Rapport over de acceptatie van DMARC en MTA-STS in de Verenigde Staten in 2026

Bij PowerDMARC hebben we de e-mailverificatie binnen Amerikaanse domeinen geanalyseerd en twee dingen vielen ons op: DMARC wordt steeds vaker toegepast, maar de handhaving blijft ongelijkmatig en MTA-STS loopt aanzienlijk achter. Die kloof is waar het risico op spoofing en downgrades blijft bestaan. 

Washington D.C. blijft het epicentrum van het wereldwijde cyberbeveiligingsbeleid, maar naarmate we 2026 naderen, wordt de kloof tussen mandaat en implementatie steeds groter. Ondanks strengere federale richtlijnen, zoals CISA's "Shields Up"  en bredere nationale cyberbeveiligingsinitiatieven, blijven de VS een belangrijk speelterrein voor AI-gedreven spoofing en Business Email Compromise (BEC)-zwendel, die de economie vorig jaar meer dan 2,9 miljard dollar.

Deze analyse van PowerDMARC laat zien dat een land wel iets heeft gedaan aan identiteitsverificatie (SPF/DMARC), maar dat de beveiliging van de transportlaag (MTA-STS) en de integriteit van de zone (DNSSEC) gevaarlijk kwetsbaar zijn gebleven.

Rapportaanvraag - DMARC-acceptatie in de Verenigde Staten

"*" geeft verplichte velden aan

Dit veld is voor validatiedoeleinden en moet ongewijzigd blijven.
Naam*

Sectorspecifieke kwetsbaarheden en prestaties in de VS

Om een duidelijk uitgangspunt te bieden, volgt hier een overzicht van de algemene beveiligingsstatus voor de Verenigde Staten voor alle meer dan 900 domeinen, voordat we ingaan op de specifieke industriesectoren.

SPF

VS SPF

DMARC

VS-DMARC-Square

MTA-STS

VS MTA-STS

DNSSEC

BIMI-logo

E-mailbeveiligingsstatistieken VS

Metrisch Adoptiegraad
SPF juistheid 95.7%
DMARC Invoering 95.8%
DMARC p=afwijzen 49.0%
MTA-STS adoptie 1.7%
DNSSEC-adoptie 18.0%
Begin een 15 dagen proefabonnement

1. Bankwezen en financiën: infrastructuur met strenge handhaving

Verenigde Staten banken lopen voorop in de handhaving, maar het enorme aantal aanvallen, met name de phishing-golf van JPMorgan in 2024 die 100 miljoen dollar opleverde, bewijst dat zelfs kleine hiaten catastrofaal kunnen zijn.

Metrisch Adoptiegraad
SPF juistheid 90.9%
DMARC p=afwijzen 66.7%
Geen DMARC record 7.6%
MTA-STS adoptie 3.0%
DNSSEC-adoptie 22.7%
Bankwezen SPF-toepassing

Het kritieke risico

SWIFT-bevestigingskaping. Met een 97,0% kloof in MTA-STS worden triljoenen aan bevestigingen van elektronische overboekingen via niet-versleutelde paden verzonden. Aanvallers kunnen deze tijdens het transport onderscheppen om de ongeoorloofde wijziging te identificeren voordat de bank of klant zich bewust wordt van de inbreuk.

De PowerDMARC-oplossing

Geautomatiseerd MTA-STS-hosting. We dwingen alle e-mailverkeer af te gaan via versleutelde TLS 1.2+-kanalen, waardoor het risico op downgrades en onderschepping aanzienlijk wordt verminderd door TLS af te dwingen voor inkomende levering en naleving van het beleid via MTA-STS te eisen. Dit helpt bij het ondersteunen van algemene governanceverwachtingen voor veilig e-mailverkeer en communicatie met leveranciers.

2. Overheid: verplicht maar kwetsbaar

Federale instanties zijn de gouden standaard voor DMARC, maar de aanhoudende aanvallen op de toeleveringsketen in de stijl van SolarWinds wijzen op een enorme lacune in de zichtbaarheid van transportbeveiliging.

