Der Bundestag hat ein Problem. Sie wahrscheinlich auch.

Im Februar 2026 hat DmarcDkim.com alle 555 persönlichen und parteinahen E-Mail-Domains von Bundestagsmitgliedern geprüft. 81 Prozent bieten keinen wirksamen Schutz gegen E-Mail-Spoofing. 246 Domains haben keinen DMARC-Eintrag. Weitere 202 haben einen Eintrag, aber die Policy auf p=none gesetzt. Wer diese Domains imitieren will, muss kein System kompromittieren. Er schickt einfach eine E-Mail und sie landet im Posteingang, mit vertrautem Absendernamen, ohne technisches Warnsignal.
Das ist keine Geschichte über schlechte IT im Parlament. Es ist eine Geschichte über einen Konfigurationsfehler, der in fast jeder Organisation vorkommt und in den meisten Fällen unbemerkt bleibt, bis jemand ihn ausnutzt.

DMARC Bundestagsstatistik Februar 2026: https://dmarcdkim.com/blog/der-deutsche-bundestag-hat-ein-spoofing-problem 

p=none ist kein Schutz — es ist ein offenes Fenster mit Alarmanlage

202 der analysierten Bundestag-Domains haben einen DMARC-Eintrag. Sie sehen im DNS geschützt aus. Aber die Policy steht auf p=none, das bedeutet: der empfangende Mailserver stellt verdächtige E-Mails zu und schickt einen Bericht. Die Nachricht kommt an. Der Bericht landet irgendwo. Der Empfänger merkt nichts.
Vollständiger Schutz erfordert p=reject oder p=quarantine bei 100 Prozent Abdeckung. Reject blockiert gefälschte Nachrichten während der SMTP-Transaktion. Quarantine leitet sie in den Spam-Ordner. Alles darunter lässt die Nachricht durch, unabhängig davon, wie der DNS-Eintrag aussieht.

Das Problem sind nicht nur die Domains, die Sie kennen

Fast jeder IT-Verantwortliche hat die primäre Sendedomain im Blick. Das Problem hört dort jedoch nicht auf. Die Domain eines eingestellten Projekts, eine ältere Marke, eine Subdomain aus einer Migration vor drei Jahren. Diese Domains erzeugen keinen Mailflow, keine Berichte, keine Auffälligkeit im Monitoring. Dasselbe gilt für Supply-Chain-Angriffe: Ein Angreifer muss die eigene Organisation nicht direkt kompromittieren. Er schreibt den Lieferanten an. Eine gefälschte E-Mail, die scheinbar vom Geschäftsführer stammt und eine Überweisung autorisiert, landet im Posteingang, unabhängig davon, wie gut die interne Sicherheit aufgestellt ist. Ein Angreifer sucht nicht die am besten geschützte Domain. Er sucht die vergessene oder die des schwächsten Glieds in der Kette.

Was Sie jetzt tun sollten

Prüfen Sie nicht nur Ihre primäre Sendedomain. Prüfen Sie alle Domains, die Ihre Organisation registriert hat. DmarcDkim.com bietet kostenlose Tools für DMARC, SPF und DKIM, ohne Anmeldung, in Sekunden. Den DMARC-Status Ihrer Domain ermitteln Sie direkt unter dmarcdkim.com/dmarc-check.