E-mailbeveiliging in Japan: rapport over de acceptatie van DMARC en MTA-STS in 2025

Alleen al in de eerste helft van 2025 meldde het Japanse nationale politieagentschap maar liefst 1,2 miljoen gevallen van phishing, waarmee het land op weg is om alle eerdere records te verbreken. Deze digitale belegering heeft een verwoestende prijs: in 2024 bedroegen de financiële verliezen als gevolg van fraude en cyberoplichting naar schatting 3,22 biljoen JPY (22 miljard dollar), waarbij bijna een op de drie burgers het slachtoffer werd. Deze escalatie is niet onopgemerkt gebleven bij de autoriteiten.

Als reactie op deze crisis heeft het Ministerie van Economie, Handel en Industrie (METI) de invoering aangekondigd van een streng beoordelingssysteem voor cyberbeveiliging van bedrijven te implementeren tegen het boekjaar 2025. Deze stap betekent een cruciale verschuiving: cyberbeveiliging is in Japan niet langer slechts een IT-vinkje, maar een nationale economische prioriteit.

Dit rapport biedt een technische analyse van de e-mail- en domeinbeveiliging in de belangrijkste sectoren van Japan. Het onderzoekt de paradox van hoge naleving maar lage handhaving, en legt de structurele hiaten bloot die organisaties kwetsbaar maken voor de inbreuken die nu de krantenkoppen halen.

Rapportaanvraag - DMARC-implementatie in Japan

"*" geeft verplichte velden aan

Dit veld is voor validatiedoeleinden en moet ongewijzigd blijven.
Naam*

Snapshot: Japan in cijfers

De volgende tabel bevat gegevens van 422 grote Japanse domeinen, waarbij de verschillen tussen het gebruik van protocollen en actieve bescherming worden benadrukt.

SPF

DMARC

Japan DMARC

MTA-STS

DNSSEC

BIMI-logo

VeiligheidsmetriekPercentageVertolking
SPF corrigeren95.0%Uitstekende fundamentele acceptatie.
DMARC Invoering74.6%Hoog bewustzijn, maar vaak verkeerd geconfigureerd.
DMARC-handhaving (afwijzen)9.2%Kritieke lacune: slechts ongeveer 1 op de 10 domeinen blokkeert bedriegers.
Alleen DMARC-monitoring (Geen)55.0%De meeste domeinen zijn zichtbaar maar kwetsbaar.
MTA-STS-geldigheid0.5%Bijna volledig gebrek aan versleuteling van de transportlaag.
DNSSEC ingeschakeld16.4%Hoge kwetsbaarheid voor DNS-kaping.

Begin een 15 dagen proefabonnement

Sector Radar: Wie loopt risico en waarom?

De totale cijfers verhullen specifieke kwetsbaarheden binnen cruciale Japanse industrieën. Hieronder volgt een gedetailleerd overzicht van de dreigingen per sector.

1. Bankwezen: hoogwaardige doelwitten, gedeeltelijke bepantsering

De financiële sector ligt in de frontlinie van fraude, maar slechts een op de drie bankdomeinen blokkeert actief vervalste e-mails.

De gegevens

Metrisch Een waarde
SPF corrigeren 93.9%
DMARC-record bestaat 97.0%
DMARC p=reject (Beveiligd) 33.3%
DMARC p=none (Kwetsbaar) 39.4%
MTA-STS Geldig 1.5%
Bankwezen SPF-toepassing

De risicoanalyse

De Japanse banksector is beter beschermd dan de meeste andere sectoren, maar er blijft een aanzienlijke kwetsbaarheid bestaan. Bijna twee op de drie (66,7%) bankdomeinen zijn niet p=reject. Hierdoor kunnen geavanceerde aanvallers filters omzeilen en vervalste e-mails met 'Urgent Wire Transfer' of 'Security Alert' rechtstreeks in de inbox van vermogende klanten en interne medewerkers plaatsen.

Bovendien, met slechts 1,5% gebruik wordt gemaakt van MTA-STS, wordt het overgrote deel van de financiële correspondentie, waaronder transactiebevestigingen en gevoelige klantgegevens, verzonden zonder verplichte versleuteling, waardoor deze kwetsbaar is voor Man-in-the-Middle (MitM)-aanvallen en downgrade-exploits.

