Bericht zur Einführung von DMARC und MTA-STS in den Vereinigten Staaten 2026

Wir bei PowerDMARC haben die E-Mail-Authentifizierung in US-Domains analysiert und dabei sind zwei Dinge besonders aufgefallen: Die Akzeptanz von DMARC steigt, aber die Durchsetzung ist nach wie vor uneinheitlich, und MTA-STS hinkt deutlich hinterher. Diese Lücke ist der Grund dafür, dass das Risiko von Spoofing und Downgrades weiterhin besteht. 

Washington D.C. bleibt das Epizentrum der globalen Cybersicherheitspolitik, aber mit Blick auf das Jahr 2026 vergrößert sich die Kluft zwischen Vorgaben und Umsetzung. Trotz verschärfter Vorgaben auf Bundesebene, wie beispielsweise „Shields Up” der CISA  und umfassenderen nationalen Cybersicherheitsinitiativen, bleiben die USA ein Hauptziel für KI-gesteuerte Spoofing- und Business Email Compromise (BEC)-Betrugsversuche, die die Wirtschaft im letzten Jahr über 2,9 Milliarden Dollar.

Diese PowerDMARC-Analyse zeigt ein Land, das sich zwar mit der Identitätsauthentifizierung (SPF/DMARC) befasst hat, aber die Sicherheit der Transportschicht (MTA-STS) und die Zonenintegrität (DNSSEC) gefährlich ungeschützt gelassen hat.

Berichtsanfrage – Einführung von DMARC in den Vereinigten Staaten

"*" kennzeichnet Pflichtfelder

Dieses Feld dient der Validierung und sollte unverändert bleiben.
Name*

Sektorspezifische Schwachstellen und Leistungsfähigkeit in den USA

Um eine klare Ausgangsbasis zu schaffen, finden Sie hier die allgemeine Sicherheitslage der Vereinigten Staaten in allen über 900 Domänen, bevor wir uns mit den einzelnen Branchen befassen.

SPF

USA Sonnenschutzfaktor

DMARC

USA-DMARC-Quadrat

MTA-STS

USA MTA-STS

DNSSEC

BIMI-Logo

E-Mail-Sicherheitsmetriken in den USA

Metrisch Adoptionsrate
SPF Korrektheit 95.7%
DMARC-Annahme 95.8%
DMARC p=ablehnen 49.0%
MTA-STS-Annahme 1.7%
DNSSEC-Annahme 18.0%
15-Tage-Test starten

1. Bankwesen und Finanzen: Infrastruktur mit hoher Durchsetzungskraft

US- Banken sind landesweit führend bei der Durchsetzung von Vorschriften, doch die schiere Menge an Angriffen, insbesondere die Phishing-Welle von JPMorgan im Jahr 2024, die 100 Millionen Dollar einbrachte, beweist, dass selbst kleine Lücken katastrophale Folgen haben können.

Metrisch Adoptionsrate
SPF Korrektheit 90.9%
DMARC p=ablehnen 66.7%
Kein DMARC-Eintrag 7.6%
MTA-STS-Annahme 3.0%
DNSSEC-Annahme 22.7%
Einführung von SPF im Bankwesen

Das kritische Risiko

SWIFT-Bestätigungs-Hijacking. Mit einer 97,0 % Lücke in MTA-STS werden Überweisungsbestätigungen in Höhe von Billionen über unverschlüsselte Pfade übertragen. Angreifer können diese während der Übertragung abfangen, um die unbefugte Änderung zu identifizieren, bevor die Bank oder der Kunde den Verstoß bemerkt.

Die PowerDMARC-Korrektur

Automatisiert MTA-STS-Hosting. Wir zwingen alle E-Mail-Transfers in verschlüsselte TLS 1.2+-Kanäle und reduzieren so das Risiko von Downgrades und Abhörversuchen erheblich, indem wir TLS für eingehende Zustellungen vorschreiben und die Einhaltung von Richtlinien über MTA-STS verlangen. Dies trägt dazu bei, die allgemeinen Governance-Erwartungen für einen sicheren E-Mail-Transport und die Kommunikation mit Anbietern zu erfüllen.

