Bericht zur Einführung von DMARC und MTA-STS im Vereinigten Königreich 2026

PowerDMARC hat es sich zur Aufgabe gemacht, zu analysieren, wo das Vereinigte Königreich im Jahr 2026 in Bezug auf E-Mail-Authentifizierungsverfahren steht. Das Ergebnis ist ein Bericht, der die Einführung von DMARC, SPF, MTA-STS und DNSSEC im Land landesweit, branchenweise und im globalen Kontext untersucht. 875 britische Domains, 22 Seiten mit Informationen, die zeigen, dass mehr als 50 % des Landes vor kostspieligen und unmittelbaren Sicherheitsverletzungen geschützt werden müssen.

Dies gewinnt zunehmend an Bedeutung, da das britische Nationale Cybersicherheitszentrale (NCSC) seine Dienste „Mail Check“ und „Web Check“ am 31. März 2026 offiziell eingestellt hat. Nun greifen Unternehmen und Organisationen zunehmend auf private Tools wie PowerDMARC zurück, um Authentifizierungsprotokolle zu implementieren und durchzusetzen. 

Unser Bericht zeigt ein Land, das nur teilweise vorbereitet ist und Lücken aufweist, die von Angreifern leicht ausgenutzt werden können. Unternehmen haben zwar die „Authentifizierung“ (SPF) sichergestellt, die Bereiche „Verschlüsselung“ (MTA-STS) und „Integrität“ (DNSSEC) jedoch weitgehend vernachlässigt.

Hier finden Sie einen kurzen Überblick über einige der Ergebnisse des „PowerDMARC-Berichts zur DMARC- und MTA-STS-Einführung im Vereinigten Königreich 2026“. Noch ausführlichere Informationen finden Sie im vollständigen Bericht.

Ein Schnappschuss aus Großbritannien: Eine Geschichte zweier Verteidigungsstrategien

Verschaffen wir uns zunächst einen Überblick darüber, wie sich das Vereinigte Königreich insgesamt schlägt, bevor wir uns den einzelnen Branchen und deren Analyse zuwenden.

UK SPF

SPF-Korrektheit – 93,7 %

DMARC im Vereinigten Königreich

DMARC-Einführung – 86,4 %

DMARC p=reject – 44,1 %

Großbritannien MTA-STS

MTA-STS-Einführung – 20,6 %

Kein MTA-STS – 79,4 %

MTA-STS-Prüfung – 4,5 %

MTA-STS Durchsetzen – 16,1 %

BIMI-Logo

DNSSEC-Einführung – 3,8 %

15-Tage-Test starten

1. Bankwesen und Finanzen: Der sichere Perimeter mit offenen Tunneln

In der leistungsstärksten Branche Großbritanniens verläuft nach wie vor mehr als 95 % des Finanz-E-Mail-Verkehrs unverschlüsselt – ein einziger Downgrade-Angriff würde ausreichen, um SWIFT-Bestätigungen offenzulegen.

Metrisch Adoptionsrate
SPF Korrektheit 93.5%
DMARC p=ablehnen 61.3%
MTA-STS-Annahme 4.8%
Bankwesen SPF-Einführung Großbritannien

❌ Das größte Risiko: Das Abfangen von Transaktionen mit hohem Wert.

Selbst strenge Sicherheitsmaßnahmen schützen britische Banken nicht während der Übertragung über unverschlüsselte Kanäle. Jüngsten Daten zufolge wurden durch Zahlungsbetrug und Betrugsmaschen über 629,3 Millionen Pfund , die oft durch manipulierte E-Mail-Kommunikation ausgelöst wurden.

✅ Die Lösung von PowerDMARC:

Mit Hosted MTA-STSzwingen wir alle finanziellen E-Mail-Transfers in verschlüsselte TLS 1.2+-Kanäle und reduzieren so erheblich das Risiko von „Downgrade-Angriffen“, bei denen Kriminelle die Verschlüsselung entfernen, um sensible Bank-Kunden-Kommunikationen während der Übertragung zu lesen.