De PowerDMARC-oplossing

  • Gefaseerde handhaving:
    Begeleide overgang van     p=none naar p=afwijzen met behulp van AI-gestuurde dreigingsmodellering om ervoor te zorgen dat legitieme transactie-e-mails nooit worden geblokkeerd.
  • Gehoste MTA-STS:
    Snelle implementatie van transportversleuteling om te voldoen aan wereldwijde financiële nalevingsnormen zonder interne IT-teams te belasten.

2. Onderwijs: een hotspot voor het verzamelen van inloggegevens

Universiteiten zijn een belangrijk doelwit voor onderzoeksspionage en identiteitsdiefstal, maar er wordt nauwelijks opgetreden.

De gegevens

Metrisch Een waarde
SPF corrigeren 96.0%
Geen DMARC record 32.0%
DMARC p=none 57.3%
DMARC p=afwijzen 6.7%
MTA-STS Geldig 0.0%

De risicoanalyse

De onderwijssector loopt een groot risico. Een op de drie domeinen heeft helemaal geen DMARC-record en meer dan de helft zit vast in de monitoringmodus. Dit maakt het makkelijk voor phishingcampagnes die zich voordoen als 'IT-wachtwoordresets', 'subsidieaanvragen' of 'examenresultaten'.

De gevolgen zijn ernstig: één enkel gehackt studenten- of docentenaccount kan leiden tot grootschalige gegevensdiefstal van eigen onderzoek of het kapen van computerbronnen van de universiteit voor cryptomining. De 0,0% gebruik van MTA-STS betekent dat intellectueel eigendom dat via e-mail wordt gedeeld, vaak in leesbare tekst over het web wordt verzonden.

De PowerDMARC-oplossing

  • Beheer van meerdere huurders:
    Gecentraliseerd overzicht van verschillende faculteiten, afdelingen en mailsystemen van alumni.
  • Policy-as-a-Service:
    Een vereenvoudigd model waarmee instellingen beveiliging op bedrijfsniveau kunnen realiseren zonder dat daarvoor een speciaal Security Operations Center (SOC) nodig is.

3. Overheid: digitale diensten met zachte randen

Overheidsinstanties digitaliseren hun dienstverlening aan burgers sneller dan dat ze de communicatiekanalen die daarvoor worden gebruikt beveiligen.

De gegevens

Metrisch Een waarde
SPF corrigeren 95.8%
Geen DMARC record 26.3%
DMARC p=none 61.1%
DMARC p=afwijzen 4.2%
MTA-STS Geldig 0.0%

De risicoanalyse

Terwijl Japan streeft naar "Society 5.0" en een toenemende digitalisering van overheidsdiensten, blijft de infrastructuur voor e-mailbeveiliging achter. Met meer dan 60% van de domeinen op p=none en 26% helemaal geen DMARC heeft, zijn burgers zeer kwetsbaar voor vervalste e-mails over belastingbetalingen, pensioenmeldingen of rampenbestrijding.

De volledige afwezigheid (0,0%) van MTA-STS maakt officiële overheidscommunicatie kwetsbaar voor onderschepping. Dit ondermijnt het vertrouwen van het publiek in e-overheidportalen, aangezien burgers niet kunnen controleren of een e-mail daadwerkelijk afkomstig is van een overheidsinstantie of dat de inhoud ervan tijdens het transport is gewijzigd.

De PowerDMARC-oplossing

  • Nationale implementatiehandleidingen:
    Strategieën op maat voor het overzetten van grote, complexe domeinportfolio's naar handhaving in overeenstemming met nationale cyberbeveiligingsrichtlijnen.
  • DNSSEC & MTA-STS:
    Gestroomlijnde implementatiekaders die zijn ontworpen om te passen binnen de aanbestedings- en wijzigingsbeheerprocessen van de publieke sector.
Een demo boeken

4. Gezondheidszorg: communicatie over leven en dood

In de gezondheidszorgkan een vervalste e-mail niet alleen gevolgen hebben voor de financiën, maar ook voor de veiligheid en privacy van patiënten.

