Defaults.Exposed › Berichte
Welcher E-Mail-Anbieter bietet seinen Kunden die stärksten SPF-Voreinstellungen? (2026)
Veröffentlicht 2026-07-03
Zahlen Stand 2026-06-29 · Methodik v7. Aggregierter Zensus über 261 Millionen bewertete Domains. Wir zählen die genauen
include:/redirect=-Ziele in veröffentlichten SPF-Einträgen — öffentliches DNS, pro Anbieter aggregiert; niemals der Eintrag eines einzelnen Unternehmens. Siehe wie wir bewerten.
Jeder SPF-Eintrag benennt die Dienste, die für eine Domain senden dürfen — daher sind 139 Millionen SPF-Einträge zugleich ein Zensus der Anbieter-Voreinstellungen, und die Voreinstellungen unterscheiden sich enorm: 85,0% der Domains, die Microsoft 365 einbinden, beenden ihr SPF mit striktem -all, gegenüber 8,0% der Domains, die Google Workspace einbinden. Der zweite Befund ist wichtiger: Am Maßstab, der Spoofing tatsächlich stoppt — eine erzwingende DMARC-Richtlinie hinter dem Eintrag — kommt bei keinem großen Mailbox-Anbieter die Kundenbasis über 30% abgeschlossen hinaus.
Die Rangliste: strikte Endungen und abgeschlossener Schutz, nach Anbieter
Domains, deren SPF den jeweiligen Anbieter einbindet; der Anteil, der strikt (-all) endet; und der Anteil mit erzwingendem DMARC — die Kombination, die Fälschungen stoppt:
| Anbieter (Include-Ziel) | Autorisierende Domains | % strikt -all | % mit erzwingendem DMARC |
|---|---|---|---|
Google Workspace (_spf.google.com) | 12.145.313 | 8,0% | 18,5% |
Microsoft 365 (spf.protection.outlook.com) | 10.205.070 | 85,0% | 21,7% |
Namecheap forwarding (spf.efwd.registrar-servers.com) | 7.355.985 | <0.1% | 0,2% |
GoDaddy (secureserver.net) | 7.061.426 | 86,0% | 29,3% |
Hostinger (_spf.mail.hostinger.com) | 4.476.640 | 0,2% | 1,0% |
IONOS EU (_spf-eu.ionos.com) | 4.346.526 | 0,3% | 1,0% |
HostGator (websitewelcome.com) | 3.102.616 | 0,6% | 1,6% |
OVH (mx.ovh.com) | 2.132.049 | 43,7% | 2,2% |
Cloudflare Email Routing (_spf.mx.cloudflare.net) | 2.007.483 | 2,9% | 10,0% |
MailChannels (relay.mailchannels.net) | 1.870.177 | 28,4% | 10,0% |
Mailgun (mailgun.org) | 1.306.692 | 7,2% | 35,9% |
SendGrid (sendgrid.net) | 740.321 | 19,0% | 18,0% |
Zoho Mail (zohomail.com) | 662.546 | 7,3% | 9,9% |
Amazon SES (amazonses.com) | 551.446 | 28,3% | 41,9% |
Stackmail / 20i (spf.stackmail.com) | 519.246 | 98,2% | 3,3% |
So liest man diese Tabelle — ehrlich
Vier Dinge, die diese Daten sind und nicht sind:
- Zeilen sind Include-Populationen, keine Kunden. Eine Domain, die sowohl Google als auch Mailgun einbindet, erscheint in beiden Zeilen.
- Die Strikt-Spalte fotografiert die Einrichtungsvorlage jedes Anbieters plus seinen Kundenmix. Das Onboarding von Microsoft gibt
-allaus; die Dokumentation von Google empfiehlt~all; Hosting-Panels stellen automatisch Einträge auf Domains bereit, die möglicherweise gar keine E-Mails versenden — was einen strikten Anteil aufblähen kann, ohne dass ein Mensch irgendetwas entschieden hätte. - Ein niedriger strikter Anteil ist nicht automatisch falsch. Namecheaps Zeile ist ein E-Mail-Weiterleitungs-Produkt — und Weiterleitung ist genau der Fall, in dem
-allfehlzündet, sodass eine weiche Vorlage dort wohl die korrekte Konfiguration ist. Das Risiko in dieser Zeile ist die andere Spalte: 0,2% erzwungen. - Die Durchsetzungsspalte ist die eigentliche Rangfolge. Strikt-gegen-weich ist eine Stilfrage, sobald DMARC erzwingt; ohne Durchsetzung stoppt keine der beiden Endungen bei den meisten Empfängern eine Fälschung.
