Datum van analyse: 02/08/2025

Nieuw-Zeeland DMARC & MTA-STS adoptieverslag 2025

De Nieuw-Zeelandse publieke sector staat onder toenemende druk van phishing- en spoofingaanvallen gericht op overheidsdomeinen. Als reactie hierop heeft de overheid het Secure Government Email (SGE) Frameworkdat alle overheidsinstellingen verplicht om voor oktober 2025 open standaarden te gebruiken, waaronder DMARC (ingesteld op "reject"), SPF, DKIM, MTA-STS en TLS-RPT. Het raamwerk vervangt het oude SEEMail-systeem en introduceert regelmatige rapportage, herstel van problemen en standaarden voor veilige e-mailverzending. Dit rapport geeft een overzicht van de voortgang van de implementatie en schetst stappen om cyberrisico's te verminderen, e-mailintegriteit af te dwingen en communicatie binnen de publieke sector te beschermen.

Boek een demo PDF downloaden

Een Beoordeling Van Het Dreigingslandschap

PowerDMARC's Nieuw-Zeelandse DMARC en MTA-STS Adoption Report 2025 gaat in op de volgende belangrijke vragen:

  • Hoe succesvol heeft Nieuw-Zeeland SPF en DMARC op verschillende domeinen?

  • Wat is het huidige niveau van MTA-STS in Nieuw-Zeelandse organisaties?

  • Welke sectoren in Nieuw-Zeeland staan het meest bloot aan cyberbedreigingen via e-mail?

  • Welke fouten maken Nieuw-Zeelandse organisaties vaak bij e-mailverificatie?

  • Welke specifieke acties moeten domeinbezitters in Nieuw-Zeeland ondernemen om hun e-mailbeveiliging te verbeteren?

Geanalyseerde Sectoren

Totaal geanalyseerde domeinen: 976

  • Financiën

  • Gezondheidszorg

  • Media

  • Overheid

  • Andere

  • Telecommunicatie

  • Transport

  • Onderwijs

Wat Zeggen de Cijfers?

Nieuw-Zeeland SPF-adoptieanalyse

BIMI-logo

Nieuw-Zeeland DMARC-adoptieanalyse

BIMI-logo

Nieuw-Zeeland MTA-STS adoptieanalyse

BIMI-logo

Nieuw-Zeeland DNSSEC-adoptieanalyse

BIMI-logo

Belangrijkste bevindingen

  • 81,2% van de Nieuw-Zeelandse domeinen heeft correcte SPF-records.
  • 16,7% van de domeinen heeft een DMARC-beleid voor "afwijzen" geïmplementeerd.
  • 36,9% van de domeinen heeft geen DMARC record.
  • Slechts 1,3% van de domeinen heeft de handhaving van MTA-STS geïmplementeerd; de overgrote meerderheid (97,6%) heeft MTA-STS niet geïmplementeerd.
  • Voor 13,4% van de domeinen is DNSSEC ingeschakeld.

Financiën

Een Analyse Van de SPF-implemetatie in Nederland

BIMI-logo

Een Analyse Van de DMARC-implemetatie in Nederland

BIMI-logo

Een Analyse Van de MTA-STS-implemetatie in Nederland

BIMI-logo

Een Analyse Van de DNSSEC-implemetatie in Nederland

BIMI-logo

Belangrijkste bevindingen 

  • 86,3% van de domeinen heeft correcte SPF-records.
  • 42,1% van de domeinen heeft geen DMARC-record.
  • Slechts 0,9% van de domeinen heeft de handhaving van MTA-STS geïmplementeerd, terwijl 98,7% geen MTA-STS heeft.
  • Bij 97,0% van de domeinen is DNSSEC uitgeschakeld.

Gezondheidszorg

Een Analyse Van de SPF-implemetatie in Nederland

BIMI-logo

Een Analyse Van de DMARC-implemetatie in Nederland

BIMI-logo

Een Analyse Van de MTA-STS-implemetatie in Nederland

BIMI-logo

Een Analyse Van de DNSSEC-implemetatie in Nederland

BIMI-logo

Belangrijkste bevindingen

  • 68,1% van de gezondheidszorgdomeinen heeft correcte SPF-records.
  • 42,7% van de domeinen heeft geen DMARC-record.
  • Slechts 1,0% van de domeinen heeft de handhaving van MTA-STS geïmplementeerd, terwijl 98,5% helemaal geen MTA-STS heeft.
  • Bij 91,2% van de gezondheidszorgdomeinen is DNSSEC uitgeschakeld.

