Defaults.Exposed

Defaults.Exposed › Berichte

Kann jemand E-Mails im Namen Ihres Unternehmens versenden? Bei den meisten Domains: ja (2026)

Veröffentlicht 2026-06-29

Stand der Zahlen: 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. „Kann nachgeahmt werden” bedeutet, dass die Domain DMARC nicht durchsetzt (keine Richtlinie für Quarantäne oder Ablehnung) – die Kontrolle, die empfangenden Mailservern sagt, gefälschte Mails zu stoppen. Siehe wie wir bewerten.

Für die meisten Unternehmen lautet die Antwort: ja – jemand kann E-Mails versenden, die exakt so aussehen, als kämen sie von Ihrer Domain. Nur 10,59% der 261 Millionen von uns bewerteten Domains setzen DMARC durch, die einzige Kontrolle, die Nachahmung tatsächlich blockiert. Die übrigen 89,41% lassen die Tür offen: Ein Betrüger kann Ihre exakte Adresse in die „Von”-Zeile setzen, und die meisten Postfächer zeigen sie als echt an. Das ist der Mechanismus hinter gefälschten Rechnungen, CEO-Betrugs-Zahlungsanforderungen und Lieferantenbetrug – und der Versuch kostet nichts.

Kann jemand wirklich E-Mails im Namen meiner Domain versenden?

Wenn Ihre Domain DMARC nicht durchsetzt, dann ja. E-Mail wurde ohne eingebaute Möglichkeit zur Überprüfung des Absenders entworfen, daher ist die „Von”-Adresse trivial zu fälschen. Drei aufeinander aufbauende Einstellungen beheben das – SPF, DKIM und DMARC – aber nur die letzte, auf Durchsetzung gesetzt, weist den empfangenden Server an, eine Fälschung tatsächlich abzulehnen oder unter Quarantäne zu stellen. Stand 2026-06-29:

Somit können 89,41% der Domains – mehr als acht von zehn – heute per E-Mail nachgeahmt werden.

„Aber wir haben doch SPF” – warum das nicht ausreicht

Das ist das häufigste und gefährlichste Missverständnis. 53,21% der Domains veröffentlichen einen SPF-Eintrag, weit mehr als die 10,59%, die DMARC durchsetzen. Inhaber sehen SPF und nehmen an, sie seien geschützt. Sind sie nicht: SPF (und DKIM) prüfen den technischen Versandweg, sie regeln aber nicht die „Von”-Adresse, die ein Mensch tatsächlich sieht. Ohne durchgesetztes DMARC kann ein Angreifer SPF auf seiner eigenen Infrastruktur weiterhin bestehen und Ihre sichtbare Adresse fälschen. SPF ist notwendige Verrohrung; die DMARC-Durchsetzung ist das Schloss.

Wie ausgesetzt ist Ihre Ecke des Internets?

Die Durchsetzung variiert stark je nach Domain-Endung. Höher ist besser – es ist der Anteil der Domains, die Nachahmung tatsächlich blockieren. Stand 2026-06-29:

Domain-EndungDMARC-durchsetzendKann nachgeahmt werden
.nl (Niederlande)29,43%29,43% geschützt, Rest ausgesetzt
.de (Deutschland)21,38%
.in (Indien)19,26%
.uk (Vereinigtes Königreich)13,42%
.com9,50%die meistgenutzte Endung liegt unter dem globalen Durchschnitt von 10,59%
.net10,08%
.org10,01%
.xyz5,15%
.top3,17%
.cn (China)1,45%die niedrigste der großen Endungen

Selbst die leistungsstärkste große Endung schützt weniger als ein Drittel ihrer Domains. Auf .com – wo die meisten Unternehmen angesiedelt sind – setzen nur 9,50% DMARC durch.

Was das ein Unternehmen tatsächlich kostet

E-Mail-Nachahmung ist der Mechanismus hinter einigen der kostspieligsten weltweit den Strafverfolgungsbehörden gemeldeten Online-Verbrechen – Business Email Compromise. Das Muster ist immer dasselbe:

Nichts davon erfordert das Hacken Ihrer Systeme. Es erfordert nur, dass Ihre Domain DMARC nicht durchsetzt – was bei 89,41% der Domains der Fall ist.

So erkennen Sie, ob Sie geschützt sind (und beheben es)

Von außen können Sie nicht erkennen, ob Sie zu den 10,59% gehören – der einzige Weg, es zu wissen, ist, Ihre Domain zu prüfen. Die Behebung ist kostenlos und dauert meist einen Nachmittag, in dieser Reihenfolge erledigt: SPF und DKIM veröffentlichen, dann DMARC auf Durchsetzung umstellen (p=nonequarantinereject). Der letzte Schritt ist derjenige, der die Tür tatsächlich schließt.

Häufig gestellte Fragen

Kann jemand eine E-Mail senden und sich als mein Unternehmen ausgeben? Wenn Ihre Domain DMARC nicht durchsetzt (eine Richtlinie von Quarantäne oder Ablehnung), ja – Ihre exakte „Von”-Adresse kann gefälscht werden und die meisten Postfächer zeigen sie als echt an. Stand 2026-06-29 befinden sich 89,41% der bewerteten Domains in diesem Zustand.

Wir haben bereits SPF – sind wir nicht sicher? Nein. SPF prüft den technischen Versandweg, aber nicht die sichtbare „Von”-Adresse. 53,21% der Domains veröffentlichen SPF, aber ohne durchgesetztes DMARC kann Ihre Adresse weiterhin gefälscht werden. Sie brauchen DMARC auf quarantine oder reject.

Reicht ein DMARC-Eintrag nicht aus? Nur wenn er durchsetzt. Ein auf p=none (Nur-Überwachung) gesetzter Eintrag – den 14,29% der Domains verwenden – tut nichts gegen Spoofing. Nur quarantine oder reject tut das, und nur 10,59% der Domains erreichen das.

Wie prüfe ich meine eigene Domain? Führen Sie eine kostenlose, private Prüfung durch (unten). Wir zeigen das Ergebnis einer Domain immer nur ihrem verifizierten Inhaber.

Ist die Behebung teuer? Nein. SPF, DKIM und DMARC sind kostenlose DNS-Einstellungen. Die Kosten sind die Zeit, sie in der richtigen Reihenfolge einzurichten, kein Geld.

Prüfen Sie, ob Ihre Domain nachgeahmt werden kann

Raten Sie nicht, auf welcher Seite der 10,59% Sie stehen. Prüfen Sie Ihre Domain privat und kostenlos – Sie sehen Ihren DMARC-, SPF- und DKIM-Status und genau, was zu beheben ist.

Prüfen Sie Ihre Domain → · DMARC beheben → · SPF beheben → · Wie wir bewerten → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.