Rapporto sull'adozione di DMARC e MTA-STS nel Regno Unito 2026

Noi di PowerDMARC abbiamo analizzato la situazione dell'autenticazione delle e-mail su 875 domini con sede nel Regno Unito. I risultati suggeriscono che il Paese si trova in uno stato di "parziale preparazione", una posizione precaria considerando che il National Cyber Security Centre (NCSC) del Regno Unito stia ufficialmente ritirando i suoi servizi Mail Check e Web Check entro il 31 marzo 2026.

Questo segna un cambiamento epocale nel panorama informatico del Regno Unito. Per anni, le organizzazioni hanno fatto affidamento su questi strumenti centralizzati per il monitoraggio. Ora, l'NCSC sta trasferendo la piena responsabilità dell'implementazione e dell'applicazione del DMARC direttamente alle singole organizzazioni. Con la scomparsa della rete di sicurezza di Mail Check, il divario tra il possesso di un registro e l'effettiva applicazione non è più solo una svista tecnica, ma un'emergenza in termini di conformità e sicurezza.

Per approfondire come la tua organizzazione può affrontare questa transizione e mantenere la visibilità, leggi la nostra guida: Modifiche al controllo della posta NCSC per il settore pubblico del Regno Unito.

La seguente analisi rivela un panorama in cui le organizzazioni hanno selezionato la casella "autenticazione" (SPF), ma hanno in gran parte ignorato i livelli "crittografia" (MTA-STS) e "integrità" (DNSSEC).

Richiesta di rapporto - Adozione DMARC nel Regno Unito

"*" indica i campi obbligatori

Questo campo è a scopo di convalida e deve essere lasciato invariato.
Nome*

Panoramica nazionale del Regno Unito: storia di due difese

Prima di approfondire i settori specifici, ecco la situazione generale della sicurezza nel Regno Unito in tutti gli 875 domini analizzati.

SPF del Regno Unito

Correttezza SPF – 93,7%

DMARC nel Regno Unito

Adozione DMARC – 86,4%

DMARC p=rifiuta – 44,1%

Regno Unito MTA-STS

Adozione MTA-STS – 20,6%

Nessun MTA-STS – 79,4%

Test MTA-STS – 4,5%

MTA-STS Enforce – 16,1%

Logo BIMI

Adozione del protocollo DNSSEC – 3,8%

Iniziare 15 giorni di prova

1. Settore bancario e finanziario: il perimetro sicuro con tunnel aperti

Le banche britanniche sono all'avanguardia nel Paese in materia di applicazione delle norme, ma una grave lacuna nei trasporti rende vulnerabili all'intercettazione bonifici bancari per un valore di migliaia di miliardi.

Metrico Tasso di adozione
Correttezza SPF 93.5%
DMARC p=rifiuta 61.3%
Nessun record DMARC 0.0%
Adozione MTA-STS 4.8%
Adozione del protocollo DNSSEC 11.3%
Adozione dell'SPF nel settore bancario nel Regno Unito

Il rischio critico: intercettazione di transazioni di alto valore.

Mentre le banche britanniche hanno il tasso di applicazione più elevato (61,3%), il divario del 95,2% nell'MTA-STS è catastrofico, con solo l'1,6% in modalità di test e il 3,2% in modalità di applicazione. Senza la sicurezza dei trasporti, le e-mail di conferma SWIFT sensibili viaggiano attraverso percorsi non crittografati. Dati recenti mostrano che le frodi e le truffe nei pagamenti hanno causato un danno di oltre 629,3 milioni di sterline solo nella prima metà del 2025, spesso avviate da comunicazioni e-mail manipolate.

La soluzione PowerDMARC:

Con Hosted MTA-STS, forziamo tutto il transito delle e-mail finanziarie su canali crittografati TLS 1.2+, riducendo in modo significativo il rischio di "attacchi di downgrade" in cui i criminali rimuovono la crittografia per leggere le comunicazioni sensibili tra banca e cliente durante il transito.

2. Governo: guida per mandato, fallimento per mancanza di supervisione dell'identità

Il settore pubblico britannico registra i tassi di crittografia più elevati della nazione, ma 1 dipartimento su 8 non dispone ancora di un record DMARC di base.

Metrico Tasso di adozione
Correttezza SPF 94.8%
DMARC p=rifiuta 57.1%
Nessun record DMARC 12.2%
Adozione MTA-STS 39.9%
Adozione del protocollo DNSSEC 2.6%
Adozione del DMARC da parte del governo britannico

Il rischio critico: furto d'identità dei cittadini e fuga di dati personali.

