LinkedIn
Instagram
WhatsApp
Telegramm
Google Kalender
Slack-Gemeinschaft beitretenE-Mail-Integrationen aufbauen, die Ihre Benutzer nutzen können Vertrauen
Die Verbindung zu den Posteingängen Ihrer Nutzer birgt echte Sicherheitsrisiken. Gespeicherte Passwörter, zu weitreichende OAuth-Berechtigungen und nicht rotierte Token schaffen Angriffsflächen, die das Vertrauen der Nutzer brechen und die DSGVO verletzen.
Unipile's E-Mail-API-Leitfaden deckt das vollständige Integrationsbild ab. Dieser Artikel konzentriert sich auf die Sicherheitsebene: was eine sichere E-Mail-API garantieren muss, welche Risiken zu vermeiden sind und wie Unipile so konzipiert ist, dass die Daten Ihrer Nutzer von Grund auf geschützt werden.
Google Mail
Ausblick
IMAP
Was macht eine E-Mail-API "sicher"?
Sicherheit in einer E-Mail-API ist keine einzelne Funktion. Es ist eine architektonische Entscheidung, die Authentifizierung, Autorisierung, Datenverarbeitung und Infrastruktur umfasst. Eine sichere E-Mail-API muss vier Dinge gleichzeitig garantieren.
Benutzer autorisieren den Zugriff über den offiziellen OAuth-Flow ihres Anbieters. Kein Passwort verlässt den Server des Anbieters und landet nie in Ihrer Datenbank.
Jeder verknüpfte Account fordert nur die Berechtigungen an, die er tatsächlich benötigt – schreibgeschützt, wenn kein Senden erforderlich ist, Sendeberechtigung nur bei explizitem Bedarf.
Der gesamte API-Verkehr nutzt TLS 1.2+. Gespeicherte Token werden im Ruhezustand mit AES-256 verschlüsselt. E-Mail-Inhalte werden niemals über den Request-Lebenszyklus hinaus gespeichert.
OAuth 2.0 vs. Speicherung eines Passworts
Die grundlegendste Sicherheitsentscheidung bei jeder E-Mail-Integration ist die Authentifizierung. Viele ältere IMAP-Integrationen fordern den Benutzer auf, sein E-Mail-Passwort einzugeben und zu speichern. Dieser Ansatz schafft einen einzigen Ausfallpunkt: Ein einziger Datenbanksicherheitsvorfall legt den Posteingang jedes Benutzers offen. OAuth 2.0 eliminiert dies vollständig. Sehen Sie, wie Google OAuth 2.0 und Microsoft OAuth 2.0 Diese Sequenz implementieren.
Token-Bereiche: Nur lesen vs. Senden
OAuth-Bereiche definieren genau, was Ihre Anwendung mit den E-Mails eines Benutzers tun kann. Das Anfordern von breiten Bereichen, wenn engere ausreichen würden, ist ein ernstes Sicherheits-Antipattern. Für ein CRM, das nur E-Mails liest, um Aktivitäten zu protokollieren, erfordert Gmail ändern ist unnötig und setzt Benutzer einem größeren Risiko aus, wenn Ihr Token kompromittiert wird. Wenn Ihre Anwendung benötigt E-Mail senden API Anfragen finden Sie auch eine vollständige Aufschlüsselung der erforderlichen Bereiche pro Anbieter in unserem Leitfaden zur E-Mail-API.
| Umfang | Anbieter | Was es erlaubt | Risikostufe |
|---|---|---|---|
| gmail.readonly | Google Mail | E-Mails nur lesen | Minimal |
| Gmail senden | Google Mail | Im Auftrag des Benutzers senden | Geltungsbereich |
| Mail.Lesen | Ausblick | E-Mails nur lesen | Minimal |
| Mail.Senden | Ausblick | Im Auftrag des Benutzers senden | Geltungsbereich |
| https://mail.google.com/ | Google Mail | Voller Zugriff auf das Postfach | Breit |
| Mail.ReadWrite | Ausblick | Lesen, schreiben, löschen | Breit |
Verschlüsselung während der Übertragung und im Ruhezustand
Eine sichere E-Mail-API erzwingt TLS 1.2 oder höher auf allen API-Endpunkten. Keine Klartextkommunikation ist akzeptabel. Über die Übertragung hinaus müssen alle Token oder Anmeldeinformationen, die persistent gespeichert werden müssen – OAuth-Aktualisierungstoken zum Beispiel – im Ruhezustand mit einem starken symmetrischen Verschlüsselungsalgorithmus (AES-256) verschlüsselt werden. Ebenso wichtig ist, dass der E-Mail-Inhalt selbst niemals über das hinaus gespeichert werden sollte, was die Anfrage erfordert. Das Lesen und Anzeigen einer E-Mail in Ihrer Benutzeroberfläche erfordert nicht das Persistieren ihres Körpers in Ihrer Datenbank.
