EDITION
iToverDose/Software· 20 MAI 2026 · 16:02

Schwache E-Mail-Sicherheit bei KI-Unternehmen: Warum SPF Softfail riskant ist

Über 60 % der großen KI-Firmen nutzen SPF Softfail – das öffnet Tür und Tor für E-Mail-Spoofing. Selbst Branchenriesen wie Google und Apple sind betroffen. Doch welche Unternehmen schützen sich wirklich?

DEV Community4 min0 Kommentare

Die E-Mail-Sicherheit vieler KI-Unternehmen ist alarmierend schwach. Eine aktuelle Analyse von 39 führenden Playern der KI-Branche – darunter Labore, Sicherheitsorganisationen und Tool-Anbieter – zeigt: Zwei Drittel setzen auf SPF Softfail ("~all"), was Spoofing-Angriffe begünstigt. Selbst Branchengrößen wie Google, Apple, NVIDIA und Hugging Face sind betroffen. Doch welche Konsequenzen hat das – und wer handelt bereits konsequent?

Jede zweite KI-Firma lässt Spoofing zu

Die Untersuchung der DNS-Einträge von 39 KI-Unternehmen brachte erschreckende Ergebnisse zutage. 26 der 39 Unternehmen – also rund 67 % – nutzen SPF mit der Einstellung ~all (Softfail). Das bedeutet: Nicht autorisierte Absender erhalten zwar keine ausdrückliche Freigabe, werden aber nicht automatisch blockiert. Stattdessen landen ihre Nachrichten möglicherweise im Postfach – oder werden nur als Spam markiert. Zu den prominenten Vertretern dieser Gruppe gehören:

  • Anthropic
  • Google
  • Apple
  • NVIDIA
  • Hugging Face

10 Unternehmen setzen auf –all (Hardfail), das unautorisierte E-Mails konsequent ablehnt. Dazu zählen unter anderem:

  • OpenAI
  • Microsoft
  • Amazon
  • Palantir
  • x.ai

Drei Unternehmen haben sogar keine SPF-Einträge vorgenommen – ein fundamentales Versäumnis in der E-Mail-Sicherheit:

  • Meta
  • Tesla
  • Alignment Forum

Warum SPF Softfail gefährlich ist

SPF (Sender Policy Framework) definiert, welche Server berechtigt sind, E-Mails im Namen einer Domain zu versenden. Der Schlüsselteil all am Ende der Richtlinie entscheidet über das Verhalten bei unautorisierten Absendern:

  • -all (Hardfail): Ablehnung der Nachricht
  • ~all (Softfail): Akzeptanz, aber mögliche Markierung als verdächtig
  • ?all (Neutral): Keine klare Haltung
  • +all (Pass all): Akzeptanz aller Absender (höchstrisikoreich)

Die meisten E-Mail-Anbieter behandeln Softfail als „beliefern, aber mit niedrigerer Bewertung“. Kombiniert mit schwachen DMARC-Richtlinien können Angreifer so leicht gefälschte E-Mails im Namen dieser Unternehmen versenden – und sie landen direkt in den Postfächern der Empfänger.

Die riskantesten Kombinationen: Wer ist besonders verwundbar?

Einige Unternehmen kombinieren SPF Softfail mit DMARC-Richtlinien, die Spoofing nicht verhindern. Besonders auffällig sind:

  • Cohere: 6 autorisierte Dienste (u. a. Google, Proofpoint, SendGrid), aber ~all + p=reject. Das bedeutet: Selbst wenn SPF versagt, könnte DMARC eingreifen – doch die Softfail-Einstellung untergräbt die Sicherheit.
  • Jasper: 7 autorisierte Dienste (u. a. Google, HubSpot), aber -all + p=reject. Hier ist die SPF-Richtlinie streng, doch die Anzahl der autorisierten Absender erhöht die Angriffsfläche.
  • Weaviate: 6 autorisierte Dienste (u. a. SendGrid), ~all + p=quarantine – eine halbherzige Lösung.
  • Scale AI: 5 autorisierte Dienste (u. a. Autopilot), ~all + p=reject.
  • Tesla: Keine SPF-Einträge, 13 IP-Bereiche, ?all (neutral) + p=quarantine. Ein besonders kritischer Fall.

Besonders problematisch ist Alignment Forum, das weder SPF noch DMARC einsetzt – ein gefundenes Fressen für Angreifer.

DMARC: Die zweite Sicherheitslücke

DMARC (Domain-based Message Authentication, Reporting & Conformance) entscheidet, wie mit E-Mails umgegangen wird, wenn sowohl SPF als auch DKIM fehlschlagen. Die wichtigsten Einstellungen:

  • p=reject: Spoofed E-Mails werden blockiert.
  • p=none: Spoofed E-Mails werden durchgelassen.
  • p=quarantine: Spoofed E-Mails werden im Spam-Ordner abgelegt.

