Defaults.Exposed

Defaults.ExposedBehebungenGuides

Ihre Versicherungsverlängerung fragt nach SPF, DKIM und DMARC — das sollten Sie antworten (2026)

Veröffentlicht 2026-07-08

Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains — wir veröffentlichen nie die Ergebnisse einer einzelnen Domain. Siehe wie wir bewerten.

Das Formular fragt, ob jemand geprüft hat, dass die E-Mail Ihrer Domain nicht gefälscht werden kann. Mit einem kostenlosen Scan haben Sie in zwei Minuten eine ehrliche, datierte Antwort — und Sie sind in bester Gesellschaft: Nur 7,4% der 261.086.232 im Defaults.Exposed-Zensus bewerteten Domains (Stand 2026-06-29) haben das vollständig ausgerichtete, durchgesetzte Setup, nach dem Versicherer wirklich fragen.

Im Folgenden: was die Frage bedeutet, wie Sie in zwei Minuten zu Ihrer Antwort kommen, was ein ehrliches „Ja“ für jede Variante der Frage voraussetzt, wie Sie den Bericht bei Ihrem Makler einsetzen — und wie eventuelle Lücken vor der Frist geschlossen werden.

Warum fragt meine Versicherungsverlängerung nach SPF, DKIM und DMARC?

Sie kennen den Moment. Irgendwo im Verlängerungspaket steht eine Zeile wie „Wurde Ihre Domain in den letzten 12 Monaten auf DMARC-, SPF- und DKIM-Hygiene geprüft?“ Sie wissen es nicht. Niemand in der Firma weiß es. Also bleibt die E-Mail markiert im Posteingang liegen, still gemieden, während die Frist näher rückt.

Was der Versicherer eigentlich wissen will: Kann ein Krimineller E-Mails versenden, die exakt so aussehen, als kämen sie von Ihrer Firma? Die teuersten Cyber-Schadensfälle kleiner Unternehmen sind Rechnungsbetrug — ein Betrüger schreibt Ihrem Kunden, in Ihrem Namen, mit „aktualisierten“ Bankdaten, und eine fünfstellige Euro-Zahlung geht in die falsche Richtung. Dieses Impersonationsrisiko ist von außen messbar, also preisen Underwriter es ein.

Die Abkürzungen, einmal und in klaren Worten: SPF (Sender Policy Framework — eine öffentliche Liste der Server, die E-Mail für Ihre Domain versenden dürfen), DKIM (DomainKeys Identified Mail — eine manipulationssichtbare Signatur auf jeder Nachricht) und DMARC (Domain-based Message Authentication, Reporting and Conformance — die veröffentlichte Regel, die den Posteingängen der Welt sagt, was mit Mail geschehen soll, die an den beiden anderen scheitert).

Und warum die Frage überhaupt auf dem Formular steht: Von den 261.086.232 im Defaults.Exposed-Zensus bewerteten Domains (Stand 2026-06-29) haben 89,41% keine durchgesetzte DMARC-Richtlinie — sie könnten also imitiert werden. Versicherer fragen, weil die meisten Antragsteller statistisch gesehen offen sind. Falls Ihnen das eher von einem Netzwerkabend als von einem Formular bekannt vorkommt, beginnen Sie mit dieser Rechnungsbetrug-Geschichte, die Sie gehört haben — könnte das Ihrer Firma passieren?

E-Mail ist natürlich nur ein Abschnitt des Fragebogens. Die vollständige Liste der Kontrollen, die Versicherer und Unternehmenskunden an einer Domain prüfen — mit der internetweiten Bestehensquote für jede —, finden Sie in was Cyberversicherungs- und Lieferantenfragebögen an Ihrer Domain prüfen. Diese Seite bleibt bei dem Formular in Ihrem Posteingang: was Sie antworten, wahrheitsgemäß, vor der Frist.

Wie finde ich meine Antwort in zwei Minuten heraus?

Sie müssen keinen einzigen DNS-Eintrag verstehen. Sie brauchen einen datierten, benoteten Bericht.

  1. Führen Sie den kostenlosen Scan bei defaults.exposed durch. Tippen Sie Ihre Domain ein — den Teil hinter dem @ in Ihrer E-Mail-Adresse. Er liest die öffentlichen Einstellungen Ihrer Domain von außen, so wie es der Scan-Partner eines Versicherers täte.
  2. Lesen Sie die Note. Der Bericht sagt in klarer Sprache, ob SPF, DKIM und DMARC für Ihre Domain existieren, ob sie zusammenpassen und ob die Richtlinie irgendetwas durchsetzt.
  3. Speichern Sie den Bericht. Er ist datiert. Mit dem heutigen Tag ist Ihre Domain gescannt worden — egal wie die Note ausfällt, dieser Teil der Frage ist wahrheitsgemäß beantwortbar.

Der Scan ist kostenlos, dauert etwa zwei Minuten, und die Daten werden in der EU gespeichert und verarbeitet — relevant, wenn Ihre Compliance-Antworten angeben müssen, wo Bewertungen stattfinden.

Wie sieht ein ehrliches „Ja“ für die einzelnen Varianten der Frage aus?

