E-Mails: Absenderadresse vor Spam-Attacken schützen

R

RezaScript

Bekanntes Mitglied
Hallo,

ich entwickle derzeit eine Applikation, womit der User seine Produkte werben kann. Ich möchte nicht zu stark auf die Applikation eingehen, aber es gibt ein Feature, das alle Informationen des Produkts verpackt und diese per E-Mail an einer bestimmten Person verschickt. Die Idee ist also, dass der User den Empfänger kennt, die E-Mail-Adresse dieser Person eingibt und diese erhält dann eine E-Mail mit allen Informationen bzgl. dieses Produkts. Gut, vielleicht habt ihr es schon gemerkt, aber bei diesem Problem handelt es sich um Spam. Der User kann also dieses Feature missbrauchen, den Empfänger nicht kennen und stattdessen tausende E-Mails an anonyme Empfänger senden, um für sein Produkt Werbung zu machen.

Um dieses Problem zu umgehen, dachte ich mir, der Empfänger muss ebenfalls registriert sein.

Stand der Dinge:
Absender (User) wirbt per E-Mail für sein Produkt (die Absenderadresse ist für alle User gleich). Empfänger ist nicht registriert. Anstatt die Werbe-E-Mail, erhält der Empfänger erst eine Einladung, um sich zu registrieren. Sobald er sich registriert hat, erhält er automatisch die Werbe-E-Mail.

Soweit so gut. Nun werden also keine Werbemails blind verschickt, sondern vorerst wird eine Einladungs-Mail verschickt. Aber was, wenn der User auch diesen Schritt ausnutzt und tausende Einladungs-Mails verschickt?

Ich dachte zuerst, wie wär's mit einem "Unsubscribe"-Link. Aber das ist ja kein Newsletter, sondern nur eine Einladung. Ich habe nachgeschaut, wie andere es machen. In Jira kann man z.B. eine Person einladen. Ich habe eine Person eingeladen und die bekam eine E-Mail. Wenn ich sie nochmals einlade, erhält sie keine E-Mails mehr. Die Strategie halte ich nicht einmal für so schlecht, aber bei meiner Applikation sind die Fälle etwas anders. Denn, User A sendet eine Einladung. Empfänger kennt weder User A, noch die Applikation und löscht die E-Mail. User B kennt aber den Empfänger und sendet eine Einladung. Mit Jira's Strategie bekommt der Empfänger nie eine Einladung vom User B.

Mir kommt einfach keine clevere Idee in den Sinn. Mein Ziel ist es, dass die Absenderadresse im Laufe der Zeit nicht nur noch als Spam erkannt wird, da diese so oft missbraucht wurde. Wenn ihr bereits Erfahrung damit habt oder euch etwas einfällt, lasst es mich bitte wissen!
 
KonradN

KonradN

Super-Moderator
Mitarbeiter
RezaScript hat gesagt.:
Mein Ziel ist es, dass die Absenderadresse im Laufe der Zeit nicht nur noch als Spam erkannt wird, da diese so oft missbraucht wurde.
Zum Vergrößern anklicken....
Also ich sehe das Problem weniger im Missbrauch als in den Algorithmen, die Spam erkennen sollen. Ich habe da Erfahrungen mit Google GSuite gesammelt, was mich da schon arg in Probleme gebracht hat.

Opt-In: Ein muss aber das mehr in juristischem Sinne. Wenn du durch Algorithmen gesperrt wirst, dann bist Du gesperrt und gut ist es ... Da wirst Du oft nichts machen können. Aber wen Du da kommerziell irgendwas machst,
dann solltest Du auf Gesetze achten um nicht blöde Post von Anwälten, Verbraucherschützern und Co zu bekommen. (==> Eine Beratung vom Anwalt wäre da evtl. sinnvoll)

Unsubscribe - Das ist in meinen Augen doch in der Regel ein; "Ich bestätige, dass meine Email Adresse aktiv ist und die Werbung gelesen wird". Also wird die Emailadresse für den Spammer deutlich wertvoller :)

Die Probleme mit dem Opt-In sehe ich nicht. Sicheres es mit Captcha und so und sorge dafür, dass die Anzahl der Requests in bestimmter Zeit gering ist pro IP ... Dann kann jemand nicht mit Scripts wirklich Schaden anrichten...

