Defaults.Exposed › SPF
SPF: Verbreitung, Stärke und die Spoofing-Lücke
Daten mit Stand 2026-06-29 · Methodik v7 · nur aggregiert
138.9 Millionen Domains veröffentlichen einen SPF-Eintrag — aber veröffentlichen heißt nicht schützen. Auf unserer 100-Punkte-Skala für SPF-Stärke erreicht das Internet 29, eine durchschnittliche Reife von Stufe 2.39 von 6. Die meisten Einträge klettern bis "vielleicht" und bleiben dort stehen.
SPF weist eine Fälschung nur mit seinem strikten Abschluss (-all) ab — oder wenn eine durchsetzende DMARC-Richtlinie auf den Softfail reagiert. 55.8% der Einträge enden mit ~all (Softfail); nur 39.3% enden mit -all. Diese Lücke — veröffentlicht, aber nicht durchsetzend — ist die größte Population in der E-Mail-Sicherheit.
Das SPF Adoption Maturity Model (SPFAMM)
Sechs Stufen, jeweils ein Schritt, und eine einzige investigative Mauer bei Stufe 3 → 4. Während DAMM den DMARC-Weg misst, misst SPFAMM den SPF-Weg: von keiner Zulassungsliste über die zahnlose Mitte bis zu einem strikten Eintrag, auf den DMARC reagieren kann.
- Stage 1 — Keiner: kein SPF-Eintrag — 46% aller bewerteten Domains (121.1M).
- Stage 2 — Defekt/permissiv: mehrere Einträge,
+all, neutral oder kein Abschluss (7.8M). - Stage 3 — Softfail: endet mit
~all, aber nichts setzt es durch — der häufigste Ruheplatz (70.4M). - Stage 4 — Strikt: endet mit
-all, wird sauber geparst, unter dem 10-lookup limit (42.5M). - Stage 5 — Ausgerichtet: strikt oder Softfail mit einer durchsetzenden DMARC-Richtlinie dahinter (19.3M).
- Stage 6 — Vollständig geschützt: die wenigen ausgerichteten und durchgesetzten (10.1M).
Die Mauer ist Stufe 3 → 4: jeder andere Schritt ist eine einzeilige DNS-Änderung; dieser bedeutet, jedes System aufzuzählen, das in deinem Namen sendet, ohne das 10-lookup limit zu sprengen. Deshalb ruht das Internet beim Softfail.
Die Daten lesen
- Das SPF Adoption Maturity Model (SPFAMM)
Die 6 Stufen von SPF und die investigative Mauer bei Stufe 3→4, an der der Großteil des Internets stehenbleibt. - ~all vs -all: wofür sich 139M Einträge entschieden haben
Softfail ist der häufigste Abschluss: 55.8% enden mit ~all ("wahrscheinlich gefälscht — trotzdem zustellen") gegenüber 39.3% mit striktem -all. - Der SPF-PermError-Report
797,263 Domains brechen still ihr eigenes SPF, indem sie das 10-lookup limit überschreiten — 100× mehr, als oberflächliche Zählungen zeigen. - Zwei SPF-Einträge = keiner
1,013,416 Domains veröffentlichen zwei oder mehr SPF-Einträge — die Regel macht sie alle ungültig. - Die ptr-Falle
Ein seit 2014 abgeratener Mechanismus, immer noch in 950,631 Einträgen. - Die +all-Karte
36,015 Domains veröffentlichen +all — eine offene Einladung, in ihrem Namen zu senden. - Welcher E-Mail-Anbieter bietet die stärksten SPF-Standardeinstellungen?
Eine Liga aus 15 Anbietern nach Raten für striktes SPF und Durchsetzung — dein Anbieter schreibt deinen Standard. - Der Email Spoofability Index
Wie viele Domains jeder fälschen kann — nach TLD und Land.
Prüfe deine eigene Domain
Prüfe deine Domain — kostenlos, 30 Sekunden →
Siehe die Fix-Anleitung: So behebst du SPF → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.