E-Mail-Benachrichtigung bei Windows-Benutzeranmeldung einrichten

Wenn mehrere Benutzerkonten oder mehrere Rechner verwaltet werden, ist eine kurze E-Mail bei jeder Anmeldung praktisch zur Überwachung von Logins. Diese Anleitung zeigt Schritt für Schritt, wie Sie mit dem portablen Tool SendEmail und dem Windows-Aufgabenplaner bei jeder Benutzeranmeldung eine E-Mail erhalten. Enthalten: Sicherheitshinweise, Alternativen, Test-Kriterien und Checklisten für Admins.

Worum es geht

Diese Anleitung beschreibt, wie Windows so konfiguriert wird, dass bei jeder Benutzeranmeldung eine E-Mail verschickt wird. Kurz gesagt: wir verwenden ein leichtes Kommandozeilen-Tool (SendEmail), legen im Aufgabenplaner einen Trigger bei “Anmeldung” an und konfigurieren die SMTP-Parameter für den Versand.

Begriff in einer Zeile: SMTP — Protokoll zum Senden von E-Mails zwischen Mailservern und Clients.

Important

• Diese Methode überträgt standardmäßig Zugangsdaten in Klartext, wenn Sie sie so übernehmen. Lesen Sie die Sicherheits-Hinweise weiter unten, um Klartext-Passwörter zu vermeiden.

Voraussetzungen

• Administratorrechte auf dem Windows-PC (zum Anlegen der geplanten Aufgabe und Platzieren der Programmdatei).
• Internetverbindung für den Versand per SMTP.
• SMTP-Zugangsdaten (Server, Port, Benutzername, Passwort) für das verwendete E-Mail-Konto.
• SendEmail (TLS-fähige Version) heruntergeladen.

Schritt 1 — SendEmail herunterladen und ablegen

1. Laden Sie von der offiziellen SendEmail-Seite die TLS-fähige Version herunter. Verwenden Sie nur die TLS-fähige Version, da die meisten Maildienste TLS verlangen.
2. Extrahieren Sie die Dateien an einen Ort, der vor Standardbenutzern geschützt ist, z. B. “C:\Program Files\SendEmail” oder einen Admin-geschützten Ordner. Dadurch verhindert man, dass andere Benutzer die ausführbare Datei verändern.

Schritt 2 — Aufgabenplaner öffnen

Öffnen Sie das Startmenü, suchen Sie nach “Aufgabenplanung” (Task Scheduler) und starten Sie die Anwendung.

Schritt 3 — Neue Aufgabe anlegen

1. Klicken Sie im rechten Bereich auf “Aufgabe erstellen”.
2. Vergeben Sie einen aussagekräftigen Namen und optional eine Beschreibung.
3. Wählen Sie unter “Sicherheitseinstellungen” die Option “Unabhängig von der Benutzeranmeldung ausführen” (Run whether the user is logged on or not).

Wichtig

Speichern Sie die Aufgabe noch nicht, bis alle Einstellungen (Trigger, Aktion, Bedingungen) konfiguriert sind.

Schritt 4 — Trigger bei Anmeldung erstellen

1. Wechseln Sie zum Reiter “Trigger”.
2. Klicken Sie auf “Neu”.
3. Wählen Sie als Beginn der Aufgabe “Beim Anmelden” und setzen Sie “Jeder Benutzer” (Any user), wenn jede Anmeldung erfasst werden soll.

Schritt 5 — Aktion zum Versenden der E-Mail anlegen

1. Wechseln Sie zum Reiter “Aktionen”.
2. Klicken Sie auf “Neu”.
3. Im Feld “Programm/Skript” tragen Sie den vollständigen Pfad zur SendEmail-Executable ein, z. B. “C:\Program Files\SendEmail\sendemail.exe”.
4. Im Feld “Argumente hinzufügen” verwenden Sie die folgenden Parameter (ersetzen Sie die Platzhalter durch Ihr Konto). Achten Sie darauf, dass Sie das Passwort korrekt eintragen oder eine sichere Alternative verwenden (siehe Sicherheit weiter unten).