E-Mail-API-Sicherheitsrisiken, die es zu vermeiden gilt
Die meisten Sicherheitslücken bei der E-Mail-Integration sind keine exotischen Angriffe – es sind vorhersehbare Fehler bei der Handhabung von Anmeldeinformationen, Tokens und Daten. Die vier unten aufgeführten Muster sind für die Mehrheit der realen Vorfälle bei E-Mail-API-Integrationen verantwortlich.
Die Aufforderung an Benutzer, ihr E-Mail-Passwort einzugeben und zu speichern – selbst verschlüsselt – ist das risikoreichste Muster bei der E-Mail-Integration. Es macht Ihre Datenbank zu einem hochattraktiven Ziel. Wenn ein Angreifer Zugriff auf Ihren Anmeldespeicher erhält, erhält er direkten Zugriff auf die Posteingänge aller Benutzer. Abgesehen vom Sicherheitsrisiko verbieten Google und Microsoft den passwortbasierten Zugriff auf Gmail- und Outlook-Konten für Drittanbieter-Apps ausdrücklich. IMAP mit Passwort ist nur für selbst gehostete oder ältere Mailserver akzeptabel, bei denen OAuth tatsächlich nicht verfügbar ist.
Anforderung https://mail.google.com/ (vollständiger Gmail-Zugriff) ist ein Anti-Pattern, wenn nur das Lesen des Ordners "Gesendet" eines Nutzers erforderlich ist. Breite Scopes vergrößern den "Blast Radius" bei der Kompromittierung eines Tokens und untergraben das Vertrauen der Nutzer während des OAuth-Zustimmungsbildschirms – Nutzer, die "Alle Ihre E-Mails lesen, verfassen, senden und dauerhaft löschen" sehen, zögern zu Recht. Sowohl Google als auch Microsoft kennzeichnen nun unnötige Scope-Nutzung während der App-Überprüfung.
OAuth-Zugriffstoken sind von Natur aus kurzlebig – typischerweise eine Stunde für Gmail und Outlook. Refresh-Token können monatelang oder unbegrenzt bestehen. Wenn Sie Refresh-Token ohne eine Rotationsstrategie speichern, gewährt ein kompromittiertes Refresh-Token langfristigen Zugriff auf das Postfach des Benutzers. Einige Integrationen cachen auch Zugriffstoken weit über ihre Ablaufdaten hinaus und versäumen es, Widerrufsereignisse zu behandeln (wenn ein Benutzer Ihre App aus den Einstellungen seines Google- oder Microsoft-Kontos entfernt).
Anwendungsprotokolle sind oft weniger geschützt als primäre Datenbanken, werden länger aufbewahrt und auf mehrere Systeme (Log-Aggregatoren, Überwachungsdienste, Fehlerverfolgungssysteme) repliziert. Das Protokollieren vollständiger E-Mail-Inhalte, Kopfzeilen mit persönlichen Daten oder Empfängerlisten schafft eine erhebliche DSGVO-Exposition: Sie verarbeiten personenbezogene Daten in einem Kontext, dem der Benutzer nie zugestimmt hat und der nicht geprüft werden kann. Fehlerprotokolle, die rohe API-Antworten enthalten, können versehentlich ganze E-Mail-Konversationen erfassen.
DSGVO-Konformität für E-Mail-API-Integrationen
E-Mail-Daten gehören zu den sensibelsten Kategorien personenbezogener Daten nach der DSGVO. Wenn Ihre Anwendung über eine API auf den Posteingang eines Nutzers zugreift, werden Sie zu einem Datenverarbeiter. Dies schafft konkrete rechtliche Verpflichtungen in Bezug auf Wohnsitz, Einwilligung und Löschung, die Ihre E-Mail-API-Architektur unterstützen muss.