2. Regierung: Obligatorisch, aber anfällig

Bundesbehörden sind der Goldstandard für DMARC, doch die anhaltenden Supply-Chain-Angriffe im Stil von SolarWinds verdeutlichen eine massive Lücke in der Sichtbarkeit der Transportsicherheit.

Metrisch Adoptionsrate
SPF Korrektheit 97.7%
DMARC p=ablehnen 80.1%
Kein DMARC-Eintrag 2.3%
MTA-STS-Annahme 3.4%
DNSSEC-Annahme 54.5%

Das kritische Risiko

Anmeldeinformationen Spoofing. Während 80,1 % p=reject durchsetzen, lehnen die restlichen 19,9 % erlauben es nationalen Akteuren, offizielle .gov-Anmeldedaten zu fälschen und so das Vertrauen der Bürger zu umgehen, um Malware zu verbreiten oder sensible personenbezogene Daten zu sammeln. Eine geringe MTA-STS-Akzeptanz gefährdet auch die Sicherheit eingehender E-Mails.

Die PowerDMARC-Korrektur

Automatisierte SCuBA-Konformität für .gov. Unsere Plattform automatisiert die strengen E-Mail-Authentifizierungsanforderungen von CISA BOD 25-01. Wir bieten ein zentrales Dashboard, um .gov-Domains zu DMARC p=reject , ohne manuellen Aufwand und stellt sicher, dass Cloud-Umgebungen der US-Bundesbehörden die SCuBA-Sicherheitsstandards für Microsoft 365 und Google Workspace erfüllen, ohne den legitimen E-Mail-Fluss zu beeinträchtigen.

3. Gesundheitswesen: Die ungeschützte Flanke der HIPAA

Der Hackerangriff auf Change Healthcare im Jahr 2024 hat gezeigt, dass medizinische Dienstleister über gefälschte Absender von Drittanbietern ins Visier genommen werden. Trotz der zunehmenden Verwendung von Multi-Faktor-Authentifizierung (MFA) bleibt E-Mail eine Schwachstelle.

Metrisch Adoptionsrate
SPF Korrektheit 94.9%
DMARC p=ablehnen 64.6%
Kein DMARC-Eintrag 1.3%
MTA-STS-Annahme 1.3%
DNSSEC-Annahme 11.4%

Das kritische Risiko

PHI Transit-Lecks. 98,7 % der E-Mail-Verkehr im Gesundheitswesen ist während der Übertragung unverschlüsselt. Dadurch können Angreifer geschützte Gesundheitsdaten (PHI) direkt aus dem Netzwerk abfangen, was zu hohen HIPAA-Geldstrafen und dem Abfluss von Patientendaten führt.

Die PowerDMARC-Korrektur

Wir bieten einen verwalteten Pfad zur vollständigen Durchsetzung von DMARC und MTA-STS und stellen sicher, dass jede ausgehende Krankenakte über gehostetes MTA-STS verschlüsselt wird.

Demo buchen

4. Energie und Versorgungsunternehmen: Risiken im Bereich Betriebstechnologie

Nach dem Angriff auf die Pipeline von Colonial hat der US-Energiesektor seine OT (Operational Technology) verstärkt, aber seine Unternehmens-E-Mails bleiben eine aktive Angriffsfläche für Ransomware.

Metrisch Adoptionsrate
SPF Korrektheit 96.8%
DMARC p=ablehnen 51.6%
Kein DMARC-Eintrag 3.2%
MTA-STS-Annahme 1.6%
DNSSEC-Annahme 6.5%
Energie DNSSEC-Einführung

Das kritische Risiko

Phishing-zu-OT-Pivots. Nur 51,6 % des Energiesektors blockieren Betrugsversuche. Angreifer verwenden gefälschte „Critical Equipment Alerts“ (Warnmeldungen zu kritischen Anlagen), um Ingenieure dazu zu verleiten, auf bösartige Links zu klicken, und so die Lücke zwischen dem Unternehmenspostfach und dem physischen Stromnetz zu schließen.

