News Deutsche E-Mail-Dienstleister erlauben Tracking

[Daaron]

Naja... die Newsletter-Versender werden auf bewährte Werbedienstleister zurückgreifen und die wiederum sollten in den Filterlisten stehen... aber klar ist, daß AdBlock nur bekannte Werbung ausschlaten kann.

Warum sollten sie auf Werbedienstleister zurückgreifen? Jedes halbwegs brauchbare Newsletter-System hat entweder ne Tracking-Funktion, oder sie kann modular nachgerüstet werden. Wir reden heir auch nicht zwingend von ner transparenten 1px-GIF... die ist ziemlich mies auszuwerten, denn dafür müsste man zusätzlich die Server-Logs durchforsten.
Viel leichter ist es einen <img>-Tag einzubinden, dessen src ein PHP/Perl/Python/ASP... - Script ist. dieses Script sendet nur einen "ich bin eine Grafik"-Header und evtl. tatsächlich die Daten für 1px 0 Alpha... Dafür kann dieses Script sehr leicht eine Datenbank mit Werten füllen und somit sehr leicht Tracking-Auswertung auf der eigenen Domain ermöglichen.

Externe Anbieter spielen hier echt keine Rolle.

Von daher war meine Frage eher technisch: Werden die Werbepixel in den Webinterfaces der E-Mail-Anbieter genauso eingebunden wie gewöhnliche Tracking-Pixel auf Webseiten? Oder sind sie als "Teil einer Mail" irgendwie besonders "geschützt"?

Nö. Es ist ein <img>-Tag, so wie überall bei HTML. Theoretisch wären auch CSS-Backgrounds möglich, praktisch bringt das aber nix, da Outlook den größten Marktanteil hat und seit Version 2007 ist Outlook nun einmal zu blöd, CSS-Backgrounds darzustellen.

Ergänzung (7. Oktober 2013)

wenn ich das Kapital und das Wissen hätte, würde ich es definitiv machen.

Ok, Info für dich: Wirtschaftsunternehmen sind ihren Anteilseignern gegenüber GESETZLICH VERPFLICHTET, Profit zu erwirtschaften. Du kannst eine AG oder GmbH nicht mal eben zum Minus-Geschäft erklären, das ist tatsächlich ein Gesetzesverstoß, dafür wanderst du für lange Zeit ein.

Ein privater Milliardär kann sowas aus lauter Menschenfreude machen. Ein Dienstanbieter, der wirtschaftlich arbeiten MUSS, kann solche Angebote bestenfalls als Teil einer Mischkalkulation mit abrechnen.... genau so, wie Google das z.B. macht.

Es klingt außerdem fast so, dass Du kein Problem damit hast oder haste eine Lösung parat?

Lies weiter oben: Die angesprochenen Maildienstleister sollten, genau wie GMail, ein Opt-In aktivieren.... aber das Problem ist trotz allem keines der Maildienstleister. Der verantwortungsvolle Umgang mit Kundendaten liegt bei den Unternehmen.

 

[Forum-Fraggle]

Meines Wissens nach sollte damit auch vereinfachte HTML Anzeige im Thunderbird reichen, da dann bereits keine Bilder nachgeladen werden, sondern nur Formatierungen angezeigt werden.

Das ist doch das eigentliche Problem: überall seine Daten für irgendein paar lausige Vorteile preisgeben ... jeden Müll breittretten im Netz den eigentlich keine Sau interessiert ...freiwillig ... aber wehe der Staat schnüffelt mal ... dann ist das Geschrei groß!

Und das zurecht. Was macnhe selber preisgeben, ist deren Entscheidung. Schnüffelt der Staat, ist es es keine freie Entscheidung. Das ist ein großer Unterschied.

Warum sollte er?
2.) Wenn die Quell-Domain keinen "Ad"-Namen hat, und das Containerelement auch nicht grad <div class"ad_skyscraper"> heißt, dann kann AdBlock da auch nix anspringen.

Warum er sollte? Weil man definieren muß, was er blocken soll. Dein Punkt 2.) ist falsch, weil weder ein kein ad im Domainnamen stecken muß und auch nicht im div Container. Es kommt auf die Ausdrücke an, nach denen gesucht wird. Die sind aber nicht in Stein gemeißelt.

 

[Krik]

Ergebnis der getesteten Live.de-Mail (Outlook.com):

Wegen der Standardsicherheitseinstellungen wird dem Absender nicht vertraut und deswegen auch keine Bilder angezeigt.
Ergebnis: Kein Lämpchen geht an.

Dann habe ich mir die Bilder anzeigen lassen.
Ergebnis: Die komplette erste Zeile wird rot, in der zweiten Zeile werden die linken beiden Tests rot.

Dann wollte ich dem Absender als vertrauenswürdig einstellen. Windows Live Mail hat es mir verweigert, weil im Anhang ein Skript drin ist (nix gefährliches, es soll nur den Tester triggern).
Ergebnis: Keine zusätzlichen Tests schlagen aus.

Zusammenfassung:
Die komplette erste Zeile wird rot sowie die beiden links gelegenen Tests. Alles andere bleibt grau.

