Rapport over de acceptatie van DMARC en MTA-STS in de Verenigde Staten in 2026

Het rapport van PowerDMARC uit 2026 over e-mailauthenticatie in de VS had tot doel de invoering van DMARC in het land, de configuratie ervan en de aandacht voor geavanceerde beveiligingsprotocollen voor e-mailverkeer, zoals MTA-STS en DNSSEC, te onderzoeken. Onze statistieken bestrijken het hele land en de belangrijkste sectoren, om zo belangrijke beveiligingsproblemen aan het licht te brengen die tot nu toe onopgemerkt zijn gebleven.

Het is geen verrassing dat DMARC op grote schaal wordt toegepast, wat aangeeft dat er serieus aandacht wordt besteed aan protocollen voor e-mailauthenticatie. Wat wel verrassend was, was het gebrek aan bescherming in het transitnetwerk, waar het risico op spoofing en downgrade het grootst is.

Ondanks aangescherpte federale richtlijnen, zoals het „Shields Up“-initiatief van CISA  en bredere nationale initiatieven op het gebied van cyberbeveiliging, blijven de VS een belangrijk speelveld voor door AI aangestuurde spoofing en Business Email Compromise (BEC)-zwendel, die de economie vorig jaar meer dan 2,9 miljard dollar.

Uit deze analyse van PowerDMARC blijkt dat een land weliswaar maatregelen heeft genomen op het gebied van identiteitsverificatie (SPF/DMARC), maar dat de beveiliging van de transportlaag (MTA-STS) en de integriteit van de DNS-zone (DNSSEC) gevaarlijk kwetsbaar zijn gebleven. Laten we even kort bekijken wat het rapport aan het licht brengt.

Algemene stand van zaken op het gebied van e-mailbeveiliging in de VS

De e-mailverificatie in de VS is een systeem met twee niveaus: vrijwel universele basisgegevens (SPF en DMARC) in combinatie met minimale beveiliging op transportniveau (MTA-STS en DNSSEC). Voor meer dan 900 domeinen zijn de basisstatistieken als volgt:

SPF

VS SPF

DMARC

VS-DMARC-Square

MTA-STS

VS MTA-STS

DNSSEC

BIMI-logo

E-mailbeveiligingsstatistieken VS

Metrisch Adoptiegraad
SPF juistheid 95.7%
DMARC Invoering 95.8%
DMARC p=afwijzen 49.0%
MTA-STS adoptie 1.7%
DNSSEC-adoptie 18.0%

1. Bankwezen en financiën: infrastructuur met strenge handhaving

De phishingzwendel bij JPMorgan in 2024 leverde 100 miljoen dollar op, wat nogmaals aantoont dat, hoewel Amerikaanse banken handhaving prioriteit geven, is daarmee nog niet alles veilig.

Metrisch Adoptiegraad
SPF juistheid 90.9%
MTA-STS adoptie 3.0%
DNSSEC-adoptie 22.7%
Bankwezen SPF-toepassing

❌Kritiek risico

SWIFT-bevestigingskaping: Met een kwetsbaarheid van 97,0% in MTA-STS kunnen aanvallers bevestigingen van overschrijvingen tijdens het transport onderscheppen nog voordat er sprake is van een inbreuk.

✅PowerDMARC-oplossing

Geautomatiseerd MTA-STS-hosting: E-mailverkeer verloopt via versleutelde TLS 1.2+-kanalen, waardoor het risico op downgrade en onderschepping aanzienlijk wordt verminderd door TLS af te dwingen voor inkomende verzending en naleving van het beleid via MTA-STS te vereisen.

2. Overheid: verplicht maar kwetsbaar

Amerikaanse federale instanties nemen het voortouw bij de handhaving van DMARC op grond van de bindende operationele richtlijnen van het CISA. Op het gebied van transportbeveiliging blijft er echter een grote lacune bestaan wat betreft inzicht.