De gegevens

Metrisch Een waarde
SPF corrigeren 95.2%
Geen DMARC record 42.8%
DMARC p=none 52.4%
DMARC p=afwijzen 0.0%
DNSSEC ingeschakeld 4.8%
Gezondheidszorg DNSSEC-implementatie

De risicoanalyse

Dit is misschien wel de meest alarmerende dataset. Nul procent van de domeinen in de gezondheidszorg handhaaft p=reject. Dit betekent dat elk geanalyseerd domein in de gezondheidszorg technisch gezien vatbaar is voor directe domeinspoofing.

Aanvallers kunnen zich voordoen als ziekenhuisbeheerders of zorgverzekeraars om valse 'testresultatenmeldingen' of 'betalingsherinneringen' te versturen, waardoor patiënten worden misleid om gevoelige medische en financiële gegevens vrij te geven. Het gebrek aan versleutelingshandhaving (MTA-STS) brengt de naleving van de privacyregels voor patiënten nog verder in gevaar.

De PowerDMARC-oplossing

  • Risicobewuste opschaling:
    Een zorgvuldige overgang naar handhaving waarbij prioriteit wordt gegeven aan de bezorging van cruciale klinische e-mails (laboratoriumrapporten, afspraakherinneringen) en bedreigingen worden geblokkeerd.
  • Naadloze versleuteling:
    Gehoste MTA-STS om e-mailstromen te versleutelen zonder dat er complexe herconfiguraties van verouderde ziekenhuismailservers nodig zijn.

5. Media: Desinformatie en blootstelling van bronnen

Japanse mediabedrijven verdedigen de democratie en de publieke perceptie, maar aanvallers kunnen nog steeds gemakkelijk hun mastheads vervalsen.

De gegevens

Metrisch Een waarde
SPF corrigeren 89.7%
Geen DMARC record 24.1%
DMARC p=none (Kwetsbaar) 69.0%
DMARC p=reject (Beveiligd) 5.2%
MTA-STS Geldig 0.0%
Media SPF-toepassing

De risicoanalyse

De mediasector heeft de laagste SPF-correctheid (89,7%) van alle geanalyseerde sectoren, wat wijst op problemen met het beheer van complexe verzenderinfrastructuren (nieuwsbrieven, marketing, tools van derden).

Wat nog belangrijker is, is dat bijna 70% van de domeinen zich op p=none. Hierdoor kunnen kwaadwillende actoren zich voordoen als betrouwbare nieuwsbronnen om 'nepnieuws' te verspreiden, desinformatie te verspreiden tijdens verkiezingen of valse abonnementsverlengingsberichten te versturen om creditcardgegevens te verzamelen.

Met een MTA-STS-acceptatiegraad van 0,0% is de communicatie tussen journalisten en vertrouwelijke bronnen niet versleuteld, wat een ernstig risico vormt voor de bescherming van bronnen en de persvrijheid.

De PowerDMARC-oplossing

  • Bescherming van journalisten:
    Snelle escalatie naar     p=quarantaine en p=afwijzing om ervoor te zorgen dat niemand zich kan voordoen als verslaggever of redacteur.
  • Zichtbaarheid van schaduw-IT:
    Identificatie van ongeautoriseerde externe e-maildiensten die vaak worden gebruikt door marketing- of regionale afdelingen.

6. Telecommunicatie: poortwachters met open deuren

Telecombedrijven zorgen voor nationale connectiviteit, maar laten de voordeur van hun eigen e-mailinfrastructuur openstaan.

De gegevens

Metrisch Een waarde
SPF corrigeren 95.5%
Geen DMARC record 17.9%
DMARC p=none (Kwetsbaar) 49.3%
DMARC p=reject (Beveiligd) 9.0%
DNSSEC ingeschakeld 9.0%
BIMI-logo

De risicoanalyse

Telecommunicatieproviders zijn zeer aantrekkelijke doelwitten voor 'SIM-swap'-aanvallen en account-overnames. Bijna de helft (49,3%) van de domeinen op p=none en bijna 20% helemaal geen DMARC heeft, kunnen aanvallers gemakkelijk e-mails met 'factureringsupdates', 'waarschuwingen voor datalimieten' of 'SIM-upgrades' vervalsen om klanten te misleiden en hen hun inloggegevens te laten prijsgeven.