I domini governativi sono chiaramente in testa nell'adozione dell'MTA-STS (39,9%), spinti dai mandati dell'NCSC; il 7,6% è in modalità di test e il 32,4% in modalità di applicazione. Tuttavia, con il il 12,2% non ha alcun record DMARCe un altro 42,9% che non riesce a raggiungere p=reject, il livello di identità rimane poroso. La violazione dei dati del Ministero della Difesa del 2024, che ha compromesso i dati relativi alle buste paga di 272.000 dipendenti, evidenzia quanto le infrastrutture del settore pubblico possano essere vulnerabili allo sfruttamento basato sull'identità.

La soluzione PowerDMARC:

La nostra piattaforma automatizza il percorso verso p=reject per i sottodomini governativi, garantendo che soddisfino i più elevati standard di sicurezza senza il rischio di interrompere i flussi di comunicazione critici con i cittadini.

3. Assistenza sanitaria: rischi di livello HIPAA sul suolo britannico

È in gioco la fiducia dei pazienti, poiché solo 1 operatore sanitario su 3 è in grado di impedire attivamente che un'e-mail contraffatta raggiunga un paziente.

Metrico Tasso di adozione
Correttezza SPF 92.5%
DMARC p=rifiuta 34.0%
Nessun record DMARC 13.2%
Adozione MTA-STS 9.4%
Adozione del protocollo DNSSEC 1.9%
Adozione dell'MTA-STS nel settore sanitario nel Regno Unito

Il rischio critico: fuga di dati relativi alle informazioni sanitarie protette (PHI).

Il settore sanitario rimane uno degli obiettivi principali dei gruppi di ransomware come Qilin, che recentemente ha preso di mira il servizio sanitario nazionale britannico (NHS) e ha divulgato 400 GB di dati privati. Con un basso livello di applicazione del DMARC (34,0%) e un DNSSEC quasi inesistente (1,9%), gli aggressori possono facilmente falsificare le credenziali degli ospedali per diffondere malware o indurre il personale a rivelare cartelle cliniche sensibili.

La soluzione PowerDMARC:

Forniamo un percorso gestito verso la piena DMARC e MTA-STS, garantendo che ogni cartella clinica in uscita sia crittografata e che ogni avviso sanitario ufficiale sia verificato.

Prenota una dimostrazione

4. Trasporti e logistica: il punto debole della catena di approvvigionamento

Le reti di trasporto del Regno Unito sono un invito a nozze per le frodi, con il più alto tasso di "No-DMARC" del Paese.

Metrico Tasso di adozione
Correttezza SPF 91.3%
DMARC p=rifiuta 32.8%
Nessun record DMARC 26.7%
Adozione MTA-STS 6.2%
Adozione del protocollo DNSSEC 2.6%

Il rischio critico: dirottamento delle fatture e interruzione del servizio.

Il settore dei trasporti è particolarmente esposto, con oltre il 26% dei domini completamente privo di DMARC. L'attacco informatico del 2024 contro Transport for London (TfL), che ha compromesso i dati finanziari di 5.000 clienti, dimostra che i sistemi di trasporto sono obiettivi di grande valore. Gli aggressori utilizzano "avvisi di emergenza sulle attrezzature critiche" contraffatti o manifesti falsi per colmare il divario tra la casella di posta aziendale e la logistica fisica.

La soluzione PowerDMARC:

Ottimizziamo i record SPF complessi per rimanere entro i limiti di limiti di ricerca DNS e applichiamo rigide politiche DMARC per proteggere i canali logistici dalle frodi relative alle fatture.

5. Istruzione: il campo della raccolta della proprietà intellettuale

I campus universitari sono obiettivi di grande valore per il furto di proprietà intellettuale, eppure registrano i tassi di applicazione della legge più bassi del Regno Unito.

Metrico Tasso di adozione
Correttezza SPF 94.6%
DMARC p=rifiuta 23.9%
Nessun record DMARC 4.3%
Adozione MTA-STS 17.4%
Adozione del protocollo DNSSEC 4.3%
Istruzione Adozione SPF Regno Unito

Il rischio critico: ricerca e raccolta di dati di accesso.

Un incredibile Il 91% degli istituti di istruzione superiore del Regno Unito ha identificato una violazione informatica nel 2025. La scarsa applicazione del DMARC (23,9%) consente agli aggressori di falsificare gli accessi universitari, ottenendo l'accesso a database di ricerca del valore di milioni di sterline e ai registri finanziari degli studenti.

La soluzione PowerDMARC:

Aiutiamo le università a gestire migliaia di sottodomini dipartimentali da un'unica dashboard, riducendo drasticamente i tentativi di phishing riusciti in tutto il campus.

6. Media: l'amplificatore della disinformazione

Le redazioni combattono le fake news, ma i loro domini e-mail rimangono vulnerabili alle firme contraffatte e alla diffusione di deepfake.