Besorgniserregend viele Unternehmen verzichten auf strikte DMARC-Richtlinien:

  • Kein DMARC: Alignment Forum, Manifold Markets
  • Nur Überwachung (`p=none`): MIRI, Hugging Face, Inflection AI, xAI, Aleph Alpha, Qdrant, Metaculus (23 % der untersuchten Domains)

Für Sicherheitsorganisationen wie MIRI oder Alignment Forum – die sich mit existenziellen Risiken künstlicher Intelligenz beschäftigen – ist das ein fatales Versäumnis. Denn selbst wenn SPF oder DKIM versagen, könnten Spoofing-Angriffe gezielt gegen diese Einrichtungen gerichtet werden.

Wer macht es richtig? Die Positivbeispiele

Nicht alle KI-Unternehmen vernachlässigen ihre E-Mail-Sicherheit. Einige setzen auf strenge Richtlinien, die Spoofing verhindern:

  • OpenAI: -all, p=reject
  • Microsoft: -all, p=reject
  • Anthropic: ~all, p=reject (hier gleicht das strenge DMARC die SPF-Schwäche aus)
  • Stripe: -all, p=reject

Anthropic zeigt, wie Redundanz in der Sicherheit funktionieren kann: Selbst wenn SPF versagt, blockiert DMARC mit p=reject unautorisierte E-Mails zuverlässig.

Ein kurioser Einzelfall: xAI und seine Infrastruktur

xAI sticht durch eine ungewöhnliche technische Konfiguration hervor:

  • SSL-Zertifikat von einem chinesischen Aussteller (Guangdong Baota Security Technology)
  • DMARC-Berichte werden an Alibaba Cloud gesendet
  • Domain wurde 1994 registriert – 32 Jahre vor der Gründung von xAI
  • Reaktionszeit des Servers: 660 Millisekunden

Solche Details werfen Fragen auf, etwa zur Herkunft der Infrastruktur oder zur Transparenz der Sicherheitsmaßnahmen.

So können Sie die Sicherheit prüfen

Die Daten basieren auf öffentlichen DNS-Abfragen. Jeder kann die Sicherheit einer Domain selbst überprüfen – ohne spezielle Tools. Die wichtigsten Kommandos:

dig +short TXT beispiel.de  # SPF-Richtlinie

dig +short TXT _dmarc.beispiel.de  # DMARC-Richtlinie

dig +short MX beispiel.de  # Mailserver

Für eine umfassendere Analyse steht ein kostenloses Tool zur Verfügung, das SPF, DMARC, autorisierte Absender und E-Mail-Anbieter direkt aus den DNS-Einträgen ausliest. Damit lassen sich potenzielle Schwachstellen identifizieren – und beheben.

Fazit: E-Mail-Sicherheit muss Priorität haben

Die Analyse zeigt: Viele KI-Unternehmen – selbst etablierte Player – vernachlässigen grundlegende E-Mail-Sicherheitsmaßnahmen. SPF Softfail und schwache DMARC-Richtlinien schaffen Angriffsflächen, die Spoofing-Kampagnen Tür und Tor öffnen. Besonders kritisch ist die Situation bei Organisationen, die sich mit existenziellen Risiken befassen.

Die gute Nachricht: Die Lösung ist einfach. Durch die Kombination von strengem SPF (-all), starkem DMARC (p=reject) und regelmäßigen Überprüfungen lässt sich das Risiko drastisch reduzieren. Unternehmen, die hier nachlässig sind, sollten schnell handeln – bevor Angreifer die Lücken ausnutzen.

Die vollständige Analyse aller 39 Unternehmen, inklusive Details zu Infrastruktur und Zertifikaten, ist öffentlich einsehbar. Es ist an der Zeit, dass die KI-Branche ihre Hausaufgaben macht – bevor es zu spät ist.

KI-Zusammenfassung

Yapay zeka sektöründeki 39 şirketin %67'sinde SPF softfail kullanıldığı ve e-posta sahtekarlığına karşı savunmasız oldukları ortaya çıktı. SPF ve DMARC politikalarının incelendiği araştırmada kritik bulgular paylaşıldı.

Tags

#yapay zeka şirketleri#e-posta güvenliği#spf softfail#dmarc politikası#siber güvenlik riski#e-posta sahtekarlığı#dns kayıt analizi#anthropic openai

Kommentare

00
KOMMENTAR SCHREIBEN
ID #8JOSD3

0 / 1200 ZEICHEN

Menschen-Check

2 + 6 = ?

Erscheint nach redaktioneller Prüfung

Moderation · Spam-Schutz aktiv

Noch keine Kommentare. Sei der erste.

Ähnliche