Defaults.Exposed › Berichte
Die wenigen vollständig Geschützten: die 3,87%, die es zu Ende gebracht haben
Veröffentlicht 2026-07-03 · aktualisiert 2026-07-03
Zahlen mit Stand 2026-06-29 · Methodik v7. Zensusdaten, die Prüfungen pro Domain über 261 Millionen bewertete Domains hinweg zusammenführen. „Vollständig geschützt” bedeutet in diesem Artikel den kompletten, durchgesetzten E-Mail-Authentifizierungs-Stack: SPF vorhanden, DKIM vorhanden und eine DMARC-Richtlinie von
quarantineoderreject. Die Expositionspyramide zählt fünf zentrale Schutzmaßnahmen pro Domain — SPF, durchgesetztes DMARC, DNSSEC, HTTPS, HSTS. Die Überschneidungszahlen hier stammen aus der Zusammenführung pro Domain, deren Deduplizierungsgranularität sich geringfügig von den Richtlinien-Aufteilungszahlen unterscheidet, die auf den DAMMM-Seiten angegeben werden (27.640.987 vs. 27.639.358 durchsetzende Domains) — jede Seite nennt ihre eigene Quelle, und die beiden werden niemals vermischt. Alle Zahlen sind aggregiert — wir veröffentlichen niemals die Bewertung eines einzelnen Unternehmens.
Was vollständig geschützte Domains anders machen: sie bringen es zu Ende
Nur 3,87% der 261 Millionen bewerteten Domains des Internets — 10.092.481 von ihnen — betreiben den vollständigen, durchgesetzten E-Mail-Schutz-Stack: SPF und DKIM vorhanden, DMARC auf quarantine oder reject. Das Interessante an dieser Gruppe ist, was sie nicht ist. Sie ist kein Klub von Sicherheitsteams mit größeren Budgets — jede beteiligte Maßnahme ist eine kostenlose DNS- oder Webserver-Einstellung. Die 3,87% sind nicht klüger als alle anderen; sie sind systematisch. Sie haben die Schutzmaßnahmen als einen Stack behandelt, den es fertigzustellen gilt, statt als fünf separate Projekte, die es zu beginnen gilt, und der Rest dieses Artikels handelt davon, wie das in den Zensusdaten aussieht.
Um zu sehen, wie ungewöhnlich das Fertigstellen ist, beginnen wir dort, wo alle anderen stehen.
Die Expositionspyramide: fünf Schutzmaßnahmen, sechs Etagen
Bewertet man jede Domain anhand von fünf Best-Practice-Schutzmaßnahmen — SPF, durchgesetztes DMARC, DNSSEC, HTTPS, HSTS — mit je einem Punkt, ordnet sich das Internet zu einer Pyramide (die Expositionskurve, Etage für Etage betrachtet). Mit Stand 2026-06-29:
| Etage | Vorhandene Schutzmaßnahmen | Anteil der Domains | Domains |
|---|---|---|---|
| 0 | Keine — vollständig exponiert | 8,8% | 23.105.485 |
| 1 | Eine (meist HTTPS allein) | 37,2% | 97.206.153 |
| 2 | Zwei (typischerweise HTTPS + SPF) | 39,7% | 103.527.371 |
| 3 | Drei | 12,0% | 31.424.343 |
| 4 | Vier | 2,1% | 5.575.826 |
| 5 | Alle fünf — vollständig abgesichert | 0,09% | 247.054 |
Die Form erzählt die Geschichte, bevor es irgendeine einzelne Zahl tut. 76,9% aller Domains — 201 Millionen — befinden sich auf den Etagen 1 und 2 und halten genau die Schutzmaßnahmen, die standardmäßig mitkamen, und nichts weiter. HTTPS ist da, weil Hoster und CDNs es automatisch aktiviert haben; SPF ist da, weil der Onboarding-Leitfaden jedes Mail-Anbieters damit beginnt. Alles oberhalb von Etage 2 erfordert, dass ein Eigentümer sich entscheidet — und bei jeder Entscheidung hört ein Großteil des Internets auf. Die Etagen 4 und 5 zusammen halten gerade einmal 2,2% der Domains.
