Defaults.Exposed

Defaults.Exposed › Berichte

Das SPF Adoption Maturity Model (SPFAMM): Die 6 Stufen von SPF (2026)

Veröffentlicht 2026-07-03

Zahlen mit Stand 2026-06-29 · Methodik v7. Ein Referenzmodell, gestützt auf einen wiederkehrenden Zensus von 261 Millionen benoteten Domains; jede Ausgabe misst dieselbe Grundgesamtheit erneut, sodass sich die Zahlen über die Zeit verfolgen lassen. Alle Zahlen sind Aggregate — wir veröffentlichen niemals den Eintrag eines einzelnen Unternehmens.

Auf welcher Stufe steht das Internet?

Stufe 2,4 von 6. Gemessen über 261 Millionen Domains hat die durchschnittliche Domain noch keinen funktionierenden SPF-Zaun erreicht — und das Internet als Ganzes erreicht bei der SPF-Stärke 29 von 100 Punkten. SPF zu veröffentlichen ist der häufigste Akt der E-Mail-Sicherheit überhaupt (53,21% der Domains tun es), doch die meisten dieser Einträge bleiben bei einer Einstellung stehen, die Empfänger bittet, Fälschungen trotzdem zuzustellen.

Das Problem ist nicht die Verbreitung — es ist, dass die meisten Reifegrad-Ratschläge bei „wir haben SPF veröffentlicht” aufhören, als wäre der Eintrag selbst schon die Leistung. Ein SPF-Eintrag kann das gesamte Internet autorisieren, keine Meinung äußern, sich stillschweigend selbst außer Kraft setzen oder für immer auf Softfail verharren, weil das Nachschärfen Arbeit bedeutet, die niemand eingeplant hat. Ein nützliches Modell benennt jeden dieser Zustände. Dieses tut es: das SPF Adoption Maturity Model — SPFAMM, sechs Stufen, je ein Schritt und ein Name, den Sie zitieren können. Es ist das SPF-Gegenstück zu den sechs Stufen der DMARC-Reife.

Was sind die sechs Stufen der SPF-Reife?

Jede der 261 Millionen benoteten Domains befindet sich auf genau einer der Stufen 1–5, und diese fünf Grundgesamtheiten summieren sich exakt zur Zensus-Gesamtzahl; Stufe 6 ist die gehärtete Teilmenge, die innerhalb von Stufe 5 gezählt wird. Genau das macht SPFAMM zu einer Messung statt zu einem Poster.

StufeNameDomainsAnteil
1Ungeschützt121.145.60946,4%
2Permissiv oder defekt7.798.3663,0%
3Weich eingezäunt70.368.60027,0%
4Strikt42.514.53216,3%
5Ausgerichtet19.259.1257,4%
6Gehärtet10.092.4813,87%

(Stufe 6 ist die gehärtete Teilmenge der ausgerichteten Domains aus Stufe 5, sodass die Stufen 1–5 den Zensus partitionieren und Stufe 6 innerhalb von Stufe 5 liegt.)

Stufe 1 — Ungeschützt. Kein v=spf1-Eintrag. Kein Empfänger prüft irgendetwas; die Domain auf der SPF-Ebene zu fälschen ist leicht. Der Schritt: Veröffentlichen Sie einen v=spf1-Eintrag, der Ihre echten Absender auflistet und mit einem Fail-Qualifier endet.

Stufe 2 — Permissiv oder defekt. Ein Eintrag existiert, schützt aber nichts. Diese Stufe sammelt die zahnlosen Endungen — ?all neutral (3,0% der Publisher) und die +all-Willkommensmatte — zusammen mit den defekten Einträgen: mehreren v=spf1-Einträgen, die der Standard vollständig ungültig macht, sowie fragmentarischen Einträgen ohne verwertbare Endung. Eine Ausnahme: Etwa 2,1 Millionen Einträge enden mit redirect=, was eine gültige Delegation ist — ihre eigentliche Richtlinie liegt am Ziel, und wir zählen sie hier nur, weil ihr eigener Eintrag kein Urteil trägt. Der Schritt: Ein Eintrag, eine echte Endung — ~all oder -all.

Stufe 3 — Weich eingezäunt. Der Eintrag endet mit ~all (Softfail), ohne dass dahinter etwas durchgesetzt wird — 70,4 Millionen Domains, die größte Grundgesamtheit aller Stufen mit veröffentlichtem SPF. Softfail ist ein echter Zaun mit einem unverschlossenen Tor: Er sagt Empfängern „Post von anderswo ist wahrscheinlich gefälscht” und bittet sie, sie trotzdem zuzustellen. Der Schritt: Erklimmen Sie die Mauer — erfassen Sie jeden Absender und nehmen Sie dann einen der beiden Wege nach oben (siehe unten).

Stufe 4 — Strikt. Der Eintrag endet mit -all: 42,5 Millionen Domains, die ein glattes „alle anderen abweisen” veröffentlichen, aber noch ohne DMARC-Durchsetzung dahinter. Eine ehrliche Einschränkung, die unsere eigene Messung nun beziffert: Ein -all-Eintrag, der das Limit von 10 Lookups überschreitet, ist ungültig, egal wie strikt er aussieht — mindestens 112.215 der -all-Einträge des Internets befinden sich in diesem Zustand. Der Schritt: Stellen Sie eine durchsetzende DMARC-Richtlinie hinter den Eintrag, sodass Fehlschläge überall geahndet werden.