Metrisch Adoptiegraad
SPF juistheid 97.7%
DMARC p=afwijzen 80.1%
MTA-STS adoptie 3.4%

❌Kritiek risico

Kritiek Spoofing: Gezien de aard van de vereiste beveiliging is zelfs het ontbrekende 19,9% buitenlandse actoren in staat om officiële .gov-inloggegevens te vervalsen, het vertrouwen van burgers te omzeilen en zo malware te verspreiden of gevoelige PII te verzamelen.

✅PowerDMARC-oplossing

Geautomatiseerde naleving van SCuBA voor .gov: Ons platform automatiseert de e-mailverificatievereisten van CISA BOD 25-01 en biedt een gecentraliseerd dashboard om .gov-domeinen zonder enige handmatige inspanning over te zetten naar DMARC p=reject, waarmee wordt voldaan aan de SCuBA-beveiligingsnormen voor M365 en Google Workspace.

3. Gezondheidszorg: de onbeschermde flank van HIPAA

Herinner je je het datalek bij Change Healthcare in 2024 nog? Zorgverleners zijn voortdurend het doelwit van vervalste afzenders van derden, en e-mail blijft een zwakke schakel.

Metrisch Adoptiegraad
DMARC p=afwijzen 64.6%
MTA-STS adoptie 1.3%
DNSSEC-adoptie 11.4%

❌Kritiek risico

Lekken bij PHI Transit: 98,7% van e-mailverkeer in de gezondheidszorg is tijdens het transport niet versleuteld. Aanvallers kunnen beschermde gezondheidsinformatie (PHI) rechtstreeks uit het netwerk onderscheppen, wat kan leiden tot enorme HIPAA-boetes en het weglekken van patiëntgegevens.

✅PowerDMARC-oplossing

Zorgt voor een soepele overgang naar volledige naleving van DMARC en MTA-STS, waarbij wordt gewaarborgd dat elk uitgaand medisch dossier via een gehoste MTA-STS wordt versleuteld.

4. Energie en nutsvoorzieningen: operationele technologische risico's

Ondanks alle vooruitgang vormt zakelijke e-mail in de sector nog steeds een actief aanvalsoppervlak voor ransomware.

Metrisch Adoptiegraad
SPF juistheid 96.8%
DMARC p=afwijzen 51.6%
MTA-STS adoptie 1.6%
Energie DNSSEC-implementatie

❌Kritiek risico

Phishing-naar-OT-aanvallen: Bijna de helft van de sector kan vervalste e-mails niet blokkeren, waardoor de inbox een toegangspoort tot het fysieke netwerk vormt.

✅PowerDMARC-oplossing

Recordoptimalisatie: Zorgt voor strikte DMARC-beleidsregels voor alle domeinen van nutsbedrijven en comprimeert complexe SPF-records met PowerSPF, waarbij de limieten voor DNS-lookups worden gerespecteerd en de operationele communicatie wordt beveiligd.

5. Onderwijs: Het oogsten van intellectueel eigendom

Het hoger onderwijs in de VS kent het laagste DMARC-toepassingspercentage van alle sectoren in de VS, ondanks het feit dat universiteiten een van de belangrijkste doelwitten zijn voor diefstal van intellectueel eigendom, fraude met onderzoekssubsidies en gerichte phishing.

Metrisch Adoptiegraad
DMARC p=afwijzen 30.3%
MTA-STS adoptie 3.4%
DNSSEC-adoptie 12.4%

❌Kritiek risico

Het verzamelen van inloggegevens van universiteiten: Een afwijzingspercentage van 30,3% betekent dat op ongeveer zeven van de tien campussen aanvallers .edu-e-mails kunnen vervalsen, waardoor ze toegang krijgen tot onderzoeksdatabases ter waarde van miljoenen dollars, subsidieaanvragen en financiële gegevens van alumni.

