E-Mail-Klicks von der Firewall
Als wir Mitte letzten Jahres unsere Studie zum E-Mail-Marketing von 6.000 US eCommerce-Firmen per E-Mail-Kampagne bei einigen Tausend Digitalmarketing-Fachleuten bewarben, entdeckten wir bei genauer Prüfung der Klick-Response Erstaunliches: Knapp die Hälfte der Klicks wurde binnen Sekunden nach dem technischen Versand getätigt. Und diese Klicks traten häufig „geklumpt" auf: Sie konzentrierten sich auf eine kleine Anzahl von Firmen. In diesen hatten scheinbar alle Empfänger Klickaktivität gezeigt (unsere Versandliste enthielt pro Firma bis zu fünf Ansprechpartner). Dieses Response-Verhalten erschien uns nicht realistisch. Wir beschlossen, diesem Phänomen auf den Grund zu gehen.
Phishern auf der Spur
Unsere Recherchen ergaben, dass Organisationen mit eigenem Mailserver ihre Spamabwehr-Systeme nicht nur hinsichtlich der Präzision der Filteralgorithmen, sondern vor allem auch methodisch in den letzten Jahren aufgerüstet haben. Traditionell greifen die meisten serverseitigen Sicherheits-Module nur auf mächtige Anti-Spam-Regel-Engines und Blacklists in der Cloud zurück, die von Sicherheitsexperten aus aller Welt rund um die Uhr mit neuen Mustern und Regeln zur Erkennung von Phishing-Mails gefüttert werden. Zur Datenbank-Abfrage braucht man nur die URL aus der E-Mail – man muss sie also keineswegs aufwändig maschinell klicken.
Eine auf diese Weise enttarnte Phishing-Domain ist für Spam-Versender schon aus einem trivialen Grund problematisch: Die Entwicklung eines Spam- oder Phishing-Angebots kostet schlicht Arbeit und Zeit. Stellen Spammer und Phisher fest, dass ihre URL enttarnt wurde, machen sie deshalb nicht alles komplett neu, sondern verschleiern die URL. Am einfachsten ist das Verschleiern mittels eines Shortening-Services wie Bitly oder TinyURL. Mitunter wird auch eine neue, unbelastete Domain eingesetzt. In beiden Fällen ist unter der URL kein Inhalt zu finden. Stattdessen leitet sie via HTTP 301 oder HTTP 302 auf eine andere Adresse weiter. Um zur Adresse des Inhalts zu gelangen, muss das Sicherheits-Modul wie ein Browser agieren: es öffnet den Link und verfolgt alle Weiterleitungen. So entsteht der automatische Klick.
Im Zuge des Wettrüstens zwischen Phishern und Sicherheitsexperten entstanden auf der einen Seite ganze Weiterleitungs-Netzwerke und auf der anderen Seite ausgefeilte Abwehr-Algorithmen wie die patentierte „Multilevel-Intent-Analysis" der Security-Firma Barracuda. Laut dem Patent wird mindestens ein Link aus jeder E-Mail geöffnet.
B2B-Mailings besonders betroffen
Der patentierte Algorithmus deckt sich mit unserer eingangs geschilderten Beobachtung: Diverse Unternehmens-Server klickten den ersten Link in jeder E-Mail an. Erfolgt der E-Mail-Versand über B2B-Plattformen wie Marketo, Eloqua, Salesforce Pardot und Hubspot, bei denen jedes Response-Signal ins Scoring eingeht, kann dies zu verfälschten Lead Scores und entsprechenden Fehlsteuerungen im Lead-Nurturing führen. Am Ende wundern sich die Vertriebsmitarbeiter über „Marketing Qualified Leads", die sich trotz hohen Lead-Scores und damit vorgeblichem Kaufinteresse im persönlichen Gespräch als nicht interessiert herausstellen.