EU-personenbezogene Daten müssen innerhalb der EU oder in Ländern mit einem Angemessenheitsbeschluss verbleiben. Ihre E-Mail-API-Infrastruktur muss EU-gehostete Endpunkte anbieten.
Benutzer müssen den Zugriff auf ihren Posteingang ausdrücklich genehmigen. Der OAuth-Einwilligungsbildschirm muss klar angeben, auf welche Daten zugegriffen und zu welchem Zweck dies geschieht.
Wenn ein Nutzer die Löschung beantragt oder sein Konto trennt, müssen alle zugehörigen Token, zwischengespeicherten Daten und persönlichen Daten innerhalb der GDPR-Fristen gelöscht werden.
Datensouveränität
Gemäß Artikel 44 der DSGVO erfordert die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums entweder eine Angemessenheitsentscheidung, Standardvertragsklauseln (SCCs) oder einen anderen gültigen Rechtsmechanismus. Für E-Mail-API-Integrationen, die EU-Nutzer bedienen, muss die Infrastruktur, die OAuth-Tokens speichert, E-Mail-Metadaten verarbeitet oder Nachrichteninhalt zwischenspeichert, in der EU gehostet werden. Die Wahl eines API-Anbieters ohne Datenresidenzoptionen in der EU zwingt Sie zur Nutzung von SCCs und zusätzlichem Compliance-Aufwand. Bei Anwendungsfällen im Gesundheits- oder Finanzwesen, wo HIPAA-ähnliche Anforderungen gelten, wird die Datenresidenz noch kritischer.
Ihr E-Mail-API-Anbieter ist ein Unterauftragsverarbeiter gemäß der DSGVO. Sie müssen eine Datenverarbeitungsvereinbarung (DVV) mit ihm abschließen, und seine Infrastruktur muss die EU-Datenresidenz für alle EU-Nutzerdaten unterstützen, die er in Ihrem Auftrag verarbeitet.
Einwilligungsablauf für Nutzer
Der OAuth-Autorisierungsprozess dient als technische Umsetzung der DSGVO-Zustimmung für den Zugriff auf E-Mails – allerdings nur, wenn er korrekt implementiert ist. Der Zustimmungsbildschirm muss in einfacher Sprache genau beschreiben, worauf die Anwendung zugreifen wird. Die Anforderung von Scopes, die über die Angaben in Ihrer Datenschutzrichtlinie hinausgehen, schafft eine Lücke in der Konformität. Benutzer müssen diesen Prozess auch ohne Zwang abschließen können: Die Verbindung ihres E-Mail-Kontos darf keine Bedingung für den Zugriff auf Ihren Kerndienst sein, es sei denn, der E-Mail-Zugriff ist tatsächlich der Dienst selbst.
Recht auf Löschung – Kontotrennung
Artikel 17 der DSGVO gewährt Nutzern das Recht auf Löschung. Im Zusammenhang mit einer E-Mail-Integration bedeutet dies, dass Ihre Anwendung in der Lage sein muss, alle Spuren des E-Mail-Zugriffs eines Nutzers auf dessen Aufforderung hin sofort und vollständig zu entfernen. Hierbei geht es nicht nur um die Löschung des OAuth-Tokens, sondern um jeden Artefakt, der während der Lebensdauer der Integration erstellt wurde.
Wie Unipile die Sicherheit von E-Mail-APIs handhabt
Sicherheit ist keine Funktion, die Unipile hinzugefügt wird – es ist das Standardverhalten der Plattform. Unipile wurde speziell entwickelt, um eine sichere E-Mail-API bereitzustellen, bei der Authentifizierung, Sicherheit von E-Mail-Daten und Compliance-Kontrollen standardmäßig integriert sind – nicht nachträglich hinzugefügt. Jede architektonische Entscheidung zur Verbindung von Unipile mit Gmail-, Outlook- und IMAP-Konten wird unter den Gesichtspunkten Sicherheit und Datenschutz der Endbenutzer als primäre Einschränkung getroffen.