✅PowerDMARC-oplossing

Beheer duizenden afdelingssubdomeinen vanuit één dashboard. Pas handhavingsbeleid toe op de hele campus, waardoor het aantal succesvolle phishing-aanvallen binnen de faculteiten, alumni-systemen en studentendiensten wordt teruggedrongen.

6. Media: de versterker van desinformatie

De strijd van nieuwsredacties tegen nepnieuws loopt op niets uit vanwege het geringe gebruik van authenticatie. Aangezien zij bronnen van nationale informatie zijn, is dit een cruciale leemte die moet worden opgevuld.

Metrisch Adoptiegraad
DMARC p=afwijzen 30.4%
MTA-STS adoptie 0.4%
DNSSEC-adoptie 3.3%
BIMI-logo

❌Kritiek risico

Bron: Identiteitsdiefstal: Door de vrijwel afwezige MTA-STS-implementatie en de beperkte handhaving van DMARC zijn de privécommunicaties van journalisten met gevoelige bronnen zichtbaar voor iedereen die het netwerk in de gaten houdt.

✅PowerDMARC-oplossing

Bronintegriteit: Verplaatst mediadomeinen naar p=reject, zodat alleen geverifieerde journalisten e-mail kunnen versturen vanuit het domein van de publicatie. Voeg BIMI toe om een geverifieerd logo in de inbox van ontvangers weer te geven, wat het vertrouwen in de redactie versterkt.

7. Telecommunicatie: Magneet voor oplichting van abonnees

Telecomproviders beveiligen hun netwerken, maar laten hun inboxen wijd openstaan, waardoor de SIM-swap-epidemie wordt aangewakkerd die Amerikanen elk jaar miljarden kost.

Metrisch Adoptiegraad
DMARC p=afwijzen 41.4%
MTA-STS adoptie 2.3%
DNSSEC-adoptie 12.6%

❌Kritiek risico

Factureringsfraude en account-overnames: Oplichters versturen authentiek ogende factureringsmeldingen waarmee ze 2FA-codes verzamelen, die vervolgens worden gebruikt om simkaartwissels te autoriseren en bankrekeningen leeg te halen.

✅PowerDMARC-oplossing

SIM-Phish Slamming: Dwingt p=reject af voor alle providerdomeinen en host-MTA-STS af om geautomatiseerde factureringsstromen te beveiligen.

8. Transport en logistiek: het compromis in de toeleveringsketen

Luchtvaartmaatschappijen en spoorwegnetwerken worden geconfronteerd met 'logistieke omleidingen', waarbij vervalste vrachtbrieven leiden tot gestolen vracht en omgeleide brandstofvoorraden.

Metrisch Adoptiegraad
SPF juistheid 90.2%
DMARC p=afwijzen 42.4%
Geen DMARC record 1.1%
MTA-STS adoptie 0.0%
DNSSEC-adoptie 12.0%

❌Kritiek risico

Diefstal van een manifest in platte tekst: Een 100% lek in MTA-STS betekent dat elk vrachtmanifest dat via e-mail wordt verzonden, onversleuteld is. Aanvallers kunnen gemakkelijk de waarde en route van zendingen onderscheppen om fysieke of digitale diefstal van goederen te coördineren.

✅PowerDMARC-oplossing

Fraudebestendige logistieke kanalen: MTA-STS-hosting met één muisklik beveiligt de transportlaag, zorgt ervoor dat gevoelige verzendgegevens van begin tot eind worden versleuteld en voorkomt 'man-in-the-middle'-aanvallen die via e-mail worden veroorzaakt.

Vier structurele tekortkomingen die de handhavingskloof in de hand werken

De p=none-implementatiekloof

46,8% van de Amerikaanse domeinen heeft DMARC maar er is geen handhaving (p=none of p=quarantaine). De huidige p=none-status biedt geen mogelijkheid tot herstel, waardoor aanvallers vertrouwde merken kunnen blijven spoofen terwijl de organisatie de activiteit alleen maar in logbestanden observeert.

