Defaults.Exposed

Defaults.ExposedBehebungenGuides

Diese alte Domain von Ihrem Rebranding ist eine offene Tür — wie Sie Domains verriegeln, die keine E-Mail senden (2026)

Veröffentlicht 2026-07-08

Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains — wir veröffentlichen nie die Ergebnisse einer einzelnen Domain. Siehe wie wir bewerten.

Eine Domain, die nie E-Mail sendet, kann trotzdem genutzt werden, um E-Mail als Ihr Unternehmen zu senden — gefälschte Rechnungen, Lieferantenanfragen, Gehaltsänderungen — sofern ihr DNS nichts anderes sagt. Drei kostenlose Einträge verriegeln sie, etwa zehn Minuten pro Domain. 46,4% der Domains haben gar keinen SPF-Eintrag, laut dem Defaults.Exposed-Zensus über 261.086.232 Domains (Stand 2026-06-29).

Die Lösung ist kurz und kostenlos: Veröffentlichen Sie für jede Domain, die Sie besitzen, aber nie zum Senden nutzen, drei kleine DNS-Einträge (plus optional einen vierten), die den Mailsystemen der Welt sagen: „Niemand darf als diese Domain senden, weisen Sie alles ab, was es versucht, und sie empfängt auch keine Mail.“ Dieser Leitfaden gibt Ihnen die genauen Einträge, wie Sie die vergessenen Domains finden, und was Sie Ihrer IT-Person in die Hand geben.

Über welche Domains sprechen wir?

Fast jedes Unternehmen, das ein paar Jahre alt ist, hat sie:

Keine dieser Domains sendet E-Mail. Alle können es — für einen empfangenden Mailserver ist eine Domain ohne E-Mail-Einträge nicht „geschlossen“, sondern „unbeansprucht“. Jeder kann Ihren alten Namen in die From-Zeile einer betrügerischen E-Mail setzen, und dem Empfänger wurde kein Grund gegeben, sie abzulehnen.

Warum kann eine Domain, die nichts sendet, genutzt werden, um E-Mail als ich zu senden?

E-Mail wurde auf Vertrauen aufgebaut: Standardmäßig darf jeder Server überall behaupten, im Auftrag jeder Domain zu senden. Die Einträge, die dieses Vertrauen widerrufen, funktionieren nur, wenn sie jemand veröffentlicht — und auf einer geparkten Domain hat das nie jemand getan. Ihre aktive Domain hat davon bei der E-Mail-Einrichtung wahrscheinlich etwas bekommen; die Domain aus dem Rebranding bekam nichts.

Die Zahlen zeigen, wie normal das ist. Von den 261.086.232 im Defaults.Exposed-Zensus bewerteten Domains (Stand 2026-06-29) veröffentlichen 46,4% gar keinen SPF-Eintrag, und 89,41% haben keine durchgesetzte DMARC-Richtlinie — die Einstellung, die Empfängern sagt, Betrüger abzuweisen. Geparkte Domains liegen am äußersten Ende dieser Kurve: Niemand hat auf ihnen E-Mail eingerichtet, also hat auch nie jemand die Einträge veröffentlicht, die die Tür schließen.

Und der alte Name ist eine bessere Tarnung als eine zufällige Nachahmung: Eine Rechnung „von“ dem Namen, unter dem Ihre Kunden Sie ein Jahrzehnt lang kannten, weckt keinen Argwohn — das Szenario in die Rechnungsbetrugs-Geschichte, die Sie gehört haben — könnte das Ihrer Firma passieren?. Wenn Sie vermuten, dass es bereits passiert, beginnen Sie mit sendet jemand E-Mail und gibt vor, Sie zu sein?.

Welche Einträge verriegeln eine Domain, die keine E-Mail sendet?

Das vollständige Verriegelungs-Set: ein Zehn-Minuten-Job pro Domain, jeder Eintrag kostenlos, kein E-Mail-Dienst nötig — nur Zugang zu den DNS-Einstellungen der Domain.

EintragWo er hingehörtWertWas er der Welt sagt
SPFTXT-Eintrag an der Domain selbstv=spf1 -allNiemand, nirgendwo, ist autorisiert, E-Mail als diese Domain zu senden
DMARCTXT-Eintrag bei _dmarc.ihrealtedomain.comv=DMARC1; p=reject; rua=mailto:[email protected]Weisen Sie alles ab, was vorgibt, diese Domain zu sein — und senden Sie mir einen Bericht, damit ich die Versuche sehe
Null-MXMX-Eintrag an der Domain, Priorität 0, Wert .MX 0 . (RFC 7505)Diese Domain empfängt keine Mail — versuchen Sie nicht einmal, hierher zuzustellen
DKIM-Widerruf (optional)TXT-Eintrag bei *._domainkey.ihrealtedomain.comv=DKIM1; p=Jede E-Mail-Signatur, die vorgibt, von dieser Domain zu sein, ist widerrufen

Die ersten drei sind das Set; der vierte ist Gürtel und Hosenträger. Die DMARC-Berichtsadresse (rua) ist der Unterschied zwischen einer verschlossenen Tür und einer verschlossenen Tür mit Kamera: Versucht jemand, als Ihre alte Domain zu senden, erfahren Sie es durch die Berichte.

Wie verriegle ich eine geparkte Domain?