Drei Geschichten in den Spalten
- Voreinstellungen sind Schicksal. Kunden behalten überwältigend das, was der Assistent ihnen gegeben hat — 92% der Google-einbindenden Domains behalten eine nicht-strikte Endung, überwiegend das
~all, das Googles Anleitung empfiehlt; 98,2% der Stackmail-Domains behalten das-all, das sein Panel schreibt. Fast niemand entscheidet einen Qualifier später neu. Das ist die grundlegende Beobachtung dieses gesamten Zensus, 139 Millionen Mal geschrieben. - Die Ziellinie wird von Nutzern überquert, nicht von Vorlagen. Die Durchsetzungs-Spitzenreiter sind die entwicklerzentrierten Versender — Amazon SES (41,9%) und Mailgun (35,9%) — deren Kunden zu Teams tendieren, die die Arbeit abschließen. Die Basen der großen Mailbox-Anbieter liegen zwischen 18,5% und 29,3% erzwungen, unabhängig davon, wie strikt ihre SPF-Vorlage war.
- Die exponierte Masse ist die Hosting-und-Weiterleitungs-Schicht. Namecheap-Weiterleitung, Hostinger, IONOS und HostGator decken zusammen mehr als 19 Millionen Domains mit 2% erzwungen oder weniger ab — Namen kleiner Unternehmen, die betreiben, was das Panel installiert hat, weich eingezäunt und nicht durchgesetzt.
Was Sie mit Ihrer eigenen Domain tun sollten
- Sehen Sie nach, welche Anbieter Ihr SPF tatsächlich einbindet —
dig TXT ihredomain.com, oder kostenlos prüfen. - Ahmen Sie keine strikte Endung blind nach: erfassen Sie Ihre Versender, dann verschärfen Sie entweder auf
-alloder behalten Sie~allund setzen Sie DMARCp=rejectdahinter. - Was auch immer Ihr Anbieter Ihnen ausgehändigt hat, ist eine Vorlage, die Sie geerbt haben — und die eine kostenlose DNS-Änderung zu ändern ist.
Häufig gestellte Fragen
Welcher E-Mail-Anbieter hat die sicherste SPF-Voreinstellung?
Nach strikter Vorlage: Stackmail / 20i (98,2% der Domains enden mit -all), GoDaddy (86,0%) und Microsoft 365 (85,0%). Nach abgeschlossenem Schutz — erzwingendes DMARC hinter SPF — führen die Kunden von Amazon SES mit 41,9%. Die beiden Maßstäbe belohnen jeweils eine strikte Vorlage bzw. eine abschließende Kundenbasis.
Bedeutet die Nutzung von Google Workspace, dass mein SPF schwach ist?
Nicht von Natur aus. Googles empfohlenes ~all ist eine solide Praxis in Kombination mit einer erzwingenden DMARC-Richtlinie — aber nur 18,5% der Google-einbindenden Domains haben diese Kombination Stand 2026-06-29. Die Schwäche ist nicht der Softfail; es ist, dort aufzuhören.
Bewerten diese Zahlen die eigene Sicherheit der Anbieter? Nein. Sie messen die veröffentlichte SPF-Haltung von Kunden-Domains, die jeden Anbieter einbinden — aggregiertes öffentliches DNS, geformt durch Einrichtungsvorlagen, Dokumentation und Kundenmix. Keine einzelne Domain wird öffentlich identifiziert oder bewertet.
Warum entscheidet die Vorlage meines Anbieters über meine Sicherheit? Weil sie einmal, am ersten Tag, kopiert wird und unser Zensus zeigt, dass sie fast nie neu entschieden wird. Voreinstellungen bleiben bestehen — was genau der Grund ist, warum es 30 Sekunden wert ist, Ihre zu prüfen.
Prüfen Sie, was Ihre Domain geerbt hat
Was auch immer der Einrichtungsassistent geschrieben hat, sitzt immer noch in Ihrem DNS. Es zu lesen — und abzuschließen — ist kostenlos.
Prüfen Sie Ihre Domain → · SPF beheben → · ~all vs -all → · SPF ohne DMARC → · Marktanteil E-Mail-Hosting → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.