Media

Een Analyse Van de SPF-implemetatie in Nederland

BIMI-logo

Een Analyse Van de DMARC-implemetatie in Nederland

BIMI-logo

Een Analyse Van de MTA-STS-implemetatie in Nederland

BIMI-logo

Een Analyse Van de DNSSEC-implemetatie in Nederland

BIMI-logo

Belangrijkste bevindingen

  • 73,7% van de domeinen heeft correcte SPF-records.
  • 42,5% van de domeinen heeft geen DMARC record.
  • 0% MTA-STS adoptie waargenomen in deze sector; slechts 1,3% wordt getest, terwijl 98,7% geen MTA-STS heeft.
  • Bij 97,5% van de domeinen is DNSSEC uitgeschakeld.

Overheid

Een Analyse Van de SPF-implemetatie in Nederland

BIMI-logo

Een Analyse Van de DMARC-implemetatie in Nederland

BIMI-logo

Een Analyse Van de MTA-STS-implemetatie in Nederland

BIMI-logo

Een Analyse Van de DNSSEC-implemetatie in Nederland

BIMI-logo

Belangrijkste bevindingen

  • 89,6% van de overheidsdomeinen heeft SPF-records correct geïmplementeerd.
  • 13,2% van de overheidsdomeinen heeft geen DMARC-record.
  • De adoptie van MTA-STS is zeer beperkt: 95,1% van de domeinen heeft geen MTA-STS records en slechts 2,8% wordt getest; er is geen volledige uitrol waargenomen.
  • DNSSEC wordt matig toegepast, met 52,1% van de overheidsdomeinen ingeschakeld.

Andere

Een Analyse Van de SPF-implemetatie in Nederland

BIMI-logo

Een Analyse Van de DMARC-implemetatie in Nederland

BIMI-logo

Een Analyse Van de MTA-STS-implemetatie in Nederland

BIMI-logo

Een Analyse Van de DNSSEC-implemetatie in Nederland

BIMI-logo

Belangrijkste bevindingen

  • 83,3% van de domeinen heeft SPF-records correct geïmplementeerd.
  • 25,0% van de domeinen heeft geen DMARC-record.
  • De toepassing van MTA-STS is zeer beperkt: slechts 12,5% van de domeinen dwingt MTA-STS af; 87,5% heeft het niet geïmplementeerd.
  • DNSSEC wordt nog steeds weinig gebruikt: bij 70,8% van de domeinen is DNSSEC uitgeschakeld en bij slechts 29,2% is DNSSEC ingeschakeld.

Telecommunicatie

Een Analyse Van de SPF-implemetatie in Nederland

BIMI-logo

Een Analyse Van de DMARC-implemetatie in Nederland

BIMI-logo

Een Analyse Van de MTA-STS-implemetatie in Nederland

BIMI-logo

Een Analyse Van de DNSSEC-implemetatie in Nederland

BIMI-logo

Belangrijkste bevindingen

  • 84,8% van de domeinen heeft correcte SPF-records.
  • 35,2% van de domeinen heeft geen DMARC-record.
  • MTA-STS wordt in deze sector niet gebruikt - geen enkel domein heeft MTA-STS geïmplementeerd.
  • Bij 95,2% van de domeinen is DNSSEC uitgeschakeld.

Transport

Een Analyse Van de SPF-implemetatie in Nederland

BIMI-logo

Een Analyse Van de DMARC-implemetatie in Nederland

BIMI-logo

Een Analyse Van de MTA-STS-implemetatie in Nederland

BIMI-logo

Een Analyse Van de DNSSEC-implemetatie in Nederland

BIMI-logo

Belangrijkste bevindingen

  • 80,5% van de domeinen in de transportsector hebben correcte SPF-records.
  • 52,3% van de domeinen heeft geen DMARC-record.
  • Het gebruik van MTA-STS is extreem laag: slechts 0,8% van de domeinen dwingt MTA-STS af en 98,4% heeft geen MTA-STS record.
  • DNSSEC wordt niet op grote schaal gebruikt; slechts 9,4% van de domeinen heeft DNSSEC ingeschakeld, terwijl 90,6% is uitgeschakeld.