De lage DNSSEC-acceptatie (9,0%) is ironisch voor de connectiviteitsproviders, omdat hun eigen infrastructuur hierdoor kwetsbaar is voor DNS-spoofing, waardoor het verkeer van klanten kan worden omgeleid.

De PowerDMARC-oplossing

  • Beheer van beleid voor grote volumes:
    Gespecialiseerde handhavingsstrategieën die miljoenen klantmeldingen verwerken zonder valse positieven te genereren.
  • DNS-gerichte controles:
    Versterking van de DNS-laag om zowel klantgerichte portals als interne operationele domeinen te beschermen.
Begin een 15 dagen proefabonnement

7. Transport: tickets, vracht en vertrouwen onderweg

Van luchtvaartmaatschappijen tot logistieke bedrijven: transportorganisaties werken met e-mail, en nog steeds vertrouwen te veel bedrijven op niet-geverifieerde berichten.

De gegevens

Metrisch Een waarde
SPF corrigeren 98.4%
Geen DMARC record 39.7%
DMARC p=none (Kwetsbaar) 55.6%
DMARC p=reject (Beveiligd) 0.0%
MTA-STS Geldig 0.0%

De risicoanalyse

De transportsector heeft de hoogste SPF-correctheid (98,4%), maar de zwakste handhaving. Nul procent van de transportdomeinen handhaaft p=reject.

Deze kwetsbaarheid nodigt aanvallers uit om valse e-mails te versturen met onderwerpen als 'Vluchtannulering', 'Douanefactuur' of 'Wijziging leveringsdatum'. In de logistiek kan dit leiden tot diefstal van vracht of omleiding van de toeleveringsketen. Voor consumentenreizen opent dit de deur naar grootschalige verzameling van inloggegevens en creditcardfraude.

Net als in andere sectoren betekent een MTA-STS-score van 0,0% dat gevoelige vrachtmanifesten, reisplannen van passagiers en paspoortgegevens vaak zonder geverifieerde versleuteling worden verzonden.

De PowerDMARC-oplossing

  • Integriteit van de toeleveringsketen:
    Snelle implementatie van     DMARC-beleid afgestemd op boekingssystemen, wereldwijde distributiesystemen (GDS) en integraties met logistieke partners.
  • B2B- en B2C-bescherming:
    Gelijktijdige bescherming voor grote hoeveelheden consumentenmeldingen (tickets/instapkaarten) en gevoelige B2B-vrachtcommunicatie.

Onder de motorkap: vier structurele zwakke punten

Naast de sectorspecifieke risico's worden er vier systeemzwakheden in het Japanse e-mailecosysteem gesignaleerd.

1. De 'comfortval' van p=none

55,0% van de Japanse domeinen heeft DMARC, maar er wordt geen handhaving toegepast. Deze modus van 'alleen monitoren' biedt wel zichtbaarheid, maar geen enkele bescherming. Het is een vals gevoel van veiligheid waardoor aanvallers door kunnen gaan met het misbruiken van vertrouwde merken, terwijl de organisatie dit alleen maar in de logboeken kan zien gebeuren.

“Een beleid van p=none is als het installeren van een beveiligingscamera, maar de voordeur open laten staan. Je kunt zien hoe de inbrekers binnenkomen, maar je kunt ze niet tegenhouden. De hoge acceptatiegraad in Japan is veelbelovend, maar zonder over te stappen op p=reject, is het werk maar half gedaan."

Maitham Al Lawati, CEO, PowerDMARC

“We zien dit voortdurend bij grote ondernemingen: ze voegen een nieuwe marketingtool toe en plotseling worden hun factureringsmails teruggestuurd. De limiet van 10 lookups is een harde grens in DNS. Zonder 'SPF Flattening'-technologie -technologie om deze records te comprimeren, zal de groei van uw digitale stack onvermijdelijk uw e-mailbezorgbaarheid verstoren."

Yunes Tarada, Service Delivery Manager, PowerDMARC

2. SPF-complexiteit op schaal

Hoewel 95,0% van de domeinen een correcte SPF, heeft de overige 5,0% te maken met kritieke configuratiefouten. In complexe organisaties komt dit vaak door het bereiken van de "10-lookup limiet" voor DNS-query's, waardoor legitieme e-mails van externe leveranciers (CRM, HR-systemen) de authenticatie niet doorstaan en verdwijnen.

