Verenigd Koninkrijk DMARC & MTA-STS-implementatierapport 2026

PowerDMARC ging de uitdaging aan om te analyseren hoe het Verenigd Koninkrijk er in 2026 voor staat op het gebied van e-mailverificatiepraktijken. Het resultaat is een rapport waarin de acceptatie van DMARC, SPF, MTA-STS en DNSSEC in het land wordt onderzocht, zowel landelijk als per sector, en in de mondiale context. 875 Britse domeinen, 22 pagina’s, met informatie waaruit blijkt dat meer dan 50% van het land bescherming nodig heeft tegen kostbare en onmiddellijke beveiligingsinbreuken.

Dit wordt steeds belangrijker, aangezien het het Britse National Cyber Security Centre (NCSC) zijn Mail Check- en Web Check-diensten op 31 maart 2026 officieel heeft stopgezet. Bedrijven en organisaties schakelen nu over op particuliere tools zoals PowerDMARC voor de implementatie en handhaving van authenticatieprotocollen. 

Uit ons rapport blijkt dat het land nog maar gedeeltelijk voorbereid is, met hiaten die gemakkelijk door aanvallers kunnen worden uitgebuit. Organisaties hebben weliswaar het vakje ‘authenticatie’ (SPF) aangevinkt, maar hebben de lagen ‘versleuteling’ (MTA-STS) en ‘integriteit’ (DNSSEC) grotendeels genegeerd.

Hier volgt een kort overzicht van enkele bevindingen uit het rapport van PowerDMARC over de acceptatie van DMARC en MTA-STS in het Verenigd Koninkrijk in 2026. In het volledige rapport vindt u nog meer gedetailleerde informatie.

Het nationale overzicht van het Verenigd Koninkrijk: een verhaal over twee verdedigingen

Laten we eerst eens kijken hoe het Verenigd Koninkrijk er in zijn geheel voor staat, voordat we ingaan op de verschillende sectoren en de analyse daarvan.

VK SPF

SPF-correctheid – 93,7%

VK DMARC

DMARC-acceptatie – 86,4%

DMARC p=afwijzen – 44,1%

VK MTA-STS

MTA-STS-acceptatie – 20,6%

Geen MTA-STS – 79,4%

MTA-STS-testen – 4,5%

MTA-STS Handhaven – 16,1%

BIMI-logo

DNSSEC-acceptatie – 3,8%

Begin een 15 dagen proefabonnement

1. Bankwezen en financiën: de beveiligde perimeter met open tunnels

In de best presterende sector van het Verenigd Koninkrijk verloopt nog steeds meer dan 95% van het financiële e-mailverkeer onversleuteld, waardoor SWIFT-bevestigingen al bij één ‘downgrade’-aanval openbaar kunnen worden gemaakt

Metrisch Adoptiegraad
SPF juistheid 93.5%
DMARC p=afwijzen 61.3%
MTA-STS adoptie 4.8%
Bankwezen SPF-toepassing Verenigd Koninkrijk

❌ Het kritieke risico: het onderscheppen van transacties met een hoge waarde.

Strenge handhaving biedt Britse banken geen bescherming tijdens het transport via onversleutelde verbindingen. Uit recente gegevens blijkt dat er door betalingsfraude en oplichting meer dan £ 629,3 miljoen is gestolen, vaak ingegeven door gemanipuleerde e-mailberichten.

✅ De oplossing van PowerDMARC:

Met Hosted MTA-STSdwingen we alle financiële e-mailverkeer via versleutelde TLS 1.2+-kanalen te verlopen, waardoor het risico op 'downgrade-aanvallen' aanzienlijk wordt verminderd. Bij dergelijke aanvallen verwijderen criminelen de versleuteling om gevoelige communicatie tussen banken en klanten tijdens het transport te kunnen lezen.

2. Overheid: leiden op basis van mandaat, falen door gebrek aan identiteitsbewustzijn

De overheid loopt voorop bij de invoering van MTA-STS, maar is dat wel genoeg? Meer dan 60% van de e-mailcommunicatie verloopt nog steeds onbeveiligd.

Metrisch Adoptiegraad
SPF juistheid 94.8%
DMARC p=afwijzen 57.1%
MTA-STS adoptie 39.9%
Overheid DMARC-implementatie Verenigd Koninkrijk

❌ Het grootste risico: identiteitsfraude en het uitlekken van persoonsgegevens.

