Deine Umfrage wurde bereits beantwortet. Von wem? Nicht von dir.

Du öffnest eine E-Mail. Ein Hotel bittet um Feedback zur letzten Übernachtung, eine Airline möchte wissen, wie der Flug war, ein Mietwagenunternehmen fragt nach deiner Erfahrung. Ein Link, ein Klick, fertig. So die Idee.

Was du stattdessen siehst: „Vielen Dank, du hast bereits teilgenommen.”

Nur hast du das nicht. Du hast lediglich geklickt.

Was zwischen Absenden und Posteingang passiert

Moderne E-Mail-Sicherheitssysteme prüfen eingehende Nachrichten, bevor sie überhaupt im Posteingang landen. Dabei öffnen sie Links automatisch, laden die Zielseiten und analysieren den Inhalt. Das ist kein Bug, das ist das Feature. Wer schon einmal eine Phishing-Mail nicht bekommen hat, profitiert genau davon.

Diese Scanner agieren technisch wie ein normaler Browser: Sie rufen eine URL auf und schauen, was zurückkommt. Ein HTTP GET-Request, nichts weiter. Und laut den Grundregeln des Webs ist das völlig legitim. Ein GET soll Inhalte anzeigen, aber keine Aktionen auslösen. Das wurde bereits in den 1990ern so festgelegt, und daran hat sich nichts geändert. Wirklich nicht.

Die Sicherheitsinfrastruktur verhält sich also exakt so, wie sie soll.

Das Problem sitzt woanders

Viele Umfrage- und Feedback-Plattformen machen es sich einfach: Der Link in der E-Mail ist gleichzeitig die Aktion. Ein Klick, eine Sternebewertung, ein direktes “Ja, ich empfehle euch weiter.” Die Seite muss dabei gar nicht aktiv bestätigt werden, der Aufruf reicht.

Das ist bequem zu bauen. Und es funktioniert auch, solange kein System den Link vor dem echten Menschen aufruft.

Aber genau das passiert immer häufiger.

Wenn der Sicherheitsscanner die URL aus der E-Mail aufruft, speichert das Feedback-System im Hintergrund eine Antwort, die niemand gegeben hat. Wenn du danach auf den Link klickst, bist du zu spät. Die Datenbank kennt deine Antwort schon.

Die Protokolle sind nicht das Problem

Es ist verlockend, mit dem Finger auf die Sicherheitslösung zu zeigen. Aber das ist falsch.

SMTP, moderne Mailserver und URL-Scanner verhalten sich gemäß den Regeln, die das Web definiert. Ein GET-Request darf eine Seite laden. Er darf nichts dauerhaft verändern. Das ist seit Jahrzehnten Konsens, dokumentiert und begründet.

Die Verantwortung liegt bei den Seitenbetreibern. Wer einen Link direkt zur Aktion macht, baut etwas, das in einer Welt mit E-Mail-Sicherheit nicht funktioniert. Und diese Welt existiert schon länger als die der Marketingauswertungen.

Welche Systeme Links vorab aufrufen

Zwei Beispiele, die in der Praxis besonders häufig begegnen.

Microsoft Defender for Office 365 prüft eingehende Links mithilfe der Safe Links-Funktion. Dabei wird jede URL beim Eingang und teilweise auch erneut beim Klick analysiert. Defender ruft die Zielseite automatisch auf, bewertet sie und entscheidet anschließend, ob die E-Mail zugestellt wird. Wer Microsoft 365 im Unternehmen einsetzt, hat dieses Verhalten häufig standardmäßig aktiviert, ohne es zu wissen.

NoSpamProxy, eine weit verbreitete Gateway-Lösung, arbeitet ähnlich. Links in eingehenden E-Mails werden umgeschrieben und in Echtzeit geprüft. Auch hier ruft das System die Zielseite auf, bevor der Mensch am anderen Ende den Link überhaupt zu Gesicht bekommt.

Beide Lösungen schützen zuverlässig. Beide rufen Links automatisch auf. Und beide können damit eine 1-Klick-Feedback-Strecke zum Schweigen bringen, bevor die eigentliche Zielgruppe reagieren kann.

Wie es richtig geht

Die Lösung ist nicht kompliziert. Sie erfordert nur einen zusätzlichen Schritt. Aber diesen Schritt fürchten Menschen der Marketingspezies.

Der Link in der E-Mail öffnet eine Seite. Die Seite zeigt das Formular oder die Bewertungsmöglichkeit an. Erst wenn du aktiv auf “Absenden” klickst, passiert etwas. Dieser zweite Klick ist ein POST-Request, also eine bewusste Nutzeraktion, die ein Scanner nicht automatisch ausführt.

Keine Raketenwissenschaft. Kein großer Aufwand. Nur das, was seit Jahrzehnten als Best Practice gilt und von Plattformen wie SurveyMonkey, Typeform oder Microsoft Forms auch so umgesetzt wird.

Wer sich unsicher ist, ob die eigene Lösung sauber funktioniert, kann das mit einem einfachen Selbsttest prüfen: Eine Test-E-Mail an sich selbst schicken, den Link einmal aufrufen, die Seite schließen und den Link ein zweites Mal aufrufen. Wer beim zweiten Aufruf eine “bereits beantwortet”-Meldung sieht, weiß, was zu tun ist.

Ein Wort an Marketing und Dienstleister

Hier spricht der Artikel all jene direkt an, die Feedback-Kampagnen konzipieren oder umsetzen: Hotels, Airlines, Mietwagenunternehmen, Onlineshops und alle Agenturen, die solche Kampagnen bauen.

Ihr wollt, dass Kunden mit einem Klick reagieren. Das ist verständlich. Jede Reibung kostet Conversion, das wissen wir alle. Aber die 1-Klick-Lösung, die ihr so schätzt, liefert euch längst keine echten Daten mehr. Sie liefert euch die Antworten der Sicherheitssysteme der Empfangenden. Stumm, automatisch, unbemerkt.

Das Feedback, das ihr erhaltet, spiegelt nicht mehr wider, was eure Kunden denken. Es spiegelt wider, was ein URL-Scanner in Millisekunden entschieden hat.

Die 2-Klick-Lösung, also Link öffnet Seite, Button löst Aktion aus, ist kein Rückschritt. Sie ist die einzige technisch saubere Antwort auf eine E-Mail-Welt, in der Sicherheit Standard ist. Wer das ignoriert, optimiert an der Realität vorbei.

Meine Konsequenz als Kunde

Ich habe mich davon verabschiedet, Feedback über solche Wege zu geben.

Nicht weil ich keine Meinung hätte. Sondern weil ich nicht weiß, ob meine Antwort überhaupt ankommt, oder ob sie längst von einem Scanner abgeholt wurde, bevor ich den Link geöffnet habe. Dieses Vertrauen ist weg.

Und ich bin vermutlich nicht die einzige Person, die so denkt.

Wer also wirklich wissen will, was Kunden erleben, sollte vielleicht zuerst prüfen, ob die eigene Feedback-Infrastruktur überhaupt noch das misst, was sie zu messen vorgibt.


Entdecke mehr von Granikos GmbH & Co. KG

Melde dich für ein Abonnement an, um die neuesten Beiträge per E-Mail zu erhalten.

Kurz-URL | Short URL: https://granikos.eu/go/tZAG

Kommentar verfassen

Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Entdecke mehr von Granikos GmbH & Co. KG

Jetzt abonnieren, um weiterzulesen und auf das gesamte Archiv zuzugreifen.

Weiterlesen