Die PowerDMARC-Korrektur

Optimierung der Aufzeichnungen. Wir sichern die betriebliche Kommunikation gegen Phishing-Einträge, indem wir strenge DMARC-Richtlinien und die Optimierung komplexer SPF-Einträge, um die DNS-Lookup-Grenzen einzuhalten.

5. Bildung: Die Ernte geistigen Eigentums

Amerikanische Universitäten sind hochkarätige Ziele für den Diebstahl geistigen Eigentums, dennoch weisen sie die niedrigsten Durchsetzungsraten im ganzen Land auf.

Metrisch Adoptionsrate
SPF Korrektheit 96.6%
DMARC p=ablehnen 30.3%
Kein DMARC-Eintrag 2.2%
MTA-STS-Annahme 3.4%
DNSSEC-Annahme 12.4%

Das kritische Risiko

Erfassung von Universitäts-Login-Daten. Niedrige DMARC p=reject (30,3 %) ermöglicht es Angreifern, .edu-Logins zu fälschen und so Zugriff auf Forschungsdatenbanken im Wert von mehreren Millionen Dollar und Finanzdaten von Alumni zu erhalten.

Die PowerDMARC-Korrektur

Wir vereinfachen die Einführung und Durchsetzung, helfen bei der Verwaltung Tausender Abteilungs-Subdomains über ein einziges Dashboard und reduzieren so erfolgreiche Phishing-Versuche auf dem gesamten Campus.

6. Medien: Der Verstärker von Desinformation

Redaktionen bekämpfen Fake News, aber ihre eigenen E-Mail-Domains werden häufig dazu genutzt, diese über gefälschte Autorenzeilen zu verbreiten.

Metrisch Adoptionsrate
SPF Korrektheit 96.7%
DMARC p=ablehnen 30.4%
Kein DMARC-Eintrag 5.5%
MTA-STS-Annahme 0.4%
DNSSEC-Annahme 3.3%
BIMI-Logo

Das kritische Risiko

Quellidentitätsdiebstahl. Mit nahezu null MTA-STS (0,4 %) und geringer DMARC-Durchsetzung sind die privaten Kommunikationen von Journalisten mit sensiblen Quellen für jeden sichtbar, der das Netzwerk überwacht, und ihre Autorenzeilen können leicht gefälscht werden, um Deepfake-Geschichten zu verbreiten.

Die PowerDMARC-Korrektur

Quellenintegrität. Wir verschieben Mediendomains auf „p=reject“ und stellen so sicher, dass nur verifizierte Journalisten E-Mails von der Domain der Redaktion versenden können, wodurch das Vertrauen in die Marke in Zeiten von Informationskriegen gewahrt bleibt.

15-Tage-Test starten

7. Telekommunikation: Magnet für Betrüger

Mobilfunkanbieter schützen ihre Netzwerke, lassen jedoch ihre Posteingänge weit offen, was die SIM-Swap-Epidemie begünstigt, die die Amerikaner jährlich Milliarden kostet.

Metrisch Adoptionsrate
SPF Korrektheit 96.6%
DMARC p=ablehnen 41.4%
Kein DMARC-Eintrag 8.0%
MTA-STS-Annahme 2.3%
DNSSEC-Annahme 12.6%

Das kritische Risiko

Rechnungsbetrug und Kontoübernahmen. Hohe „No-DMARC”-Raten (8,0 %) ermöglichen es Betrügern, gefälschte Rechnungsbenachrichtigungen zu versenden, die echt aussehen, und so Benutzer dazu zu verleiten, die für den SIM-Swap erforderlichen 2FA-Codes preiszugeben.