-f [email protected] -t [email protected] -xu [email protected] -xp PASSWORD -s smtp.gmail.com:587-o tls=yes -u "System Login Activity" -m "A user logged into your system!"

Hinweis

• Ersetzen Sie [email protected] und PASSWORD durch Ihre tatsächlichen Werte. -s erwartet “smtp.server:port”; 587 ist der Standardport für SMTP mit STARTTLS.
• Wenn Sie einen anderen Mailanbieter nutzen, ändern Sie den SMTP-Server und ggf. den Port.

Hier eine kurze Liste der Optionen in SendEmail:

• -f — Absenderadresse
• -t — Empfängeradresse
• -xu — Benutzername (für SMTP-Authentifizierung)
• -xp — Passwort (für SMTP-Authentifizierung)
• -s — SMTP-Server mit Port
• -u — Betreff
• -m — Nachrichtentext

Schritt 6 — Bedingungen prüfen und Aufgabe speichern

• Falls Sie einen Laptop verwenden: Entfernen Sie die Option “Aufgabe nur starten, wenn der Computer am Netzstrom angeschlossen ist”, wenn die Benachrichtigung auch im Akkubetrieb erfolgen soll.
• Speichern Sie die Aufgabe. Beim Speichern werden Sie möglicherweise zur Eingabe eines Kontopassworts aufgefordert, unter dem die Aufgabe ausgeführt wird.

Schritt 7 — Testen

Wählen Sie die Aufgabe in der Aufgabenplanung aus und klicken Sie auf “Ausführen”. Wenn alles korrekt konfiguriert ist, erhalten Sie sofort eine Test-E-Mail.

Wenn die E-Mail nicht ankommt: prüfen Sie Firewall, Internetverbindung, SMTP-Server/Port, Zugangsdaten und ob Ihr Mailprovider Verbindungen blockiert.

Wann diese Methode scheitern kann

• Kein Internetzugang beim Zeitpunkt der Anmeldung: keine E-Mail wird gesendet.
• SMTP-Verbindung blockiert (Firewall, Unternehmensnetzwerk, Mailprovider-Block). Prüfen Sie Ports 587 (STARTTLS) und 465 (SMTPS).
• Mailanbieter verlangt moderne Authentifizierung (OAuth2) und unterstützt keine Klartext-Login-Daten mehr. In diesem Fall ist SendEmail ohne Ergänzungen nicht geeignet.
• Verwendung von normalen Account-Passwörtern in geplanten Aufgaben ist unsicher.

Sicherheits- und Datenschutzhinweise

• Vermeiden Sie Klartext-Passwörter in Aufgabenparametern. Stattdessen:
  • Verwenden Sie ein spezielles SMTP-Konto mit eingeschränkten Rechten.
  • Nutzen Sie App-spezifische Passwörter (bei Maildiensten mit 2FA) oder einen dedizierten SMTP-Relay mit IP-Whitelist.
  • Verwenden Sie ein kurzes Wrapper-Skript, das Anmeldeinformationen aus dem Windows-Anmeldeinformations-Manager (Credential Manager) liest.
• Prüfen Sie, ob die versendeten Informationen personenbezogene Daten (z. B. Username, Zeitpunkt) enthalten. Solche Daten unterliegen in vielen Fällen Datenschutzbestimmungen (z. B. DSGVO). Minimalisieren Sie die übermittelten Daten.

Security Hardening — Empfehlungen

• Legen Sie die SendEmail-Binärdatei in einen Administrator-geschützten Ordner und setzen Sie die NTFS-Rechte so, dass normale Benutzer weder die Datei ändern noch ersetzen können.
• Führen Sie die geplante Aufgabe unter einem Dienstkonto mit minimalen Rechten aus.
• Protokollieren Sie den Versand lokal (z. B. Ereignisprotokoll), statt sensible Details per E-Mail zu versenden.

