Sicherheit bei der Kundenakquise: 5 Tipps, damit Ihr Vertriebsteam nicht wie Phisher wirkt
von
Zuletzt aktualisiert:
6 Lesezeit: 2 Minuten
Das Wichtigste in Kürze:
- SPF, DKIM und DMARC müssen nicht nur implementiert, sondern auch durchgesetzt werden – die Sicherheit von E-Mails im Vertrieb beginnt damit, DMARC auf „p=reject“ umzustellen
- Das Versenden von Kaltakquise-E-Mails über Ihre Hauptdomain birgt ein Risiko – eine eigene Subdomain begrenzt Sicherheitsrisiken im Zusammenhang mit Akquise-E-Mails
- DMARC-RUA-Berichte zeigen alle Tools auf, die unter Ihrer Domain versenden, und sind daher unverzichtbar für die Überprüfung von Sicherheitslücken bei E-Mails im Vertrieb
- Spamfilter können eine Phishing-E-Mail nicht von einer schlecht formulierten Werbe-E-Mail unterscheiden – Dringlichkeitsformulierungen, gefälschte Betreffzeilen und eine Überfülle an Links beeinträchtigen die Zustellbarkeit
- BIMI zeigt Ihr verifiziertes Logo an, noch bevor die E-Mail geöffnet wird, sodass sichere Verkaufs-E-Mails für potenzielle Neukunden sofort erkennbar sind
Ich will ehrlich sein: Als ein potenzieller Kunde zum ersten Mal auf eine unserer Kaltakquise-E-Mails antwortete und fragte: „Ist das ein Phishing-Versuch?“, wusste ich nicht, ob ich lachen oder in Panik geraten sollte. Wir hatten nichts falsch gemacht. Die E-Mail war echt, das Angebot war seriös, und der Vertriebsmitarbeiter hatte sich die Zeit genommen, sie individuell anzupassen. Aber für diesen potenziellen Kunden? Sie erfüllte alle Kriterien für Phishing.
Dieser Moment ist mir im Gedächtnis geblieben. Denn das Problem war nicht die E-Mail selbst, sondern alles, was dahintersteckte. Keine DKIM-Signatur. Ein lückenhafter SPF-Eintrag. DMARC, das mit dem Wert „p=none“ ungenutzt herumlag. Aus Sicht des Mail-Servers waren wir praktisch anonym.
Und dabei geht es nicht nur um Probleme bei der Zustellbarkeit. Der „Internet Crime Report“ des FBI stuft „Business Email Compromise“ Jahr für Jahr als eine der kostspieligsten Cyberbedrohungen ein. Potenzielle Kunden wissen das. Sie sind darauf trainiert, misstrauisch zu sein, und Ihre Kontakt-E-Mails erfüllen – ob es Ihnen gefällt oder nicht – oft dieselben Kriterien wie eine Phishing-E-Mail.
Die Sicherheit von E-Mails zur Kundenakquise ist nicht nur ein technisches Problem – es ist ein Umsatzproblem. Wenn Ihre Akquise-E-Mails wie ein Phishing-Versuch wirken, spielt es keine Rolle, wie gut Ihr Text ist. Hier sind also die Maßnahmen, die tatsächlich helfen. Fünf Dinge, die Ihr Team tun kann – teils technischer, teils verhaltensbezogener Natur –, um sicherzustellen, dass Ihre Akquise-E-Mails als die seriöse Kommunikation behandelt werden, die sie sind.
1. SPF, DKIM und DMARC tatsächlich zum Laufen bringen – nicht nur einrichten
Die meisten Teams, mit denen ich spreche, haben die Authentifizierung „eingerichtet“. Das bedeutet in der Regel: Irgendwo gibt es einen SPF-Eintrag, DKIM ist beim primären E-Mail-Anbieter aktiviert und DMARC ist auf „p=none“ gesetzt. Das ist keine Authentifizierung, sondern nur der Anschein von Authentifizierung.
Das machen diese drei tatsächlich, wenn sie ordnungsgemäß funktionieren:
- SPF teilt den empfangenden Mail-Servern mit, welche IP-Adressen im Namen Ihrer Domain E-Mails versenden dürfen. Wenn Ihr Verkaufstool nicht in dieser Liste aufgeführt ist, werden dessen E-Mails ohne Ihre Erlaubnis an Sie gesendet, selbst wenn Sie es selbst eingerichtet haben.
- DKIM versieht Ihre E-Mails mit einer kryptografischen Signatur. Damit wird nachgewiesen, dass die Nachricht während der Übertragung nicht verändert wurde und tatsächlich von Ihrer Infrastruktur stammt.
- DMARC ist die Durchsetzungsschicht. Es legt fest: Wenn SPF oder DKIM fehlschlagen, ist Folgendes zu tun: überwachen, unter Quarantäne stellen oder ablehnen. Außerdem erhalten Sie Berichte, aus denen genau hervorgeht, welche E-Mails durchkommen und welche nicht.
