Niemiecki raport o przyjęciu DMARC i MTA-STS 2025

W Niemczech średni koszt każdego cyberataku sięga 16 000 euro. Chociaż jest to niższy koszt niż w poprzednich latach, nadal jest to ogromna kwota do pokrycia przez firmy. W rezultacie w 2024 r. prawie 38% firm w Niemczech musiało poświęcić około 10-20% swojego budżetu IT na bezpieczeństwo IT.

Niemiecki rząd oficjalnie wyznacza swoje sektory bankowości, zdrowia i transportu jako "infrastruktury krytyczne" niezbędne dla stabilności kraju. Nasza analiza z 2025 r. ujawnia jednak, że te same sektory są niebezpiecznie słabo chronione przed wyrafinowanymi oszustwami e-mailowymi i szpiegostwem.

Ten raport PowerDMARC analizuje ponad 600 domen w siedmiu kluczowych sektorach, ujawniając krajobraz, w którym podstawowe uwierzytelnianie jest silne, ale egzekwowanie i szyfrowanie pozostają niebezpiecznie słabo rozwinięte.

Wniosek o raport - Przyjęcie DMARC w Niemczech

"*" oznacza pola wymagane

To pole służy do celów walidacji i powinno pozostać niezmienione.
Nazwa*

Postawa Niemiec w zakresie bezpieczeństwa poczty elektronicznej: wskaźniki z 2025 r.

Niemcy mają silne podstawy SPF, ale krytyczne warstwy egzekwowania DMARC i przyjęcia MTA-STS pozostają daleko w tyle, co naraża kraj na wyrafinowane ataki e-mailowe.

DMARC-Niemcy
Logo BIMI
MetrycznyWskaźnik przyjęciaKluczowe ustalenia
Poprawność SPF96.8%Bardzo silna podstawa uwierzytelniania poczty e-mail.
Obecność DMARC67.2%To dobry początek, ale nadal istnieje poważna luka.
Brak rekordu DMARC32.3%Prawie 1 na 3 organizacje jest podatna na podszywanie się.
Egzekwowanie DMARC (p=odrzuć)17.5%KRYTYCZNE: Zdecydowana większość nie blokuje aktywnie oszustw.
Przyjęcie MTA-STS2.6%KRYTYCZNE: Ruch e-mail jest niemal powszechnie nieszyfrowany podczas przesyłania.
Przyjęcie DNSSEC13.0%Powszechna podatność na przejęcie DNS.

Podsumowanie:

W Niemczech ponad 1 na 3 organizacje nie posiada żadnej polityki DMARC. Spośród tych, które mają politykę, ponad 80% nie używa jej do egzekwowania. Sygnalizuje to poważne, bezpośrednie ryzyko strat finansowych, naruszenia danych i katastrofalnej erozji zaufania publicznego.

Rozpocznij 15-dniowy okres próbny

Podział na sektory: Demaskowanie zagrożeń i możliwości

Sektor bankowy: Wiodący, ale wciąż narażony na ryzyko

Niemiecki sektor bankowy nadaje tempo w zakresie bezpieczeństwa poczty elektronicznej, ale nadal istnieją krytyczne luki w sektorze, w którym zaufanie jest najważniejsze.

Metryka sektora bankowego Wskaźnik przyjęcia
Poprawność SPF 93.2%
Egzekwowanie DMARC (p=odrzuć) 39.0%
Brak rekordu DMARC 6.7%
Przyjęcie MTA-STS 0%
Przyjęcie DNSSEC 3.4%
sektor bankowy-(DMARC)

Analiza ryzyka:

Pomimo wiodącej pozycji w zakresie egzekwowania DMARC 0% adopcji MTA-STS i niskiego poziomu DNSSEC stanowi poważną lukę w zabezpieczeniach. Wrażliwa komunikacja finansowa jest narażona na przechwycenie i przejęcie DNS, tworząc lukę dla wyrafinowanych ataków phishingowych, które mogą podszywać się pod zaufane banki.

Przykład:

Zamożny klient wysyła wiadomość e-mail do swojego bankiera w sprawie dużego przelewu. Atakujący przechwytuje tę niezaszyfrowaną wiadomość e-mail, zmienia dane banku odbierającego w odpowiedzi i kradnie środki.

Sektor rządowy: Mocne podstawy, poważne luki w egzekwowaniu przepisów

Domeny rządowe wykazują zaangażowanie w podstawowe uwierzytelnianie, ale jego egzekwowanie jest alarmująco słabe.