Metrico Tasso di adozione
Correttezza SPF 98.4%
DMARC p=rifiuta 41.3%
Nessun record DMARC 3.2%
Adozione MTA-STS 1.6%
Adozione del protocollo DNSSEC 1.6%
Logo BIMI

Il rischio critico: furto di identità della fonte e frodi deepfake.

Sebbene Media abbia un elevato livello di correttezza SPF (98,4%), l'adozione di MTA-STS e DNSSEC è quasi nulla. Ciò significa che le comunicazioni dei giornalisti sono visibili a chi monitora la rete e che i loro nomi possono essere falsificati per diffondere notizie false o indurre i dipendenti a effettuare trasferimenti fraudolenti.

La soluzione PowerDMARC:

Spostiamo i domini multimediali su p=reject, assicurando che solo il personale verificato possa inviare e-mail, preservando la fiducia nel marchio in un'era di guerre informative guidate dall'intelligenza artificiale.

Iniziare 15 giorni di prova

7. Telecomunicazioni: calamita per le truffe agli abbonati

Gli operatori proteggono le loro reti ma lasciano aperte le loro caselle di posta elettronica, alimentando le frodi di fatturazione e l'epidemia di SIM swap.

Metrico Tasso di adozione
Correttezza SPF 91.0%
DMARC p=rifiuta 32.8%
Nessun record DMARC 11.9%
Adozione MTA-STS 9.0%
Adozione del protocollo DNSSEC 9.0%
Logo BIMI

Il rischio critico: frodi nella fatturazione e appropriazione indebita di account.

Gli elevati tassi di "No-DMARC" (11,9%) consentono ai truffatori di inviare avvisi di fatturazione falsi che sembrano legittimi, indurre gli utenti a rivelare i codici 2FA necessari per lo scambio di SIM o il furto di identità.

La soluzione PowerDMARC:

La nostra piattaforma applica p=reject su tutti i domini dei gestori e ospita MTA-STS per proteggere i flussi di fatturazione automatizzati, rendendo impossibile ai truffatori utilizzare il nome del gestore contro i propri abbonati.

Sotto il cofano: quattro punti deboli strutturali

Il divario di implementazione p=none

Il 18,9% dei domini britannici dispone di DMARC ma non lo applica.

L'opinione degli esperti:

"Una politica DMARC impostata su p=none fornisce solo segnalazioni e visibilità sui tentativi di spoofing, senza bloccarli. Sebbene l'elevato tasso di adozione nel Regno Unito sia incoraggiante, è necessario passare a una politica DMARC di p=reject per prevenire attivamente l'uso non autorizzato delle e-mail".

Maitham Al Lawati, CEO di PowerDMARC

L'opinione degli esperti:

"Il limite di 10 ricerche è un limite massimo rigido nel DNS. Senza tecniche di ottimizzazione SPF come l'appiattimento o le macro per comprimere questi record, l'espansione del tuo stack digitale compromette inevitabilmente la deliverability delle tue e-mail."

Yunes Tarada, Responsabile della fornitura di servizi, PowerDMARC

Complessità SPF su larga scala

Il 6,3% dei domini britannici presenta configurazioni errate critiche, spesso dovute al "limite di 10 lookup".

MTA-STS: Il deficit di crittografia

Il 79,4% dei domini del Regno Unito presenta una lacuna totale in materia di sicurezza dei trasporti.

L'opinione degli esperti:

"La crittografia standard delle e-mail (STARTTLS) è opportunistica. MTA-STS è un modo per applicare il blocco del trasporto. Con quasi tutto il traffico del Regno Unito esposto, è banale per un aggressore rimuovere la crittografia e leggere le comunicazioni aziendali sensibili in transito".

Ayan Bhuiya, responsabile del turno operativo e di consegna, PowerDMARC

L'opinione degli esperti:

"Il protocollo DNSSEC funge da custode della tua identità digitale. Non è più solo un protocollo IT, ma è diventato un elemento fondamentale nella gestione della reputazione del marchio. Un singolo episodio di dirottamento DNS può distruggere la fiducia nel marchio in pochi secondi."

Ahona Rudra, Responsabile marketing, PowerDMARC

DNSSEC: le fondamenta deboli

Abilitato solo sul 3,8% dei domini del Regno Unito.

Contattateci

Benchmarking globale: il Regno Unito nel contesto

Questa tabella mette a confronto i protocolli di sicurezza critici: Correttezza SPF (record validi), Applicazione DMARC (p=rifiuto), adozione MTA-STS (crittografia del trasporto) e DNSSEC abilitato.

