Defaults.Exposed

Defaults.Exposed › Berichte

Der SPF-Fehlkonfigurations-Report: Die meisten SPF-Einträge sind zu schwach eingestellt (2026)

Veröffentlicht 2026-06-29

Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über die 138.927.207 Domains, die einen SPF-Eintrag veröffentlichen, aus 261 Millionen bewerteten Domains. Siehe wie wir bewerten.

SPF zu haben ist nicht dasselbe wie SPF korrekt eingestellt zu haben — und die meisten Domains, die SPF veröffentlichen, haben es zu schwach eingestellt, um viel zu bewirken. Von den 139 Millionen Domains mit einem SPF-Eintrag enden 55,8% auf ~all (Softfail), die permissive Einstellung, die Empfängern sagt: „Das könnte eine Fälschung sein, aber stelle es trotzdem zu.” Nur 39,3% verwenden das strikte -all. SPF ist weit verbreitet, aber meistens entschärft.

Der „all”-Mechanismus: wo SPF gewonnen oder verloren wird

Jeder SPF-Eintrag endet mit einem „all”-Mechanismus, der festlegt, was mit Mail von Servern geschehen soll, die nicht auf deiner Liste stehen. Das ist der ganze Sinn von SPF — und der häufigste Ort, an dem es geschwächt wird:

EndungBedeutungDomains mit SPF
-all (Hardfail)Nicht gelistete Sender abweisen — die strikte, beabsichtigte Einstellung39,3%
~all (Softfail)„Wahrscheinlich eine Fälschung, aber trotzdem annehmen”55,8%
?all (neutral)Keine Meinung — praktisch kein Schutz3,0%
+allDas gesamte Internet autorisieren, als du zu senden36.014 Domains
sonstige / keineredirect/include-only oder kein abschließendes all1,8%

Die Schlagzeile lautet, dass Softfail (~all) mit 55,8% die häufigste Einstellung ist — häufiger als Hardfail. Für sich genommen bietet Softfail schwachen Schutz: Es bittet Empfänger, nicht gelisteter Mail nicht zu vertrauen, sie aber nicht abzuweisen.

Die gefährlichen Grenzfälle

Ist Softfail tatsächlich ein Problem?

Nicht, wenn es durch DMARC abgesichert ist. Die moderne Best Practice ist ~all plus eine DMARC-Richtlinie von quarantine oder reject — diese Kombination gibt dir strikte Durchsetzung, ohne weitergeleitete Mail zu zerstören. Das Problem ist der große Anteil von Domains auf ~all ohne durchsetzendes DMARC dahinter — nur 10,59% aller Domains setzen DMARC durch — wodurch Softfail fast nichts bewirkt. SPF auf ~all ist Mittel zum Zweck; ohne DMARC ist es nur ein Vorschlag.

Häufig gestellte Fragen

Was ist der Unterschied zwischen ~all und -all in SPF? -all (Hardfail) sagt Empfängern, Mail von Servern abzuweisen, die nicht auf deiner Liste stehen. ~all (Softfail) sagt ihnen, sie trotzdem anzunehmen, aber als verdächtig zu markieren. 55,8% der Domains mit SPF verwenden ~all; 39,3% verwenden -all.

Ist ~all (Softfail) sicher zu verwenden? Ja — aber nur in Kombination mit einer durchsetzenden DMARC-Richtlinie (quarantine oder reject). Für sich genommen bietet Softfail schwachen Schutz.

Was bewirkt +all? +all autorisiert jeden Server im Internet, E-Mails als deine Domain zu senden — schlimmer als kein SPF. 36.014 Domains haben das, fast immer aus Versehen.

Was ist der SPF-Fehler „too many lookups”? SPF erlaubt höchstens 10 verschachtelte DNS-Lookups; darüber hinaus scheitert der Eintrag als „permerror” und wird ignoriert. Es betrifft 7.958 Domains.

Prüfe, ob dein SPF korrekt eingestellt ist

SPF zu veröffentlichen ist die halbe Miete; es strikt einzustellen und mit DMARC abzusichern ist die andere Hälfte. Prüfe deine Domain privat und kostenlos.

Prüfe deine Domain → · SPF reparieren → · DMARC reparieren → · Warum E-Mails im Spam landen → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.