 

[JuggernautX]

@e-Laurin:

und was sagt uns das jetzt, ist Outlook.com gut (empfehlenswert) oder nicht?

 

[[ChAoZ]]

im browser nur noch mit addblock, ghostery und noscript, flash off und kein java.

Dir ist schon klar dass ich via IMG-Tag tracken kann oder?
Willst du nun Bilder im Internet unterbinden?

Internet ohne JS ist (Web 2.0 @ Ajax, Canvas ect. pp) .... sagen wir mal ein Auto auf 3 Rändern, fahren tut es bestimmt, macht aber wenig Spaß und vom Komfort keine Rede.

wenn ich das Kapital und das Wissen hätte, würde ich es definitiv machen.

Sicher sicher.... wenn du Bill Gates bist vielleicht....
Solche Cluster kosten eine Menge Geld, auch was die Wartung angeht... also ob irgendwer völlig UMSONST solch eine Architektur auf die Beine stellt... ganz ohne Hintergedanken (wenn schon kein Geld dann das eigene Image, oder andere Vorteile!).

 

[Daaron]

Warum er sollte? Weil man definieren muß, was er blocken soll. Dein Punkt 2.) ist falsch, weil weder ein kein ad im Domainnamen stecken muß und auch nicht im div Container. Es kommt auf die Ausdrücke an, nach denen gesucht wird. Die sind aber nicht in Stein gemeißelt.

Diese Ausdrücke haben aber ein bestimmtes Muster.
Du kannst auf einer Webseite, auf der AdBlock nicht anschlägt, Werbung shcön einfach über den "jetzt sieht es gut aus" - Regler sperren. Schließlich liegt die Werbung hier sicherlich in einem separaten Container, z.B. in einem <div class="skyscraper">. Bei Mails klappt das im Zweifel aber nicht. Du kannst schlecht jeden Img-Tag sperren, wenn du alle anderen Bilder doch gern sehen würdest. Wenn der Tracking-Tag aber clevererweise ein <img> ohne Klasse oder ID ist und auch sonst keinem spezifischen RegExp entspricht, dann wirds nix.

Spätestens, wenn es keine separate 1px-Grafik ist, sondern es die Header-Grafik, das Firmenlogo, ein (erwünschtes) Produktbild,.... ist, wars das mit AdBlock.

 

[SB1888]

Also CB, wenn man dann schon von Programmen spricht, sollte man da nicht nur 2 Exemplare rauspicken:

Auch E-Mail-Clients wie Mozillas Thunderbird oder das bei KDE SC mitgelieferte KMail bieten beim Lesen einer Mail das Nachladen von externen Inhalten per Mausklick an

Outlook, Windows Live Mail und und und laden die Inhalte auch nicht automatisch

 

[[ChAoZ]]

Doppelpost -sorry-
Edit: Um Platz nicht zu verschwenden^^

 

[Daaron]

Internet ohne JS ist (Web 2.0 @ Ajax, Canvas ect. pp) .... sagen wir mal ein Auto auf 3 Rändern, fahren tut es bestimmt, macht aber wenig Spaß und vom Komfort keine Rede.

Autos mit 3 Rädern sind absolut endgeil..
http://www.spiegel.de/auto/fahrberichte/der-morgan-threewheeler-mit-harley-motor-a-859549.html

Internet ohne JS ist eher wie ne 90 Meter - Rutsche im Freibad, bei der jemand auf halbem Weg das Wasser abdreht... Es tut einfach nur weh.

 

[JuggernautX]

Autos mit 3 Rädern sind absolut endgeil..

hahaaaaa, der war gut

 

[Krik]

und was sagt uns das jetzt, ist Outlook.com gut (empfehlenswert) oder nicht?

Outlook.com setzt keine Tracking-Techniken ein. Oder sie haben so was nicht nötig bzw. verwenden andere Technologien, die uns nicht bekannt sind. Ich habe im Mail-Quelltext auch nichts gefunden. Aber da sind wie bei anderen Mails so viele kryptische Zeichenfolgen drin, dass ich nicht erkennen kann, ob da abseits der Mail-Adresse noch irgendwo eine eindeutige ID drin ist, anhand der Provider einen in irgendeiner Form verfolgen kann.

Windows Live Mail (Mailprogramm) ist von der Standardeinstellung her gut, da durch sie nichts automatisch getrackt werden kann.

 

[Lagerhaus_Jonny]

Ich habe den Test mit meiner Outlook-Adresse auch noch mal gemacht. Hier das Ergebnis.
Bild 3 und 4 zeigen das Ergebnis nachdem ich "Inhalt anzeigen" angeklickt habe.