Bezüglich Newsletter kann man ggf. etwas suchen: Was für Kriterien gibt es alles für Spam Erkennung? Da kann man ggf. dann auch beeinflussen, dass eigene Newsletter nicht entsprechend eingestuft werden. Aber das ist oft schwer, denn man will ja in der Regel eine HTML Email und keine reine Text Email (um mal ein Kriterium heraus zu greifen, von dem ich in der Vergangenheit gehört habe).

derBoss hat gesagt.:
Vermutlich hat dein E-Mail-Server einfach noch keine gute Reputation aufgebaut...
Zum Vergrößern anklicken....
Das ist schlicht Quatsch. Was für eine Reputation sollte das denn sein und wie sollte da etwas aufgebaut werden von irgendwelchen Dritten?

Bei einem Mailserver sind diverse Dinge wichtig:
  • Greylisting - Was Dir garantiert begegnen wird ist ein Greylisting bei anderen Mailservern. Wenn Du das erste Mal eine Mail ablieferst, dann wirst Du eine Antwort bekommen, dass Du es später noch einmal versuchen sollst. Nach x Stunden bist Du dann für y Stunden freigeschaltet. Das verhindert Spam von Botnetzen, denn die verteilen einfach Mails und wenn ein Mailserver die Mail nicht annimmt, dann wird der Versuch meist verworfen.
  • DNS Settings - Im DNS ist oft hinterlegt, welche Mailserver für die Domain aktiv sein dürfen. Wenn Du also für example.com Mails versenden willst und Du hast da im DNS nicht einen Eintrag, der das erlaubt, dann nehmen andere Mailserver die Mails von Dir (hoffentlich) nicht an. (SPF Sender Policy Framework). Such auch mal nach DKIM und DMARC ...
  • ...

Es gibt da viele Punkte, die wichtig sind. Aber das kannst Du alles ignorieren, wenn Du halt Emails einfach bei einem administrierten Mailserver ablieferst. Hier kannst Du auch die Admins ansprechen. Die kennen sich da in der Regel sehr gut aus. (Also ggf. einfach mal beim Provider nachfragen, wenn ihr das nicht selbst macht!).
Dann hast Du einen einfachen SMTP Transfer zu dem Mailserver mit Authentifizierung und der kümmert sich dann um alles. Dann bekommst Du auch nichts von den ganzen Dingen mit.
 
KonradN

KonradN

Super-Moderator
Mitarbeiter
derBoss hat gesagt.:
Was hat dich denn gebissen? Hast schlecht geschlafen? Du kannst ja mal versuchen, mit einer der von dir selber beschriebenen Methoden, eine E-Mail an t-online zu senden. Viel Glück dabei.

Ansonsten scheint es nicht viel anders als sonst... Eine von ChatGpt genierte Antwort die besonders schlau wirken soll brauchen wir hier nicht. Also lass deinen Dampf woanders ab.
Zum Vergrößern anklicken....
Ach Tobias, eigentlich lohnt es sich nicht, Dir zu antworten - der Account und Deine Posts sind in kürze eh bald gelöscht (vermute ich)... Der wievielte Account über Weihnachten und Neujahr war das jetzt?

Und natürlich schreibe ich auch genau so auch Emails an t-online Kunden. Wieso sollte das auch nicht gehen? Es ist egal, mit welchem Programm man seine Emails schreibt. Ich übergebe diese dem Email Server meiner Domain (Als Client) und der leitet die Email weiter an T-Online. Wo soll das Problem her kommen? Der Mailserver trägt allen wichtigen Dingen Rechnung, damit die Email ausgeliefert wird. Und der Server ist korrekt konfiguriert, daher gibt es da keine Probleme ...