PaeseSPF CorrettoDMARC (p=rifiuta)MTA-STSDNSSEC
Stati Uniti 🇺🇸95.7%49.0%1.7%18.0%
Australia 🇦🇺92.3%46.7%5.8%6.8%
Regno Unito 🇬🇧93.7%44.1%20.6%3.8%
Norvegia 🇳🇴85.2%29.0%2.8%45.6%
Italia 🇮🇹91.0%16.7%1.0%3.5%
Arabia Saudita 🇸🇦80.6%18.4%0.2%11.9%
Giappone 🇯🇵95.0%9.2%0.5%16.4%
Nigeria 🇳🇬70.3%14.2%0.0%8.2%

Informazioni chiave tratte dai rapporti ufficiali

Il divario nell'applicazione della legge

Sebbene l'adozione dell'SPF sia universalmente elevata (con una media superiore al 90% nei paesi sviluppati), il passaggio dal "monitoraggio" (p=nessuno) all'"applicazione" (p=rifiuto) rimane l'ostacolo più grande. Il Giappone, ad esempio, ha un SPF elevato (95%), ma soffre di un enorme divario nell'applicazione, con solo il 9,2% dei domini che blocca attivamente le e-mail contraffatte.

Il MTA-STS britannico si distingue

The United Kingdom shows an unusually high MTA-STS adoption rate (20.6%) compared to the global average (typically <2%). This is largely attributed to strict NCSC (National Cyber Security Centre) guidelines that have pushed for transport layer security across government and critical infrastructure sectors.

Adozione del protocollo DNSSEC

La Norvegia e gli Stati Uniti sono all'avanguardia nell'adozione del protocollo DNSSEC, in particolare nei settori governativo e finanziario, riflettendo una maggiore priorità nella prevenzione degli attacchi di dirottamento DNS e cache poisoning in quelle regioni.

La "trappola della conformità"

PowerDMARC sottolinea che molte organizzazioni rimangono a p=none a tempo indeterminato. Nel rapporto Arabia Saudita 2025, ad esempio, numerose organizzazioni con DMARC sono ancora in modalità "passiva", il che le rende vulnerabili all'usurpazione di identità nonostante dispongano di un record.

Conclusione: dalle metriche all'azione

I dati sono chiari: il Regno Unito ha creato una solida base tecnica, ma deve ancora colmare completamente il divario tra il monitoraggio passivo e l'applicazione attiva delle norme sulla circolazione stradale. Sebbene gli autovelox fissi siano quasi onnipresenti (93,7%) e l'adozione del DMARC è elevata (86,4%), più della metà del Paese non è riuscita a raggiungere la piena applicazione (p=reject) e la diffusa mancanza di integrità DNSSEC (96,2% di divario) rimane una vulnerabilità da miliardi di sterline.

Le organizzazioni britanniche non possono permettersi di aspettare il prossimo avviso dell'NCSC o un incidente catastrofico di Business Email Compromise (BEC) per passare dal monitoraggio alla protezione. PowerDMARC colma questo "divario di implementazione" fornendo:

Percorsi di applicazione automatizzati: Migrazione sicura delle aziende FTSE 100 e delle PMI da p=none a p=reject senza bloccare le comunicazioni aziendali critiche o il flusso di posta dei reparti.

Semplificazione dell'infrastruttura: superamento del "limite di 10 lookup" con l'ottimizzazione SPF, hosting MTA-STS per colmare il divario di crittografia del 79 , 4 % e convalidando i record DNSSEC in un'unica dashboard cloud-native.

Preparazione normativa: Supporto alla conformità con il GDPR, UK Cyber Essentialse PCI-DSS 4.0 semplificando la protezione anti-phishing e proteggendo le comunicazioni e-mail sensibili.

Prenota una demo Contattateci

Prospettiva PowerDMARC

"Il Regno Unito è attualmente uno dei principali obiettivi delle frodi di phishing e delle frodi sulle fatture basate sull'intelligenza artificiale. Sebbene i team IT britannici siano eccellenti nella pubblicazione di registrazioni fondamentali, spesso sono paralizzati dal timore di bloccare la posta legittima. Nel 2026, un approccio basato esclusivamente sul monitoraggio equivale essenzialmente a una resa di fronte a sofisticate tecniche di spoofing. Il passaggio a una difesa attiva non è solo un aggiornamento della sicurezza, ma è essenziale per proteggersi dalle violazioni che prendono di mira il cuore dell'economia digitale del Regno Unito".

Team PowerDMARC

Trasforma oggi stesso la visibilità in difesa

I tassi di adozione nel Regno Unito dimostrano che le basi sono pronte; ora è il momento di dare il via. In un contesto in cui l'intelligenza artificiale è in grado di imitare perfettamente il tono di voce di un dirigente, affidarsi esclusivamente alla "visibilità" non è sufficiente.

Non lasciare che il tuo dominio rimanga una "frontiera non protetta". Passa dal monitoraggio passivo alla protezione attiva prima che la prossima ondata di attacchi coordinati colpisca il tuo settore.

Contatta PowerDMARC per iniziare il tuo percorso verso l'applicazione.

Prova di 15 giorniPrenota una demo