Metrisch Adoptiegraad
SPF juistheid 97.7%
DMARC p=afwijzen 80.1%
Geen DMARC record 2.3%
MTA-STS adoptie 3.4%
DNSSEC-adoptie 54.5%

Het kritieke risico

Inloggegevens Spoofing. Terwijl 80,1% p=afwijzen afdwingt, wijst de overige 19,9% staat het nationale actoren toe om officiële .gov-referenties te vervalsen, waarbij het vertrouwen van burgers wordt omzeild om malware te verspreiden of gevoelige PII te verzamelen. Door de lage acceptatie van MTA-STS loopt ook de beveiliging van inkomende e-mail gevaar.

De PowerDMARC-oplossing

Geautomatiseerde SCuBA-compliance voor .gov. Ons platform automatiseert de strenge e-mailverificatievereisten van CISA BOD 25-01. We bieden een gecentraliseerd dashboard om .gov-domeinen naar DMARC te verplaatsen p=reject zonder handmatige overhead, zodat federale cloudomgevingen voldoen aan de SCuBA-beveiligingsbaselines voor Microsoft 365 en Google Workspace zonder het risico te lopen dat de legitieme e-mailstroom wordt onderbroken.

3. Gezondheidszorg: de onbeschermde flank van HIPAA

Het datalek bij Change Healthcare in 2024 bewees dat zorgverleners het doelwit zijn van vervalste e-mails van derden. Ondanks het toenemende gebruik van MFA blijft e-mail een zwakke schakel.

Metrisch Adoptiegraad
SPF juistheid 94.9%
DMARC p=afwijzen 64.6%
Geen DMARC record 1.3%
MTA-STS adoptie 1.3%
DNSSEC-adoptie 11.4%

Het kritieke risico

PHI Transit-lekken. 98,7% van het e-mailverkeer in de gezondheidszorg is tijdens het transport niet versleuteld. Hierdoor kunnen aanvallers beschermde gezondheidsinformatie (PHI) rechtstreeks van het netwerk onderscheppen, wat leidt tot enorme HIPAA-boetes en het weglekken van patiëntgegevens.

De PowerDMARC-oplossing

Wij bieden een beheerd traject naar volledige DMARC- en MTA-STS-handhaving, waarbij we ervoor zorgen dat elk uitgaand medisch dossier wordt versleuteld via gehoste MTA-STS.

Een demo boeken

4. Energie en nutsvoorzieningen: operationele technologische risico's

Na de Post-Colonial Pipeline heeft de Amerikaanse energiesector zijn OT (Operationele Technologie) versterkt, maar de zakelijke e-mail blijft een actief aanvalsoppervlak voor ransomware.

Metrisch Adoptiegraad
SPF juistheid 96.8%
DMARC p=afwijzen 51.6%
Geen DMARC record 3.2%
MTA-STS adoptie 1.6%
DNSSEC-adoptie 6.5%
Energie DNSSEC-implementatie

Het kritieke risico

Phishing-naar-OT-pivots. Slechts 51,6% van de energiesector blokkeert fraude. Aanvallers gebruiken vervalste 'Critical Equipment Alerts' om technici te misleiden en hen op kwaadaardige links te laten klikken, waardoor de kloof tussen de bedrijfsmailbox en het fysieke elektriciteitsnet wordt overbrugd.

De PowerDMARC-oplossing

Recordoptimalisatie. We beveiligen operationele communicatie tegen phishing-pogingen door strikte DMARC-beleid en door complexe SPF-records te optimaliseren om binnen de DNS-lookup-limieten te blijven.

5. Onderwijs: Het oogsten van intellectueel eigendom

Amerikaanse campussen zijn zeer aantrekkelijke doelwitten voor diefstal van intellectueel eigendom, maar toch hebben ze de laagste handhavingspercentages in het land.

Metrisch Adoptiegraad
SPF juistheid 96.6%
DMARC p=afwijzen 30.3%
Geen DMARC record 2.2%
MTA-STS adoptie 3.4%
DNSSEC-adoptie 12.4%

Het kritieke risico

Universitaire login-harvesting. Lage DMARC p=afwijzing (30,3%) stelt aanvallers in staat om .edu-logins te vervalsen, waardoor ze toegang krijgen tot onderzoeksdatabases ter waarde van miljoenen dollars en financiële gegevens van alumni.