Aber ich verstehe weiterhin nicht, wie Du auf die Email-Server Thematik gekommen bist, denn der TE hat ganz klar über eine Client Anwendung geschrieben. Er hat eine Anwendung, die Emails versenden soll und evtl. auch Emails empfangen wird (für Opt-In Bearbeitung). Dazu braucht er keinen eigenen Email Server für betreiben. Evtl. arbeitet er für eine Firma, die eigene Server hat oder es wird Office 365 oder GSuite verwendet oder oder oder ...

Aber Deine Idee musst Du einmal im Detail ausführen: Was sollen denn die CEOs machen, wenn man ihnen viel Geld gibt?

Und ich schreibe meine Antworten selbst und die Formulierungen sind deutlich abweichend von ChatGPT. Aber Dir geht es ganz offensichtlich nur um Angriffe gegen die Person und nicht um die Sache. Da kann man so idiotische Dinge ja gerne bringen.

Winke winke Viel Spass beim Erstellen eines weiteren Accounts Du drolliger Troll.
 
R

RezaScript

Bekanntes Mitglied
Danke für die Infos @KonradN! Ich werde mal so angehen, dass der Empfänger zwar mehrere Einladungen empfangen kann, aber pro User nur einmal. Das Nervige ist halt, dass ich nicht nachprüfen kann, wie viele Mails als Spam markiert wurden. Und wenn ich irgendwann mal merke, dass die Mails meistens im Spam-Ordner landen, ist es leider zu spät, um zu handeln.
 
KonradN

KonradN

Super-Moderator
Mitarbeiter
RezaScript hat gesagt.:
Das Nervige ist halt, dass ich nicht nachprüfen kann, wie viele Mails als Spam markiert wurden. Und wenn ich irgendwann mal merke, dass die Mails meistens im Spam-Ordner landen, ist es leider zu spät, um zu handeln.
Zum Vergrößern anklicken....
Das ist halt etwas, das an unterschiedlichen Stellen passieren kann und Du hast da auf keine Stelle wirklichen Einfluss.

Evtl. macht es Sinn, da noch etwas über diverse Punkte zu sprechen.

Dir geht es um eine Art Newsletter Service für Dritte? Also eine andere Firma kann über Dich Newsletter versenden? Und da gibt die Firma keine Empfänger an sondern statt dessen hat er dann be Dir eine Webseite, wo sich User registrieren können für den Newsletter des Kunden von Dir.

Ist dieses Szenario erst einmal richtig verstanden?

Und dann wichtig der Bereich, um den es Dir geht:
  • Dir geht es um den Prozess der Registrierung und so. Ein User soll sich registrieren oder abmelden können und sowas.
  • Dir geht es hier nicht um konkrete Dinge rund um den Betrieb eines Mailservers. (Nicht dass ich das falsch verstanden habe und Tobias das richtig verstanden hatte)

Was mir so noch etwas durch den Kopf gegangen ist:

Du kannst natürlich bei Dir generell eine Useranmeldung haben. Dann hat ein User ein Profil bei Dir und wenn ich mich als User anmelde, dann sehe ich da halt, was für Newsletter von welchen Firmen ich habe. Da könnte ich dann Abmeldungen machen.

Dann hättest Du auch entsprechende Informationen zu dem Service im Footer der Mail wo Du einen Link haben könntest, um den User direkt abzumelden und/oder zu der Login Seite und so. Ggf. auch, um da den Newsletter zu melden wegen Missbrauch ...

Generell kann dann auch bei einer Anmeldung eine Email verschickt werden, die der User aufbewahren kann mit Links und Hinweisen. Ein wichtiger Hinweis könnte sein, welche Adresse in die Whitelist aufgenommen werden sollte, damit Mails nicht im Spam Ordner landen.

Bei sowas könnte ich mir auch einen Hilfebereich gut vorstellen. Wie mache ich es mit Apple Mail? Wie mit Outlook? Wie mit Google GSuite? ... Oder auch Tipps und Tricks also z.B. Automatisches Einsortieren von Newslettern in einen Ordner ...