Alternative Ansätze

1. PowerShell-Skript
   • Sie können ein PowerShell-Skript verwenden, das SMTP über .NET oder SmtpClient anspricht. Achten Sie hier auf gleiche Auth- und Sicherheitsfragen.
   • Hinweis: Das PowerShell-Cmdlet Send-MailMessage wird als veraltet betrachtet und unterstützt keine moderne OAuth2-Authentifizierung; für Exchange/O365 ist die Graph-API die richtige Wahl.
2. Microsoft Graph API oder Office 365-SMTP-Relay
   • Für Unternehmensumgebungen empfiehlt sich eine sichere Integration über Microsoft Graph mit OAuth2-Token (erfordert App-Registrierung und Berechtigungen).
3. Mail-Relay im lokalen Netzwerk
   • Ein interner SMTP-Relay (z. B. Postfix/Exchange) kann Verbindungsversuche vom Rechner akzeptieren und weiterleiten, ohne dass das Client-Passwort in der Aufgabe gespeichert ist.
4. Drittanbieter-Lösungen
   • Tools wie Blat existieren, unterstützen aber kein TLS. Moderne Dienste und Provider verlangen TLS, daher ist Blat meist ungeeignet.

Entscheidungshilfe (kurz)

• Soll schnell und einfach benachrichtigt werden und Sie akzeptieren das Sicherheitsrisiko? -> SendEmail mit eigenem SMTP-Konto.
• Braucht Ihr Unternehmen sichere Authentifizierung? -> Microsoft Graph oder interner Relay.
• Möchten Sie keine Passwörter speichern? -> Credential Manager + Wrapper-Skript oder Relay verwenden.

Testfälle und Akzeptanzkriterien

1. Testfall: Manuelles Ausführen der Aufgabe
   • Erwartung: Sofortversand einer Test-E-Mail.
2. Testfall: Benutzer meldet sich interaktiv am System an
   • Erwartung: E-Mail innerhalb kurzer Zeit nach Anmeldenachricht.
3. Testfall: Kein Netzwerk verfügbar
   • Erwartung: Aufgabe fehlschlägt oder queued; keine E-Mail wird versendet (Protokolleintrag vorhanden).

Akzeptanzkriterien

• Die Aufgabe sendet verlässlich bei jeder Anmeldung eine E-Mail, wenn Netzwerk und SMTP erreichbar sind.
• Keine Standardbenutzer können das Versende-Programm oder die Aufgabe manipulieren.

Rollenbasierte Checkliste

Admin

• SendEmail an sicherem Ort ablegen und NTFS-Rechte setzen.
• Aufgabe mit Dienstkonto anlegen.
• SMTP-Einstellungen prüfen und ggf. Relay einrichten.

Heimanwender

• SendEmail herunterladen und in einem Ordner ablegen, der nicht von anderen Benutzern verändert werden kann.
• SMTP-Zugang über App-Passwort konfigurieren (wenn Provider 2FA nutzt).

Sicherheitsverantwortlicher

• Prüfen, ob die übermittelten Daten DSGVO-relevant sind.
• Empfehlung aussprechen: Relay oder Token-basierte Authentifizierung.

Mini-Methodologie: Schnell-Checklist

1. SendEmail herunterladen und sichern.
2. Aufgabe im Task Scheduler erstellen.
3. Trigger “Beim Anmelden” setzen.
4. Aktion mit SendEmail und SMTP-Parametern eintragen.
5. Bedingungen prüfen, speichern und testen.
6. Sicherheit prüfen (Passwörter, Rechte, Protokollierung).

Kurzes Fazit

Diese Lösung ist eine einfache Möglichkeit, Anmeldeereignisse per E-Mail zu erhalten. Sie ist schnell einzurichten, hat aber Sicherheits- und Einschränkungsaspekte (insbesondere bei modernen Maildiensten). Für produktive oder sensible Umgebungen sind sichere Relays oder OAuth-basierte Integrationen empfehlenswert.

Weiterlesen: Wie man das Bild des Windows-Anmeldebildschirms ändert

Zusammenfassung

• SendEmail + Aufgabenplaner ermöglicht einfache E-Mail-Benachrichtigungen bei Benutzeranmeldung.
• Achten Sie auf sichere Speicherung von Anmeldeinformationen und alternative Authentifizierungswege.
• Testen Sie die Aufgabe und definieren Sie Akzeptanzkriterien.