Uit de cijfers blijkt dat serieuze inspanningen, zoals de voorschriften van het NCSC, ervoor hebben gezorgd dat e-mailverificatie een noodzaak is geworden, maar er is nog veel werk aan de winkel. Bij het datalek bij het Ministerie van Defensie in 2024 kwamen de salarisgegevens van 272.000 medewerkers, laat zien hoe kwetsbaar de infrastructuur van de publieke sector nog steeds is voor misbruik op basis van identiteit. 

✅ De oplossing van PowerDMARC:

Ons platform automatiseert het traject naar p=reject voor subdomeinen van de overheid, zodat ze voldoen aan de hoogste veiligheidsnormen zonder het risico te lopen dat cruciale communicatiestromen met burgers worden onderbroken.

3. Gezondheidszorg: HIPAA-risico's op Brits grondgebied

Twee derde van de zorgverleners in het Verenigd Koninkrijk kan een vervalste e-mail niet tegenhouden, en aangezien 13,2% helemaal geen DMARC-record heeft, zijn patiëntgegevens slechts één phishing-link verwijderd van een datalek.

Metrisch Adoptiegraad
DMARC p=afwijzen 34.0%
Geen DMARC record 13.2%
MTA-STS adoptie 9.4%
Gezondheidszorg MTA-STS-implementatie Verenigd Koninkrijk

❌ Het grootste risico: het uitlekken van beschermde gezondheidsgegevens (PHI).

De gezondheidszorg blijft een belangrijk doelwit voor ransomwaregroepen zoals Qilin, die onlangs de NHS heeft aangevallen en 400 GB aan vertrouwelijke gegevens heeft gelekt. Door de zwakke handhaving van DMARC en het vrijwel ontbreken van DNSSEC kunnen aanvallers gemakkelijk inloggegevens van ziekenhuizen vervalsen om malware te verspreiden of toegang te krijgen tot gevoelige medische dossiers.

✅ De oplossing van PowerDMARC:

Wij bieden een beheerd traject naar volledige DMARC en MTA-STS-handhaving, zodat elk uitgaand medisch dossier wordt versleuteld en elke officiële gezondheidsmelding wordt geverifieerd.

Een demo boeken

4. Transport en logistiek: de onbeschermde toegangspoort van de toeleveringsketen

De Britse transportnetwerken zijn een open uitnodiging voor fraude en hebben het hoogste percentage 'No-DMARC' in het land.

Metrisch Adoptiegraad
DMARC p=afwijzen 32.8%
Geen DMARC record 26.7%
MTA-STS adoptie 6.2%

❌ Het grootste risico: factuurkaping en verstoring van de dienstverlening.

De cyberaanval van 2024 op Transport for London (TfL), waarbij de financiële gegevens van 5.000 klanten werden gestolen, bewijst dat vervoerssystemen zeer aantrekkelijke doelwitten zijn. Aanvallers gebruiken vervalste 'Critical Equipment Alerts' of valse vrachtbrieven om de kloof tussen de bedrijfsmailbox en de fysieke logistiek te overbruggen.

✅ De oplossing van PowerDMARC:

We optimaliseren complexe SPF-records om binnen de DNS-lookup-limieten en handhaven strikte DMARC-beleidsregels om logistieke kanalen te beveiligen tegen factuurfraude.

5. Onderwijs: het gebied van intellectuele eigendom

Britse universiteiten hanteren de strengste DMARC-maatregelen in het land, ondanks dat ongeveer 91% van de instellingen voor hoger onderwijs in 2025 een cyberinbreuk heeft gemeld.

Metrisch Adoptiegraad
SPF juistheid 94.6%
DMARC p=afwijzen 23.9%
Geen DMARC record 4.3%
Onderwijs SPF Adoptie Verenigd Koninkrijk

❌ Het grootste risico: onderzoek en het verzamelen van inloggegevens.

Door de lage DMARC-handhaving (23,9%) kunnen aanvallers inloggegevens van de universiteit vervalsen en zo toegang krijgen tot onderzoeksdatabases ter waarde van miljoenen ponden en financiële gegevens van studenten.

✅ De oplossing van PowerDMARC:

Wij helpen universiteiten bij het beheren van duizenden subdomeinen van afdelingen vanuit één dashboard, waardoor het aantal succesvolle phishing-pogingen op de hele campus drastisch wordt teruggedrongen.

6. Media: de versterker van desinformatie

Nieuwsredacties bestrijden nepnieuws, maar hun eigen e-maildomeinen blijven kwetsbaar voor vervalste auteursvermeldingen en de verspreiding van deepfakes.

Metrisch Adoptiegraad
SPF juistheid 98.4%
MTA-STS adoptie 1.6%
DNSSEC-adoptie 1.6%
BIMI-logo

❌ Het grootste risico: identiteitsdiefstal en deepfake-fraude.