2. Regierung: Durch Mandat führen, durch Identitätskontrolle scheitern

Die Regierung ist bei der Einführung von MTA-STS führend, aber reicht das aus? Mehr als 60 % der E-Mail-Kommunikation erfolgt nach wie vor ungesichert.

Metrisch Adoptionsrate
SPF Korrektheit 94.8%
DMARC p=ablehnen 57.1%
MTA-STS-Annahme 39.9%
Einführung von DMARC durch die Regierung im Vereinigten Königreich

❌ Das größte Risiko: Identitätsdiebstahl und die Weitergabe personenbezogener Daten.

Die Zahlen zeigen, dass ernsthafte Bemühungen wie die Vorgaben des NCSC die E-Mail-Authentifizierung als Notwendigkeit durchgesetzt haben, doch es gibt noch viel zu tun. Bei dem Datenleck im Verteidigungsministerium im Jahr 2024 wurden die Gehaltsdaten von 272.000 Mitarbeiter, verdeutlicht, wie anfällig die Infrastruktur des öffentlichen Sektors nach wie vor für identitätsbasierte Angriffe ist. 

✅ Die Lösung von PowerDMARC:

Unsere Plattform automatisiert den Weg zu p=reject für Subdomains der Regierung und stellt sicher, dass diese die höchsten Sicherheitsstandards erfüllen, ohne dass dabei die Gefahr besteht, wichtige Kommunikationsflüsse mit den Bürgern zu unterbrechen.

3. Gesundheitswesen: Risiken auf HIPAA-Niveau auf britischem Boden

Zwei Drittel der britischen Gesundheitsdienstleister sind nicht in der Lage, gefälschte E-Mails abzuwehren, und da 13,2 % überhaupt keinen DMARC-Eintrag haben, sind Patientendaten nur einen Phishing-Link von einer Datenpanne entfernt.

Metrisch Adoptionsrate
DMARC p=ablehnen 34.0%
Kein DMARC-Eintrag 13.2%
MTA-STS-Annahme 9.4%
Einführung von MTA-STS im Gesundheitswesen Großbritannien

❌ Das größte Risiko: Datenlecks bei geschützten Gesundheitsdaten (PHI).

Das Gesundheitswesen bleibt ein Hauptziel für Ransomware-Gruppen wie Qilin, die kürzlich den NHS ins Visier genommen und 400 GB an privaten Daten veröffentlicht hat. Angesichts der geringen DMARC-Durchsetzung und eines DNSSEC-Einsatzes, der praktisch bei Null liegt, können Angreifer problemlos Zugangsdaten von Krankenhäusern fälschen, um Malware zu verbreiten oder auf sensible Patientenakten zuzugreifen.

✅ Die Lösung von PowerDMARC:

Wir bieten einen verwalteten Pfad zu vollständiger DMARC und MTA-STS-Durchsetzung und stellen sicher, dass jede ausgehende Krankenakte verschlüsselt und jede offizielle Gesundheitsmitteilung überprüft wird.

Demo buchen

4. Transport und Logistik: Das ungeschützte Tor der Lieferkette

Die britischen Verkehrsnetze sind eine offene Einladung für Betrüger und weisen die höchste „No-DMARC“-Rate des Landes auf.

Metrisch Adoptionsrate
DMARC p=ablehnen 32.8%
Kein DMARC-Eintrag 26.7%
MTA-STS-Annahme 6.2%

❌ Das größte Risiko: Rechnungsmissbrauch und Dienstunterbrechungen.

Der Cyberangriff auf Transport for London (TfL), bei dem die Finanzdaten von 5.000 Kunden kompromittiert wurden, beweist, dass Verkehrssysteme hochkarätige Ziele sind. Angreifer nutzen gefälschte „Critical Equipment Alerts“ oder gefälschte Frachtbriefe, um die Lücke zwischen dem Unternehmens-Eingangskorb und der physischen Logistik zu schließen.

