DMARCPulse
Kostenlos testen
Alle Beiträge

DACH E-Mail-Sicherheitsreport 2026: 503 Domains analysiert

DMARCPulse Team
E-Mail-SicherheitDMARCSPFMTA-STSDNSSECReport

Warum dieser Report

Die meisten E-Mail-Sicherheitsreports konzentrieren sich auf die USA, Großbritannien oder globale Durchschnittswerte. Die DACH-Region — Deutschland, Österreich und die Schweiz — ist unterrepräsentiert, obwohl sie einige der größten Unternehmen Europas, sensibelste Behördeninfrastruktur und führende Forschungseinrichtungen beheimatet.

Wir wollten wissen: Wie gut schützen DACH-Organisationen ihre Domains tatsächlich gegen E-Mail-Spoofing und Abfangen?

Dafür haben wir 503 Domains aus 16 Branchen und 3 Ländern per öffentlicher DNS-Abfrage analysiert. Geprüft wurden vier Protokolle: SPF, DMARC, MTA-STS und DNSSEC.

Zentrale Ergebnisse

Die gute Nachricht

  • 97,0 % der Domains haben einen SPF-Record
  • 87,3 % haben einen DMARC-Record
  • Die Schweiz führt mit 73,7 % DMARC-Enforcement

Die schlechte Nachricht

  • Nur 56,3 % erzwingen ihre DMARC-Policy tatsächlich (p=quarantine oder p=reject)
  • 31,0 % aller Domains stehen auf p=none — sie beobachten, schützen aber nicht
  • MTA-STS-Adoption liegt bei nur 8,2 % — 91,8 % der Domains sind anfällig für TLS-Downgrade-Angriffe
  • DNSSEC erreicht nur 15,7 %

Ländervergleich

MetrikDeutschland (327)Österreich (77)Schweiz (99)
SPF96,9 %94,8 %99,0 %
DMARC86,2 %84,4 %92,9 %
Enforcement53,5 %45,5 %73,7 %
p=reject36,1 %27,3 %43,4 %
MTA-STS9,8 %5,2 %5,1 %
DNSSEC14,7 %14,3 %20,2 %

Die Schweiz übertrifft die Region in fast jeder Metrik. Österreich liegt mit 45,5 % Enforcement am weitesten zurück. Deutschland führt bei MTA-STS mit 9,8 %, vermutlich getrieben durch den höheren Anteil globaler Unternehmen mit ausgereiften Sicherheitsprogrammen.

Die Enforcement-Lücke nach Branche

Der auffälligste Befund ist, wie stark die Lücke zwischen DMARC-Adoption und Enforcement je nach Branche variiert.

Stärkste Enforcement-Raten:

  • Konsumgüter: 87,0 %
  • Einzelhandel: 74,1 %
  • Chemie: 73,3 %
  • Industrie: 71,7 %

Schwächste Enforcement-Raten:

  • Bildung: 26,2 % (bei 87,7 % Adoption)
  • Telekommunikation: 38,5 %
  • Behörden: 42,9 % (bei 77,1 % Adoption)
  • Medien: 44,7 %

Der Bildungssektor sticht heraus: Fast 9 von 10 Uni-Domains haben DMARC, aber nur jede vierte erzwingt es. Die überwiegende Mehrheit der Universitäten sieht Spoofing zu, ohne es zu blockieren.

Behörden-Domains zeigen ein ähnliches Bild. Große deutsche Städte wie Berlin, München, Frankfurt, Düsseldorf und Dresden stehen alle auf p=none. Mehrere Bundesländer haben keinerlei DMARC-Enforcement.

MTA-STS: Fast niemand nutzt es

MTA-STS (Mail Transfer Agent Strict Transport Security) erzwingt TLS-Verschlüsselung für eingehende E-Mails. Ohne MTA-STS kann ein Angreifer SMTP-Verbindungen abfangen und die Verschlüsselung entfernen.

Nur 41 von 503 Domains (8,2 %) haben MTA-STS aktiviert. Der Mediensektor hat 0 % Adoption. Nennenswerte Nutzer sind Allianz, BASF, Bosch, Commerzbank, Deutsche Bahn, E.ON, Roche und SBB.

Wer fehlt?

Mehrere hochrangige Organisationen haben überhaupt keinen DMARC-Record, darunter die Charité, ETH Zürich, Max-Planck-Gesellschaft, DZ Bank, BayernLB, Fraport, DPD sowie mehrere deutsche Städte und Bundesländer.

Große Organisationen, die bei p=none (nur Monitoring) stehen, sind unter anderem Volkswagen, Rheinmetall, Deutsche Bahn, Sparkasse, Bayer, Hannover Rück, Zalando, Lidl, Fraunhofer und viele weitere.

Was sich ändern muss

  1. Über p=none hinausgehen. Der Monitoring-Modus liefert Daten, aber null Schutz. Setze einen Zeitplan für Enforcement.
  2. MTA-STS einrichten. Bei 8,2 % Adoption ist es das am wenigsten verbreitete Protokoll. Die Einrichtung ist einfach: ein DNS-Record und eine Policy-Datei.
  3. DNSSEC aktivieren. Nur 15,7 % der Domains nutzen es. Wende dich an deinen DNS-Provider.
  4. Behörden und Bildung priorisieren. Diese Sektoren verarbeiten die sensibelsten Daten, haben aber das schwächste Enforcement.
  5. Monitoring automatisieren. DMARC ist kein einmaliges Projekt. Neue Dienste, SPF-Änderungen und DKIM-Rotation erfordern kontinuierliche Aufmerksamkeit.

Vollständigen Report herunterladen

Der komplette Report mit detaillierten Aufschlüsselungen nach Land, Branche und einzelnen Domain-Ergebnissen ist als kostenloser PDF-Download verfügbar.

PDF-Report herunterladen (kostenlos)

DMARCPulse hilft Organisationen, die Enforcement-Lücke zu schließen. Statt generischer Warnungen wie „SPF fehlgeschlagen” liefert DMARCPulse umsetzbare Empfehlungen — spezifische DNS-Werte zum Kopieren und Einfügen. Starte deine kostenlose 14-Tage-Testphase.

Methodik

503 Domains wurden aus öffentlichen Aktienindizes (DAX, MDAX, SDAX, TecDAX, ATX, SMI), Behördenverzeichnissen, Universitäten, Krankenhäusern, Medien und großen Privatunternehmen ausgewählt. DNS-Abfragen erfolgten über öffentliche Resolver am 9. April 2026. Nur öffentlich sichtbare Records wurden analysiert.

Zusammenfassung

  • 503 DACH-Domains aus 16 Branchen analysiert
  • SPF-Adoption bei 97,0 %, DMARC bei 87,3 % — aber Enforcement nur bei 56,3 %
  • Schweiz führt (73,7 % Enforcement), Österreich hinkt hinterher (45,5 %)
  • Bildung hat die größte Enforcement-Lücke: 87,7 % Adoption, 26,2 % Enforcement
  • MTA-STS-Adoption bei 8,2 %, DNSSEC bei 15,7 %
  • Große Unternehmen, Behörden und Universitäten bleiben ungeschützt