Defaults.Exposed › Berichte
SPF reicht nicht: die 119 Millionen Domains, die niemals durchsetzen
Veröffentlicht 2026-07-03 · aktualisiert 2026-07-03
Zahlen mit Stand 2026-06-29 · Methodik v7. Zensus-Daten, die Prüfungen pro Domain über 261 Millionen bewertete Domains hinweg zusammenführen. „Durchsetzend” = eine DMARC-Richtlinie von
quarantineoderreject; „vollständig geschützt” = SPF und DKIM beide vorhanden, plus durchsetzendes DMARC – die vollständige E-Mail-Authentifizierungstriade. Alle Zahlen sind aggregiert – wir veröffentlichen niemals die Bewertung eines einzelnen Unternehmens.
Die Zählung: wie viele Domains sich allein auf SPF verlassen
SPF allein reicht nicht aus, um E-Mail-Impersonation zu stoppen – und der Zensus kann nun zählen, wie viele Domains sich trotzdem darauf verlassen: 119.212.005 (119 Millionen) veröffentlichen SPF, setzen DMARC aber niemals durch. Das sind 85,8% aller Domains, die sich überhaupt die Mühe gemacht haben, SPF einzurichten. Der Begleitartikel SPF ohne DMARC erklärt den Mechanismus – warum SPF die „Von”-Adresse, die ein Mensch tatsächlich sieht, nicht schützen kann; dieser Artikel misst die Population – wie viele Domains diese Lücke ungeschützt lässt und welche Form das Risiko annimmt.
Kurz gesagt: SPF einzurichten ist der häufigste Akt der E-Mail-Sicherheit im Internet, und für die überwältigende Mehrheit der Domains, die es getan haben, ist es auch der letzte.
Die drei Populationen
139 Millionen Domains – 138.911.937 davon – veröffentlichen einen SPF-Eintrag. Aufgeteilt danach, was dahintersteht:
| Population | Domains | Anteil der SPF-Veröffentlicher |
|---|---|---|
| SPF veröffentlicht, überhaupt kein DMARC-Eintrag | 84.638.430 | 60,9% |
| SPF veröffentlicht, DMARC vorhanden, aber niemals durchgesetzt (Obermenge, schließt die Zeile oben ein) | 119.212.005 | 85,8% |
| SPF + DKIM, gestützt durch durchsetzendes DMARC | 10.092.481 | — |
Die Zeilen summieren sich nicht zur SPF-Gesamtzahl: der Rest sind SPF-Veröffentlicher, deren DMARC zwar durchsetzt, deren DKIM aber nicht vollständig vorhanden ist – durchsetzend, aber ohne die vollständige Triade, die die unterste Zeile zählt.
Die mittlere Zeile ist die Schlagzeile: rund 119 Millionen Domains haben die Arbeit erledigt, ihre legitimen Absender zu deklarieren, und dann den Postfächern der Welt nie gesagt, darauf zu reagieren. Und die unterste Zeile ist die Pointe: über alle 261 Millionen bewerteten Domains hinweg sind nur 3,87% – etwa 10 Millionen – vollständig E-Mail-geschützt. Vollständiger Schutz ist technisch keine hohe Hürde; er ist schlicht der Abschluss einer Reise, die 119 Millionen Domains begonnen und wieder abgebrochen haben.
Warum die Zählung so einseitig ausfällt
SPF ist der Ausgangspunkt jeder Einrichtungsanleitung, der Endpunkt des Onboardings der meisten Mail-Anbieter und das, was die meisten Compliance-Checklisten tatsächlich prüfen. Es erzeugt ein sichtbares Artefakt – einen TXT-Eintrag – und ein grünes Häkchen in dem Tool, das es geprüft hat. Durchgesetztes DMARC erzeugt die gegenteilige Erfahrung: es verlangt einen Fortschritt (veröffentlichen, beobachten, Absender identifizieren, dann durchsetzen), und sein Lohn ist unsichtbar – gefälschte Mail, die still und leise nicht mehr ankommt.