✅ Die Lösung von PowerDMARC:

Wir optimieren komplexe SPF-Einträge, um innerhalb der DNS-Lookup-Grenzen und setzen strenge DMARC-Richtlinien durch, um Logistikkanäle vor Rechnungsbetrug zu schützen.

5. Bildung: Das Feld der Ernte geistigen Eigentums

Die britischen Universitäten weisen landesweit die geringste DMARC-Durchsetzung auf, obwohl etwa 91 % der Hochschulen im Jahr 2025 einen Cyberangriff gemeldet haben.

Metrisch Adoptionsrate
SPF Korrektheit 94.6%
DMARC p=ablehnen 23.9%
Kein DMARC-Eintrag 4.3%
Bildung SPF Adoption UK

❌ Das kritische Risiko: Recherche und Login-Harvesting.

Eine geringe DMARC-Durchsetzung (23,9 %) ermöglicht es Angreifern, sich als Hochschulangehörige auszugeben und so Zugriff auf Forschungsdatenbanken im Wert von mehreren Millionen Pfund sowie auf die Finanzdaten von Studierenden zu erlangen.

✅ Die Lösung von PowerDMARC:

Wir helfen Universitäten dabei, Tausende von Subdomains ihrer Fachbereiche über ein einziges Dashboard zu verwalten und so erfolgreiche Phishing-Versuche auf dem gesamten Campus drastisch zu reduzieren.

6. Medien: Der Verstärker von Desinformation

Redaktionen bekämpfen Fake News, aber ihre eigenen E-Mail-Domains bleiben anfällig für gefälschte Autorenangaben und die Verbreitung von Deepfakes.

Metrisch Adoptionsrate
SPF Korrektheit 98.4%
MTA-STS-Annahme 1.6%
DNSSEC-Annahme 1.6%
BIMI-Logo

❌ Das größte Risiko: Identitätsdiebstahl und Deepfake-Betrug.

Zwar weist der Medienbereich eine hohe SPF-Korrektheit auf, doch liegt die Akzeptanz von MTA-STS und DNSSEC dort nahezu bei null. Das bedeutet, dass die Kommunikation von Journalisten für diejenigen sichtbar ist, die das Netzwerk überwachen, und dass ihre Anmeldedaten gefälscht werden können, um Deepfake-Meldungen zu verbreiten oder Mitarbeiter zu betrügerischen Überweisungen zu verleiten.

✅ Die Lösung von PowerDMARC:

Wir verschieben Mediendomänen nach p=rejectund stellen so sicher, dass nur verifizierte Mitarbeiter E-Mails versenden können, wodurch das Vertrauen in die Marke in Zeiten von KI-gesteuerten Informationskriegen gewahrt bleibt.

15-Tage-Test starten

7. Telekommunikation: Magnet für Betrüger

Telekommunikationsanbieter sichern zwar das Netzwerk, nicht jedoch den Posteingang, wodurch Betrüger ungehindert gefälschte Rechnungsbenachrichtigungen an Millionen von Kunden versenden können.

Metrisch Adoptionsrate
SPF Korrektheit 91.0%
DMARC p=ablehnen 32.8%
Kein DMARC-Eintrag 11.9%
BIMI-Logo

❌ Das größte Risiko: Abrechnungsbetrug und Kontoübernahmen.

Hohe „No-DMARC“-Raten in Verbindung mit einer fehlerhaften DMARC-Konfiguration ermöglichen es Betrügern, gefälschte Rechnungsbenachrichtigungen zu versenden, die echt aussehen, und Nutzer dazu zu verleiten, die für SIM-Swapping oder Identitätsdiebstahl erforderlichen 2FA-Codes preiszugeben.

✅ Die Lösung von PowerDMARC:

Unsere Plattform setzt p=reject über alle Carrier-Domains hinweg und hostet MTA-STS, um automatisierte Abrechnungsabläufe zu sichern, sodass es Betrügern unmöglich ist, den Namen des Carriers gegen dessen Abonnenten zu verwenden.