Unipile verbindet sich mit Gmail über Google OAuth 2.0 und zu Outlook und Microsoft 365 über Microsoft OAuth 2.0. Ihre Benutzer authentifizieren sich direkt über den offiziellen Zustimmungsbildschirm des Anbieters. Kein Passwort durchläuft jemals die Infrastruktur von Unipile. Für IMAP-Konten, bei denen OAuth nicht verfügbar ist, werden Anmeldedaten mit AES-256 im Ruhezustand verschlüsselt und niemals über eine API-Antwort offengelegt – einschließlich der IMAP API-Leitfaden deckt diese Architektur im Detail ab.
Unipile fordert die engsten OAuth-Berechtigungen an, die für die von Ihrer SaaS-Anwendung bereitgestellten Funktionen erforderlich sind. Wenn Ihre Integration nur E-Mails liest, um einen CRM-Aktivitätsfeed zu füllen, fordert Unipile berechtigungen nur zum Lesen an. Die Berechtigung zum Senden wird nur hinzugefügt, wenn Ihre Implementierung das explizit erfordert. Dies reduziert den potenziellen Schaden bei einem Ausfall von Zugangsdaten und macht die OAuth-Zustimmungsaufforderung Ihrer App für Endbenutzer einfach zu genehmigen.
Für SaaS-Teams, die EU-Kunden betreuen, bietet Unipile Optionen für in der EU gehostete Infrastrukturen. OAuth-Token, Metadaten verknüpfter Konten und alle kurzzeitig verarbeiteten E-Mail-Daten verbleiben in der EU-Gerichtsbarkeit. Dies ermöglicht es Ihnen, eine saubere GDPR-Datenverarbeitung zu führen und eine Auftragsverarbeitungsvereinbarung mit Unipile als Ihrem Sub-Prozessor abzuschließen – eine gesetzliche Anforderung gemäß Artikel 28 der GDPR für jeden Verarbeiter, der im Namen von Ihnen personenbezogene Daten in der EU verarbeitet.
Unipile stellt einen DELETE-Endpunkt für verknüpfte Konten bereit. Der Aufruf dieses Endpunkts widerruft sofort das OAuth-Token auf Provider-Ebene, löscht alle zugehörigen Metadaten aus der Unipile-Infrastruktur und kündigt alle aktiven Webhook-Abonnements. Dies bietet Ihnen einen sauberen Single-API-Call-Pfad zur Erfüllung von GDPR-Anfragen zum Recht auf Vergessenwerden im Zusammenhang mit dem E-Mail-Zugriff – keine manuelle Bereinigung über verschiedene Provider-Dashboards hinweg erforderlich.
Lesen Sie die vollständige API-Referenz – Authentifizierungsflüsse, Tokenverwaltung und Webhook-Sicherheit.
Compliance-Zertifizierungen
Unipile wird unabhängig geprüft und zertifiziert nach den drei Compliance-Frameworks, die für sichere E-Mail-API-Integrationen am relevantesten sind: Sicherheitsbetrieb, Datenschutz und Google API-Zugriff.
Geprüft von einem unabhängigen Dritten. Deckt die Vertrauenskriterien Sicherheit, Verfügbarkeit und Vertraulichkeit für die Infrastruktur von Unipile's ab.
Vollständige Einhaltung der EU-Datenschutzbestimmungen. Unipile agiert als Datenverarbeiter. Alle Daten werden ausschließlich in der EU gehostet. DPA auf Anfrage erhältlich.
Google Cloud Anwendungssicherheitsbewertung. Validiert Sicherheitskontrollen für Anwendungen, die auf Google-Nutzerdaten zugreifen, einschließlich Gmail OAuth-Berechtigungen.
Wenn Sie auf Unipile aufbauen, profitiert Ihre sichere E-Mail-Integration von denselben Sicherheitskontrollen, die diese Audits bestanden haben. Dies ist besonders relevant für CASA Tier II: Apps, die auf einer CASA-zertifizierten sicheren E-Mail-API aufbauen, können ihren eigenen Compliance-Status über die gesamte Integrationskette beibehalten – ohne eine separate Prüfung der E-Mail-Schicht.
Sicherheitscheckliste für die Integration von E-Mail-APIs
Verwenden Sie diese Checkliste, bevor Sie eine E-Mail-API-Integration in die Produktion überführen. Alle Punkte müssen validiert werden, bevor die Integration aus Sicherheitssicht als produktionsreif angesehen werden kann.