Damit hast Du dann Dinge abgehandelt, die der User selbst beeinflussen kann. Das nützt Dir aber nichts, wenn
  • ein Provider Dich als Spam Versender blockt.
  • Du auf Blacklists landest

Um da sowas zu vermeiden, solltest Du halt auf gewisse Dinge achten - und die sehe ich etwas als Herausforderung:
Wenn Du Deinen Email Server verwendest, dann sollte der Absender auch die Domain nutzen. Dann kommt der Newsletter sozusagen von kunde1@newsletter-service.de statt von newsletter@kunde1.de.
Wenn Du aber mit Deinem Mailserver Emails von newsletter@kunde1.de versendest, dann hast Du evtl. Probleme. Denn ein Mailserver sieht dann, dass die Email von einem Server kommt, der nicht für kunde1.de zuständig ist. (So das konfiguriert wurde).
Eine andere Option könnte natürlich sein, dass Deine Software den Mailserver vom Kunden nutzen kann, aber das ist auch eine Frage des Vertrauens und damit gehen gewisse Risiken einher.

Das sind aber nur Punkte, die mir gerade so auf Anhieb alle durch den Kopf gehen. Da ist bestimmt noch sehr viel, das ich nicht im Fokus habe. Da kann man also nur empfehlen, mal sehr aktiv zu schauen, was da andere Anbieter so machen. Wie läuft das da? Evtl. findet sich da deutlich mehr ...
 
R

RezaScript

Bekanntes Mitglied
KonradN hat gesagt.:
Dir geht es um eine Art Newsletter Service für Dritte? Also eine andere Firma kann über Dich Newsletter versenden? Und da gibt die Firma keine Empfänger an sondern statt dessen hat er dann be Dir eine Webseite, wo sich User registrieren können für den Newsletter des Kunden von Dir.
Zum Vergrößern anklicken....
Nein, es ist nicht wirklich ein Newsletter. Der User hat ein Produkt, das er verkaufen möchte. Er kennt aber eine Person oder eine Firma, die Interesse an diesem Produkt haben könnte und diese wäre dann der Empfänger in einem Best-Case-Szenario. Das Produkt soll also ein Unikat sein, dass nur für diesen Kunden hergestellt wurde.

Das mit dem Registrieren hast du richtig verstanden. Der Sender muss sich sowieso registrieren, um das Tool benutzen zu können. Der Empfänger muss sich (leider) ebenfalls registrieren, damit die Spam-Wahrscheinlichkeit reduziert wird. Er registriert sich aber nicht nur für den Mail-Erhalt, sondern hat dann die gleichen Rechte wie der Absender. Kann also kommentieren oder auch eigene Produkte anbieten.

Die Absenderadresse wird do-no-reply@example.com sein. Jira hat die Absenderadresse noreply+9756a726b18528b64885e37ef5a82f34a488168925c033703217d269@am.atlassian.com. Ob die Kodierung irgendetwas mit Spams zu tun hat oder lediglich für interne Zwecke genutzt wird, weiss ich nicht.

Das Problem wäre behoben, wenn der User seine SMTP-Daten zur Verfügung stellen würde. Dann ist seine Mail-Adresse die Absenderadresse und er kann dann so viele Spams senden wie er will. Das Feature wird dann aber wahrscheinlich kaum genutzt, da es sehr viel Vertrauen braucht, um das eigene Mail-Passwort weiterzugeben und zweitens ist es ein Overkill, was Benutzerfreundlichkeit angeht, vor allem, wenn dann auch noch Two-Factor-Authentication (2FA) dazu kommt.
 
Ähnliche Java Themen
  Titel Forum Antworten Datum
G E-Mails vom lokalen PC verschicken (möglich?) Allgemeines EE 4
P E-mails alias über Servlets einrichten bei Strato- Allgemeines EE 16

Ähnliche Java Themen

Aktuelle Jobs

Neue Themen


Oben