De PowerDMARC-oplossing

We vereenvoudigen de implementatie en handhaving, we helpen bij het beheer van duizenden subdomeinen van afdelingen vanuit één dashboard, waardoor het aantal succesvolle phishing-pogingen op de hele campus drastisch wordt teruggedrongen.

6. Media: de versterker van desinformatie

Nieuwsredacties bestrijden nepnieuws, maar hun eigen e-maildomeinen worden vaak gebruikt om het te verspreiden via vervalste auteursvermeldingen.

Metrisch Adoptiegraad
SPF juistheid 96.7%
DMARC p=afwijzen 30.4%
Geen DMARC record 5.5%
MTA-STS adoptie 0.4%
DNSSEC-adoptie 3.3%
BIMI-logo

Het kritieke risico

Bron Identiteitsdiefstal. Met een MTA-STS van bijna nul (0,4%) en lage DMARC-handhaving zijn de privécommunicaties van journalisten met gevoelige bronnen zichtbaar voor iedereen die het netwerk bewaakt, en kunnen hun namen gemakkelijk worden vervalst om deepfake-verhalen te verspreiden.

De PowerDMARC-oplossing

Bronintegriteit. We verplaatsen mediadomeinen naar p=reject, zodat alleen geverifieerde journalisten e-mails kunnen versturen vanaf het domein van de redactie. Zo behouden we het vertrouwen in het merk in een tijdperk van informatieoorlogen.

Begin een 15 dagen proefabonnement

7. Telecommunicatie: Magneet voor oplichting van abonnees

Providers beveiligen hun netwerken, maar laten hun inboxen wijd open staan, waardoor de SIM-swap-epidemie wordt aangewakkerd die Amerikanen jaarlijks miljarden kost.

Metrisch Adoptiegraad
SPF juistheid 96.6%
DMARC p=afwijzen 41.4%
Geen DMARC record 8.0%
MTA-STS adoptie 2.3%
DNSSEC-adoptie 12.6%

Het kritieke risico

Factuurfraude en account-overnames. Hoge 'No-DMARC'-percentages (8,0%) stellen oplichters in staat om valse factuurbeschermingsmeldingen te versturen die er legitiem uitzien, waardoor gebruikers worden misleid om de 2FA-codes vrij te geven die nodig zijn voor sim-swapping.

De PowerDMARC-oplossing

SIM-Phish Slamming. Ons platform dwingt p=reject af voor alle carrier-domeinen en host MTA-STS om de geautomatiseerde factureringsstromen te beveiligen, waardoor het voor oplichters moeilijk wordt om de naam van de carrier tegen zijn abonnees te gebruiken.

8. Transport en logistiek: het compromis in de toeleveringsketen

Luchtvaartmaatschappijen en spoorwegnetwerken worden geconfronteerd met 'logistieke omleidingen', waarbij vervalste vrachtbrieven leiden tot gestolen vracht en omgeleide brandstofvoorraden.

Metrisch Adoptiegraad
SPF juistheid 90.2%
DMARC p=afwijzen 42.4%
Geen DMARC record 1.1%
MTA-STS adoptie 0.0%
DNSSEC-adoptie 12.0%

Het kritieke risico

Diefstal van platte tekstmanifesten. A 100,0% gat in MTA-STS betekent dat elk vrachtmanifest dat via e-mail wordt verzonden, niet versleuteld is. Aanvallers kunnen de waarde en routes van zendingen onderscheppen om fysieke of digitale diefstal van 'just-in-time'-goederen te coördineren.

De PowerDMARC-oplossing

Fraudebestendige logistieke kanalen. Wij bieden MTA-STS-hosting met één muisklik die de transportlaag beveiligt, ervoor zorgt dat gevoelige verzendgegevens end-to-end worden versleuteld en man-in-the-middle-verstoringen via e-mail voorkomt.

Onder de motorkap: vier structurele zwakke punten

De p=none-implementatiekloof

46,8% van de Amerikaanse domeinen heeft DMARC maar er is geen handhaving (p=none of p=quarantaine). De huidige p=none-status biedt geen mogelijkheid tot herstel, waardoor aanvallers vertrouwde merken kunnen blijven spoofen terwijl de organisatie de activiteit alleen maar in logbestanden observeert.

