Das gemeinnützige »Spamhaus Project« hat seinen aktuellen »Domain Reputation«-Report 2025 veröffentlicht. Der steile Anstieg der Registrierungszahlen bei .xyz- und .top-Domains geht demnach mit einem steilen Anstieg des Missbrauchs von Domain-Namen unter diesen Endungen einher.
Im Beobachtungszeitraum April bis September 2025 wurden laut Spamhaus insgesamt 43,5 Mio. »neue« Domains registriert, im Durchschnitt also 7,3 Mio. pro Monat. Das entspricht einem Anstieg von 11,48 Prozent gegenüber dem vorherigen Halbjahr und ist nach Angaben von Spamhaus das stärkste Wachstum seit über zwei Jahren; im August 2025 waren es sogar über 8 Mio. neu registrierte Domains, was etwa zehn Prozent über dem monatlichen Durchschnitt liegt. Spamhaus definiert dabei eine »neue« Domain als eine neu registrierte oder neu entdeckte Domain und listet sie für 24 Stunden in seinem Zero Reputation Domain (ZRD)-Datensatz. Neu erstellte Domains werden aller Erfahrung nach innerhalb von 24 Stunden nach der Registrierung selten für legitime Zwecke genutzt, während Cyberkriminelle täglich Hunderte von Domains neu registrieren und löschen; die Daten zu »neuen« Domains geben daher nicht die exakte Anzahl neu registrierter Domains an, sondern die Anzahl der neuen Domains, die Spamhaus einsehen konnte. Daraus zieht Spamhaus den Schluss, dass das Auftreten dieser „neuen“ Domains ein starkes Indiz für potenziell schädliches Verhalten darstellt. Cyberkriminelle verhindern durch die Verwendung solch »neuer« Domains, dass Registries und Registrare präventive Maßnahmen ergreifen können.
Auffällig ist, dass sich die Verteilung der »neuen« Domains hin zu gTLDs verschoben hat. Sie machen nun 75 Prozent aus, während länderspezifische TLDs (ccTLDs) 25 Prozent erreichen; allgemein gesprochen sind Domain-Namen mit Länderendung damit vertrauenswürdiger. Aus deutscher Sicht erfreulich: .de meldet einen Rückgang von 34 Prozent bei den „neuen“ Domains, wurde also erheblich sicherer. Für Domain-Investoren ärgerlich ist, dass .ai (Anguilla) seinen Aufwärtstrend mit einem Plus von 39 Prozent fortsetzte; auch Cyberkriminelle haben .ai-Domains also für sich entdeckt. Noch mehr ärgern müssten sich hingegen .top und .xyz, die beiden rein nach Registrierungszahlen beliebtesten nTLDs weltweit; sie behalten ihre Dynamik und belegen in der gTLD-Rangliste »neuer« Domains mit Zuwächsen von 94 bzw. 103 Prozent Plätze in den Top drei. Wer also eine Domain-Endung mit schlechtem Image, quasi den virtuellen Hinterhof, sucht, der wird unter .top und .xyz häufig fündig. Gedanken um die eigene Reputation sollte sich auch .sbs machen, die frisch gestartet ist und auf Platz 14 der Spamhaus-Liste einsteigt. In absoluten Zahlen finden sich die meisten »neuen« Domains unter .com, allerdings fällt hier der Anstieg mit elf Prozent vergleichsweise bescheiden aus. Da erfreut sich selbst .info mit einem Plus von 34 Prozent in Gaunerkreisen aktuell größerer Beliebtheit. Heimlicher Favorit bleibt aber .bond; die Zahl der neu registrierten Domains übersteigt dort die Gesamtzahl um 187 Prozent – nach Einschätzung von Spamhaus ein höchst ungewöhnliches Muster. In den letzten sechs Monaten wurden hier 238.000 »neue« Domains registriert, doch nur 127.000 davon sind noch aktiv; dies deute darauf hin, dass der ungewöhnliche Trend großflächiger Sperrungen anhält. Bei Webseiten, die über eine .bond-Domain erreichbar sind, ist also Vorsicht angesagt.
Neben den Domain-Endungen hat sich Spamhaus auch die Begriffe angesehen, die in »neuen« Second Level Domains verwendet werden. Hier tauchen alte Bekannte wie »system«, »engine«, »search», »intern«, »internet« und »information« auf. Viele dieser Begriffe stehen im Zusammenhang mit dem Internetverhalten und der Suchaktivität der Nutzer, ein Trend, der wahrscheinlich durch das Wachstum großer Sprachmodelle (LLMs) beeinflusst wird. Die »neuen« Registrierungsdaten zeigen beispielsweise viele .xyz-Domains wie »aio-engine-search-llmo-aeo.xyz«, die mehrere Begriffe von KI über SEO bis hin zu LLM kombinieren. Die Spamhaus-Daten sollen unter anderem Registries dazu dienen, Muster zu erkennen, wenn Angreifer Hunderte von ähnlichen Domains einrichten; idealerweise können sie diese abschalten, bevor sie in schädlichen Weiterleitungsketten missbraucht werden können. Je schneller diese Domains identifiziert und entfernt werden, desto schwieriger (und kostspieliger) wird es für Angreifer, ihre schädlichen Operationen fortzusetzen.