Bericht zur Einführung von DMARC und MTA-STS in den Vereinigten Staaten 2026

Der PowerDMARC-Bericht 2026 zur E-Mail-Authentifizierung in den USA hatte zum Ziel, die Einführung von DMARC im Land, dessen Konfiguration sowie den Fokus auf fortschrittliche Transit-Sicherheitsprotokolle wie MTA-STS und DNSSEC zu untersuchen. Unsere Statistiken erstrecken sich über das gesamte Land und seine wichtigsten Branchen, um wichtige Sicherheitsprobleme aufzudecken, die bislang im Verborgenen blieben.

Nicht überraschend ist die breite Einführung von DMARC, was zeigt, dass E-Mail-Authentifizierungsprotokolle ernst genommen werden. Überraschend war hingegen das Fehlen von Schutzmaßnahmen im Transitbereich, wo das Risiko von Spoofing und Downgrade am größten ist.

Trotz verschärfter Vorgaben auf Bundesebene, wie beispielsweise die „Shields Up“-Initiative der CISA  und umfassenderer nationaler Initiativen zur Cybersicherheit, bleiben die USA ein Hauptschauplatz für KI-gestützte Spoofing-Angriffe und Business-Email-Compromise-Betrug (BEC), die der Wirtschaft im vergangenen Jahr Kosten in Höhe von über 2,9 Milliarden Dollar.

Diese PowerDMARC-Analyse zeigt, dass ein Land zwar Maßnahmen zur Identitätsauthentifizierung (SPF/DMARC) ergriffen hat, jedoch die Sicherheit der Transportschicht (MTA-STS) und die Integrität der Zonen (DNSSEC) gefährlich ungeschützt gelassen hat. Werfen wir einen kurzen Blick darauf, was der Bericht offenbart.

Gesamtsituation bei der E-Mail-Sicherheit in den USA

Die E-Mail-Authentifizierung in den USA basiert auf einem zweistufigen System: nahezu universell geltende Basisdaten (SPF und DMARC) in Verbindung mit minimalem Schutz auf der Transportebene (MTA-STS und DNSSEC). Für mehr als 900 Domains lauten die Basiswerte wie folgt:

SPF

USA Sonnenschutzfaktor

DMARC

USA-DMARC-Quadrat

MTA-STS

USA MTA-STS

DNSSEC

BIMI-Logo

E-Mail-Sicherheitsmetriken in den USA

Metrisch Adoptionsrate
SPF Korrektheit 95.7%
DMARC-Annahme 95.8%
DMARC p=ablehnen 49.0%
MTA-STS-Annahme 1.7%
DNSSEC-Annahme 18.0%

1. Bankwesen und Finanzen: Infrastruktur mit hoher Durchsetzungskraft

Der Phishing-Betrug bei JPMorgan im Jahr 2024 brachte 100 Millionen Dollar ein und machte damit erneut deutlich, dass zwar die US- Banken zwar der Strafverfolgung Priorität einräumen, ist damit allein noch nicht alles gesichert.

Metrisch Adoptionsrate
SPF Korrektheit 90.9%
MTA-STS-Annahme 3.0%
DNSSEC-Annahme 22.7%
Einführung von SPF im Bankwesen

❌Kritisches Risiko

SWIFT-Bestätigungs-Hijacking: Aufgrund einer Sicherheitslücke von 97,0 % in MTA-STS können Angreifer Überweisungsbestätigungen während der Übertragung abfangen, noch bevor ein Sicherheitsverstoß überhaupt bemerkt wird.

✅PowerDMARC-Korrektur

Automatisiert MTA-STS-Hosting: Der E-Mail-Transit erfolgt über verschlüsselte TLS 1.2+-Kanäle, wodurch das Risiko von Downgrades und Abhörversuchen erheblich verringert wird, da TLS für die eingehende Zustellung erzwungen wird und die Einhaltung der Richtlinien über MTA-STS vorgeschrieben ist.

2. Regierung: Obligatorisch, aber anfällig

Aufgrund der verbindlichen operativen Richtlinien der CISA übernehmen US-Bundesbehörden eine Vorreiterrolle bei der Durchsetzung von DMARC. Im Bereich der Transportsicherheit besteht nach wie vor eine erhebliche Lücke in der Transparenz.