“Een DMARC-beleid dat is ingesteld op p=none biedt alleen rapportage en inzicht in pogingen tot spoofing, zonder deze te blokkeren. Hoewel het hoge acceptatiepercentage in de Verenigde Staten bemoedigend is, is een overstap naar een DMARC-beleid van p=reject noodzakelijk om ongeoorloofd e-mailgebruik actief te voorkomen. Zonder handhaving blijven e-maildomeinen kwetsbaar.”

Maitham Al Lawati, CEO, PowerDMARC

“We zien dit voortdurend bij Fortune 500-bedrijven: ze voegen een nieuwe marketingtool toe en plotseling worden hun factureringsmails teruggestuurd. De limiet van 10 lookups is een harde grens in DNS. Zonder SPF-optimalisatie technieken zoals flattening of macro's om deze records te comprimeren, zal de groei van je digitale stack onvermijdelijk je e-mailbezorgbaarheid verstoren."

Yunes Tarada, Service Delivery Manager, PowerDMARC

SPF-complexiteit op schaal

Terwijl 95,7% van de domeinen de juiste SPF, heeft de overige 4,3% heeft te maken met kritieke verkeerde configuraties. In complexe Amerikaanse ondernemingen komt dit vaak voort uit het bereiken van de "10-lookup-limiet" voor DNS-query's, waardoor legitieme e-mails van externe leveranciers (CRM, HR-systemen) de authenticatie niet doorstaan en verdwijnen.

MTA-STS: Het encryptietekort

Met 98,3% blootstelling over de hele linie heeft de VS een bijna totale controle-kloof met betrekking tot transportbeveiliging. Zonder MTA-STS kunnen aanvallers "downgrade-aanvallen" uitvoeren, waarbij e-mailservers worden gedwongen om de versleuteling te laten vallen en berichten in platte tekst te verzenden, die door iedereen die het netwerk bewaakt, kunnen worden gelezen.

"Standaard e-mailversleuteling (STARTTLS) is opportunistisch; het vraagt om versleuteling, maar eist het niet. MTA-STS is een manier om de transportvergrendeling af te dwingen. Nu bijna al het verkeer in de VS blootgesteld is, is het voor een aanvaller een fluitje van een cent om de versleuteling te verwijderen en gevoelige bedrijfscommunicatie tijdens het transport te lezen."

Ayan Bhuiya, Operations & Delivery Shift Lead, PowerDMARC

"Organisaties investeren veel in het opbouwen van merkvertrouwen, maar één enkele DNS-kaping kan dat in een paar seconden kapotmaken. DNSSEC is de bewaker van je digitale identiteit en zorgt ervoor dat klanten echt contact hebben met jou als ze contact zoeken. Het is niet alleen een IT-protocol, maar een belangrijke laag in het beheer van je merkreputatie."

Ahona Rudra, Marketingmanager, PowerDMARC

DNSSEC: De zwakke basis

DNSSEC is slechts op 18,0% van de domeinen. Zonder dit is het directory-systeem van het internet (DNS) onbeschermd. Geavanceerde, door staten gesponsorde aanvallers kunnen de DNS reactie kapen en de volledige e-mailstroom van een bedrijf omleiden naar een malafide server zonder dat de afzender of ontvanger dit ooit merkt.

Neem Contact Met Ons Op

Wereldwijde benchmarking: de VS in context

LandSPF corrigerenDMARC InvoeringDMARC p=afwijzenMTA-STS (versleuteling)DNSSEC-adoptie
Verenigde Staten 🇺🇸95.7%95.8%49.0%1.7%18.0%
Nederland 🇳🇱92.4%88.5%41.2%14.5%59.0%
Zweden 🇸🇪85.0%77.9%29.9%2.9%25.9%
Noorwegen 🇳🇴85.2%83.1%29.0%2.8%45.6%
Australië 🇦🇺91.5%78.4%26.5%3.1%6.8%
Saoedi-Arabië 🇸🇦80.6%54.4%18.4%0.2%11.9%
Japan 🇯🇵95.0%74.6%9.2%0.5%2.1%

Analyse: De positie van de VS op het wereldtoneel

Uit de benchmarkgegevens voor 2025-2026 blijkt dat de Verenigde Staten momenteel wereldwijd koploper zijn op het gebied van actieve verdediging, met de hoogste p=afwijzingspercentage van 49,0%. Dit is aanzienlijk hoger dan in gevestigde digitale economieën zoals Australië (26,5%) of Japan (9,2). Het succes van de VS is grotendeels te danken aan vroege regelgeving en de risicovolle omgeving waarmee de bank- en gezondheidszorgsector te maken hebben.