Hoewel Media een hoge SPF-nauwkeurigheid heeft, ligt het gebruik van MTA-STS en DNSSEC daar vrijwel op nul. Dit betekent dat de communicatie van journalisten zichtbaar is voor degenen die het netwerk in de gaten houden, en dat hun inloggegevens kunnen worden nagemaakt om deepfake-verhalen te verspreiden of medewerkers te misleiden tot frauduleuze overschrijvingen.

✅ De oplossing van PowerDMARC:

We verplaatsen mediadomeinen naar p=reject, zodat alleen geverifieerde medewerkers e-mails kunnen versturen en het vertrouwen in het merk behouden blijft in een tijdperk van door AI aangestuurde informatieoorlogen.

Begin een 15 dagen proefabonnement

7. Telecommunicatie: Magneet voor oplichting van abonnees

Telecombedrijven beveiligen het netwerk, maar niet de inbox, waardoor oplichters vrij spel hebben om valse factuurmeldingen naar miljoenen abonnees te sturen.

Metrisch Adoptiegraad
SPF juistheid 91.0%
DMARC p=afwijzen 32.8%
Geen DMARC record 11.9%
BIMI-logo

❌ Het grootste risico: factureringsfraude en accountkaping.

Door hoge „No-DMARC“-percentages in combinatie met een onjuiste DMARC-configuratie kunnen oplichters valse factuurmeldingen versturen die er legitiem uitzien, waardoor gebruikers worden misleid en de 2FA-codes prijsgeven die nodig zijn voor SIM-swapping of identiteitsdiefstal.

✅ De oplossing van PowerDMARC:

Ons platform dwingt af p=reject op alle domeinen van providers en host MTA-STS om geautomatiseerde factureringsstromen te beveiligen, waardoor het voor oplichters onmogelijk wordt om de naam van de provider tegen zijn abonnees te gebruiken.

Onder de motorkap: vier structurele zwakke punten

De p=none-implementatiekloof

18,9% van de Britse domeinen heeft DMARC, maar er wordt geen handhaving toegepast.

Inzicht van experts:

"Een DMARC-beleid dat is ingesteld op p=none biedt alleen rapportage en inzicht in pogingen tot spoofing, zonder deze te blokkeren. Hoewel het hoge acceptatiepercentage in het Verenigd Koninkrijk bemoedigend is, is een overstap naar een DMARC-beleid van p=reject noodzakelijk om ongeoorloofd e-mailgebruik actief te voorkomen."

Maitham Al Lawati, CEO van PowerDMARC

Inzicht van experts:

"De limiet van 10 lookups is een harde grens in DNS. Zonder SPF-optimalisatietechnieken zoals flattening of macro's om deze records te comprimeren, zal de groei van uw digitale stack onvermijdelijk uw e-mailbezorgbaarheid verstoren."

Yunes Tarada, Service Delivery Manager bij PowerDMARC

SPF-complexiteit op schaal

6,3% van de Britse domeinen kampt met kritieke configuratiefouten, vaak als gevolg van de "limiet van 10 lookups".

MTA-STS: Het encryptietekort

79,4% van de Britse domeinen heeft een totale controlekloof met betrekking tot transportbeveiliging.

Inzicht van experts:

"Standaard e-mailversleuteling (STARTTLS) is opportunistisch. MTA-STS is een manier om de transportvergrendeling af te dwingen. Nu bijna al het verkeer in het Verenigd Koninkrijk blootligt, is het voor een aanvaller een fluitje van een cent om de versleuteling te verwijderen en gevoelige bedrijfscommunicatie tijdens het transport te lezen."

Ayan Bhuiya, ploegleider Operations & Delivery bij PowerDMARC

Inzicht van experts:

"DNSSEC fungeert als bewaker van uw digitale identiteit. Het is niet langer alleen een IT-protocol, maar een fundamentele laag van merkreputatiemanagement. Eén enkel incident van DNS-kaping kan het vertrouwen in een merk binnen enkele seconden vernietigen."

Ahona Rudra, marketingmanager bij PowerDMARC

DNSSEC: De zwakke basis

Ingeschakeld op slechts 3,8% van de Britse domeinen.

Neem Contact Met Ons Op

Wereldwijde benchmarking: het Verenigd Koninkrijk in context

In deze tabel wordt de positie van het Verenigd Koninkrijk op het gebied van cruciale veiligheidsprotocollen vergeleken met die van landen als de Verenigde Staten, Noorwegen en Japan.