Die PowerDMARC-Korrektur

SIM-Phishing-Slamming. Unsere Plattform erzwingt p=reject über alle Carrier-Domains hinweg und hostet MTA-STS, um die automatisierten Abrechnungsabläufe zu sichern, sodass es für Betrüger schwierig ist, den Namen des Carriers gegen dessen Kunden zu verwenden.

8. Transport und Logistik: Der Kompromiss in der Lieferkette

Fluggesellschaften und Eisenbahnnetze sind mit „Logistik-Umleitungen“ konfrontiert, bei denen gefälschte Frachtlisten zu gestohlener Fracht und umgeleiteten Treibstofflieferungen führen.

Metrisch Adoptionsrate
SPF Korrektheit 90.2%
DMARC p=ablehnen 42.4%
Kein DMARC-Eintrag 1.1%
MTA-STS-Annahme 0.0%
DNSSEC-Annahme 12.0%

Das kritische Risiko

Diebstahl von Klartext-Manifesten. A 100,0 % Lücke in MTA-STS bedeutet, dass jedes per E-Mail versendete Frachtmanifest unverschlüsselt ist. Angreifer können Versandwerte und -routen abfangen, um den physischen oder digitalen Diebstahl von „Just-in-time“-Gütern zu koordinieren.

Die PowerDMARC-Korrektur

Betrugssichere Logistikkanäle. Wir bieten One-Click-MTA-STS-Hosting, das die Transportschicht sichert und dafür sorgt, dass sensible Versanddaten durchgehend verschlüsselt werden, wodurch Man-in-the-Middle-Angriffe über E-Mails verhindert werden.

Unter der Haube: Vier strukturelle Schwächen

Die p=none-Implementierungslücke

46,8 % der US-Domains haben DMARC , aber keine Durchsetzung (p=none oder p=Quarantäne). Der aktuelle Status p=none bietet keine Abhilfemaßnahmen, sodass Angreifer weiterhin vertrauenswürdige Marken fälschen können, während das Unternehmen die Aktivitäten lediglich in Protokollen beobachtet.

„Eine DMARC-Richtlinie mit der Einstellung p=none bietet lediglich Berichte und Transparenz hinsichtlich Spoofing-Versuchen, ohne diese zu blockieren. Die hohe Akzeptanzrate in den Vereinigten Staaten ist zwar ermutigend, doch ist eine Umstellung auf eine DMARC-Richtlinie mit der Einstellung p=reject erforderlich, um die unbefugte Nutzung von E-Mails aktiv zu verhindern. Ohne Durchsetzung bleiben E-Mail-Domains weiterhin anfällig.“

Maitham Al Lawati, CEO, PowerDMARC

„Wir beobachten dies ständig bei Fortune-500-Unternehmen: Sie fügen ein neues Marketing-Tool hinzu, und plötzlich werden ihre Rechnungs-E-Mails zurückgewiesen. Das Limit von 10 Lookups ist eine harte Obergrenze im DNS. Ohne SPF-Optimierung wie Flattening oder Makros zur Komprimierung dieser Datensätze führt das Wachstum Ihres digitalen Stacks unweigerlich zu einer Beeinträchtigung Ihrer E-Mail-Zustellbarkeit.“

Yunes Tarada, Service Delivery Manager, PowerDMARC

SPF-Komplexität in großem Maßstab

Während 95,7 % der Domains über einen korrekten SPF, weisen die restlichen 4,3 % weisen kritische Fehlkonfigurationen auf. In komplexen US-Unternehmen ist dies häufig auf das Erreichen der „10-Lookup-Limit” für DNS-Abfragen, was dazu führt, dass legitime E-Mails von Drittanbietern (CRM-, HR-Systeme) die Authentifizierung nicht bestehen und verschwinden.