Metrisch Akzeptanzrate
SPF Korrektheit 97.7%
DMARC p=ablehnen 80.1%
MTA-STS-Annahme 3.4%

❌Kritisches Risiko

Kritisch Spoofing: Angesichts der erforderlichen Sicherheitsanforderungen sind selbst die fehlenden 19,9 % ausreichen, um ausländischen staatlichen Akteuren die Fälschung offizieller .gov-Zugangsdaten zu ermöglichen, wodurch sie das Vertrauen der Bürger umgehen und Malware verbreiten oder sensible personenbezogene Daten sammeln können.

✅PowerDMARC-Korrektur

Automatisierte SCuBA-Konformität für .gov: Unsere Plattform automatisiert die E-Mail-Authentifizierungsanforderungen gemäß CISA BOD 25-01 und bietet ein zentrales Dashboard, um .gov-Domains ohne manuellen Aufwand auf DMARC p=reject umzustellen und damit die SCuBA-Sicherheitsgrundlagen für M365 und Google Workspace.

3. Gesundheitswesen: Die ungeschützte Flanke der HIPAA

Erinnern Sie sich noch an den Datenleck-Vorfall bei Change Healthcare im Jahr 2024? Medizinische Dienstleister werden ständig über gefälschte Absender von Drittanbietern ins Visier genommen, und E-Mails sind nach wie vor ein Schwachpunkt.

Metrisch Akzeptanzrate
DMARC p=ablehnen 64.6%
MTA-STS-Annahme 1.3%
DNSSEC-Annahme 11.4%

❌Kritisches Risiko

Lecks bei der Übermittlung von PHI: 98,7 % des E-Mail-Verkehr im Gesundheitswesen wird während der Übertragung unverschlüsselt übertragen. Angreifer können geschützte Gesundheitsdaten (PHI) direkt aus dem Datenverkehr abfangen, was zu massiven HIPAA-Geldstrafen und dem Abfluss von Patientendaten führt.

✅PowerDMARC-Korrektur

Sorgt für die vollständige Umsetzung von DMARC und MTA-STS und stellt sicher, dass jede ausgehende Patientenakte über einen gehosteten MTA-STS verschlüsselt wird.

4. Energie und Versorgungsunternehmen: Risiken im Bereich Betriebstechnologie

Trotz aller Fortschritte stellt die Unternehmens-E-Mail in der Branche nach wie vor eine aktive Angriffsfläche für Ransomware dar.

Metrisch Akzeptanzrate
SPF Korrektheit 96.8%
DMARC p=ablehnen 51.6%
MTA-STS-Annahme 1.6%
Energie DNSSEC-Einführung

❌Kritisches Risiko

Phishing-Angriffe mit OT-Pivots: Fast die Hälfte der Branche ist nicht in der Lage, gefälschte E-Mails zu blockieren, wodurch der Posteingang zu einem Einfallstor für Angriffe auf das physische Netz wird.

✅PowerDMARC-Korrektur

Datensatzoptimierung: Setzt strenge DMARC-Richtlinien über alle Utility-Domains hinweg und komprimiert komplexe SPF-Einträge mit PowerSPF, wobei die Grenzen für DNS-Abfragen eingehalten und gleichzeitig die betriebliche Kommunikation gesichert werden.

5. Bildung: Die Ernte geistigen Eigentums

Der US-Hochschulbereich weist von allen US-Wirtschaftszweigen die niedrigste DMARC-Durchsetzungsquote auf, obwohl Universitäten zu den Hauptzielen für Diebstahl geistigen Eigentums, Betrug bei Forschungszuschüssen und gezieltes Phishing.

Metrisch Akzeptanzrate
DMARC p=ablehnen 30.3%
MTA-STS-Annahme 3.4%
DNSSEC-Annahme 12.4%

❌Kritisches Risiko

Das Ausspähen von Anmeldedaten an Universitäten: Eine Ablehnungsrate von 30,3 % bedeutet, dass etwa sieben von zehn Hochschulen es Angreifern ermöglichen, .edu-E-Mails zu fälschen und so Zugriff auf Forschungsdatenbanken im Wert von mehreren Millionen Dollar, Förderanträge und Finanzdaten von Absolventen zu erlangen.

✅PowerDMARC-Korrektur

Verwalten Sie Tausende von Subdomains der einzelnen Fachbereiche über ein einziges Dashboard. Wenden Sie campusweite Sicherheitsrichtlinien an und reduzieren Sie so erfolgreiche Phishing-Angriffe in den Systemen der Fakultäten, der Alumni und der Studentendienste.

