Defaults.Exposed › Berichte
Der SPF-Fehlkonfigurations-Report: Die meisten SPF-Einträge sind zu schwach eingestellt (2026)
Veröffentlicht 2026-06-29
Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über die 138.927.207 Domains, die einen SPF-Eintrag veröffentlichen, aus 261 Millionen bewerteten Domains. Siehe wie wir bewerten.
SPF zu haben ist nicht dasselbe wie SPF korrekt eingestellt zu haben — und die meisten Domains, die SPF veröffentlichen, haben es zu schwach eingestellt, um viel zu bewirken. Von den 139 Millionen Domains mit einem SPF-Eintrag enden 55,8% auf ~all (Softfail), die permissive Einstellung, die Empfängern sagt: „Das könnte eine Fälschung sein, aber stelle es trotzdem zu.” Nur 39,3% verwenden das strikte -all. SPF ist weit verbreitet, aber meistens entschärft.
Der „all”-Mechanismus: wo SPF gewonnen oder verloren wird
Jeder SPF-Eintrag endet mit einem „all”-Mechanismus, der festlegt, was mit Mail von Servern geschehen soll, die nicht auf deiner Liste stehen. Das ist der ganze Sinn von SPF — und der häufigste Ort, an dem es geschwächt wird:
| Endung | Bedeutung | Domains mit SPF |
|---|---|---|
-all (Hardfail) | Nicht gelistete Sender abweisen — die strikte, beabsichtigte Einstellung | 39,3% |
~all (Softfail) | „Wahrscheinlich eine Fälschung, aber trotzdem annehmen” | 55,8% |
?all (neutral) | Keine Meinung — praktisch kein Schutz | 3,0% |
+all | Das gesamte Internet autorisieren, als du zu senden | 36.014 Domains |
| sonstige / keine | redirect/include-only oder kein abschließendes all | 1,8% |
Die Schlagzeile lautet, dass Softfail (~all) mit 55,8% die häufigste Einstellung ist — häufiger als Hardfail. Für sich genommen bietet Softfail schwachen Schutz: Es bittet Empfänger, nicht gelisteter Mail nicht zu vertrauen, sie aber nicht abzuweisen.
Die gefährlichen Grenzfälle
+all— 36.014 Domains. Das ist der schlechtestmögliche SPF-Wert: Er sagt der Welt ausdrücklich, dass jeder Server berechtigt ist, E-Mails als die Domain zu senden. Es ist fast immer ein Copy-Paste-Versehen und strikt schlimmer, als gar kein SPF zu haben.- Zu viele DNS-Lookups — 7.958 Domains. SPF erlaubt maximal 10 verschachtelte DNS-Lookups; überschreitest du das, ist der Eintrag ein „permerror”, den Empfänger als defekt behandeln. Es ist seltener als befürchtet (0,01% der SPF-Einträge), aber wenn es zuschlägt, macht es dein SPF stillschweigend komplett zunichte.
Ist Softfail tatsächlich ein Problem?
Nicht, wenn es durch DMARC abgesichert ist. Die moderne Best Practice ist ~all plus eine DMARC-Richtlinie von quarantine oder reject — diese Kombination gibt dir strikte Durchsetzung, ohne weitergeleitete Mail zu zerstören. Das Problem ist der große Anteil von Domains auf ~all ohne durchsetzendes DMARC dahinter — nur 10,59% aller Domains setzen DMARC durch — wodurch Softfail fast nichts bewirkt. SPF auf ~all ist Mittel zum Zweck; ohne DMARC ist es nur ein Vorschlag.
Häufig gestellte Fragen
Was ist der Unterschied zwischen ~all und -all in SPF?
-all (Hardfail) sagt Empfängern, Mail von Servern abzuweisen, die nicht auf deiner Liste stehen. ~all (Softfail) sagt ihnen, sie trotzdem anzunehmen, aber als verdächtig zu markieren. 55,8% der Domains mit SPF verwenden ~all; 39,3% verwenden -all.
Ist ~all (Softfail) sicher zu verwenden?
Ja — aber nur in Kombination mit einer durchsetzenden DMARC-Richtlinie (quarantine oder reject). Für sich genommen bietet Softfail schwachen Schutz.
Was bewirkt +all?
+all autorisiert jeden Server im Internet, E-Mails als deine Domain zu senden — schlimmer als kein SPF. 36.014 Domains haben das, fast immer aus Versehen.
Was ist der SPF-Fehler „too many lookups”? SPF erlaubt höchstens 10 verschachtelte DNS-Lookups; darüber hinaus scheitert der Eintrag als „permerror” und wird ignoriert. Es betrifft 7.958 Domains.
Prüfe, ob dein SPF korrekt eingestellt ist
SPF zu veröffentlichen ist die halbe Miete; es strikt einzustellen und mit DMARC abzusichern ist die andere Hälfte. Prüfe deine Domain privat und kostenlos.
Prüfe deine Domain → · SPF reparieren → · DMARC reparieren → · Warum E-Mails im Spam landen → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.