“Een DMARC-beleid dat is ingesteld op p=none biedt alleen rapportage en inzicht in pogingen tot spoofing, zonder deze te blokkeren. Hoewel het hoge acceptatiepercentage in de Verenigde Staten bemoedigend is, is een overstap naar een DMARC-beleid van p=reject noodzakelijk om ongeoorloofd e-mailgebruik actief te voorkomen. Zonder handhaving blijven e-maildomeinen kwetsbaar.”

Maitham Al Lawati, CEO, PowerDMARC

“We zien dit voortdurend bij Fortune 500-bedrijven: ze voegen een nieuwe marketingtool toe en plotseling worden hun factureringsmails teruggestuurd. De limiet van 10 lookups is een harde grens in DNS. Zonder SPF-optimalisatie technieken zoals flattening of macro's om deze records te comprimeren, zal de groei van je digitale stack onvermijdelijk je e-mailbezorgbaarheid verstoren."

Yunes Tarada, Service Delivery Manager, PowerDMARC

SPF-complexiteit op schaal

Terwijl 95,7% van de domeinen de juiste SPF, heeft de overige 4,3% heeft te maken met kritieke verkeerde configuraties. In complexe Amerikaanse ondernemingen komt dit vaak voort uit het bereiken van de "10-lookup-limiet" voor DNS-query's, waardoor legitieme e-mails van externe leveranciers (CRM, HR-systemen) de authenticatie niet doorstaan en verdwijnen.

MTA-STS: Het encryptietekort

Met 98,3% blootstelling over de hele linie heeft de VS een bijna totale controle-kloof met betrekking tot transportbeveiliging. Zonder MTA-STS kunnen aanvallers "downgrade-aanvallen" uitvoeren, waarbij e-mailservers worden gedwongen om de versleuteling te laten vallen en berichten in platte tekst te verzenden, die door iedereen die het netwerk bewaakt, kunnen worden gelezen.

"Standaard e-mailversleuteling (STARTTLS) is opportunistisch; het vraagt om versleuteling, maar eist het niet. MTA-STS is een manier om de transportvergrendeling af te dwingen. Nu bijna al het verkeer in de VS blootgesteld is, is het voor een aanvaller een fluitje van een cent om de versleuteling te verwijderen en gevoelige bedrijfscommunicatie tijdens het transport te lezen."

Ayan Bhuiya, ploegleider Operations & Delivery bij PowerDMARC

"Organisaties investeren veel in het opbouwen van merkvertrouwen, maar één enkele DNS-kaping kan dat in een paar seconden kapotmaken. DNSSEC is de bewaker van je digitale identiteit en zorgt ervoor dat klanten echt contact hebben met jou als ze contact zoeken. Het is niet alleen een IT-protocol, maar een belangrijke laag in het beheer van je merkreputatie."

Ahona Rudra, Marketingmanager, PowerDMARC

DNSSEC: De zwakke basis

DNSSEC is slechts op 18,0% van de domeinen. Zonder dit is het directory-systeem van het internet (DNS) onbeschermd. Geavanceerde, door staten gesponsorde aanvallers kunnen de DNS reactie kapen en de volledige e-mailstroom van een bedrijf omleiden naar een malafide server zonder dat de afzender of ontvanger dit ooit merkt.

Wereldwijde benchmarking: de VS in context

LandSPF corrigerenDMARC InvoeringDMARC p=afwijzenMTA-STS (versleuteling)DNSSEC-adoptie
Verenigde Staten 🇺🇸95.7%95.8%49.0%1.7%18.0%
Nederland 🇳🇱92.4%88.5%41.2%14.5%59.0%
Zweden 🇸🇪85.0%77.9%29.9%2.9%25.9%
Noorwegen 🇳🇴85.2%83.1%29.0%2.8%45.6%
Australië 🇦🇺91.5%78.4%26.5%3.1%6.8%
Saoedi-Arabië 🇸🇦80.6%54.4%18.4%0.2%11.9%
Japan 🇯🇵95.0%74.6%9.2%0.5%2.1%

Analyse: Waar de VS vooroploopt en waar het achterblijft

Uit de benchmarkgegevens voor 2025–2026 blijkt dat de Verenigde Staten momenteel wereldwijd koploper zijn op het gebied van actieve verdediging, met het hoogste p=afwijzing handhaving van 49,0%. Dit succes is grotendeels te danken aan vroege wettelijke verplichtingen en de risicovolle omgeving in het bankwezen en de gezondheidszorg.