3. MTA-STS: De blinde vlek

Met een validiteit van slechts 0,5% over de hele linie heeft Japan een bijna totale blinde vlek wat betreft transportveiligheid. Zonder MTA-STSkunnen aanvallers 'downgrade-aanvallen' uitvoeren, waarbij e-mailservers worden gedwongen de versleuteling te laten vallen en berichten in leesbare tekst te verzenden, die door iedereen die het netwerk controleert, kunnen worden gelezen.

"Standaard e-mailversleuteling (STARTTLS) is opportunistisch; het vraagt om versleuteling, maar eist het niet. MTA-STS is de enige manier om die vergrendeling af te dwingen. Aangezien 99,5% van de Japanse domeinen dit niet heeft, is het voor een aanvaller een fluitje van een cent om de versleuteling te verwijderen en gevoelige bedrijfscommunicatie tijdens het transport te lezen."

Ayan Bhuiya, Operations & Delivery Shift Lead, PowerDMARC

"Organisaties investeren veel in het opbouwen van merkvertrouwen, maar één enkele DNS-kaping kan dat in een paar seconden kapotmaken. DNSSEC is de bewaker van je digitale identiteit en zorgt ervoor dat klanten, als ze contact zoeken, verbinding maken met de echte . Het is niet langer alleen een IT-protocol, maar een fundamentele laag van merk-reputatiemanagement."

Ahona Rudra, Marketingmanager, PowerDMARC

4. DNSSEC: De zwakke basis

DNSSEC is slechts op 16,4% van de domeinen ingeschakeld. Zonder dit is het directory-systeem van het internet (DNS) onbeschermd. Geavanceerde aanvallers kunnen de DNS en de volledige e-mailstroom van een bedrijf omleiden naar een malafide server zonder dat de afzender of ontvanger dit merkt.

Neem Contact Met Ons Op

Wereldwijde benchmarking: Japan in context

Om de 'Japanse paradox' echt te begrijpen, moeten we de gegevens voor 2025 naast de recente bevindingen van PowerDMARC uit Europa, Afrika, Zuid-Amerika en Oceanië leggen.

De gegevens onthullen een verrassende realiteit: Japan heeft de hoogste fundamentele naleving (SPF) ter wereld, maar scoort gevaarlijk laag op het gebied van daadwerkelijke handhaving (p=afwijzing).

Terwijl landen als Zweden en Noorwegen erin geslaagd zijn om adoptie om te zetten in bescherming (het blokkeren van aanvallen), blijft Japan vastzitten in de 'monitoringmodus'. Misschien wel het meest verontrustend is dat Peru, Nigeriaen Italië hanteren allemaal een strenger veiligheidsbeleid dan Japan.

Het wereldwijde klassement: gegevens voor 2025

Gegevens uit regionale implementatierapporten van PowerDMARC 2025.

LandSPF Correct (Identiteit)DMARC-acceptatie (zichtbaarheid)Handhaving DMARC (p=weigeren)MTA-STS (versleuteling)
Zweden 🇸🇪85.0%77.9%29.9%2.9%
Noorwegen 🇳🇴85.2%83.1%29.0%2.8%
België 🇧🇪90.1%79.1%24.7%<1.0%
Peru 🇵🇪86.1%66.0%17.9%0.6%
Italië 🇮🇹91.0%74.0%16.7%~1.0%
Nieuw-Zeeland 🇳🇿81.2%62.5%16.7%1.3%
Nigeria 🇳🇬70.3%45.9%14.2%0.0%
Japan 🇯🇵95.0%74.6%9.2%0.5%
Marokko 🇲🇦71.3%36.5%7.5%0.0%
Tunesië 🇹🇳76.4%30.1%4.8%0.0%

Kritische inzichten: waar staat Japan?

1. De Noordse norm (Zweden en Noorwegen)

  • De benchmark: De Scandinavische landen hebben de wereldwijde norm voor 'actieve verdediging' vastgesteld. Met handhavingspercentages die rond de 30%, blokkeert ongeveer 1 op de 3 domeinen actief pogingen tot spoofing.
  • De Japan Gap: Japan heeft aanzienlijk hogere SPF-gebruik (95% versus ~85%), maar 3x lagere handhaving. Dit bevestigt dat Japanse IT-teams uitstekend zijn in compliance (het aanvinken van vakjes), maar aarzelen om de bescherming te activeren.