LandSPF corrigerenDMARC (p=afwijzen)MTA-STSDNSSEC
Verenigde Staten 🇺🇸95.7%49.0%1.7%18.0%
Australië 🇦🇺92.3%46.7%5.8%6.8%
Verenigd Koninkrijk 🇬🇧93.7%44.1%20.6%3.8%
Noorwegen 🇳🇴85.2%29.0%2.8%45.6%
Italië 🇮🇹91.0%16.7%1.0%3.5%
Saoedi-Arabië 🇸🇦80.6%18.4%0.2%11.9%
Japan 🇯🇵95.0%9.2%0.5%16.4%
Nigeria 🇳🇬70.3%14.2%0.0%8.2%

Belangrijkste inzichten uit de officiële rapporten

❗De handhavingskloof

In het Verenigd Koninkrijk wordt SFP op grote schaal toegepast, maar slechts iets minder dan de helft van de domeinen beschermt zich actief tegen vervalste e-mails.

De opvallende MTA-STS uit het Verenigd Koninkrijk

In vergelijking met andere landen kent het Verenigd Koninkrijk een hoge acceptatiegraad van MTA-STS, wat belangrijk is voor de beveiliging van het transitverkeer. Dit is te danken aan de strenge richtlijnen van het NCSC.

Invoering van DNSSEC

Het Verenigd Koninkrijk loopt achter op de meeste landen wat betreft de invoering van DNSSEC, waardoor het kwetsbaar is voor DNS-kaping en cache-poisoning-aanvallen.

De ‘compliance-valkuil’

Hoewel steeds meer organisaties DMARC-records gebruiken, blijft hun houding passief omdat ze niet de instelling ‘p=reject’ hanteren. Dit komt simpelweg neer op monitoring en niet op bescherming.

Conclusie: van statistieken naar actie

Het rapport „DMARC & MTA-STS Adoption Report 2026” voor het Verenigd Koninkrijk laat zien dat het VK weliswaar een sterke technische basis heeft gelegd, maar dat het de kloof tussen passieve monitoring en actieve handhaving bij het transport nog niet volledig heeft overbrugd.

U kunt het zich niet veroorloven om te wachten op de volgende NCSC-waarschuwing of een rampzalig Business Email Compromise (BEC)-incident om de overstap te maken van monitoring naar bescherming. PowerDMARC overbrugt deze „implementatiekloof” door het volgende te bieden:

Geautomatiseerde handhavingspaden: Veilige migratie van zowel FTSE 100-bedrijven als kleine en middelgrote ondernemingen van p=none naar p=reject zonder kritieke zakelijke communicatie of de e-mailstroom binnen afdelingen te blokkeren.

Vereenvoudiging van de infrastructuur: het overwinnen van de 'limiet van 10 lookups' met SPF-optimalisatie, het hosten van MTA-STS om de 79 ,4% encryptiekloof te dichten , en DNSSEC-records valideren in één enkel, cloud-native dashboard.

Regelgevingsgereedheid: Ondersteuning van naleving van GDPR, UK Cyber Essentialsen PCI-DSS 4.0 door anti-phishingbeveiliging te vereenvoudigen en gevoelige e-mailcommunicatie te beveiligen.

Een demo boeken Neem contact met ons op

PowerDMARC-perspectief

"Het Verenigd Koninkrijk is momenteel een belangrijk doelwit voor AI-gedreven phishing en factuurfraude. Hoewel Britse IT-teams uitstekend zijn in het publiceren van fundamentele records, worden ze vaak verlamd door de angst om legitieme e-mails te blokkeren. In 2026 is een 'alleen-monitoring'-houding in feite een overgave aan geavanceerde spoofing. De overstap naar actieve verdediging is niet alleen een beveiligingsupgrade, maar ook essentieel voor bescherming tegen inbreuken die gericht zijn op het hart van de digitale economie van het Verenigd Koninkrijk."

PowerDMARC-team

Maak vandaag nog van zichtbaarheid een verdedigingsmiddel

De acceptatiegraad in het Verenigd Koninkrijk laat zien dat de basis klaar is; nu is het tijd om de knop om te zetten. In een omgeving waarin AI de toon van een leidinggevende perfect kan nabootsen, is het niet voldoende om alleen op 'zichtbaarheid' te vertrouwen.

Laat uw domein geen 'onbeschermde grens' blijven. Schakel over van passieve monitoring naar actieve bescherming voordat de volgende golf van gecoördineerde aanvallen uw branche treft.

Neem contact op met PowerDMARC om uw reis naar handhaving te beginnen.

Vijftien dagen op proefBoek een demo