6. Medien: Der Verstärker von Desinformation

Der Kampf der Redaktionen gegen Fake News verpufft aufgrund der geringen Akzeptanz von Authentifizierungsmaßnahmen. Als nationale Informationsquellen ist dies eine entscheidende Lücke, die geschlossen werden muss.

Metrisch Akzeptanzrate
DMARC p=ablehnen 30.4%
MTA-STS-Annahme 0.4%
DNSSEC-Annahme 3.3%
BIMI-Logo

❌Kritisches Risiko

Quelle: Identitätsdiebstahl: Da MTA-STS nahezu nicht eingesetzt wird und DMARC nur in geringem Umfang durchgesetzt wird, sind die privaten Kommunikationen von Journalisten mit vertraulichen Quellen für jeden einsehbar, der das Netzwerk überwacht.

✅PowerDMARC-Korrektur

Quellenintegrität: Versetzt Medien-Domains in den Status „p=reject“, sodass nur verifizierte Journalisten E-Mails von der Domain der Publikation versenden können. Hinzufügen BIMI hinzu, um in den Posteingängen der Empfänger ein Verifizierungslogo anzuzeigen und so das Vertrauen in die redaktionelle Qualität zu stärken.

7. Telekommunikation: Magnet für Betrüger

Mobilfunkanbieter schützen zwar ihre Netzwerke, lassen ihre Posteingänge jedoch weit offen, was die SIM-Swap-Epidemie begünstigt, die die Amerikaner jedes Jahr Milliarden kostet.

Metrisch Akzeptanzrate
DMARC p=ablehnen 41.4%
MTA-STS-Annahme 2.3%
DNSSEC-Annahme 12.6%

❌Kritisches Risiko

Abrechnungsbetrug und Kontoübernahmen: Betrüger versenden echt aussehende Rechnungsbenachrichtigungen, um 2FA-Codes abzugreifen, die anschließend dazu verwendet werden, SIM-Swaps zu autorisieren und Bankkonten zu leerräumen.

✅PowerDMARC-Korrektur

SIM-Phish-Slamming: Erzwingt „p=reject“ über Netzbetreiberdomänen hinweg und hostet MTA-STS, um automatisierte Abrechnungsprozesse zu sichern.

8. Transport und Logistik: Der Kompromiss in der Lieferkette

Fluggesellschaften und Eisenbahnnetze sind mit „Logistik-Umleitungen“ konfrontiert, bei denen gefälschte Frachtlisten zu gestohlener Fracht und umgeleiteten Treibstofflieferungen führen.

Metrisch Adoptionsrate
SPF Korrektheit 90.2%
DMARC p=ablehnen 42.4%
Kein DMARC-Eintrag 1.1%
MTA-STS-Annahme 0.0%
DNSSEC-Annahme 12.0%

❌Kritisches Risiko

Diebstahl eines Manifests im Klartext: Ein 100 % Sicherheitslücke in MTA-STS bedeutet, dass jedes per E-Mail versendete Frachtmanifest unverschlüsselt ist. Angreifer können Sendungswerte und Routen leicht abfangen, um den physischen oder digitalen Diebstahl von Waren zu koordinieren.

✅PowerDMARC-Korrektur

Betrugssichere Logistikkanäle: Das MTA-STS-Hosting mit einem Klick sichert die Transportschicht, gewährleistet die durchgängige Verschlüsselung sensibler Versanddaten und verhindert so Man-in-the-Middle-Angriffe, die per E-Mail ausgelöst werden.

Vier strukturelle Schwachstellen, die die Lücke bei der Durchsetzung verursachen

Die p=none-Implementierungslücke

46,8 % der US-Domains haben DMARC , aber keine Durchsetzung (p=none oder p=Quarantäne). Der aktuelle Status p=none bietet keine Abhilfemaßnahmen, sodass Angreifer weiterhin vertrauenswürdige Marken fälschen können, während das Unternehmen die Aktivitäten lediglich in Protokollen beobachtet.