Warum die Klickzahlen in B2B-Versandszenarien, nicht aber bei B2C-Mailings verfälscht werden, hat einen einfachen Grund. Für die großen ISPs wie Gmail, Yahoo und Co. besteht kein „internes" Phishing-Risiko. Die Phishing-Mails landen im privaten Mail-Client und schädigen potenziell „nur" die Smartphones, PCs und Bankkonten der Nutzer. Der direkte Schaden durch unachtsames Klicken in B2B-Mails ist ungleich größer. Denn hier agiert der Phisher im ansonsten abgeschotteten Firmennetz. Schafft er es, Mitarbeiter zum Öffnen kompromittierender Links zu bewegen, kann er damit gegebenenfalls Schadsoftware einschleusen und wertvolle Daten stehlen. Drastische Beispiele wie der Diebstahl des RSA-Secret-Keys durch Spear-Phisher oder die Attacken auf das Weiße Haus zeigen das Potential, das in gezielten Spear-Phishing-Attacken steckt. Motiviert von höherer Beute agieren Spear-Phisher trickreicher als klassische Massen-Phisher. Sie spähen Mitarbeiter gezielt aus und erarbeiten detaillierte Social-Engineering-Strategien.
Selbsthilfe für E-Mail Marketer: Maschinelle Klicks minimieren und filtern
Bis heute zögern Email Service Provider (ESPs), Filtermechanismen für maschinelle „Fake"-Klicks in die Reporting-Module ihrer Plattformen einzubauen. Mit ein paar Maßnahmen können E-Mail-Marketing-Verantwortliche sich jedoch selbst helfen:
1. Klickraten filtern
Nicht jeder responsefreudige Empfänger ist tatsächlich interessiert. Maschinelle Klicks erkennt man anhand der folgenden korrelativen Merkmale:
- Öffnungen und Klicks erfolgten binnen weniger Sekunden nach dem physischen Versand der jeweiligen E-Mail
- Für alle Empfänger desselben Mailservers wird ein Öffnungs- und/oder Klick-Indikator ausgewiesen
2. Abwarten
Wenn nach dem ersten Autoklick weitere Klick-Ereignisse folgen, sind letztere aller Wahrscheinlichkeit nach echte Interaktionen. Denn die Information über echte Zugriffe geht nicht verloren. In unser eingangs erwähnten E-Mail-Kampagne öffneten die Empfänger 16 % der geprüften Mails noch einmal selbst. Im System ist dies als zweites Öffnen ablesbar.
3. Link-Shortener vermeiden
Nicht jeder E-Mail-Scanner ist streng konfiguriert. Manche öffnen lediglich Links bekannter Link-Shortener oder reagieren alarmiert, wenn der Titel des Links nicht zur verlinkten URL passt. Vermieden werden sollte am besten alles, was als Verschleierungsmaßnahme interpretiert werden kann. Die für das Link-Tracking definierte Domain bzw. Subdomain sollte vertrauenswürdig sein, d. h. einen klaren begrifflichen Bezug zur versendenden Firma haben und idealerweise dem Versender gehören.
4. Einen mehrstufigen Abmeldeprozess erwägen
Ein unangenehmer Nebeneffekt automatisierter Klicks ist die Gefahr unabsichtlicher Abmeldungen von der Verteilerliste, wenn ein „Ein-Klick"-Opt-out-Prozess implementiert ist. Selbst List-Unsubscribe-Header könnten von automatischen Klicks betroffen sein. Diese Nebenwirkung ist mit ein Grund für Hercula-Oneclick, eine Initiative von Gmail und Optivo. Die in einem RFC beschriebene Methode sieht einen zusätzlichen Parameter vor, der nur vom Mail-Client gesetzt werden kann. Eine Abmeldung ist nur in Kombination mit dem Parameter gültig. Versehentliche Abmeldungen wären so leicht identifizierbar. Reguläre Abmeldeprozesse sollten nie als „One-Click"-Prozess implementiert sein, sondern ein „Okay" auf einer Landingpage erfordern.
Hilft mehr Druck auf die Email Service Provider?
Obwohl seit zehn Jahren immer wieder über maschinelle Klicks berichtet wird, zögern die ESPs, explizite Konfigurationsmöglichkeiten zur Bereinigung der Klickrate zu implementieren. Wir fragen uns, ob es hilft, den Druck auf E-Mail-Service-Provider zu erhöhen, zum Beispiel in Form vermehrter Anfragen oder Berichte in Branchen-Blogs. Welche Erfahrungen haben Sie mit maschinellen Klicks gemacht? Wie gehen Sie damit um? Welche Lösungen bietet Ihr ESP an?
