konfigurationsmöglichkeiten zur Bereinigung der Klickrate zu implementieren. Wir fragen uns, ob es hilft, den Druck auf E-Mail-Service-Provider zu erhöhen, zum Beispiel in Form vermehrter Anfragen oder Berichte in Branchen-Blogs. Welche Erfahrungen haben Sie mit maschinellen Klicks gemacht? Wie gehen Sie damit um? Welche Lösungen bietet Ihr ESP an?

Diesen Artikel jetzt teilen
Link
Blog

Noch mehr über E-Mail-Marketing

e-mail-marketing, zustellbarkeit
Alle Kategorien

Risiko oder Chance? Hauptdomain für Marketing-E-Mails verwenden

Alle Unternehmen, die neben der geschäftlichen E-Mail-Korrespondenz auch E-Mail-Marketing-Kampagnen versenden, stehen bei der Konfiguration der Versandeinstellungen ihres E-Mail-Versandtools vor einer wichtigen Frage: „Sollten alle E-Mails meines Unternehmens über die gleiche Domain versendet werden?

e-mail-marketing, studie
Alle Kategorien

E-Mail-Marketing der 1.000 umsatzstärksten deutschen Onlineshops 2024

Publicare Marktübersicht: Diese 75 E-Mail-Marketing-Lösungen nutzen die EHI Top 1.000 E-Commerce-Firmen in Deutschland in 2024.

e-mail-marketing, studie
Alle Kategorien

Revolution im Postfach: Gmail verdrängt GMX und Web.de

Revolution im Postfach Gmail verdrängt GMX und Web.de: Die Deutschen wenden sich von deutschen E-Mail-Anbietern ab

e-mail-marketing, studie
Alle Kategorien

E-Mail-Template-Baukästen im Test: Welches Tool überzeugt 2024?

E-Mail-Template-Baukästen im Test: Welches Tool überzeugt 2024? Es gibt zahlreiche E-Mail-Marketing-Plattformen auf dem Markt (allein im deutschen E-Commerce werden 75 verschiedene Marketing-Plattformen genutzt!).

e-mail-marketing
Alle Kategorien

E-Mails für alle: Tipps und Tricks für barrierefreies E-Mail-Marketing

Bei der Gestaltung von Websites und Apps ist Barrierefreiheit schon lange ein wichtiges Thema um sicherzustellen, dass Inhalte auch für Menschen mit Behinderungen zugänglich sind. Gemäß dem European Accessibility Act und Barrierefreiheitsstärkungsgesetz müssen

e-mail-marketing, studie
Alle Kategorien

E-Mail-Marketing der 1000 größten E-Retailer Nordamerikas

Marktanteile der E-Mail Service Provider der Top 1000 Online-Shops in Nordamerika und Vergleich mit den meistgenutzten E-Mail-PLattformen der Top 1000 Ecommerce Unternehmen Deutschlands

e-mail-marketing
Alle Kategorien

Warum Countdown-Clocks in E-Mails (fast) am Ende sind

3-2-1-Schluss? Warum Countdown-Clocks in E-Mails (fast) am Ende sind: Knappheit ist eine uralte Verkaufsstrategie, Zeitdruck ist eine Variante davon,

e-mail-marketing, studie
Alle Kategorien

Studie zum E-Mail-Marketing im E-Commerce 2023

Analyse des E-Mail-Marketing der 1000 umsatzstärksten deutschen Onlineshops: ESP-Marktanteile 2023 und Marketing-Trends: Wo bleibt die Innovation?

e-mail-marketing
Alle Kategorien

14 Mythen, wann man wem Werbe-E-Mails schicken darf - und wann nicht

14 Mythen, wann man wem Werbe-E-Mails schicken darf – und wann nicht: Die Frage, welche rechtlichen Leitplanken werbetreibende Unternehmen beim Aufbau von E-Mail-Adressverteilern