Defaults.Exposed

Defaults.Exposed › SPF

SPF: Verbreitung, Stärke und die Spoofing-Lücke

Daten mit Stand 2026-06-29 · Methodik v7 · nur aggregiert

138.9 Millionen Domains veröffentlichen einen SPF-Eintrag — aber veröffentlichen heißt nicht schützen. Auf unserer 100-Punkte-Skala für SPF-Stärke erreicht das Internet 29, eine durchschnittliche Reife von Stufe 2.39 von 6. Die meisten Einträge klettern bis "vielleicht" und bleiben dort stehen.

SPF weist eine Fälschung nur mit seinem strikten Abschluss (-all) ab — oder wenn eine durchsetzende DMARC-Richtlinie auf den Softfail reagiert. 55.8% der Einträge enden mit ~all (Softfail); nur 39.3% enden mit -all. Diese Lücke — veröffentlicht, aber nicht durchsetzend — ist die größte Population in der E-Mail-Sicherheit.

Das SPF Adoption Maturity Model (SPFAMM)

Sechs Stufen, jeweils ein Schritt, und eine einzige investigative Mauer bei Stufe 3 → 4. Während DAMM den DMARC-Weg misst, misst SPFAMM den SPF-Weg: von keiner Zulassungsliste über die zahnlose Mitte bis zu einem strikten Eintrag, auf den DMARC reagieren kann.

  1. Stage 1 — Keiner: kein SPF-Eintrag — 46% aller bewerteten Domains (121.1M).
  2. Stage 2 — Defekt/permissiv: mehrere Einträge, +all, neutral oder kein Abschluss (7.8M).
  3. Stage 3 — Softfail: endet mit ~all, aber nichts setzt es durch — der häufigste Ruheplatz (70.4M).
  4. Stage 4 — Strikt: endet mit -all, wird sauber geparst, unter dem 10-lookup limit (42.5M).
  5. Stage 5 — Ausgerichtet: strikt oder Softfail mit einer durchsetzenden DMARC-Richtlinie dahinter (19.3M).
  6. Stage 6 — Vollständig geschützt: die wenigen ausgerichteten und durchgesetzten (10.1M).

Die Mauer ist Stufe 3 → 4: jeder andere Schritt ist eine einzeilige DNS-Änderung; dieser bedeutet, jedes System aufzuzählen, das in deinem Namen sendet, ohne das 10-lookup limit zu sprengen. Deshalb ruht das Internet beim Softfail.

Die Daten lesen

Prüfe deine eigene Domain

Prüfe deine Domain — kostenlos, 30 Sekunden →

Siehe die Fix-Anleitung: So behebst du SPF → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.