Was viele übersehen, ist, dass man bei DMARC über „p=none“ hinausgehen muss. Ja, fangen Sie dort an – man braucht erst einmal einen Überblick, bevor man Maßnahmen ergreifen kann. Aber wenn Sie für immer bei „p=none“ bleiben, sagen Sie im Grunde: „Ich weiß, dass Spoofing stattfindet, und das ist für mich in Ordnung.“ Arbeiten Sie auf „p=reject“ hin. Ihre Zustellbarkeit wird es Ihnen danken.
2. Verwenden Sie eine Subdomain für die Kontaktaufnahme per E-Mail
Für manche Teams ist das schwer zu vermitteln, aber wenn man einmal erlebt hat, wie eine Kaltakquise-Kampagne den Ruf eines Absenders ruiniert, kehrt man nie wieder zu den alten Methoden zurück.
Ihre Hauptdomain, über die Ihre Transaktions-E-Mails, Kundenmitteilungen und Newsletter versendet werden, ist zu wertvoll, um sie für Kaltakquise zu riskieren. Eine schlecht ausgerichtete E-Mail-Serie, eine gekaufte Liste, eine misslungene Kampagne – und schon sehen Sie sich mit einem sprunghaften Anstieg an Spam-Beschwerden konfrontiert, der sich nicht auf die Kundenansprache beschränkt. Das wirkt sich auf alles aus.
Richten Sie stattdessen eine eigene Subdomain ein. Etwa mail.ihrunternehmen.com oder outreach.ihrunternehmen.com. Authentifizieren Sie diese separat mit eigenen SPF-, DKIM- und DMARC-Einträgen. So läuft Ihre Kaltakquise nun in einem eigenen Bereich ab, und sollte etwas schiefgehen, bleibt der Schaden begrenzt.
Bei den meisten Sales-Engagement-Tools lässt sich dies ohne großen Aufwand konfigurieren. Die größere Herausforderung besteht meist darin, das Team davon zu überzeugen, dass sich der Zeitaufwand für die Einrichtung lohnt. Das tut er.
3. Überprüfen Sie jedes Tool, das E-Mails von Ihrer Domain versendet
Hier ist eine Frage: Können Sie jedes Tool in Ihrem Tool-Stack nennen, das E-Mails über Ihre Domain versendet? Nicht nur Ihren Haupt-E-Mail-Anbieter, sondern wirklich jedes Tool. Ihre CRM-Follow-up-Sequenzen. Die Bestätigungs-E-Mails Ihres Kalenderplaners. Ihr Warm-up-Tool. Die Integration, die jemand vor acht Monaten eingerichtet hat und an die sich niemand mehr erinnert.
Die meisten Teams können diese Frage nicht mit Sicherheit beantworten. Und das ist ein Problem, denn jedes dieser Tools ist entweder ordnungsgemäß authentifiziert oder eben nicht. Ist dies nicht der Fall, bestehen diese E-Mails die SPF- oder DKIM-Prüfung nicht, was bedeutet, dass sie für den empfangenden Server als gefälscht erscheinen, unabhängig davon, was der Inhalt tatsächlich besagt.
DMARC-Gesamtberichte (RUA-Berichte) geben Aufschluss darüber. Sie zeigen Ihnen alle Absender, die unter Ihrer Domain versenden, aufgeschlüsselt nach Erfolgs- und Fehlerquoten. Oftmals ist es überraschend: Man entdeckt Tools, deren Existenz man vergessen hatte, alte Integrationen, die immer noch aktiv sind, sowie Dienste von Drittanbietern, die nie zu Ihrem SPF-Eintrag hinzugefügt wurden.
- Rufen Sie Ihre DMARC-RUA-Berichte ab und listen Sie alle Absenderquellen auf
- Für jede einzelne: Ist sie in Ihrem SPF-Eintrag enthalten? Ist sie DKIM-signiert?
- Was auch immer nicht funktioniert: Korrigiere den Datensatz oder entferne die Quelle
4. Ihre Mitarbeiter verfassen Phishing-E-Mails, ohne es zu merken
Das meine ich nicht wörtlich, aber aus Sicht eines Spamfilters sind manche Werbetexte nicht von echten E-Mails zu unterscheiden. Spamfilter erkennen keine Absichten, sie erkennen Muster. Und viele gängige Muster in Verkaufs-E-Mails sind dieselben, die auch Phisher verwenden. Dies wird umso wichtiger, je mehr Teams Cold-E-Mails mit KI-Tools einsetzen, um ihre Kundenansprache zu skalieren. KI kann zwar die Personalisierung beschleunigen, aber sie kann auch unbeabsichtigt Muster reproduzieren, die Phishing ähneln, wenn sie nicht sorgfältig überprüft wird.
Einige Verhaltensweisen von Vertriebsmitarbeitern, die ich beobachtet habe und die der Zustellbarkeit ernsthaft schaden:
- Der Trick mit dem gefälschten Thread – Betreffzeilen wie „Re: Unser Chat“ oder „Nach unserem Gespräch“, obwohl es zuvor gar keine Kommunikation gab. Potenzielle Kunden hassen das, Spamfilter markieren solche E-Mails, und das Vertrauen schwindet schnell.