De VS worden echter geconfronteerd met een 'technisch staart'-probleem. Hoewel de fundamentele SPF- en DMARC-adoptie bijna universeel is (95,0%+), presteert het Koninkrijk der Nederlanden aanzienlijk beter dan de VS op het gebied van geavanceerde encryptie, met 14,5% MTA-STS-toepassing vergeleken met de magere 1,7%. PowerDMARC overbrugt deze implementatiekloof door automatische beleidsuitrol te bieden, terwijl uitzonderingsafhandeling voor kritieke legacy-afzenders behouden blijft.

Bovendien is de acceptatie van DNSSEC met slechts 18,0%, blijven de VS kwetsbaarder voor geavanceerde DNS-kaping dan Noorwegen (45,6%). Deze kloof benadrukt de strategische focus in Amerika op het tegengaan van phishing (DMARC), terwijl er te weinig wordt geïnvesteerd in de veerkracht van de infrastructuur (DNSSEC/MTA-STS). Om zijn leidende positie op het gebied van cyberbeveiliging te behouden, moet de VS in de volgende fase verder gaan dan eenvoudige identiteitsverificatie en zich richten op totale versleuteling en integriteit van het wereldwijde e-mailecosysteem.

Conclusie: van statistieken naar actie

De gegevens zijn duidelijk: de Verenigde Staten beschikken over de technische specificaties en basisgegevens, maar moeten nog evolueren van passieve monitoring naar actieve handhaving van transport. Hoewel SPF alomtegenwoordig is en DMARC in opkomst is, blijft het falen om handhaving (p=reject) te bereiken en de transportlaag (MTA-STS) te beveiligen een kwetsbaarheid die miljarden dollars kost.

Amerikaanse organisaties kunnen het zich niet veroorloven om te wachten op de volgende bindende operationele richtlijn van CISA of een catastrofaal incident met Business Email Compromise (BEC) om over te stappen van monitoring naar bescherming. PowerDMARC overbrugt deze "implementatiekloof" door het volgende te bieden:

Geautomatiseerde handhavingspaden: Veilige migratie van zowel Fortune 500-bedrijven als kleine en middelgrote bedrijven van p=none naar p=reject zonder kritieke zakelijke communicatie te blokkeren.

Vereenvoudiging van de infrastructuur: Overwin de 'limiet van 10 zoekopdrachten' met SPF-optimalisatie, hosting van MTA-STS en validatie van DNSSEC-records in één cloud-native dashboard.

Regelgevingsgereedheid: Ondersteuning van naleving van PCI-DSS 4.0-, HIPAA- en CISA-normen door anti-phishingbeveiliging te vereenvoudigen en e-mailcommunicatie te beveiligen.

Een demo boeken Neem contact met ons op

PowerDMARC-perspectief

"De VS is momenteel het belangrijkste laboratorium voor AI-gestuurde phishing. Hoewel Amerikaanse IT-teams uitstekend zijn in het publiceren van records, worden ze vaak verlamd door de angst om legitieme e-mail te blokkeren. In 2026 is een 'alleen-monitoring'-houding in wezen een overgave aan geavanceerde spoofing. De overstap naar actieve verdediging is niet alleen een beveiligingsupgrade, maar ook essentieel voor bescherming tegen geavanceerde inbreuken."

PowerDMARC-team

Maak vandaag nog van zichtbaarheid een verdedigingsmiddel

De acceptatiegraad in de VS laat zien dat de basis klaar is; nu is het tijd om de knop om te zetten. In een omgeving waarin AI de toon van een leidinggevende perfect kan nabootsen, is het niet voldoende om alleen op 'zichtbaarheid' te vertrouwen.

Laat uw domein geen 'onbeschermde grens' blijven. Schakel over van passieve monitoring naar actieve bescherming voordat de volgende golf van gecoördineerde aanvallen uw branche treft.

Neem contact op met PowerDMARC om uw reis naar handhaving te beginnen.

Vijftien dagen op proefBoek een demo