Die ehrliche Antwort hängt von der Formulierung ab:

Das Formular fragt …Ein wahrheitsgemäßes „Ja“ erfordertWohin der Scan Sie bringt
„Wurde Ihre Domain in den letzten 12 Monaten auf DMARC-, SPF- und DKIM-Hygiene geprüft?“Einen datierten Scan — einer heute zählt; der Bericht ist Ihr NachweisJa, sofort
„Haben Sie SPF, DKIM und DMARC im Einsatz?“Alle drei für Ihre Domain veröffentlichtJa, wenn die Note alle drei zeigt
„Setzen Sie DMARC durch?“Eine Richtlinie, die Posteingänge zum Handeln anweist — das stärkere JaNur wenn der Bericht „durchgesetzt“ sagt; 7,4% der bewerteten Domains sind dort
„Welche Maßnahmen haben Sie gegen E-Mail-Imitation?“Durchgesetztes DMARC, oder eine ehrliche Beschreibung der Lage plus BehebungsplanBeides ist legitim, wenn es zutrifft

Zwei Dinge zum Festhalten. Erstens: Eine schlechte Note mit einem Behebungsplan ist eine legitime, versicherbare Antwort. „Wir haben gescannt, der Bericht hat Lücken aufgezeigt, sie werden behoben“ liest sich als eine Firma, die prüft — genau das, wonach die Frage siebt. Zweitens: Schönen Sie die Antwort niemals auf. Eine Falschangabe im Antragsformular kann die Police unwirksam machen — der Schadensfall wird abgelehnt, wenn Sie ihn am dringendsten brauchen.

Was sollte ich mit der Verlängerung zurückschicken?

Legen Sie den Scan-Bericht bei, oder tragen Sie sein Datum und die Note in das Antwortfeld ein. Stellen Sie Ihrem Makler dann eine Frage: „Wirkt sich eine geprüfte, durchgesetzte E-Mail-Authentifizierung auf Prämie oder Konditionen aus?“ Manche Versicherer berücksichtigen eine nachgewiesene Sicherheitslage bei der Preisgestaltung; ob Ihrer dazugehört, ist Makler-Terrain, und die Frage kostet nichts.

Bewahren Sie den Bericht auf — derselbe Nachweis beantwortet auch den Sicherheitsfragebogen eines Kunden zur E-Mail-Authentifizierung, also dieselbe Frage, nur vom Kunden statt vom Versicherer.

Ist das auch eine Sache der EU-Regulierung?

Teilweise ja — deshalb taucht die Frage immer wieder auf europäischen Verlängerungsformularen auf. NIS2, die Sicherheitsrichtlinie der EU, erwartet von erfassten Organisationen das Management der Lieferkettensicherheit (Artikel 21 Absatz 2 Buchstabe d) und gesicherte Kommunikation (Artikel 21 Absatz 2 Buchstabe j), und die Durchführungsverordnung (EU) 2024/2690 nennt E-Mail-Sicherheit unter den konkreten Maßnahmen. Europäische Versicherer spiegeln diese Erwartungen zunehmend in ihren Fragebögen. Verlangt NIS2 DMARC? behandelt, ob sie direkt für Ihre Firma gilt — aber die Reiserichtung ist eindeutig.

Lassen sich die Lücken vor meiner Verlängerungsfrist schließen?

Mit ziemlicher Sicherheit. Das sind Einstellungen, keine Anschaffungen — ein kompetenter IT-Kontakt kann alle drei Einträge in der Regel an einem Nachmittag veröffentlichen oder korrigieren, anhand des Berichts Ihrer Domain und der Schritte unter DMARC reparieren. Der eine Teil, der länger dauert, ist der Weg zur vollen DMARC-Durchsetzung, ohne legitime E-Mail zu stören — ein gestuftes Projekt über einige Wochen, behandelt in von p=none zu p=reject, ohne legitime E-Mail zu verlieren. Für die diesjährige Verlängerung ist ein datierter Scan plus laufende Behebung noch diese Woche zu haben.

Häufig gestellte Fragen

Was, wenn meine Note schlecht ist — soll ich trotzdem antworten? Ja, ehrlich. Sie wären in der Mehrheit: 89,41% der 261.086.232 im Zensus bewerteten Domains (Stand 2026-06-29) haben keine durchgesetzte DMARC-Richtlinie. „Gescannt, Lücken gefunden, Behebung läuft“ ist eine versicherbare Antwort; eine geschönte Unwahrheit ist das, was Policen unwirksam macht.

Zählt ein Scan von heute für „die letzten 12 Monate“? Ja. Die Frage lautet, ob in den 12 Monaten vor Ihrer Antwort ein Scan stattgefunden hat — einer, der heute läuft, liegt in diesem Fenster. Antworten Sie mit dem Datum des Berichts, und scannen Sie vor der Verlängerung im nächsten Jahr erneut.

Senkt das meine Prämie? Manchmal, und ohne Versprechen. Manche Versicherer lassen eine nachgewiesene Sicherheitslage in Preis oder Konditionen einfließen; andere behandeln diese Fragen als Zulassungskriterium, nicht als Rabatt. Fragen Sie Ihren Makler, Bericht im Anhang — das macht aus einem Vielleicht eine Zahl, in Euro.

Leiten Sie den Bericht weiter — die Antwort schreibt sich von selbst

Sie müssen nicht die DNS-Person werden. Führen Sie den kostenlosen Scan durch und leiten Sie dann den Bericht und diesen Artikel an Ihren IT-Kontakt weiter. Der Bericht sagt ihm genau, was fehlt; diese Seite sagt ihm, warum es auf Ihrem Verlängerungsformular steht. Wenn der reparierte Neu-Scan zurückkommt, schreibt sich die Verlängerungsantwort von selbst: gescannt, datiert, benotet, behoben. Eine markierte E-Mail in Ihrem Posteingang, erledigt.

Prüfen Sie Ihre Domain → · Was Fragebögen an Ihrer Domain prüfen → · DMARC reparieren → · Nur aggregierte Daten. Daten werden in der EU gespeichert und verarbeitet.