2. De 'verrassende' uitdagers (Peru en Nigeria)

  • De realiteit: Het is een ontnuchterende statistiek dat Peru (17,9%) en Nigeria (14,2%) aanzienlijk hogere handhavingspercentages hebben dan Japan (9,2%).
  • De context: Nigeria, dat vaak te kampen heeft met een reputatie van e-mailfraude, heeft agressieve maatregelen genomen om zijn bedrijfsdomeinen af te schermen. Door zijn conservatieve aanpak, waarbij voorzichtigheid voorrang krijgt boven blokkering, is Japan kwetsbaarder dan deze opkomende digitale economieën.

3. De gedeelde strijd (Tunesië en Marokko)

  • De vergelijking: Het handhavingspercentage van Japan (9,2%) ligt gevaarlijk dicht bij dat van markten die zich nog in een vroeg stadium bevinden, zoals Marokko (7,5%) en Tunesië (4,8%).
  • Het inzicht: Ondanks dat Japan beschikt over een infrastructuur van 'eerste wereld'-niveau (hoge SPF), heeft het land in feite een 'ontwikkelingsland'-beveiligingshouding als het gaat om het stoppen van aanvallen. De kloof tussen het hebben van de tools en het gebruik die tools is in Japan het grootst in vergelijking met alle andere onderzochte landen.

Het oordeel van PowerDMARC

“Japan is een wereldwijde uitzondering. In de meeste landen is het een hele uitdaging om bedrijven zover te krijgen dat ze überhaupt een DMARC-record publiceren. In Japan zijn de records aanwezig en is het bewustzijn groot, maar de schakelaar staat op 'uit'.

Als we kijken naar Zweden of België, zien we de toekomst: een hoge acceptatiegraad in combinatie met een strenge handhaving. Japan is momenteel een 'papieren tijger': het ziet er indrukwekkend uit op een checklist voor naleving (95% SPF), maar in de praktijk biedt het weinig weerstand tegen een aanvaller.

PowerDMARC-team voor dreigingsinformatie

Conclusie: van statistieken naar actie

De gegevens zijn duidelijk: Japan heeft de fundering (SPF) gelegd, maar heeft nog geen muren (DMARC Enforcement) of dak (MTA-STS) gebouwd.

Organisaties in Japan hebben geen behoefte aan nog een wake-up call in de vorm van een schokkend nieuwsbericht over een datalek. Ze hebben behoefte aan een gecontroleerd, begeleid traject naar handhaving. PowerDMARC zet deze kwetsbaarheid om in veerkracht door:

Vereenvoudiging van encryptie met Gehoste MTA-STS en DNSSEC.

Het automatiseren van de reis van p=none naar p=afwijzen.

Afstemming op regelgeving door middel van sectorspecifieke compliance-handboeken.

Een demo boeken Neem contact met ons op

PowerDMARC-perspectief

"Japan beschikt over de technische basis om wereldwijd toonaangevend te zijn op het gebied van e-mailverificatie. Het is nu dringend noodzakelijk om van passieve zichtbaarheid over te stappen op actieve verdediging, door de uitzonderlijke acceptatie van SPF om te zetten in strikte handhaving van DMARC. Sectoren die momenteel achterblijven op het gebied van bescherming, zoals transport en gezondheidszorg, hebben de mogelijkheid om hun positie snel te verbeteren en hun e-maildomeinen te veranderen van kwetsbare doelwitten in betrouwbare communicatiekanalen."

Maak vandaag nog van zichtbaarheid een verdedigingsmiddel

De hoge acceptatiegraad in Japan bewijst dat organisaties klaar zijn voor beveiliging – ze hebben alleen de juiste partner nodig om de knop om te zetten. Laat uw domein geen 'papieren tijger' blijven. Stap over van passieve monitoring naar actieve bescherming voordat de volgende golf van aanvallen toeslaat.

Neem contact op met PowerDMARC om uw reis naar handhaving te beginnen.

Vijftien dagen op proefBoek een demo