Unter der Haube: Vier strukturelle Schwächen

Die p=none-Implementierungslücke

18,9 % der britischen Domains verfügen über DMARC, aber es fehlt die Durchsetzung.

Expertenwissen:

„Eine DMARC-Richtlinie mit der Einstellung p=none bietet lediglich Berichte und Transparenz hinsichtlich Spoofing-Versuchen, ohne diese zu blockieren. Die hohe Akzeptanzrate im Vereinigten Königreich ist zwar ermutigend, doch ist eine Umstellung auf eine DMARC-Richtlinie mit der Einstellung p=reject erforderlich, um die unbefugte Nutzung von E-Mails aktiv zu verhindern.“

Maitham Al Lawati, Geschäftsführer von PowerDMARC

Expertenwissen:

„Die Beschränkung auf 10 Lookups ist eine feste Obergrenze im DNS. Ohne SPF-Optimierungstechniken wie Flattening oder Makros zur Komprimierung dieser Datensätze beeinträchtigt das Wachstum Ihres digitalen Stacks unweigerlich die Zustellbarkeit Ihrer E-Mails.“

Yunes Tarada, Service Delivery Manager, PowerDMARC

SPF-Komplexität in großem Maßstab

6,3 % der britischen Domains weisen kritische Fehlkonfigurationen auf, die häufig auf die „10-Lookup-Limit”.

MTA-STS: Das Verschlüsselungsdefizit

79,4 % der britischen Domains weisen eine vollständige Kontrolllücke hinsichtlich der Transportsicherheit auf.

Expertenwissen:

„Die Standard-E-Mail-Verschlüsselung (STARTTLS) ist opportunistisch. MTA-STS ist eine Möglichkeit, die Transportverschlüsselung durchzusetzen. Da fast der gesamte Datenverkehr im Vereinigten Königreich offenliegt, ist es für einen Angreifer ein Leichtes, die Verschlüsselung zu umgehen und vertrauliche Unternehmenskommunikation während der Übertragung zu lesen.“

Ayan Bhuiya, Schichtleiter für Betrieb und Auslieferung, PowerDMARC

Expertenwissen:

„DNSSEC fungiert als Wächter Ihrer digitalen Identität. Es handelt sich nicht mehr nur um ein IT-Protokoll, sondern um eine grundlegende Ebene des Markenrufmanagements. Ein einziger DNS-Hijacking-Vorfall kann das Vertrauen in eine Marke innerhalb von Sekunden zerstören.“

Ahona Rudra, Marketingmanagerin bei PowerDMARC

DNSSEC: Das schwache Fundament

Nur bei 3,8 % der britischen Domains aktiviert.

Kontakt

Globales Benchmarking: Großbritannien im Kontext

In dieser Tabelle wird die Position des Vereinigten Königreichs in Bezug auf wichtige Sicherheitsprotokolle mit Ländern wie den Vereinigten Staaten, Norwegen und Japan verglichen.

LandSPF RichtigDMARC (p=ablehnen)MTA-STSDNSSEC
Vereinigte Staaten 🇺🇸95.7%49.0%1.7%18.0%
Australien 🇦🇺92.3%46.7%5.8%6.8%
Vereinigtes Königreich 🇬🇧93.7%44.1%20.6%3.8%
Norwegen 🇳🇴85.2%29.0%2.8%45.6%
Italien 🇮🇹91.0%16.7%1.0%3.5%
Saudi-Arabien 🇸🇦80.6%18.4%0.2%11.9%
Japan 🇯🇵95.0%9.2%0.5%16.4%
Nigeria 🇳🇬70.3%14.2%0.0%8.2%

Wichtige Erkenntnisse aus den offiziellen Berichten

❗Die Lücke bei der Durchsetzung

Im Vereinigten Königreich ist die SFP-Einführung zwar weit verbreitet, doch nur weniger als die Hälfte der Domains schützt sich aktiv vor gefälschten E-Mails.

