Datenschutzerklärung

Betreiber-Hinweis. Diese Datenschutzerklärung ist eine Vorlage. Trage deine Kontaktdaten über die Umgebungsvariablen PRIVACY_OPERATOR_NAME, PRIVACY_OPERATOR_ADDRESS und PRIVACY_OPERATOR_EMAIL in der .env ein. Setze PRIVACY_HIDE_TEMPLATE_NOTE=true, um diesen Hinweis zu entfernen.

1. Wer ist verantwortlich?

Verantwortliche Stelle im Sinne der DSGVO ist der Betreiber dieser sender.report-Instanz. Da es sich um selbst-gehostete Software handelt, ist der jeweilige Serverbetreiber der datenschutzrechtlich Verantwortliche – nicht der Entwickler der Software.

Die Kontaktdaten des Betreibers können über die Umgebungsvariablen PRIVACY_OPERATOR_NAME, PRIVACY_OPERATOR_ADDRESS und PRIVACY_OPERATOR_EMAIL in der .env-Datei hinterlegt werden.

2. Welche Daten werden verarbeitet?

2.1 E-Mail-Daten (SMTP)

Wenn du eine E-Mail an eine temporäre sender.report-Adresse sendest, empfängt der Server folgende Daten über die SMTP-Verbindung:

  • IP-Adresse des sendenden Servers (technisch notwendig für SMTP)
  • HELO/EHLO-Hostname des sendenden Servers
  • Envelope-From (Rücksende- bzw. Bounce-Adresse)
  • RCPT-To (Empfängeradresse, die temporäre Testadresse)
  • Vollständiger E-Mail-Inhalt: alle Header (inkl. From, Subject, Date, Message-ID, Authentication-Results usw.) sowie der Body (Text- und HTML-Anteil, Anhänge)

Diese Daten werden ausschließlich für die Zustellbarkeitsanalyse verwendet und anschließend automatisch nach Ablauf der konfigurierten Aufbewahrungsfristen gelöscht.

2.2 Technische Analysen

Zur Analyse einer empfangenen E-Mail führt sender.report folgende Aktivitäten durch:

  • DNS-Lookups: SPF-Records, DKIM-Schlüssel, DMARC-Records, PTR/rDNS, MX- und A/AAAA-Records werden über den konfigurierten DNS-Resolver abgefragt. Die IP-Adresse des sendenden Servers wird dabei an DNS-Server übermittelt.
  • DNSBL/RBL-Prüfungen (optional, konfigurierbar): Die sendende IP-Adresse wird gegen konfigurierte DNS-Blocklisten geprüft. Dabei wird eine DNS-Anfrage an den jeweiligen DNSBL-Betreiber gestellt.
  • SpamAssassin (optional, konfigurierbar): Falls konfiguriert, wird der E-Mail-Inhalt an einen lokal oder im gleichen Netzwerk laufenden SpamAssassin-Dienst übermittelt.
  • Rspamd (optional, konfigurierbar): Falls konfiguriert, wird der E-Mail-Inhalt an einen lokal oder im gleichen Netzwerk laufenden Rspamd-Dienst übermittelt.

2.3 HTTP-Anfragen und Server-Logs

Beim Aufruf der Weboberfläche werden technisch notwendige Verbindungsdaten verarbeitet:

  • IP-Adresse des Browsers (oder des vorgelagerten Proxy-Servers)
  • Zeitstempel der Anfrage
  • Aufgerufene URL, HTTP-Methode, HTTP-Statuscode
  • User-Agent (Browserkennung)

Diese Daten werden nur im Arbeitsspeicher des Prozesses vorgehalten und in der Standardkonfiguration nicht persistent in Dateien gespeichert. Ob und wie lange der Betreiber Logs aufbewahrt, liegt in dessen Verantwortung.

2.4 Browser-Speicher (Cookies und localStorage)

sender.report nutzt folgende Mechanismen im Browser:

Name Art Zweck Ablauf Einwilligung
mailprobe_mailbox HTTP-Cookie
HttpOnly, SameSite=Lax		 Speichert den Token der aktuell aktiven Mailbox, damit sie beim Seitenaufruf wiedererkannt wird. Nicht durch JavaScript auslesbar. Läuft mit der Mailbox ab (Standard: 24 Stunden) Nicht erforderlich
technisch notwendig
mailprobe-theme localStorage Speichert die Farbschema-Einstellung (hell/dunkel/auto) für die Benutzeroberfläche. Unbegrenzt (bis manuelle Löschung) Nicht erforderlich
funktional/Komfort
mailprobe:consent localStorage Speichert deine Einwilligungsentscheidung bezüglich des Mailbox-Verlaufs (granted oder declined). Unbegrenzt (bis manuelle Löschung) Nicht erforderlich
technisch notwendig für Einwilligungsspeicherung
mailprobe:mailboxes localStorage Speichert eine Liste der zuletzt genutzten Mailbox-Tokens, damit frühere Testadressen auf der Startseite angezeigt werden können. Unbegrenzt (bis manuelle Löschung), max. 12 Einträge Einwilligung erforderlich
wird nur mit Zustimmung gesetzt

Du kannst deine Einwilligung zum Mailbox-Verlauf jederzeit widerrufen, indem du den localStorage-Eintrag mailprobe:consent im Browser löschst (Browser-Einstellungen → Datenschutz & Sicherheit → Website-Daten löschen). Beim nächsten Seitenaufruf erscheint die Einwilligungsabfrage erneut.