Die Pyramide ist keine Rangliste danach, wer sich kümmert. Sie ist eine Landkarte davon, wo die Standardeinstellungen enden und die Absicht beginnt.
Der Trichter, den die 3,87% erklommen haben
Verfolgt man die E-Mail-Hälfte des Stacks Schritt für Schritt, wiederholt sich dasselbe Muster — jede Stufe verliert mehr als die Hälfte der Domains, die die vorherige erreicht hatten:
- 53,21% der Domains veröffentlichen SPF — der Schritt, den alle Leitfäden abdecken.
- 24,89% veröffentlichen überhaupt irgendeinen DMARC-Eintrag.
- 10,59% setzen ihn durch (
quarantineoderreject). - 3,87% setzen ihn durch mit dem vollständigen Stack darunter — SPF und DKIM beide vorhanden, sodass die Durchsetzung auf vollständiger Authentifizierung steht.
Bei diesem letzten Einschnitt lohnt sich ein Innehalten. Von den rund 28 Millionen Domains, die DMARC durchsetzen, tragen nur 36,5% sowohl SPF als auch DKIM unter der Richtlinie. Ein Teil der Übrigen macht genau das Richtige — eine Domain, die keine Mail versendet, sollte auf p=reject mit einem bloßen -all-SPF stehen und braucht kein DKIM. Aber die Lücke enthält auch durchsetzende Domains, deren Authentifizierung unvollständig ist, also der Stack, der vom Dach abwärts gebaut wurde. Die 3,87% definieren sich durch die gegenteilige Gewohnheit: Fundament vor Dach, jede Schicht, dann die Richtlinie obendrauf.
SPF allein deckt 139 Millionen Domains ab und schützt fast keine davon — die deutlichste Veranschaulichung des Zensus dafür, was Beginnen ohne Fertigstellen einbringt.
Ein Stack, nicht fünf Projekte
Hier ist die Gewohnheit, die die 3,87% unterscheidet, und sie ist organisatorisch, nicht technisch.
Die meisten Domains sammeln Schutzmaßnahmen so an, wie es die Pyramide nahelegt: eine nach der anderen, jede ausgelöst durch einen anderen Anstoß — eine Browser-Warnung, ein Zustellbarkeitsproblem, eine Compliance-Checkliste — jede als ihr eigenes kleines Projekt mit ihrem eigenen „Fertig” behandelt. Fertig bedeutet in diesem Modus, dass der Eintrag existiert. So endet das Internet mit 201 Millionen Domains auf den Etagen 1–2: fünf grüne Häkchen verfügbar, eines oder zwei eingesammelt, Reise beendet.
Die vollständig Geschützten behandeln die fünf als ein System mit einer Definition von Fertig: der Angriff funktioniert nicht mehr. Gefälschte Mail wird abgewiesen, nicht nur beobachtet; Sitzungen können nicht herabgestuft werden, weil HSTS gepinnt ist; Antworten können nicht heimlich ausgetauscht werden, wo DNSSEC signiert ist. Im DMARC Adoption Maturity Model ist das die Denkweise von Stufe 6 — Schutz als eine Disziplin, die überwacht und gepflegt wird, nicht als ein Abzeichen, das einmal verdient wurde. Nichts daran erfordert Fachwissen, das den anderen 96% fehlt. Es erfordert das Fertigstellen — in der richtigen Reihenfolge, wobei geprüft wird, dass jede Schicht tatsächlich hält, und wobei „konfiguriert” als Zwischenstand statt als Ziel behandelt wird.
Der Gipfel darüber: alle fünf zusammen
Über den vollständig E-Mail-Geschützten sitzt eine viel kleinere Population: die 247.054 Domains — 0,09% —, die alle fünf Schutzmaßnahmen gleichzeitig halten, mit DMARC, DNSSEC und HSTS gemeinsam auf SPF und HTTPS aufgesetzt. Das Nadelöhr ist DNSSEC: auf nur 1,99% der Domains gültig, ist es das seltenste der fünf, sodass die oberste Etage der Pyramide zwangsläufig winzig ist. Wenn Etage 5 Ihren Ambitionen entspricht, kommt es weiterhin auf die Reihenfolge an — setzen Sie zuerst die E-Mail-Authentifizierung durch (sie stoppt die Angriffe, die tatsächlich täglich eintreffen), pinnen Sie dann den Transport mit HSTS und signieren Sie zuletzt die Zone.