OAuth 2.0, minimale Scopes, EU-Datenspeicherung, sofortige Kontotrennung - alles in einer einzigen sicheren E-Mail-API enthalten. Verbinden Sie Gmail, Outlook und IMAP mit verschlüsseltem E-Mail-Zugriff und ohne Speicherung von Passwörtern.
Secure Email API – Häufig gestellte Fragen
Häufig gestellte Fragen zu E-Mail-API-Sicherheit, OAuth und Compliance
IMAP kann sicher sein, aber es hängt vollständig von der Implementierung ab. Das Protokoll selbst überträgt Daten über TLS, wenn es richtig konfiguriert ist, so dass die Transportschicht nicht das Problem ist. Das Risiko liegt darin, wie Anmeldedaten behandelt werden. IMAP erfordert einen Benutzernamen und ein Passwort – im Gegensatz zu Gmail und Outlook, die OAuth 2.0 unterstützen, gibt es für IMAP keinen Standard für delegierte Autorisierung. Das bedeutet, dass Ihre Anwendung jedes Mal, wenn sie sich verbindet, das Passwort des Benutzers speichern oder abrufen muss. Dies ist machbar, wenn die Anmeldedaten mit AES-256 verschlüsselt sind, der Zugriff auf den Anmeldestatus eng begrenzt ist und Passwörter niemals protokolliert oder über API-Antworten preisgegeben werden. Für Gmail und Outlook ist OAuth 2.0 immer IMAP mit Passwort vorzuziehen – beide Anbieter verlangen dies für Drittanbieteranwendungen. IMAP mit Passwort ist nur für selbst gehostete Mailserver oder ältere Unternehmensumgebungen geeignet, in denen OAuth tatsächlich nicht verfügbar ist. Lesen Sie mehr in der IMAP API-Leitfaden.
Die Einhaltung des HIPAA für eine E-Mail-API-Integration ist machbar, erfordert aber eine sorgfältige Architektur. HIPAA zertifiziert keine E-Mail-Anbieter, sondern verlangt, dass jedes System, das geschützte Gesundheitsinformationen (Protected Health Information - PHI) verarbeitet, bestimmte technische Schutzmaßnahmen implementiert: Verschlüsselung bei der Übertragung und im Ruhezustand, Audit-Kontrollen, Zugriffskontrollen und automatische Abmeldung bei inaktiven Sitzungen. Für eine E-Mail-API bedeutet dies: Verwendung von OAuth 2.0, so dass keine Kennwörter gespeichert werden, Sicherstellung, dass Token und alle zwischengespeicherten Metadaten im Ruhezustand verschlüsselt werden, keine Protokollierung von E-Mail-Inhalten, die PHI enthalten könnten, und Abschluss eines Business Associate Agreement (BAA) mit Ihrem API-Anbieter. Sowohl Google Mail als auch Outlook bieten im Rahmen von Google Workspace bzw. Microsoft 365 Business Konfigurationen an, die für den HIPAA in Frage kommen, und zwar mit einem vom Anbieter unterzeichneten BAA. Ihre E-Mail-API-Ebene muss ebenfalls ein BAA mit Ihnen unterzeichnen, wenn sie PHI in Ihrem Namen verarbeitet oder überträgt. Aus praktischer Sicht besteht der sicherste HIPAA-Weg darin, E-Mail-Inhalte als flüchtig zu behandeln - lesen Sie sie, verarbeiten Sie sie, zeigen Sie sie an - aber bewahren Sie niemals den Textkörper oder Anhänge in Ihrer eigenen Datenbank auf.
Der Entzug des E-Mail-Zugriffs eines Benutzers erfordert zwei separate Aktionen, die beide durchgeführt werden müssen. Zuerst den Token auf Anbieter-Ebene widerrufen. Für Gmail rufen Sie den Token-Widerruf-Endpunkt von Google auf (https://oauth2.googleapis.com/revokeFür Outlook rufen Sie den Widerrufsendpunkt von Microsoft auf oder entfernen die App aus dem Microsoft-Konto des Benutzers. Es reicht nicht aus, das Token einfach aus Ihrer Datenbank zu löschen – das Token bleibt beim Anbieter gültig, bis es explizit widerrufen wurde. Zweitens, löschen Sie alle lokalen Daten. Löschen Sie den Refresh-Token, alle zwischengespeicherten Zugriffstoken, alle E-Mail-Metadaten, die Sie für dieses verknüpfte Konto gespeichert haben, Webhook-Abonnements und den verknüpften Konto-Datensatz selbst. Mit Unipile, einem einzigen LÖSCHEN /konten/{id} Der Aufruf führt beide Schritte aus – er widerruft den Token beim Anbieter und löscht gleichzeitig alle zugehörigen Daten in der Unipile-Infrastruktur.