  1. Scannen Sie zuerst jede Domain kostenlos bei defaults.exposed — zwei Minuten pro Domain zeigen genau, welche Einträge fehlen, bevor irgendjemand DNS anfasst.
  2. Melden Sie sich beim DNS dieser Domain an — meist das Kontrollpanel des Registrars. Hat die Agentur sie registriert, ist dieser Schritt eine E-Mail an die Agentur.
  3. Fügen Sie den SPF-Eintrag hinzu: einen TXT-Eintrag an der Domain selbst mit dem Wert v=spf1 -all. Es darf genau einen Eintrag geben, der mit v=spf1 beginnt.
  4. Fügen Sie den DMARC-Eintrag hinzu: einen TXT-Eintrag bei _dmarc mit v=DMARC1; p=reject; rua=mailto:..., der die Berichte an eine Mailbox auf einer Domain richtet, die Sie tatsächlich nutzen. Fußnote für Ihre IT-Person: Berichte, die Domaingrenzen überschreiten, brauchen den externen Autorisierungseintrag (ihrealtedomain.com._report._dmarc.ihre-aktive-domain.com) auf der aktiven Domain, sonst kommen sie still nie an.
  5. Fügen Sie den Null-MX hinzu: einen MX-Eintrag mit Priorität 0 und Wert . — der Standardweg (RFC 7505), um zu erklären, dass die Domain keine Mail empfängt.
  6. Fügen Sie optional den DKIM-Widerruf hinzu: einen TXT-Eintrag bei *._domainkey mit v=DKIM1; p=.
  7. Erneut scannen zur Bestätigung. Der bewertete Bericht ist datierter Beweis, dass die Tür verschlossen ist — bewahren Sie ihn für die Versicherungsverlängerung auf.

Eine Warnung: Dieses Set ist für Domains, die wirklich nichts senden oder empfangen. Wenn die alte Domain still Mail an Sie weiterleitet, ist sie nicht geparkt — sie braucht stattdessen echte Einträge: siehe die Checkliste für neue Domains, wie man SPF repariert und wie man DMARC repariert.

Wie finde ich die Domains, deren Besitz ich vergessen habe?

Die meisten Inhaber können ihre Domains nicht aus dem Gedächtnis aufzählen — das ist das ganze Problem. Vier Stellen, an denen Sie nachsehen sollten: Ihr Registrar-Konto (exportieren Sie die vollständige Liste — meist sind es mehr, als Sie in Erinnerung haben); alte Rechnungen und Kartenabrechnungen nach Verlängerungsgebühren von vergessenen Registraren; die Marketingagentur und Ihr IT-Dienstleister, direkt gefragt — „welche Domains haben Sie je für uns registriert?“; und alte Kampagnenunterlagen. Scannen Sie dann jede einzelne bei defaults.exposed. Eine Domain, die Sie ablaufen lassen haben, ist ein anderes Thema — jeder kann sie neu registrieren, ein guter Grund, weiter die 15 € im Jahr für die zu zahlen, die Ihren alten Namen tragen.

Häufig gestellte Fragen

Die alte Domain leitet nur auf unsere Website weiter — heißt das nicht, dass sie erledigt ist? Nein. Die Weiterleitung behandelt Menschen, die die Domain besuchen; sie tut nichts gegen E-Mail, die als sie gesendet wird — der Standardzustand für 46,4% aller 261.086.232 Domains im Zensus (Stand 2026-06-29). Sie zu verriegeln bricht auch die Weiterleitung nicht: Diese Einträge betreffen nur E-Mail.

Stoppt das den Betrug wirklich? Es verhindert, dass genau Ihre alte Domain bei jedem Mailanbieter genutzt wird, der diese Einträge respektiert — einschließlich aller großen, die Ihre Kunden nutzen. Es stoppt keine ähnlich klingenden Domains, ein separates Problem, behandelt in spooft jemand Ihre Domain?. Verriegelt plus beobachtet ist die stärkste Position, in der eine geparkte Domain sein kann — während 89,41% aller 261.086.232 bewerteten Domains nicht einmal auf ihrer Hauptdomain eine Richtlinie durchgesetzt haben (Stand 2026-06-29).

Was kostet das, und wie lange dauert es? Nichts, und etwa zehn Minuten pro Domain — die Einträge sind kostenlos, und es gibt keinen Dienst, den man abonnieren muss. Ihre Domains zu finden dauert meist länger, als sie zu reparieren. Und es sind alle Domains, nicht nur die wichtigen: Der Betrug braucht nur die eine, die Sie auslassen.

Übergeben Sie die Liste an Ihre IT-Person

Fügen Sie jede gefundene Domain der Liste hinzu, die Sie Ihrer IT-Person senden — mit diesem Artikel, der die genauen Einträge enthält, die sie braucht. Lassen Sie sie danach den kostenlosen Scan erneut durchführen und Ihnen die bewerteten Berichte weiterleiten: datierter, klar formulierter Beweis, dass jeder Name, den Sie besitzen, verriegelt ist. Das ist der Papierstapel, den Sie neben das Formular zur Cyberversicherungs-Verlängerung legen wollen.

Prüfen Sie Ihre Domain → · Die Rechnungsbetrugs-Geschichte, die Sie gehört haben → · Wie man DMARC repariert → · Nur aggregierte Daten. Daten werden in der EU gespeichert und verarbeitet.