Wie man den 3,87% beitritt
Jeder Schritt ist eine Konfigurationsänderung, und jeder ist kostenlos:
- Veröffentlichen Sie SPF, das Ihre echten Absender auflistet und mit
-allendet. (SPF beheben →) - Aktivieren Sie DKIM bei jedem Dienst, der in Ihrem Namen versendet — bei den meisten Anbietern ist es ein Umschalter. (DKIM beheben →)
- Veröffentlichen Sie DMARC mit Berichterstattung, beobachten Sie, dann setzen Sie durch — zuerst
p=noneplusrua=, identifizieren Sie jeden legitimen Absender, wechseln Sie dann zuquarantineundreject. Das ist die Mauer, die die meisten Domains nie erklimmen, und es ist Ermittlungsarbeit, kein Geld. (DMARC beheben →) - Dann die Web-Ebene: HSTS auf Ihrer HTTPS-Website und DNSSEC, falls Ihr DNS-Anbieter die Signierung für Sie verwaltet.
Eine Domain, die keine Mail versendet, kann die Beobachtungsphase vollständig überspringen: SPF -all und p=reject noch heute, eine DNS-Änderung, direkt an der Mauer vorbei.
Häufig gestellte Fragen
Wie sieht eine vollständig geschützte Domain aus? SPF und DKIM vorhanden und eine DMARC-Richtlinie von quarantine oder reject obendrauf — der komplette, durchgesetzte E-Mail-Authentifizierungs-Stack. 10.092.481 Domains (3,87%) erfüllen diese Messlatte. Die strengste Version fügt DNSSEC, HTTPS und HSTS hinzu: alle fünf zusammen sind die 0,09% der Pyramide.
Wie viele Domains haben DMARC, DNSSEC und HSTS gemeinsam ausgerollt? Der Zensus veröffentlicht die Fünf-Schutzmaßnahmen-Bewertung statt jeder paarweisen Kreuztabelle, sodass die ehrliche Antwort eine Schranke ist: mindestens die 247.054 Domains, die alle fünf halten, haben diese drei zusammen, und höchstens 2,2% der Domains (Etagen 4–5) könnten es. So oder so: deutlich unter einer von vierzig.
Ist der vollständige Stack teuer? Nein. SPF, DKIM, DMARC, HSTS und DNSSEC sind allesamt Konfiguration — DNS-Einträge und Server-Header, keine Lizenzen. Die eigentlichen Kosten sind Aufmerksamkeit und Reihenfolge: die Absender-Identifizierungsarbeit vor der DMARC-Durchsetzung ist der einzige Schritt, der anhaltenden Aufwand erfordert, und es ist derjenige, vor dem die meisten Domains ins Stocken geraten.
Welche Schutzmaßnahme sollte zuerst kommen? Durchgesetzte E-Mail-Authentifizierung, denn E-Mail-Impersonation ist der Angriff, dem gewöhnliche Unternehmen tatsächlich ausgesetzt sind. HTTPS haben Sie fast mit Sicherheit; HSTS ist ein einzeiliges Nachziehen; DNSSEC zuletzt, und nur über einen Anbieter, der die Signierung verwaltet. Etage für Etage zu erklimmen ist besser, als fünf Projekte auf einmal zu beginnen — genau das ist ja der Punkt.
Prüfen Sie, wie viele der fünf Sie halten
Die Kluft zwischen den 76,9% auf den Etagen 1–2 und den 3,87%, die es zu Ende gebracht haben, ist weder Talent noch Budget — es ist eine Reihenfolge, und jeder ihrer Schritte ist kostenlos. Sie können privat und kostenlos prüfen und sehen, welche der 34 Prüfungen Sie bestehen und wie Sie die beheben, die Sie nicht bestehen.
Prüfen Sie Ihre Domain → · Die 6 Stufen der DMARC-Reife → · Die DMARC-Säule → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.