Also hat das Internet für das Häkchen optimiert. Der Zensus zeigt, wie das im großen Maßstab aussieht: 85 Millionen Domains (84.638.430) haben SPF und keinerlei DMARC-Eintrag – nicht einmal einen p=none-Platzhalter. Diese Inhaber sind nicht faul; sie haben die Anweisungen befolgt, die man ihnen gegeben hat, und die Anweisungen endeten zu früh.
Was „abgedeckt” hier tatsächlich bedeutet
Konsequenz, nicht Angst: eine Domain mit SPF und ohne durchsetzendes DMARC kann immer noch an der einen Stelle imitiert werden, auf die Menschen schauen – der sichtbaren „Von”-Zeile. SPF erlaubt es empfangenden Servern zu verifizieren, welche Maschinen im Namen der Envelope-Domain senden dürfen, aber ohne DMARC gibt es keine Anforderung, dass der sichtbare Absender mit irgendetwas übereinstimmt, das SPF geprüft hat, und keine Anweisung, fehlschlagende Mail abzulehnen. Die gefälschte Rechnung, das falsche Passwort-Zurücksetzen, die umgeleitete Lieferantenzahlung – alle bleiben zustellbar an Ihre Kunden und Lieferanten in Ihrem Namen, SPF-Eintrag hin oder her.
In den sechs Stufen der DMARC-Reife stecken diese 119 Millionen Domains in den Stufen 1–3 fest – das Fundament ist gebaut, oder teilweise gebaut, und die Tür wurde nie eingesetzt. Der Weg von dort bis zum Schutz ist gut verstanden und größtenteils prozedural; was dieser Zensus hinzufügt, ist die Erkenntnis, dass ihn fast niemand geht.
Wenn Ihre Domain eine der 119 Millionen ist
- Behalten Sie SPF – es ist eine Voraussetzung, kein Fehler. (SPF beheben →.)
- Fügen Sie DKIM hinzu, damit Ihre Mail signiert und nicht nur mit einer Herkunft versehen ist. (DKIM beheben →.)
- Veröffentlichen Sie DMARC mit Berichterstattung, dann setzen Sie durch – zuerst
p=nonemitrua=, jeden legitimen Absender identifizieren, dann zuquarantineundrejectübergehen. Das ist der Schritt, der „konfiguriert” in „geschützt” verwandelt. (DMARC beheben →.)
Häufig gestellte Fragen
Reicht SPF aus, um eine Domain vor Spoofing zu schützen? Nein. SPF validiert sendende Server gegen die Envelope-Domain; es prüft weder die sichtbare „Von”-Adresse noch weist es Empfänger an, Fehlschläge abzulehnen. Nur eine durchsetzende DMARC-Richtlinie tut beides – und 119.212.005 Domains veröffentlichen SPF ohne eine solche.
Wie viele Domains haben SPF, aber überhaupt kein DMARC? 84.638.430 – 60,9% aller SPF-Veröffentlicher haben keinerlei DMARC-Eintrag, nicht einmal im Überwachungsmodus.
Wie viele Domains sind vollständig geschützt?
10.092.481 – 3,87% der 261 Millionen bewerteten Domains kombinieren SPF und DKIM mit einer DMARC-Richtlinie von quarantine oder reject.
Hilft es wenigstens, SPF zu haben? Ja – es ist das Fundament, gegen das DMARC prüft, und es verbessert die Zustellbarkeit Ihrer legitimen Mail. Es schützt nur nichts von sich aus; es ist Schritt eins von drei, und der Zensus zeigt, dass der Großteil des Internets es als die ganze Treppe behandelt hat.
Prüfen Sie, in welcher Population Ihre Domain ist
„Wir haben SPF eingerichtet” beschreibt 139 Millionen Domains; „wir sind geschützt” beschreibt 10 Millionen. Herauszufinden, welche davon Sie sind, dauert eine Minute, vertraulich und kostenlos – sehen Sie, welche der 34 Prüfungen Sie bestehen und wie Sie die beheben, die Sie nicht bestehen.
Prüfen Sie Ihre Domain → · Die 6 Stufen der DMARC-Reife → · Die DMARC-Säule → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.