Metryka sektora rządowego Wskaźnik przyjęcia
Poprawność SPF 98.3%
Egzekwowanie DMARC (p=odrzuć) 12.5%
Brak rekordu DMARC 42.7%
Przyjęcie MTA-STS 1.7%
Przyjęcie DNSSEC 20.7%
Sektor rządowy (SPF)

Analiza ryzyka:

Z ponad 40% domen rządowych nie posiada DMARC a tylko 12,5% je egzekwuje, podszywanie się pod agencje rządowe jest alarmująco łatwe. Umożliwia to szeroki zakres oszustw podatkowych, kampanii inżynierii społecznej i ataków dezinformacyjnych na obywateli.

Przykład:

Obywatele otrzymują fałszywe wiadomości e-mail z podrobionej domeny urzędu skarbowego (np, [email protected]) z żądaniem natychmiastowej zapłaty "zaległego podatku" w celu uniknięcia postępowania sądowego.

Sektor opieki zdrowotnej: Zaufanie pacjentów na niepewnej krawędzi

Stan bezpieczeństwa poczty elektronicznej w sektorze opieki zdrowotnej jest opóźniony, co stwarza niedopuszczalne ryzyko dla danych pacjentów i zaufania.

Metryka sektora opieki zdrowotnej Wskaźnik przyjęcia
Poprawność SPF 97.7%
Egzekwowanie DMARC (p=odrzuć) 9.3%
Brak rekordu DMARC 53.4%
Przyjęcie MTA-STS 2.3%
Przyjęcie DNSSEC 7.0%
Sektor opieki zdrowotnej-MTA-STS

Analiza ryzyka:

Jest to punkt kryzysowy. Ponad połowa domen opieki zdrowotnej nie posiada DMARCa mniej niż 10% je egzekwuje. Naraża to pacjentów na kampanie phishingowe, które mogą wykraść poufne informacje zdrowotne, popełnić oszustwo ubezpieczeniowe i zaszkodzić reputacji zaufanych dostawców usług medycznych.

Przykład:

Pacjenci otrzymują fałszywą wiadomość e-mail "Wyniki testu gotowe" z fałszywej domeny szpitala (np, [email protected]). Link kradnie ich login do portalu pacjenta, co naraża na szwank ich poufne dane osobowe.

Zarezerwuj demo

Sektor mediów: Linia frontu przeciwko dezinformacji

Media są głównym celem podszywania się i dezinformacji, ale ich mechanizmy obronne nie są wystarczająco solidne.

Metryka sektora mediów Wskaźnik przyjęcia
Poprawność SPF 91.0%
Egzekwowanie DMARC (p=odrzuć) 17.9%
Brak rekordu DMARC 17.9%
Przyjęcie MTA-STS 0%
Przyjęcie DNSSEC 11.5%

Analiza ryzyka:

Z mniej niż 18% organizacji medialnych egzekwujących DMARC i zero adopcji MTA-STSźli aktorzy mają podatny grunt do rozpowszechniania fałszywych wiadomości, prowadzenia kampanii phishingowych przeciwko dziennikarzom i podszywania się pod zaufane marki informacyjne w celu oszukania opinii publicznej.

Przykład:

Dziennikarz otrzymuje sfałszowaną wiadomość e-mail od "poufnego źródła" (lub nawet swojego redaktora) z "ściśle tajnym" dokumentem, który w rzeczywistości jest oprogramowaniem szpiegującym zaprojektowanym w celu skompromitowania całego newsroomu.

Sektor transportowy: Narażony na oszustwa i zakłócenia

Organizacje transportowe i logistyczne są bardzo podatne na oszustwa fakturowe i oszustwa klientów ze względu na złożone łańcuchy dostaw.

Metryka sektora transportu Wskaźnik przyjęcia
Poprawność SPF 96.1%
Egzekwowanie DMARC (p=odrzuć) 18.2%
Brak rekordu DMARC 33.7%
Przyjęcie MTA-STS 5.2%
Przyjęcie DNSSEC 10.4%
Transport-Sektor-DMARC

Analiza ryzyka:

Ponad jedna trzecia domen transportowych nie posiada DMARC, a tylko 18,2% go egzekwuje. Stwarza to środowisko wysokiego ryzyka dla oszustw związanych z przekierowywaniem faktur i płatności, które mogą kosztować miliony i poważnie zakłócić działalność operacyjną.

Przykład:

Atakujący podszywa się pod władze portowe i wysyła do linii żeglugowej oszukańczą fakturę "Updated Mooring Fees", co powoduje przekierowanie sześciocyfrowej płatności.