„Eine DMARC-Richtlinie mit der Einstellung p=none bietet lediglich Berichte und Transparenz hinsichtlich Spoofing-Versuchen, ohne diese zu blockieren. Die hohe Akzeptanzrate in den Vereinigten Staaten ist zwar ermutigend, doch ist eine Umstellung auf eine DMARC-Richtlinie mit der Einstellung p=reject erforderlich, um die unbefugte Nutzung von E-Mails aktiv zu verhindern. Ohne Durchsetzung bleiben E-Mail-Domains weiterhin anfällig.“

Maitham Al Lawati, CEO, PowerDMARC

„Wir beobachten dies ständig bei Fortune-500-Unternehmen: Sie fügen ein neues Marketing-Tool hinzu, und plötzlich werden ihre Rechnungs-E-Mails zurückgewiesen. Das Limit von 10 Lookups ist eine harte Obergrenze im DNS. Ohne SPF-Optimierung wie Flattening oder Makros zur Komprimierung dieser Datensätze führt das Wachstum Ihres digitalen Stacks unweigerlich zu einer Beeinträchtigung Ihrer E-Mail-Zustellbarkeit.“

Yunes Tarada, Service Delivery Manager, PowerDMARC

SPF-Komplexität in großem Maßstab

Während 95,7 % der Domains über einen korrekten SPF, weisen die restlichen 4,3 % weisen kritische Fehlkonfigurationen auf. In komplexen US-Unternehmen ist dies häufig auf das Erreichen der „10-Lookup-Limit” für DNS-Abfragen, was dazu führt, dass legitime E-Mails von Drittanbietern (CRM-, HR-Systeme) die Authentifizierung nicht bestehen und verschwinden.

MTA-STS: Das Verschlüsselungsdefizit

Mit 98,3 % Exposure über alle Bereiche hinweg haben die USA eine nahezu vollständige Kontrolllücke in Bezug auf die Transportsicherheit. Ohne MTA-STS können Angreifer „Downgrade-Angriffe” durchführen, bei denen E-Mail-Server gezwungen werden, die Verschlüsselung aufzuheben und Nachrichten im Klartext zu übertragen, der von jedem, der das Netzwerk überwacht, gelesen werden kann.

„Die Standard-E-Mail-Verschlüsselung (STARTTLS) ist opportunistisch; sie fordert eine Verschlüsselung an, verlangt sie aber nicht. MTA-STS ist eine Möglichkeit, die Transportverschlüsselung durchzusetzen. Da fast der gesamte Datenverkehr in den USA offenliegt, ist es für einen Angreifer ein Leichtes, die Verschlüsselung zu umgehen und vertrauliche Unternehmenskommunikation während der Übertragung zu lesen.“

Ayan Bhuiya, Schichtleiter für Betrieb und Auslieferung, PowerDMARC

„Unternehmen investieren viel in den Aufbau von Markenvertrauen, aber ein einziger DNS-Hijacking kann dies innerhalb von Sekunden zunichte machen. DNSSEC fungiert als Wächter Ihrer digitalen Identität und stellt sicher, dass Kunden, wenn sie Kontakt aufnehmen, mit Ihrem echten Unternehmen verbunden werden. Es handelt sich nicht mehr nur um ein IT-Protokoll, sondern um eine grundlegende Ebene des Marken-Reputationsmanagements.“

Ahona Rudra, Marketing Manager, PowerDMARC

DNSSEC: Das schwache Fundament

DNSSEC ist nur auf 18,0 % der Domains aktiviert. Ohne diese Funktion ist das Verzeichnissystem des Internets (DNS) ungeschützt. Raffinierte, staatlich geförderte Angreifer können das DNS Antwort und den gesamten E-Mail-Verkehr eines Unternehmens auf einen betrügerischen Server umleiten, ohne dass der Absender oder Empfänger davon etwas merkt.

Globales Benchmarking: Die USA im Kontext

LandSPF RichtigDMARC-AnnahmeDMARC p=ablehnenMTA-STS (Verschlüsselung)DNSSEC-Annahme
Vereinigte Staaten 🇺🇸95.7%95.8%49.0%1.7%18.0%
Niederlande 🇳🇱92.4%88.5%41.2%14.5%59.0%
Schweden 🇸🇪85.0%77.9%29.9%2.9%25.9%
Norwegen 🇳🇴85.2%83.1%29.0%2.8%45.6%
Australien 🇦🇺91.5%78.4%26.5%3.1%6.8%
Saudi-Arabien 🇸🇦80.6%54.4%18.4%0.2%11.9%
Japan 🇯🇵95.0%74.6%9.2%0.5%2.1%

Analyse: Wo die USA punkten und wo sie hinterherhinken

Die Benchmarking-Daten für den Zeitraum 2025–2026 zeigen, dass die Vereinigten Staaten derzeit weltweit führend im Bereich der aktiven Verteidigung sind und den höchsten p=Ablehnung der Durchsetzung von 49,0 %. Dieser Erfolg ist vor allem auf frühzeitige regulatorische Vorgaben und das mit hohen Risiken behaftete Umfeld im Bankwesen und im Gesundheitswesen zurückzuführen.