Onderwijs

Een Analyse Van de SPF-implemetatie in Nederland

BIMI-logo

Een Analyse Van de DMARC-implemetatie in Nederland

BIMI-logo

Een Analyse Van de MTA-STS-implemetatie in Nederland

BIMI-logo

Een Analyse Van de DNSSEC-implemetatie in Nederland

BIMI-logo

Belangrijkste bevindingen

  • 89,7% van de onderwijsdomeinen heeft SPF-records correct geïmplementeerd.
  • 20,7% van de domeinen heeft geen DMARC record, terwijl nog eens 24,1% een DMARC "Geen" beleid gebruikt (alleen monitoring).
  • De toepassing van MTA-STS is zeer beperkt: slechts 3,5% van de domeinen dwingt MTA-STS af en 93,1% heeft geen MTA-STS record.
  • DNSSEC wordt weinig gebruikt in de sector: slechts 8,6% van de onderwijsdomeinen is ingeschakeld.

Vergelijkende analyse van de toepassing van SPF in verschillende sectoren in Nieuw-Zeeland

BIMI-logo

Belangrijkste bevindingen

De onderwijssector is koploper wat betreft correcte SPF-implementatie, met 89,66% van de domeinen correct geconfigureerd. De overheidssector volgt op de voet met 89,58%. De sector Gezondheidszorg blijft daarentegen achter, met slechts 68,14% van de domeinen die SPF correct implementeren - de laagste van alle geanalyseerde sectoren.

Vergelijkende analyse van DMARC-adoptie in verschillende sectoren in Nieuw-Zeeland

BIMI-logo

Belangrijkste bevindingen

 In Nieuw-Zeeland heeft de overheidssector de hoogste DMARC adoptie, met slechts 13,19% van de domeinen die records missen. De Transportsector blijft achter met 52,3% van de domeinen zonder DMARC. De onderwijssector is met 36,2% de sector die het beleid strikt afwijst, op de voet gevolgd door de overheid. Telecommunicatie en Financiën maken het minst gebruik van het "Weiger" beleid.

Vergelijkende analyse van de invoering van MTA-STS in verschillende sectoren in Nieuw-Zeeland

BIMI-logo

Belangrijkste bevindingen

De invoering van MTA-STS in Nieuw-Zeeland blijft minimaal in alle sectoren, met meer dan 90% van de domeinen zonder implementatie. De categorie "Overige" laat de hoogste adoptie zien, maar slechts 12,5% heeft het geïmplementeerd. De telecommunicatiesector meldt geen enkel gebruik van MTA-STS, noch bij het testen noch bij de handhaving.

Vergelijkende analyse van DNSSEC-adoptie in verschillende sectoren in Nieuw-Zeeland

BIMI-logo

Belangrijkste bevindingen

De toepassing van DNSSEC in Nieuw-Zeeland is over de hele linie laag. De overheidssector gaat aan kop met 52,08% ingeschakelde domeinen, terwijl de mediasector achterblijft met slechts 2,5%. In de meeste sectoren, waaronder Financiën, Gezondheidszorg, Transport, Onderwijs en Telecommunicatie, is DNSSEC uitgeschakeld op meer dan 90% van de domeinen.

DMARC & MTA-STS adoptiecijfers: Belangrijkste statistieken voor Nieuw-Zeeland

  • Totaal geanalyseerde domeinen: 976

  • 62,5% heeft een correct DMARC-record; 36,9% heeft geen DMARC-record.

  • 31,8% op "geen", 14,0% op "quarantaine" (Q) en 16,7% op "afwijzen".

  • Slechts 2,36% heeft een geldig MTA-STS record; 97,64% heeft er geen.

  • 81,2% heeft een correct SPF-record; 14,2% heeft geen SPF-record.

  • 86,6% heeft DNNSSEC uitgeschakeld.

Kritieke fouten die organisaties in Nieuw-Zeeland maken

  • 1. Wijdverbreide afwezigheid van DMARC-records

    Verschillende Nieuw-Zeelandse domeinen hebben nog steeds geen DMARC record, waardoor ze kwetsbaar zijn voor e-mail spoofing. Zonder DMARC hebben organisaties geen zicht op ongeautoriseerde e-mailactiviteiten en voldoen overheidsdomeinen niet aan de SGE-nalevingsvereisten.

    Voorbeelden:

    • "Er bestaat geen DMARC-record voor dit domein of het basisdomein."

  • 2. Ontbrekende of ongeldige SPF-records

    Veel domeinen in Nieuw-Zeeland hebben geen SPF-record of een record dat syntactisch onjuist is. Zonder een geldige SPF-configuratie kunnen mailservers de afzender niet verifiëren, waardoor het voor aanvallers makkelijker wordt om spoofed of frauduleuze e-mails af te leveren. Om te voorkomen dat legitieme e-mails worden geweigerd of gemarkeerd als spam, moeten organisaties een geldig, foutloos SPF-record publiceren dat alle geautoriseerde afzenders bevat.

