Defaults.Exposed › Berichte
Der E-Mail-Spoofbarkeits-Index: Wie viele Domains kann jeder fälschen? (2026)
Veröffentlicht 2026-07-03
Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierter Zensus über 261 Millionen bewertete Domains — das Internet, so wie wir es messen — pro Domain zusammengeführt. Alle Zahlen sind aggregiert; niemals die Bewertung eines einzelnen Unternehmens. Siehe wie wir bewerten.
Wie viele Domains lassen sich spoofen?
9 von 10. 89,4% des Internets — 233.445.245 Domains — veröffentlichen keine Richtlinie, die Empfänger anweist, Mails abzulehnen oder als Spam zu behandeln, wenn diese die Authentifizierung nicht bestehen. Das ist es, was wir als spoofbar zählen, und es ist die Sicht des Angreifers auf den Zensus: nicht „wer hat begonnen, E-Mail zu sichern”, sondern „wer kann weiterhin nachgeahmt werden”. Die meisten Domains haben begonnen — sie veröffentlichen SPF. Weit weniger haben abgeschlossen, und die Lücke zwischen diesen beiden Verben ist der Index.
Was bedeutet „spoofbar” hier?
Eine präzise Definition, denn diese Zahl wird zitiert: eine Domain ist spoofbar, wenn sie keine DMARC-Richtlinie mit p=quarantine oder p=reject veröffentlicht — die einzige standardisierte Anweisung, die jeden großen Empfänger dazu bringt, eine fehlgeschlagene Nachricht abzulehnen oder als Spam zu behandeln. Manche Empfänger reagieren zwar auf ein striktes SPF -all von sich aus, aber dieses Verhalten ist optional und weltweit uneinheitlich über die Posteingänge hinweg; die DMARC-Durchsetzung ist die Anweisung, die sie alle befolgen. Eine spoofbare Domain ist also nicht zwangsläufig überall ungeschützt — sie ist per Richtlinie ungeschützt und auf das Wohlwollen jedes einzelnen Empfängers angewiesen.
Deshalb entfernt auch die alleinige Veröffentlichung von SPF eine Domain nicht von diesem Index: SPF identifiziert Ihre echte Mail, aber ohne Durchsetzung weist nichts die Empfänger an, gegen die Fälschungen vorzugehen.
Welche Domainendungen sind am ehesten spoofbar?
Der Anteil bewerteter Domains ohne durchsetzendes DMARC, nach Endung:
| TLD | Spoofbarer Anteil |
|---|---|
| .xyz | 94,9% |
| .de | 78,6% |
| .com | 90,5% |
| .org | 90,0% |
| .uk | 86,6% |
| .nl | 70,6% |
Kein Viertel im Internet ist sicher — die Spanne zwischen den Endungen sind Abstufungen der Gefährdung, keine Kategorien davon. Extreme auf Länderebene sind eine eigene Geschichte: siehe die am ehesten spoofbaren Länder für die Länderrangliste, die dieser Index zusammenfasst.
Der Mailserver-Ausschnitt: aktive Posteingänge, kein Schutz
Der schärfste Ausschnitt des Index: 42,7% aller bewerteten Domains betreiben einen aktiven Mailserver, ohne überhaupt eine Authentifizierung zu veröffentlichen — 111.369.509 Domains, die sowohl echte Mail empfangen als auch Fälschern einen ungeschützten Namen bieten. Das sind keine geparkten Hüllen; es sind betriebene Mail-Domains, deren Eigentümer nie die Schlösser angebracht haben.
Warum dies die Zahl ist, auf die es ankommt
Adoptionsstatistiken schmeicheln dem Internet; Spoofbarkeit misst, was ein Angreifer weiterhin tun kann. Die Behebung ist bei jedem Schritt kostenlos — SPF, DKIM, dann eine DMARC-Richtlinie mit p=reject — und jede Domain, die abschließt, wechselt von den 9 von 10 zu den wenigen Geschützten. Die beiden Artikel sind derselbe Datensatz, von den entgegengesetzten Enden gelesen: dieser zählt die offenen Türen; jener zählt die verschlossenen.
Häufig gestellte Fragen
Was macht eine Domain spoofbar?
Das Fehlen einer durchsetzenden DMARC-Richtlinie (p=quarantine oder p=reject). Ohne sie weist keine standardisierte Anweisung die Empfänger an, Mails abzulehnen oder als Spam zu behandeln, die SPF-/DKIM-Prüfungen nicht bestehen. 89,4% der Domains — 9 von 10 — befinden sich mit Stand 2026-06-29 in diesem Zustand.
Ich veröffentliche SPF — kann meine Domain trotzdem gespooft werden? Wenn nichts durchsetzt, ja. SPF beweist, welche Mail echt ist; es weist die Empfänger nicht an, den Rest abzulehnen. Der Mechanismus und die Behebung werden in SPF ohne DMARC behandelt.
Macht DMARC p=quarantine meine Domain sicher?
Es entfernt Sie von diesem Index: fehlgeschlagene Mail wird als Spam behandelt, statt in den Posteingang zugestellt zu werden. p=reject geht weiter und weist sie gänzlich ab — die stärkste Einstellung und das empfohlene Ziel.
Wie mache ich meine Domain unfälschbar?
Bringen Sie alle drei Schlösser an — SPF, DKIM und DMARC mit p=reject — jedes eine kostenlose DNS-Änderung. Beheben Sie Ihre DMARC-Richtlinie ist der Durchsetzungsschritt, der Sie vom Index nimmt.
Prüfen Sie, ob Ihre eine der 9 ist
Ihre Domain steht entweder auf diesem Index oder nicht, und die Antwort ist kostenlos zu bekommen und kostenlos zu ändern.
Prüfen Sie Ihre Domain → · DMARC beheben → · SPF beheben → · Die am ehesten spoofbaren Länder → · Die wenigen Geschützten → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.