Defaults.Exposed

Defaults.Exposed › Berichte

SPF ~all vs. -all: Softfail oder Hardfail — wofür sich 139 Millionen Einträge entschieden haben (2026)

Veröffentlicht 2026-07-03

Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. Alle Zahlen sind aggregiert — wir veröffentlichen niemals den Eintrag eines einzelnen Unternehmens. Siehe wie wir bewerten.

Jeder SPF-Eintrag endet mit einem „all”-Mechanismus — dem Urteil über Mail von überall her, was nicht auf Ihrer Liste steht — und das Internet hat sich überwältigend für die weiche Variante entschieden: 55,8% der 139 Millionen Domains, die SPF veröffentlichen, enden auf ~all (Softfail), gegenüber 39,3%, die auf -all (Hardfail) enden. Ein einziges Zeichen trennt „Fälschungen abweisen” von „vermutlich eine Fälschung — trotzdem zustellen”. Welche Variante für Sie richtig ist, hängt von einer zweiten Einstellung ab, die die meisten Inhaber nie konfigurieren.

Was sagen ~all und -all einem Empfänger eigentlich?

Ist ~all also falsch? Nur, wenn es allein steht — und das tut es fast immer

Softfail hat ein vertretbares modernes Argument: Googles Absenderrichtlinien und ein Großteil der Zustellbarkeitspraxis mit ihnen laufen auf ~all in Kombination mit einer durchsetzenden DMARC-Richtlinie (p=reject) hinaus. Diese Kombination schützt bei jedem DMARC-auswertenden Empfänger genauso gut wie -all — und dazu gehören inzwischen alle großen Mailbox-Anbieter — ohne legitime, weitergeleitete Mail hart abprallen zu lassen, das klassische Opfer von -all. In dieser Konfiguration hat das Schulterzucken Biss: DMARC liefert das Urteil, das SPF verweigert hat.

Aber die Kombination ist der springende Punkt, und hier fügt der Zensus etwas hinzu, was Einrichtungsanleitungen nicht können: Von den 77.484.057 Softfail-Einträgen im Internet haben nur 7,1 Millionen — etwa 1 von 11 — eine durchsetzende DMARC-Richtlinie dahinter. Für die anderen 70,4 Millionen Domains ist ~all genau das, wonach es klingt. Ihr Eintrag erkennt die Fälschung und winkt sie durch.

Haben die Vorschriften von 2024 das nicht behoben?

Nein — und die Unterscheidung ist wichtiger, als die meiste Berichterstattung nahelegt. Google und Yahoo begannen im Februar 2024, von Massenversendern Authentifizierung zu verlangen, Microsoft zog im Mai 2025 nach: bestehendes, ausgerichtetes SPF oder DKIM, dazu ein DMARC-Eintrag von mindestens p=none. Die Vorschriften gehen nicht so weit, Durchsetzung zu verlangen — eine Domain mit ~all, einem p=none-Eintrag und ausgerichtetem DKIM erfüllt die Vorgaben vollständig und bleibt dennoch vollständig fälschbar. Die Vorschriften haben den Papierkram normalisiert, nicht den Schutz. Genau diese undurchsetzte Mitte — vorschriftskonform, veröffentlicht, fälschbar — ist die Lücke, die dieser Zensus misst, und sie ist die größte Population in der E-Mail-Sicherheit.

Womit sollte Ihr Eintrag also enden?

  1. Sie versenden Mail und Weiterleitung ist wichtig (Newsletter, Verteilerlisten, Aliase): ~all mit DMARC p=reject dahinter — die oben empfohlene Kombination.
  2. Sie versenden Mail aus einer streng kontrollierten Umgebung: -all funktioniert und benennt die Richtlinie im Eintrag selbst. Erfassen Sie zuerst Ihre Absender — ein striktes Ende auf einem nicht erfassten Eintrag bricht echte Mail, oder Schlimmeres.
  3. Die Domain versendet nie: -all plus p=reject, sofort. Es existiert nichts Legitimes zu schützen, also gibt es auch nichts kaputtzumachen.

Welches Ende Sie auch wählen, die einzeilige Lektion des Zensus gilt: Der Qualifizierer zählt nur so viel, wie das, was ihn durchsetzt. Wo Sie auf dieser Leiter stehen, ist messbar.

Häufig gestellte Fragen

Ist SPF ~all oder -all besser? Keins von beiden, allgemein gesehen. ~all mit einer durchsetzenden DMARC-Richtlinie ist das Muster, das Googles Richtlinien empfehlen — gleichwertiger Schutz bei DMARC-auswertenden Empfängern, ohne weitergeleitete Mail kaputtzumachen. -all eignet sich für streng kontrollierte Absender. ~all allein — der Zustand aller Softfail-Domains bis auf 1 von 11 — ist die schwache Option.

Was bedeutet SPF-Softfail? ~all teilt Empfängern mit, dass Mail von nicht gelisteten Servern vermutlich unrechtmäßig ist, aber dennoch angenommen werden sollte, meist mit Argwohn. Es wird erst dann zu echtem Schutz, wenn eine DMARC-Richtlinie auf den Fehlschlag reagiert; siehe SPF ohne DMARC.

Bricht Hardfail -all meine weitergeleitete E-Mail? Das kann sein: Weiterleitung versendet Ihre Mail erneut vom Server des Weiterleiters, den Ihr SPF nicht auflistet, und ein Hardfail lädt zur Abweisung ein, bevor DKIM oder DMARC ins Gewicht fallen. Dieses Risiko ist der Grund, warum es die Kombination ~all + p=reject gibt.

Verlangen Google und Microsoft jetzt -all? Nein. Die Vorschriften für Massenversender verlangen ausgerichtete, bestehende Authentifizierung und einen DMARC-Eintrag von mindestens p=none — keine Durchsetzung, keinen bestimmten Qualifizierer. Googles Abweisung nicht konformer Massenmail ist aktiv; Microsoft hat Fehlschläge in den Spam-Ordner verschoben und bewegt sich in Richtung glatter Abweisung. Konformität ist kein Schutz.

Prüfen Sie, womit Ihr Eintrag endet — und was dahintersteht

Zwei Abfragen sagen Ihnen beides, kostenlos, in 30 Sekunden. Wenn Sie zu den 70,4 Millionen undurchsetzten Schulterzuckern gehören, ist die Lösung ein DNS-Eintrag, kein Kauf.

Prüfen Sie Ihre Domain → · SPF beheben → · DMARC beheben → · Das SPF-Reifegradmodell → · Die +all-Karte → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.