Stufe 5 — Ausgerichtet. SPF — weich oder strikt — steht hinter DMARC p=quarantine oder p=reject. Das ist die Stufe, auf der das Spoofing Ihrer exakten Domain bei jedem großen Mailbox-Anbieter tatsächlich gestoppt wird: 19,3 Millionen Domains, von denen 7,1 Millionen ~all mit Durchsetzung kombinieren (das von Googles Absenderrichtlinien empfohlene Muster) und 12,1 Millionen -all damit kombinieren. Der Schritt: Fügen Sie DKIM hinzu und behalten Sie es im Blick — Einträge verrotten.

Stufe 6 — Gehärtet. SPF plus DKIM plus durchsetzendes DMARC — das vollständig geschützte Set, 10.092.481 Domains, 3,87% des Internets — plus die Disziplin, auf Abweichungen zu achten: include:-Ketten ändern sich, Anbieter wechseln IPs, jemand bindet ein neues Tool an, das in Ihrem Namen sendet. Der Schritt: Bleiben Sie hier. Es ist eine Praxis, kein Abzeichen.

Die Kein-Versand-Spur. Eine Domain, die keine Post sendet, kann mit einer einzigen Änderung ganz nach oben springen: SPF -all plus DMARC p=reject. Wenn es nichts Legitimes zu schützen gibt, gibt es keine Mauer zu erklimmen — und es schließt einen der häufigsten Impersonation-Vektoren überhaupt.

Warum stockt das Internet gerade auf Stufe 3?

Weil fast jeder andere Schritt eine kleine DNS-Änderung ist, der Schritt aus Stufe 3 heraus aber Arbeit ist: jedes System aufzuzählen, das legitim in Ihrem Namen sendet — Mailbox-Anbieter, Newsletter-Plattform, CRM, Rechnungstool, das Ding, für das das Marketing sich letztes Frühjahr angemeldet hat — und sie alle in einen Eintrag zu fassen, ohne das Budget von 10 Lookups zu sprengen. Das ist die Mauer. ~all ist die letzte Sprosse, die man ohne diese Arbeit erreicht, weshalb 70,4 Millionen Domains dort verharren.

Von der Mauerkrone aus gibt es zwei Wege nach oben, und beide münden in Stufe 5:

Der Zensus zeigt, wie selten einer der beiden Wege zu Ende gegangen wird: Von den 77,5 Millionen Softfail-Einträgen haben nur 7,1 Millionen — etwa 1 von 11 — eine Durchsetzung dahinter.

Wie wird der SPF-Stärke-Score berechnet?

Einfach, und wir halten die Gewichtungen konstant, damit der Score von Monat zu Monat vergleichbar ist: volle Punktzahl für Domains, bei denen etwas durchsetzt (Stufen 5–6), halbe Punktzahl für einen echten Zaun, auf den niemand reagiert (Stufen 3–4), nichts für fehlende, permissive oder defekte Einträge. Auf dieser Skala erreicht das Internet mit Stand 2026-06-29 29/100. Nahezu die Hälfte der Grundgesamtheit trägt null bei, weil sie überhaupt nichts veröffentlicht.

Wie finde ich die Stufe meiner Domain?

Die Stufen 1–4 lassen sich direkt aus Ihrem DNS-Eintrag ablesen; Stufe 5 fügt Ihre DMARC-Richtlinie hinzu; Stufe 6 fügt DKIM hinzu. Das Einzige, was ein Blick nicht verrät, ist, ob ein strikter Eintrag heimlich über dem Lookup-Limit liegt — das erfordert die Auflösung der Kette, was unser Checker für Sie erledigt.

Häufig gestellte Fragen

Was ist SPFAMM? Das SPF Adoption Maturity Model — das sechsstufige Modell auf dieser Seite: Ungeschützt, Permissiv/defekt, Weich eingezäunt, Strikt, Ausgerichtet, Gehärtet. Die Stufe jeder Domain ist aus ihrem DNS berechenbar: Die Stufen 1–5 partitionieren den Zensus von 261 Millionen Domains exakt, und Stufe 6 ist die gehärtete Teilmenge innerhalb von Stufe 5.

Auf welcher Stufe stehen die meisten Domains? Stufe 1 — 46,4% der Domains veröffentlichen überhaupt kein SPF. Unter den Domains, die veröffentlichen, ist Stufe 3 (Softfail ohne Durchsetzung) der häufigste Ruheplatz, mit 70,4 Millionen Domains. Der grundgesamtheitsgewichtete Durchschnitt liegt bei Stufe 2,4.

Ist ~all Softfail gut genug? Nur mit einer durchsetzenden DMARC-Richtlinie dahinter — diese Kombination ist Stufe 5 und das von Googles Absenderrichtlinien empfohlene Muster. Für sich allein ist es Stufe 3: echter Zaun, unverschlossenes Tor. Der vollständige Vergleich steht in ~all vs -all.

Muss ich -all erreichen, um sicher zu sein? Nein. Stufe 4 ist einer von zwei Wegen, keine Voraussetzung — ~all beizubehalten und mit DMARC p=reject durchzusetzen führt bei DMARC-auswertenden Empfängern zum gleichen Schutz. Erforderlich ist die Mauer: jeden Absender zu kennen, bevor irgendetwas durchsetzt.

Wie viele Domains durchlaufen alle sechs Stufen? 10.092.481 — 3,87% des Internets — vereinen SPF, DKIM und eine durchsetzende DMARC-Richtlinie. Jeder Stufenübergang ist kostenlos; die Details stehen in den geschützten Wenigen.

Prüfen Sie, wo Ihre Domain steht

Ihre Domain befindet sich auf genau einer dieser sechs Stufen, und der nächste Schritt ist in 30 Sekunden erkennbar — kostenlos, und jede Korrektur entlang der Leiter ist eine DNS-Änderung, kein Kauf.

Prüfen Sie Ihre Domain → · SPF korrigieren → · ~all vs -all · Der SPF-PermError-Report → · Die 6 Stufen der DMARC-Reife → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.