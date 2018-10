Wohl jeder hat schon unangenehme Überraschungen nach dem Klick auf einen „Abmelden“-Link in einer Werbemail erlebt. Die Aufforderung zum längst vergessenen Login oder zur Verifikation von Daten wie der beim Dienst hinterlegten Postanschrift ist für manche Nutzer eine Hürde für die Abmeldung – erst recht, wenn sie sich gar nicht an einen Registrierungsvorgang erinnern können. Umso erfreulicher, wenn ohne weitere Umstände eine Meldung wie „Sie wurden erfolgreich abgemeldet“ erscheint. Dies ist jedoch nicht selbstverständlich. Auch der optionale, oft nicht direkt vom Mailprogramm angezeigte Header „List-Unsubscribe“ führt meist zu keinem anderen Workflow.

Eine mögliche Ursache für diese Situation könnte eine ungenaue Formulierung im 20 Jahre alten RFC 2369 sein, der die Mail-Header-Zeile „List-Unsubscribe“ beschreibt (Quellen siehe ix.de/ix1810104). Das im Header angegebene Kommando soll den Nutzer „directly“ abmelden. Doch das wird in der Praxis immer wieder anders interpretiert. Die Interessen vieler Versender scheinen auf den ersten Blick im Widerspruch zu denjenigen der Adressaten zu stehen. Mit dem bloßen Ausstoß an E-Mails steigen jedoch weder die Bekanntheit der versendenden Marke noch die Einnahmen der Versanddienstleister dauerhaft: Uninteressierte Nutzer verschieben E-Mails oft in den Spamordner, anstatt sie zu löschen – insbesondere wenn unklar ist, wie man sich vom Newsletter abmelden kann. Das wirkt sich auf die Inhaltsfilterung aus und die Reputation des Versenders nimmt bei den großen Mailboxprovidern ab.

Im schlimmsten Fall könnten die Werbemails nicht nur bei einzelnen Nutzern, sondern bei Mailprovidern wie Web.de oder T-Online systemweit als Spam wegsortiert oder sogar abgewiesen werden. Ein derartiges Blacklisting wäre ein enormer Schaden für die versendende Marke sowie den Versanddienstleister.

Nur E-Mails mit für die Empfänger interessanten Inhalten steigern die Reputation dank hoher Öffnungs- und Klickraten. Daher sollten nicht nur Kampagnen auf die Interessen der Adressaten zugeschnitten sein, sondern auch Nutzer, die kein Interesse mehr an einem Newsletter haben, sollten sich möglichst leicht abmelden können. Eine andere Herausforderung gibt es auf technischer Seite. Leider rufen manche Sicherheitsprodukte URLs automatisiert zur Analyse auf. Dies hat mit Inkrafttreten der DSGVO zu kuriosen automatischen Bestätigungen der Zustimmungsmails zur Datenerhebung und -verarbeitung geführt.

All die genannten Schwierigkeiten geht nun der RFC 8058 mit der Beschreibung einer „One-Click“-Vorgehensweise an. So müssen bei RFC-8058-konformen E-Mails die Abmelde-URLs per POST- anstatt mit dem bisher üblichen GET-Request aufgerufen werden. Dies sollten die Versender im Regelfall mit einer minimalen Codeänderung umsetzen können.

Ist der Abmeldelink nutzerspezifisch und nicht vorhersehbar gestaltet, beispielsweise mit einer eindeutigen, zufälligen ID statt der Mailadresse des Abonnenten, können ihn Angreifer auch nicht zum Leeren des Verteilers missbrauchen. Dies sollte unabhängig von RFC 8058 als Best Practice bekannt sein. Verzichten müssen die Versender jedoch auf in den Abmeldeprozess integrierte Umfragen, beispielsweise zum Grund der Abmeldung. Diese sind in der aktuellen Version des Standards nicht vorgesehen.

RFC 8085 lässt sich ziemlich einfach umsetzen. Ein Newsletter signalisiert mit einer neuen Zeile im E-Mail-Header die Möglichkeit der Abmeldung: List-Unsubscribe-Post: List-Unsubscribe=One-Click. Mailclients, die diesen Standard implementieren, können nun die unter „List-Unsubscribe“ angegebene URL mit einem POST-Request aufrufen. Signalisiert der Response-Code keinen Fehler, war die Abmeldung erfolgreich. Damit Spammer auf diesem Weg keine Adressbestätigung erhalten, sollten Versanddienstleister diese Funktion nur Kunden mit einer ausreichenden Reputation zur Verfügung stellen. Mailboxprovider und Mailclients können die Abmeldefunktion mit einem Button in das Nutzerinterface integrieren oder beim Verschieben in den Spamordner nachfragen, ob es sich wirklich um Spam handelt oder ob eine ordnungsgemäße Abmeldung infrage kommt.

Weite Verbreitung in Aussicht

Die meisten großen Mailboxprovider haben bereits Unterstützung für One-Click Unsubscribe gemäß RFC 8058 signalisiert. So empfiehlt Google (Gmail) die Nutzung auf seinen Postmaster-Seiten. Die Certified Senders Alliance (CSA) des eco-Verbands verpflichtet ihre Mitglieder ab dem 1. Juli 2019 zur Umsetzung. Die CSA hat viele internationale Mailboxprovider wie AOL, Microsoft (Outlook), Yahoo oder Yandex als Partner. Da es sich um eine Initiative des eco e. V. handelt, hat der Standard auch im deutschsprachigen Raum Aussichten auf eine hohe Verbreitung. (un@ix.de)