E-Mail-Sicherheit bezieht sich typischerweise auf den Schutz der E-Mail-Kommunikation selbst – Spamfilterung, Phishing-Erkennung, DKIM/SPF/DMARC-Authentifizierung und Verschlüsselung der Nachricht während der Übertragung zwischen Mailservern. E-Mail-API-Sicherheit ist eine völlig andere Ebene: Es geht darum, wie eine Drittanbieteranwendung programmatischen Zugriff auf das Postfach eines Benutzers erhält, welche Daten sie dabei verarbeitet und wie sie diesen Zugriff schützt. Sie können eine ausgezeichnete E-Mail-Sicherheit haben (DMARC konfiguriert, TLS zwischen Servern erzwungen) und gleichzeitig eine schlechte E-Mail-API-Sicherheit (Passwörter im Klartext gespeichert, zu breite OAuth-Bereiche). Beides ist unabhängig voneinander wichtig. Dieser Artikel konzentriert sich auf die API-Sicherheitsebene – die architektonischen Entscheidungen, die Ihr Entwicklungsteam bei der Integration mit Gmail, Outlook oder IMAP über eine API trifft.
Unipile speichert E-Mail-Inhalte nicht persistent. Wenn Ihre Anwendung die Unipile-API aufruft, um E-Mails abzurufen, ruft Unipile die Daten in Echtzeit vom Anbieter (Gmail, Outlook oder IMAP-Server) ab und gibt sie an Ihre Anwendung zurück. E-Mail-Texte und Anhänge werden auf der Infrastruktur von Unipile über den Anforderungslebenszyklus hinaus nicht zwischengespeichert oder gespeichert. Was Unipile speichert, sind das OAuth-Token (verschlüsselt im Ruhezustand) und grundlegende verknüpfte Kontometadaten, die zur Aufrechterhaltung der Verbindung erforderlich sind – Anbietertyp, Kontokennung und Verbindungsstatus. Diese Architektur bedeutet, dass der E-Mail-Inhalt zwischen Ihrer Anwendung und dem Anbieter verbleibt, wobei Unipile als sicherer Broker und nicht als Datenspeicher fungiert. Ausführliche Informationen zur Datenverarbeitung durch Unipile finden Sie unter Entwicklerdokumentation und bitten das Unipile-Team um eine Auftragsverarbeitungsvereinbarung.
OAuth 2.0 verbessert die Sicherheit der E-Mail-Integration auf vier konkrete Arten. Keine Offenlegung von Anmeldeinformationen: das Passwort des Benutzers verlässt nie den Server des Anbieters – Ihre Anwendung erhält immer nur ein kurzlebiges Zugriffstoken. Granulare Berechtigungen OAuth-Berechtigungsbereiche ermöglichen es Ihnen, genau den Zugriff anzufordern, den Sie benötigen (nur Lesen, nur Senden), anstatt die vollständige Kontrolle über das E-Mail-Postfach. Widerruflichkeit Ein Nutzer kann den Zugriff Ihrer Anwendung von seinen Google- oder Microsoft-Konto-Einstellungen jederzeit widerrufen, ohne sein Passwort zu ändern, und das Token wird sofort ungültig. Kurzlebige Token Zugriffstoken verfallen (typischerweise nach einer Stunde), was das Zeitfenster für eine potenzielle Gefährdung begrenzt, falls ein Token jemals kompromittiert wird. Diese Eigenschaften machen OAuth 2.0 zum einzig akzeptablen Authentifizierungsmechanismus für Gmail- und Outlook-Integrationen in produktiven SaaS-Anwendungen. Erfahren Sie, wie Sie es für Google OAuth 2.0 und Microsoft OAuth 2.0.
Haben Sie noch Fragen? Unser Team ist für Sie da.
DE 
EN 
FR 
ES 
IT 
BR 
NL 
PL 
TR