- Druckausübung – „Nur für kurze Zeit“, „Handeln Sie jetzt“, „Verpassen Sie diese Gelegenheit nicht“ – all das in einer unaufgeforderten E-Mail von jemandem, von dem der Empfänger noch nie gehört hat. Klassische Phishing-Formulierungen.
- Link-Überladung – Drei nachverfolgbare Links, ein eingebetteter Kalender und ein PDF-Anhang in einer Kaltakquise-E-Mail beim ersten Kontakt. Das ist keine Kundenansprache, das ist ein Warnsignal.
- Unsaubere Adresslisten – Das Versenden an nicht verifizierte oder gekaufte Kontakte lässt die Bounce-Rate und die Beschwerdequote in die Höhe schnellen. Beides ruiniert Ihre Absenderreputation.
Eine 30-minütige Besprechung mit Ihrem Vertriebsteam zu diesen Mustern zahlt sich sofort in Form von Öffnungsraten und Zustellbarkeit aus. Stellen Sie es so dar, wie es ist: Dies hat direkten Einfluss darauf, ob die E-Mails im Posteingang oder im Papierkorb landen.
5. Nutzen Sie BIMI, damit Ihre E-Mails schon vor dem Öffnen wie von Ihnen stammen
Bisher ging es immer darum, nicht verdächtig zu wirken. Bei BIMI geht es darum, aktiv vertrauenswürdig zu wirken, und das ist ein Unterschied.
BIMI (Brand Indicators for Message Identification) platziert Ihr verifiziertes Markenlogo neben Ihrem Absendernamen im Posteingang. Noch bevor der potenzielle Kunde ein einziges Wort liest, sieht er Ihr Logo. Diese visuelle Wiedererkennung im Bruchteil einer Sekunde ist bei der Kaltakquise von enormer Bedeutung, da der Empfänger noch keine Beziehung zu Ihnen hat und blitzschnell entscheidet, ob diese E-Mail seine Zeit wert ist.
Es ist außerdem wichtig zu wissen, welche Voraussetzungen für die Funktion von BIMI erfüllt sein müssen: Ihre DMARC-Richtlinie muss auf „p=quarantine“ oder „p=reject“ eingestellt sein. Die Implementierung von BIMI zwingt Sie also zwangsläufig dazu, das zu Ende zu bringen, was Sie mit der Authentifizierung begonnen haben – ein netter, integrierter Anreiz.
Die Einrichtung umfasst die Veröffentlichung eines BIMI-DNS-Eintrags, der auf eine SVG-Version Ihres Logos verweist, sowie den Erhalt eines Verified Mark Certificate (VMC), falls Sie möchten, dass Ihr Logo in Gmail und anderen gängigen E-Mail-Clients angezeigt wird. Das ist zwar etwas aufwendiger als ein einfacher Knopfdruck, aber das dadurch vermittelte Vertrauenssignal ist authentisch und verstärkt sich mit der Zeit, wenn Ihre Marke in den Posteingängen der Empfänger an Bekanntheit gewinnt.
Fazit: Nicht Ihre Vertriebsmitarbeiter sind das Problem, sondern Ihre Infrastruktur
Als dieser potenzielle Kunde fragte, ob unsere E-Mail ein Phishing-Versuch sei, fühlte sich der Mitarbeiter schlecht. Aber es war nicht seine Schuld. Die E-Mail war in Ordnung. Was nicht funktionierte, war alles, was man nicht sehen konnte: die Authentifizierungsebene, die Domain-Einrichtung und die Versandpraktiken, die eine legitime E-Mail wie eine Bedrohung erscheinen ließen.
Bringen Sie die Infrastruktur in Ordnung, dann löst sich das Problem größtenteils von selbst. Stellen Sie sicher, dass SPF, DKIM und DMARC auf Durchsetzungsniveau funktionieren. Leiten Sie Kaltakquise über eine eigene Subdomain. Überprüfen Sie jedes Tool, das mit Ihrer Domain in Berührung kommt. Schulen Sie Ihre Mitarbeiter in Bezug auf Verhaltensmuster, die die Zustellbarkeit beeinträchtigen. Und setzen Sie BIMI ein, sobald Sie bereit sind.
Das ist alles keine glamouröse Arbeit. Aber genau darin liegt der Unterschied zwischen einem Vertriebsteam, dessen E-Mails im Posteingang landen, und einem, das sich fragt, warum es keine Antworten erhält.
Inhaltsspezialist bei PowerDMARC
Milena ist eine erfahrene Autorin und Inhaltserstellerin mit mehr als 7 Jahren Erfahrung in der Erstellung ansprechender Inhalte über IT, Cybersicherheit, virtuelle Veranstaltungen und mehr. Sie hat eine nachgewiesene Erfolgsbilanz bei der Erstellung hochwertiger Arbeiten für internationale Magazine und ist Absolventin renommierter Institutionen wie der New York University Abu Dhabi, UWC China und dem College of Europe.
Neueste Beiträge von Milena Baghdasaryan (alle anzeigen)