MTA-STS: Das Verschlüsselungsdefizit

Mit 98,3 % Exposure über alle Bereiche hinweg haben die USA eine nahezu vollständige Kontrolllücke in Bezug auf die Transportsicherheit. Ohne MTA-STS können Angreifer „Downgrade-Angriffe” durchführen, bei denen E-Mail-Server gezwungen werden, die Verschlüsselung aufzuheben und Nachrichten im Klartext zu übertragen, der von jedem, der das Netzwerk überwacht, gelesen werden kann.

„Die Standard-E-Mail-Verschlüsselung (STARTTLS) ist opportunistisch; sie fordert eine Verschlüsselung an, verlangt sie aber nicht. MTA-STS ist eine Möglichkeit, die Transportverschlüsselung durchzusetzen. Da fast der gesamte Datenverkehr in den USA offenliegt, ist es für einen Angreifer ein Leichtes, die Verschlüsselung zu umgehen und vertrauliche Unternehmenskommunikation während der Übertragung zu lesen.“

Ayan Bhuiya, Schichtleiter für Betrieb und Lieferung, PowerDMARC

„Unternehmen investieren viel in den Aufbau von Markenvertrauen, aber ein einziger DNS-Hijacking kann dies innerhalb von Sekunden zunichte machen. DNSSEC fungiert als Wächter Ihrer digitalen Identität und stellt sicher, dass Kunden, wenn sie Kontakt aufnehmen, mit Ihrem echten Unternehmen verbunden werden. Es handelt sich nicht mehr nur um ein IT-Protokoll, sondern um eine grundlegende Ebene des Marken-Reputationsmanagements.“

Ahona Rudra, Marketing Manager, PowerDMARC

DNSSEC: Das schwache Fundament

DNSSEC ist nur auf 18,0 % der Domains aktiviert. Ohne diese Funktion ist das Verzeichnissystem des Internets (DNS) ungeschützt. Raffinierte, staatlich geförderte Angreifer können das DNS Antwort und den gesamten E-Mail-Verkehr eines Unternehmens auf einen betrügerischen Server umleiten, ohne dass der Absender oder Empfänger davon etwas merkt.

Kontakt

Globales Benchmarking: Die USA im Kontext

LandSPF RichtigDMARC-AnnahmeDMARC p=ablehnenMTA-STS (Verschlüsselung)DNSSEC-Annahme
Vereinigte Staaten 🇺🇸95.7%95.8%49.0%1.7%18.0%
Niederlande 🇳🇱92.4%88.5%41.2%14.5%59.0%
Schweden 🇸🇪85.0%77.9%29.9%2.9%25.9%
Norwegen 🇳🇴85.2%83.1%29.0%2.8%45.6%
Australien 🇦🇺91.5%78.4%26.5%3.1%6.8%
Saudi-Arabien 🇸🇦80.6%54.4%18.4%0.2%11.9%
Japan 🇯🇵95.0%74.6%9.2%0.5%2.1%

Analyse: Die Position der USA auf der Weltbühne

Die Benchmarking-Daten für 2025–2026 zeigen, dass die Vereinigten Staaten derzeit weltweit führend im Bereich der aktiven Verteidigung sind und die höchste p=reject enforcement von 49,0 %. Dies ist deutlich höher als in etablierten digitalen Volkswirtschaften wie Australien (26,5 %) oder Japan (9,2). Der Erfolg der USA ist vor allem auf frühzeitige regulatorische Vorgaben und das hohe Risikoumfeld im Bank- und Gesundheitswesen zurückzuführen.

Die USA stehen jedoch vor einem „Technical Tail“-Problem. Während die grundlegende Einführung von SPF und DMARC nahezu universell ist (95,0 %+), liegt das Königreich der Niederlande bei der fortgeschrittenen Verschlüsselung mit 14,5 MTA-STS-Einführung gegenüber den mageren 1,7. PowerDMARC schließt diese Implementierungslücke durch die Bereitstellung automatisierter Richtlinien, während die Ausnahmebehandlung für kritische Legacy-Absender beibehalten wird.