2.5 Externe Ressourcen

Alle CSS- und JavaScript-Bibliotheken (Bootstrap, Bootstrap Icons, OverlayScrollbars, AdminLTE) werden vom eigenen Server ausgeliefert. Es werden keine externen CDN-Verbindungen hergestellt und keine IP-Adressen an Dritte übermittelt.

3. Zweck und Rechtsgrundlage der Verarbeitung

VerarbeitungszweckRechtsgrundlage (DSGVO)
Empfang und Analyse von E-Mails auf technische Zustellbarkeit Art. 6 Abs. 1 lit. b – Erfüllung der Nutzung des Dienstes
DNS-Lookups, DNSBL-Prüfungen im Rahmen der Analyse Art. 6 Abs. 1 lit. b – für die Kernfunktion technisch notwendig
HTTP-Server-Logs (IP, Zeitstempel, Pfad) Art. 6 Abs. 1 lit. f – berechtigtes Interesse an Betrieb und Fehlerdiagnose
Mailbox-Verlauf im Browser (localStorage) Art. 6 Abs. 1 lit. a – Einwilligung (nur nach Zustimmung)
Farbschema-Präferenz (localStorage) Art. 6 Abs. 1 lit. f – berechtigtes Interesse an Benutzerkomfort

4. Speicherdauer und automatische Löschung

E-Mail-Daten werden temporär gespeichert und automatisch gelöscht:

  • Mailbox-TTL (Standard: 24 Stunden): Nach Ablauf dieser Zeit wird die Mailbox als abgelaufen markiert.
  • Datenaufbewahrung (Standard: 7 Tage): E-Mails, Analyseberichte und Mailbox-Daten werden spätestens nach dieser Frist automatisch aus der Datenbank gelöscht. Der Betreiber kann diese Werte konfigurieren.
  • HTTP-Logs: Werden nur im Arbeitsspeicher gehalten und gehen beim Neustart des Prozesses verloren (Standardkonfiguration).

Der Betreiber kann diese Fristen über Umgebungsvariablen (MAILBOX_TTL, DATA_RETENTION_TTL) konfigurieren. Informationen zu den tatsächlich konfigurierten Fristen erhältst du beim Betreiber.

5. Weitergabe an Dritte

E-Mail-Inhalte werden in der Standardkonfiguration nicht an Dritte weitergegeben. Folgende optionale Integrationen können aktiviert sein und bedingen eine Übermittlung des E-Mail-Inhalts:

  • SpamAssassin (optional): Lokaler Dienst; E-Mail-Inhalt wird an den lokal oder im privaten Netzwerk laufenden spamd-Prozess übermittelt.
  • Rspamd (optional): Lokaler Dienst; E-Mail-Inhalt wird an den lokal oder im privaten Netzwerk laufenden Rspamd-Controller übermittelt.
  • DNSBL-Betreiber: Bei aktivierten RBL-Prüfungen wird die sendende IP-Adresse als DNS-Anfrage an den jeweiligen DNSBL-Betreiber übermittelt (z. B. Spamhaus, SpamCop, Barracuda).

Eine Weitergabe von E-Mail-Inhalten an kommerzielle Dritte, Tracking-Dienste oder Werbetreibende findet nicht statt.

6. Deine Rechte (DSGVO)

Als betroffene Person hast du gegenüber dem Betreiber dieser Instanz folgende Rechte:

  • Auskunft (Art. 15 DSGVO): Du kannst Auskunft über die zu deiner Person gespeicherten Daten verlangen.
  • Berichtigung (Art. 16 DSGVO): Du kannst die Berichtigung unrichtiger Daten verlangen.
  • Löschung (Art. 17 DSGVO): Du kannst die Löschung deiner Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. E-Mail-Daten werden automatisch nach Ablauf der konfigurierten Frist gelöscht.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO): Analysedaten sind über die JSON-Export-Funktion im Report verfügbar.
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Die Einwilligung zum Mailbox-Verlauf kannst du jederzeit widerrufen (siehe Abschnitt 2.4).

Zur Geltendmachung dieser Rechte wende dich bitte an den Betreiber dieser Instanz.

7. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn du der Meinung bist, dass die Verarbeitung deiner Daten gegen die DSGVO verstößt. Die zuständige Behörde richtet sich nach dem Sitz des Betreibers.

Eine Übersicht der Aufsichtsbehörden in der EU findest du auf der Website des Europäischen Datenschutzausschusses (EDPB).

8. Hinweise für Betreiber

Diese Datenschutzerklärung ist eine Vorlage. Als Betreiber dieser Instanz bist du verpflichtet, diese Seite mit deinen konkreten Kontaktdaten, der tatsächlichen Konfiguration (Aufbewahrungsfristen, aktivierte Integrationen) sowie dem Sitz und den Rechtsgrundlagen deiner Organisation zu ergänzen. Hole ggf. rechtliche Beratung ein, bevor du diesen Dienst für andere Personen bereitstellst.

9. Änderungen dieser Erklärung

Diese Datenschutzerklärung kann vom Betreiber jederzeit aktualisiert werden. Die aktuelle Version ist immer unter /privacy abrufbar.

sender.report · v0.8.0 · Open-Source-Software · Quellcode auf GitHub