Die USA stehen jedoch vor einem „Technical Tail“-Problem. Während die grundlegenden Standards SPF und DMARC nahezu flächendeckend eingesetzt werden, liegen die Niederlande bei der fortschrittlichen Verschlüsselung deutlich vor den USA. Dies verdeutlicht einen strategischen Fokus auf die Bekämpfung von Phishing (DMARC), während in die Widerstandsfähigkeit der Infrastruktur (DNSSEC/MTA-STS) zu wenig investiert wird.

Darüber hinaus liegt die Akzeptanz von DNSSEC bei nur 18,0 %, bleiben die USA anfälliger für ausgeklügelte DNS-Hijacking-Angriffe als Norwegen (45,6 %). Diese Kluft verdeutlicht den strategischen Fokus Amerikas auf die Bekämpfung von Phishing (DMARC), während gleichzeitig zu wenig in die Widerstandsfähigkeit der Infrastruktur (DNSSEC/MTA-STS) investiert wird. Damit die USA ihre Führungsrolle im Bereich Cybersicherheit behaupten können, muss die nächste Phase über die einfache Identitätsprüfung hinausgehen und sich auf die vollständige Verschlüsselung und Integrität des globalen E-Mail-Ökosystems konzentrieren.

Von Kennzahlen zum Handeln: Die Umsetzungslücke schließen

Die USA verfügen über die notwendigen Grundlagen, um weltweit eine Vorreiterrolle bei der E-Mail-Authentifizierung einzunehmen. Die verbleibenden Aufgaben sind operativer Natur: Der Übergang von der Überwachung zur Durchsetzung sowie die Einführung von Schutzmaßnahmen auf der Transportschicht, die die meisten Organisationen aufgrund der vermeintlichen Komplexität aufschieben.

PowerDMARC schließt diese Lücke durch drei Funktionen:

Automatisierte Durchsetzungswege: Migration von Fortune-500-Unternehmen und KMUs von „p=none“ zu „p=reject“, ohne legitime E-Mails zu blockieren.

Vereinfachung der Infrastruktur: Lösen Sie das SPF-Limit von 10 Lookups mit PowerSPF, hosten Sie MTA-STS-Richtlinien und validieren Sie DNSSEC-Einträge über ein einziges cloud-natives Dashboard.

Vorbereitung auf regulatorische Anforderungen: Unterstützung bei der Einhaltung der PCI-DSS 4.0, HIPAA und CISA-Standards von einer einzigen Plattform aus.

PowerDMARC-Perspektive

„Die USA sind das wichtigste Testfeld für KI-gestütztes Phishing. Amerikanische IT-Teams veröffentlichen zwar regelmäßig Berichte, zögern jedoch bei der Durchsetzung, da sie befürchten, legitime E-Mails zu blockieren. Im Jahr 2026 kommt eine reine Überwachung praktisch einer Kapitulation vor ausgeklügelten Spoofing-Angriffen gleich. Der Übergang zur aktiven Abwehr ist ein unverzichtbarer Schutz vor den Sicherheitsverletzungen, die dieses Jahr prägen werden.“

PowerDMARC-Team

Fazit: Von der Sichtbarkeit zur Verteidigung

Die Daten für 2026 lassen keinen Zweifel zu. US-Unternehmen haben die Grundlagen geschaffen; der nächste Schritt ist die Durchsetzung. In einem Jahr, in dem KI-gestützte Identitätsbetrüger bereits beim ersten Versuch den Tonfall und den Schreibstil einer Führungskraft nachahmen können, ist eine reine Überwachungsstrategie nur ein Zeitverlust.

Der Umstellungsprozess von „p=none“ auf „p=reject“ dauert Wochen und nicht Quartale, wenn die Datensätze automatisch verwaltet werden. Die Branchen, die den Schritt als Erste vollziehen, werden E-Mails von ihrer größten Angriffsfläche in einen vertrauenswürdigen Kommunikationskanal verwandeln.

Sind Sie bereit, den Schritt von der bloßen Erkennung zur aktiven Abwehr zu gehen?

Eine Demo buchen