Würde behaupten kein schlechtes Ergebnis.
Bei GMX hätte ich es mir übrigens auch schlechter vorgestellt. Wenn man die Mail vom Spam-Ordner in den Posteingang verschiebt und dann öffnet, werden die Tests "Image Tag", "CSS Background Image" und "Background attribute" getriggert. Mehr nicht. 3 von 39 Tests ist jetzt keine vernichtende Quote, denke ich.
Also viel Lärm um nichts?
Geöffnet wurde bei GMX die Mail natürlich im GMX-eigenen Webinterface. Hier ist auch interessant zu sehen, das die Mail als Anhang einen .css erhält. Das konnte ich bei der Mail in Outlook so nicht erkennen. Andere Teile der Mail scheinen auch nicht interpretiert worden zu sein, wie man am Ende der Mail erkennen kann, wo sich soetwas findet:

cid:be2e12b7babfda5e.svg@emailprivacytester.comhttps://emailprivacytester.com/cb/be2e12b7babfda5e/iframe
view-source:https://emailprivacytester.com/cb/be2e12b7babfda5e/view_sourcedata:text/html;charset=utf-8,<html><head><meta%20http-equiv=%22Refresh%22%20content=%221;%20URL=https://emailprivacytester.com/cb/be2e12b7babfda5e/iframe_refresh%22></head><body></body></html>data:text/html;charset=utf-8,<html><head></head><body><img%20src=%22https://emailprivacytester.com/cb/be2e12b7babfda5e/iframe_img%22></body></html>ript type="text/javascript" src="https://emailprivacytester.com/cb/be2e12b7babfda5e/script_in_script">ript>

Wohlgemerkt alles im Klartext in der Mail.

 

[Austin1]

Mein Tipp
eine schicke anonyme Russische eMail Adresse

http://www.blog.ip-profis.de/anonyme-russische-email-adresse/

Liebe Grüße

 

[Daaron]

Au ja!
Dir ist shcon klar, dass Mails, per TLS zwar verschlüsselt ÜBERTRAGEN, nicht aber GELAGERT werden? Das passiert nur, wenn die Mail vor Versand per PGP oder Ähnlichem verschlüsselt wird.

Anstatt also Klartext bei deutschen Providern zu lagern, die sich zumindest an ein paar Gesetze halten müssen, lagerst du den Klartext lieber in Russland, wo du sogar an den Pranger gestellt wirst, wenn deine Unterhose regenbogenfarben ist.

Denk nach, McFly! Denk nach!

 

[Austin1]

@ Daaraon.
ist ja nur ein Gedankenanstoß.
Technisch gesehen hast schon recht.

Klar muss man überlegen was man darüber laufen lässt.
Aber vielleicht FB und so gschmare Zeugs wie eben Newsletter usw,, ist doch lustig die "Kontrolleure u. Spammer" zu ärgern...

 

[Cr4ck3n]

Hmm, habe die Mail eben mit Outlook 2010 geöffnet (habe GMX), die angeforderte Lesebestätigung nicht versendet und nichts "getriggered". Keine Reaktion auf der Seite Email Privacy Tester. Auch so wurde das Script (.svg) und anderes nur als "Anhang" rangepackt aber nicht automatisch geöffnet. Hinzukommt das Outlook mir ein Script-Alert anzeigt.

 

[JuggernautX]

das ideale Mailsystem wäre also....

dass Mails, per TLS zwar verschlüsselt ÜBERTRAGEN, NICHT GELAGERT werden und ein eigenes, persönliches NAS, auf welchen dann verschlüsselt abgelegt wird, als Voraussetzung verlangen!

 

[Daaron]

Das ist aber nicht möglich. Mails MÜSSEN auf dem empfangenden Server gelagert werden, bis der endgültige Empfänger die Mail abruft. Wie sonst kannst du deine Mail abrufen, wenn sie nicht auf dem Server liegt?

Was auf dem Server mit den Mails passiert, davon hast du als User keine Ahnung. Spamfilter müssen deine Mails z.B. "lesen". Wer sagt dir aber, dass der Spamfilter nicht noch mehr damit macht? Bei uns löst er z.B. indirekt eine Aktion aus: Verschiebe Mail per Sieve in den Junk-Ordner. Bei anderen Anbietern, die es weniger genau nehmen, könnte sonstwas mit der Mail gemacht werden....

 

[JuggernautX]

Daaron, vielleicht habe ich mich undeutlich ausgedrückt. Der empfangenden Server ist dann mein NAS / Synology (incl. Mail-Server/Mail-Station ergo Roundcube) laufen dann 24/7.

Ich habe zumind vor im Urlaub, alles auf meine Synology zu legen. Ich gebs zu, noch habe ich keine Ahnung davon aber das muss und wird sich ändern.

 

[Daaron]

Ok, machbar... mit statischer IP zuhause und wenn du ne eigene Domain hast, bei der du den MX-Record entsprechend anpassen kannst.
Versenden kannst du dann aber darüber trotzdem noch nicht, weil "Heim"-IPs üblicherweise gesperrt sind. Außerdem ist Server-Betrieb in Home-Tarifen üblicherweise untersagt.
Und alle Mails, die du versenden würdest, würden immer noch im Klartext irgendwo auf externen Servern lagern....

Das ist alles nur Aluhut-würdiges Gemurkse. Wenn du paranoid bist, dann einige dich mit all deinen Gesprächspartnern auf PGP. Ansonsten: Scheiß drauf, die NSA hat kein Interesse an DIR SPEZIFISCH.