Darüber hinaus liegt die Akzeptanz von DNSSEC bei nur 18,0 %, bleiben die USA anfälliger für ausgeklügelte DNS-Hijacking-Angriffe als Norwegen (45,6 %). Diese Kluft verdeutlicht den strategischen Fokus Amerikas auf die Bekämpfung von Phishing (DMARC), während gleichzeitig zu wenig in die Widerstandsfähigkeit der Infrastruktur (DNSSEC/MTA-STS) investiert wird. Damit die USA ihre Führungsrolle im Bereich Cybersicherheit behaupten können, muss die nächste Phase über die einfache Identitätsprüfung hinausgehen und sich auf die vollständige Verschlüsselung und Integrität des globalen E-Mail-Ökosystems konzentrieren.

Fazit: Von Kennzahlen zu Maßnahmen

Die Daten sprechen eine klare Sprache: Die Vereinigten Staaten verfügen über die technischen Spezifikationen und grundlegenden Aufzeichnungen, müssen jedoch noch den Schritt von der passiven Überwachung zur aktiven Durchsetzung im Transportbereich vollziehen. Obwohl SPF allgegenwärtig ist und die Einführung von DMARC zunimmt, bleibt das Versäumnis, die Durchsetzung (p=reject) zu erreichen und die Transportschicht (MTA-STS) zu sichern, eine Schwachstelle, die Milliarden Dollar kostet.

US-Organisationen können es sich nicht leisten, auf die nächste verbindliche operative Richtlinie der CISA oder einen katastrophalen Vorfall im Zusammenhang mit Business Email Compromise (BEC) zu warten, um von der Überwachung zum Schutz überzugehen. PowerDMARC schließt diese „Implementierungslücke“, indem es Folgendes bietet:

Automatisierte Durchsetzungswege: Sichere Migration von Fortune-500-Unternehmen und KMUs von p=none zu p=reject, ohne wichtige Geschäftskommunikation zu blockieren.

Vereinfachung der Infrastruktur: Überwindung der „10-Lookup-Beschränkung“ durch SPF-Optimierung, Hosting von MTA-STS und Validierung von DNSSEC-Einträgen in einem einzigen, cloud-nativen Dashboard.

Regulatorische Bereitschaft: Unterstützung der Einhaltung der Standards PCI-DSS 4.0, HIPAA und CISA durch Vereinfachung des Anti-Phishing-Schutzes und Sicherung der E-Mail-Kommunikation.

Demo buchen Kontaktieren Sie uns

PowerDMARC-Perspektive

„Die USA sind derzeit das wichtigste Labor für KI-gesteuerten Phishing. Amerikanische IT-Teams sind zwar hervorragend darin, Datensätze zu veröffentlichen, aber oft sind sie gelähmt von der Angst, legitime E-Mails zu blockieren. Im Jahr 2026 ist eine reine Überwachungshaltung im Wesentlichen eine Kapitulation vor ausgeklügelten Spoofing-Angriffen. Der Übergang zu einer aktiven Verteidigung ist nicht nur eine Sicherheitsverbesserung, sondern unerlässlich für den Schutz vor ausgeklügelten Angriffen.“

PowerDMARC-Team

Verwandeln Sie Sichtbarkeit noch heute in Verteidigung

Die Akzeptanzraten in den USA zeigen, dass die Grundlagen geschaffen sind; jetzt ist es an der Zeit, den Schalter umzulegen. In einer Landschaft, in der KI den Tonfall eines Führungskräften perfekt imitieren kann, reicht es nicht aus, sich allein auf „Sichtbarkeit“ zu verlassen.

Lassen Sie Ihre Domain nicht länger eine „ungeschützte Grenze“ bleiben. Wechseln Sie von passiver Überwachung zu aktivem Schutz, bevor die nächste Welle koordinierter Angriffe Ihre Branche trifft.

Wenden Sie sich an PowerDMARC , um Ihren Weg zur Durchsetzung zu beginnen.

15-Tage-TestDemo buchen