Großbritanniens herausragendes MTA-STS-System

Im Vergleich zu anderen Ländern weist das Vereinigte Königreich eine hohe MTA-STS-Einführungsrate auf, was für den Transit-Schutz von Bedeutung ist. Dies ist auf die strengen Richtlinien des NCSC zurückzuführen.

Einführung von DNSSEC

Großbritannien hinkt bei der Einführung von DNSSEC hinter den meisten Ländern hinterher, wodurch es anfällig für DNS-Hijacking und Cache-Poisoning-Angriffe ist.

Die „Compliance-Falle“

Obwohl immer mehr Organisationen DMARC-Einträge hosten, verhalten sie sich nach wie vor passiv, da sie nicht auf „p=reject“ eingestellt sind. Das bedeutet lediglich Überwachung und keinen Schutz.

Fazit: Von Kennzahlen zu Maßnahmen

Der „DMARC & MTA-STS Adoption Report 2026“ für das Vereinigte Königreich verdeutlicht, dass das Land zwar eine solide technische Grundlage geschaffen hat, die Lücke zwischen passiver Überwachung und aktiver Durchsetzung beim E-Mail-Versand jedoch noch nicht vollständig geschlossen hat.

Sie können es sich nicht leisten, auf die nächste Warnung des NCSC oder einen katastrophalen BEC-Vorfall (Business Email Compromise) zu warten, um von der Überwachung zum Schutz überzugehen. PowerDMARC überbrückt diese „Implementierungslücke“ durch folgende Funktionen:

Automatisierte Durchsetzungswege: Sichere Migration von FTSE-100-Unternehmen und KMUs von p=none zu p=reject zu migrieren, ohne wichtige Geschäftskommunikation oder den E-Mail-Fluss zwischen Abteilungen zu blockieren.

Vereinfachung der Infrastruktur: Überwindung der „10-Lookup-Beschränkung“ durch SPF-Optimierung, Hosting von MTA-STS zur Schließung der 79 , 4 %-Verschlüsselungslücke und Validierung von DNSSEC-Einträgen in einem einzigen, cloud-nativen Dashboard.

Regulatorische Bereitschaft: Unterstützung bei der Einhaltung der DSGVO, UK Cyber Essentialsund PCI-DSS 4.0 durch Vereinfachung des Anti-Phishing-Schutzes und Sicherung sensibler E-Mail-Kommunikation.

Demo buchen Kontaktieren Sie uns

PowerDMARC-Perspektive

„Großbritannien ist derzeit ein Hauptziel für KI-gesteuertes Phishing und Rechnungsbetrug. Britische IT-Teams sind zwar hervorragend darin, grundlegende Aufzeichnungen zu veröffentlichen, aber oft sind sie gelähmt von der Angst, legitime E-Mails zu blockieren. Im Jahr 2026 ist eine reine Überwachungshaltung im Wesentlichen eine Kapitulation vor ausgeklügelten Spoofing-Angriffen. Der Übergang zu einer aktiven Verteidigung ist nicht nur eine Verbesserung der Sicherheit, sondern auch unerlässlich für den Schutz vor Angriffen, die das Herzstück der digitalen Wirtschaft Großbritanniens ins Visier nehmen.“

PowerDMARC-Team

Verwandeln Sie Sichtbarkeit noch heute in Verteidigung

Die Akzeptanzraten in Großbritannien zeigen, dass die Grundlagen geschaffen sind; jetzt ist es an der Zeit, den Schalter umzulegen. In einer Landschaft, in der KI den Tonfall eines Führungskräften perfekt imitieren kann, reicht es nicht aus, sich allein auf „Sichtbarkeit“ zu verlassen.

Lassen Sie Ihre Domain nicht länger eine „ungeschützte Grenze“ bleiben. Wechseln Sie von passiver Überwachung zu aktivem Schutz, bevor die nächste Welle koordinierter Angriffe Ihre Branche trifft.

Wenden Sie sich an PowerDMARC , um Ihren Weg zur Durchsetzung zu beginnen.

15-Tage-TestDemo buchen