    Voorbeelden:

    • Fout "Heeft geen SPF TXT record". 
    • "ip4: ~all is geen geldige ipv4-waarde"
    • "ip-1 is geen geldige ipv4-waarde".

  • 3. Verkeerd geconfigureerde en meervoudige SPF-records

    Zelfs als SPF-records bestaan, komen misconfiguraties vaak voor, zoals meerdere SPF-records per domein of het overschrijden van de 10 DNS lookup limiet, die beide RFC 7208 schenden. Organisaties moeten SPF gegevens consolideren in een enkel TXT record en optimaliseren door onnodige "include" mechanismen te verwijderen.

    Voorbeelden:

    • "heeft meerdere SPF TXT records". 
    • "Voor het parsen van het SPF-record zijn 11/10 maximale DNS-opzoekingen nodig."
    • "Voor het parsen van het SPF-record zijn 12/10 maximale DNS-opzoekingen nodig."

  • 4. Zwak of onjuist DMARC-beleid

    Voorbeelden:

    • v=DMARC1; p=none; aspf=s; adkim=s; pct=100; fo=1;...
    • "Meerdere DMARC-beleidsrecords zijn niet toegestaan."

  • 5. Niet gerelateerde of vreemde TXT-records

    Sommige domeinen hebben onnodige TXT-records op kritieke subdomeinen zoals \_dmarc en \_mta-sts, wat de e-mailverificatie kan verstoren. Regelmatige DNS-controles zijn essentieel om ervoor te zorgen dat alleen de vereiste protocolrecords op deze subdomeinen worden gepubliceerd.

    Een voorbeeld:

    • "Er zijn niet-gerelateerde TXT-records gevonden. Deze moeten worden verwijderd, omdat sommige ontvangers niet verwachten dat er ongerelateerde TXT-records worden gevonden op ..."

  • 6. Gebrek aan MTA-STS implementatie

    Mail Transfer Agent Strict Transport Security (MTA-STS) dwingt versleutelde e-mailaflevering af, beschermt tegen man-in-the-middle- en downgrade-aanvallen en is vereist voor SGE-compliance. De meeste domeinen in Nieuw-Zeeland moeten dit echter nog implementeren. Organisaties moeten MTA-STS implementeren en afdwingen om veilige, versleutelde e-mailverzending te garanderen.

    Een voorbeeld:

    • "Er bestaat geen MTA-STS DNS record voor dit domein."

  • 7. DNSSEC niet op grote schaal ingeschakeld

    Uit de gegevens blijkt dat DNSSEC is uitgeschakeld voor de meeste Nieuw-Zeelandse domeinen. Alle organisaties worden sterk aangemoedigd om DNSSEC in te schakelen om de integriteit en veiligheid van DNS te verbeteren.

    Een voorbeeld:

    • "Er bestaat geen DNSSEC DNS-record voor dit domein.

Hoe PowerDMARC u helpt veilig en foutloos te blijven

PowerDMARC is een uitgebreid platform voor e-mailverificatie waarop wordt vertrouwd door MSP's, MSSP's, ondernemingen en overheden over de hele wereld om domeinen te beschermen tegen spoofing-, phishing- en imitatieaanvallen.

Zo stellen we je in staat om je e-mail vanaf de eerste dag te beveiligen:

  • Vereenvoudigde implementatie van DMARC: Gebruik onze gratis DMARC Analyzer om uw DMARC record te genereren.

  • Inzichtelijke, visuele rapportage: Vergeet het ontcijferen van complexe XML-bestanden met behulp van onze intuïtieve, menselijk leesbare dashboards.

  • Proactieve domeingezondheidsanalyse: Gebruik onze Analyse domeingezondheid om direct uw DNS te scannen op verborgen misconfiguraties.

  • Moeiteloze MTA-STS & TLS-RPT: Implementeren en MTA-STS en TLS-RPT zonder de complexiteit.

  • Eén-klik DNSSEC-verificatie: Gebruik snel onze DNSSEC-controle om te bevestigen dat uw domein beschermd is tegen aanvallen op DNS-niveau.

beveiligde e-mail powerdmarcHulp of een snelle demo nodig?

E-mail ons op [email protected] om vandaag nog een 1:1 sessie met onze experts te boeken!

Vijftien dagen op proefBoek een demo