De VS kampen echter met een ‘Technical Tail’-probleem. Hoewel de basisstandaarden SPF en DMARC vrijwel overal worden toegepast, presteert Nederland aanzienlijk beter dan de VS op het gebied van geavanceerde versleuteling. Dit wijst op een strategische focus op het tegengaan van phishing (DMARC), terwijl er te weinig wordt geïnvesteerd in de veerkracht van de infrastructuur (DNSSEC/MTA-STS).

Bovendien is de acceptatie van DNSSEC met slechts 18,0%, blijven de VS kwetsbaarder voor geavanceerde DNS-kaping dan Noorwegen (45,6%). Deze kloof benadrukt de strategische focus in Amerika op het tegengaan van phishing (DMARC), terwijl er te weinig wordt geïnvesteerd in de veerkracht van de infrastructuur (DNSSEC/MTA-STS). Om zijn leidende positie op het gebied van cyberbeveiliging te behouden, moet de VS in de volgende fase verder gaan dan eenvoudige identiteitsverificatie en zich richten op totale versleuteling en integriteit van het wereldwijde e-mailecosysteem.

Van statistieken naar actie: de implementatiekloof dichten

De VS beschikken over de basisvoorwaarden om wereldwijd het voortouw te nemen op het gebied van e-mailverificatie. Het resterende werk is van operationele aard: de overstap maken van monitoring naar handhaving, en bescherming op transportlaag toevoegen – iets wat de meeste organisaties uitstellen vanwege de vermeende complexiteit.

PowerDMARC vult deze leemte aan met drie functies:

Geautomatiseerde handhavingsprocedures: Zorg ervoor dat Fortune 500-bedrijven en het MKB van p=none naar p=reject overgaan zonder legitieme e-mail te blokkeren.

Vereenvoudiging van de infrastructuur: Los het SPF-limiet van 10 lookups op met PowerSPF, host MTA-STS-beleidsregels en valideer DNSSEC-records vanuit één cloud-native dashboard.

Voorbereiding op regelgeving: Ondersteuning van de naleving van PCI-DSS 4.0, HIPAA en CISA-normen vanaf één platform.

PowerDMARC-perspectief

“De VS is het belangrijkste testgebied voor AI-gestuurde phishing. Amerikaanse IT-teams publiceren weliswaar rapporten, maar aarzelen bij de handhaving omdat ze bang zijn legitieme e-mail te blokkeren. In 2026 komt ‘alleen monitoren’ in de praktijk neer op capitulatie tegen geavanceerde spoofing. De overstap naar actieve verdediging is essentiële bescherming tegen de inbreuken die dit jaar bepalend zullen zijn.”

PowerDMARC-team

Conclusie: Van zichtbaarheid naar verdediging

De gegevens uit 2026 zijn ondubbelzinnig. Amerikaanse organisaties hebben de basis gelegd; de volgende stap is handhaving. In een jaar waarin AI-gestuurde identiteitsfraude al bij de eerste poging de toon en schrijfstijl van een leidinggevende kan nabootsen, is een houding die zich beperkt tot toezicht slechts uitstel.

Het migratietraject van p=none naar p=reject duurt weken, en geen kwartalen, wanneer records automatisch worden beheerd. Sectoren die als eerste de overstap maken, zullen e-mail – dat nu hun grootste kwetsbare punt is – omvormen tot een betrouwbaar communicatiekanaal.

Klaar om de stap te zetten van zichtbaarheid naar actieve verdediging?

Boek een demo