Defaults.Exposed

Defaults.Exposed › Berichte

SPF allein genügt nicht: Die trügerische E-Mail-Sicherheit (2026)

Veröffentlicht 2026-06-29

Stand der Zahlen: 2026-06-29 · Methodik v7. Aggregierte Zensusdaten, die Prüfungen pro Domain über 261 Millionen bewertete Domains hinweg zusammenführen. „Durchsetzend” = eine DMARC-Richtlinie mit quarantine oder reject. Siehe wie wir bewerten.

Der gefährlichste Ort in der E-Mail-Sicherheit ist, sich geschützt zu fühlen. 32,4% der Domains veröffentlichen SPF, haben aber überhaupt kein DMARC — und 45,7% haben SPF, das nicht durch Durchsetzung gestützt wird. Diese Inhaber haben etwas getan, sahen „SPF: konfiguriert” und hörten auf. Aber SPF allein hindert niemanden daran, Ihre sichtbare „Von”-Adresse zu fälschen — das tut nur durchgesetztes DMARC. Mit Stand 2026-06-29 sind nur 3,87% der Domains vollständig E-Mail-geschützt.

Die Lücke zwischen „konfiguriert” und „geschützt”

SPF prüft, welche Server für Sie senden dürfen. Es regelt nicht die „Von”-Adresse, die eine Person tatsächlich sieht, und es sagt Empfängern nicht, was bei einem Fehlschlag zu tun ist. Das ist die Aufgabe von DMARC. SPF ohne eine durchsetzende DMARC-Richtlinie ist also ein Schloss ohne Tür dahinter:

ZustandAnteil der DomainsTatsächlich geschützt?
SPF veröffentlicht, überhaupt kein DMARC-Eintrag32,4%Nein
SPF veröffentlicht, DMARC nicht durchsetzend45,7%Nein
Vollständig E-Mail-geschützt (SPF + durchgesetztes DMARC)3,87%Ja

Lesen Sie die mittlere Zeile noch einmal: 45,7% aller Domains haben SPF, aber keine Durchsetzung — eine Beinahe-Mehrheit des Internets in der Zone der trügerischen Sicherheit. Sie sind, für die Zwecke eines Angreifers, fälschbar — und 89,4% der Domains insgesamt sind es.

Die schlimmste Variante: Post kommt rein, keine Wache an der Tür

Für Domains, die tatsächlich E-Mails empfangen, wird es noch deutlicher. 42,7% der Domains nehmen Post an (sie haben MX-Einträge), haben aber überhaupt keine funktionierende E-Mail-Authentifizierung — keine SPF-Durchsetzung, kein DMARC. Das sind aktive, genutzte Domains, deren Inhaber täglich senden und empfangen, vollständig imitierbar. Genau diese Aktivität macht sie zu attraktiven Zielen für Rechnungsbetrug und Lieferantenbetrug.

Warum „wir haben SPF” zur Falle wurde

SPF ist älter, einfacher und das Erste, was die meisten Einrichtungsanleitungen erwähnen — also ist es das Kästchen, das abgehakt wird. DMARC kam später, klingt fortgeschrittener und erfordert ein bewusstes Vorgehen zur Durchsetzung. Das Ergebnis ist eine riesige Population, die Schritt eins übernommen und Schritt zwei nie gemacht hat und dann weiter glaubte, die Arbeit sei erledigt. Der Zensus macht das Ausmaß dieses Irrtums zum ersten Mal sichtbar: 32,4% mit SPF und überhaupt keinem DMARC.

So werden Sie tatsächlich geschützt

  1. Behalten Sie Ihr SPF, aber verlassen Sie sich nicht allein darauf. (SPF reparieren.)
  2. Fügen Sie DKIM hinzu, damit Ihre Post signiert ist. (DKIM reparieren.)
  3. Veröffentlichen Sie DMARC und bringen Sie es zur Durchsetzung (p=nonequarantinereject). Das ist der Schritt, der „konfiguriert” in „geschützt” verwandelt. (DMARC reparieren.)

Häufig gestellte Fragen

Reicht SPF aus, um E-Mail-Spoofing zu stoppen? Nein. SPF schützt nicht die sichtbare „Von”-Adresse und weist Empfänger nicht an, Fälschungen abzulehnen — nur eine durchsetzende DMARC-Richtlinie tut das. 45,7% der Domains haben SPF ohne diese Durchsetzung.

Ich habe einen SPF-Eintrag — bin ich geschützt? Nicht allein dadurch. Sie sind nur geschützt, wenn SPF (und idealerweise DKIM) durch DMARC gestützt wird, das auf quarantine oder reject gesetzt ist. Nur 3,87% der Domains erreichen das.

Welcher Anteil der Domains kann immer noch imitiert werden? 89,4% — weil ihnen durchsetzendes DMARC fehlt, unabhängig davon, ob sie SPF veröffentlichen.

Warum ist es besonders riskant, Post (MX) ohne Authentifizierung zu haben? 42,7% der Domains senden und empfangen aktiv E-Mails, haben aber keine funktionierende Authentifizierung — aktive, vertrauenswürdige Domains, die jeder fälschen kann, genau das, wonach Betrüger suchen.

Prüfen Sie, ob Sie tatsächlich geschützt sind

„Wir haben SPF” ist nicht dasselbe wie geschützt. Prüfen Sie Ihre Domain kostenlos und privat — sehen Sie, ob Ihre E-Mails immer noch gefälscht werden können.

Prüfen Sie Ihre Domain → · DMARC reparieren → · Der Domain-Exposure-Score → · p=none ist kein Schutz → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.