Sektor edukacyjny: Główny cel kradzieży danych uwierzytelniających

Uniwersytety i instytucje edukacyjne są głównymi celami cyberataków, ale ich zabezpieczenia należą do najsłabszych.

Metryka sektora edukacji Wskaźnik przyjęcia
Poprawność SPF 98.8%
Egzekwowanie DMARC (p=odrzuć) 8.2%
Brak rekordu DMARC 31.8%
Przyjęcie MTA-STS 3.5%
Przyjęcie DNSSEC 8.2%
Logo BIMI

Analiza ryzyka:

Z mniej niż 10% egzekwowaniadomeny edukacyjne są szeroko otwarte. Sprawia to, że są one wyjątkowo podatne na kampanie zbierania danych uwierzytelniających skierowane do studentów i wykładowców, prowadzące do kradzieży cennych badań i danych osobowych.

Przykład:

Atakujący wykorzystują te skradzione dane uwierzytelniające do uzyskiwania dostępu i kradzieży cennych, niepublikowanych badań naukowych, które są następnie sprzedawane konkurentom lub podmiotom zagranicznym.

Rozpocznij 15-dniowy okres próbny

Sektor telekomunikacyjny: Ochrona klientów i podstawowych usług

Jako infrastruktura krytyczna, dostawcy usług telekomunikacyjnych są celem o wysokiej wartości, ale ich stan bezpieczeństwa poczty elektronicznej wymaga znacznej poprawy.

Metryka sektora telekomunikacyjnego Wskaźnik przyjęcia
Poprawność SPF 98.7%
Egzekwowanie DMARC (p=odrzuć) 30.4%
Brak rekordu DMARC 21.5%
Przyjęcie MTA-STS 6.3%
Przyjęcie DNSSEC 8.9%

Analiza ryzyka:

Chociaż egzekwowanie przepisów jest lepsze niż przeciętne, ponad 20% dostawców usług telekomunikacyjnych nadal nie posiada DMARC.. Naraża to miliony abonentów na wyrafinowane oszustwa (np. fałszywe rachunki, żądania aktualizacji konta), które podszywają się pod ich zaufanego dostawcę.

Przykład:

Klient otrzymuje od swojego operatora fałszywą wiadomość e-mail o treści "Wymagana aktualizacja karty SIM". To nakłania go do podania informacji, które umożliwiają atakującemu przeprowadzenie ataku polegającego na zamianie karty SIM, przejęciu numeru telefonu w celu ominięcia uwierzytelniania dwuskładnikowego na kontach bankowych.

Benchmarking: Na czym stoją Niemcy?

Niemcy przodują w przyjmowaniu podstawowych SPF, ale pozostają w tyle za swoimi europejskimi rówieśnikami w dwóch najważniejszych obszarach: egzekwowanie DMARC i DNSSEC.

KrajPoprawność SPFEgzekwowanie DMARC (p=odrzuć)Przyjęcie MTA-STSPrzyjęcie DNSSEC
Niemcy
Niemcy		96.8%17.5%2.6%13.0%

Belgia		90.1%24.7%2.1%21.4%

Holandia		70.0%23.2%0.9%37.7%

Szwecja		85.0%29.7%2.9%25.9%

Norwegia		85.2%29.0%4.4%45.6%

Włochy		91.0%16.7%1.0%3.5%

1. Fałszywa tarcza częściowego DMARC

Wiele niemieckich organizacji posiada DMARC ustawiony na p=none (tylko monitorowanie). Chociaż jest to ważny pierwszy krok w kierunku widoczności, oferuje on zerową ochronę. Atakujący wiedzą o tym i aktywnie atakują domeny, które nie przeszły do stanu p=kwarantanna lub p=odrzuć. A p=none to otwarte drzwi dla atakujących.

2. Kruchość SPF

Wysoka popularność SPF maskuje pewną złożoność. Rekordy SPFograniczone do 10 wyszukiwań DNS. W miarę jak organizacje wdrażają coraz więcej usług stron trzecich (np. marketing, HR, platformy płatnicze), limit ten jest łatwo przekraczany. Ten "permerror" powoduje, że rekord SPF nie przechodzi walidacji i pozostawia domenę bez ochrony pomimo posiadania rekordu SPF.

3. MTA-STS: Niewidzialna Tarcza

Przy zaledwie 2,6% adopcji, MTA-STS jest najbardziej znaczącym martwym punktem w Niemczech. Jeśli SPF i DMARC są weryfikacją paszportu wiadomości e-mail, to MTA-STS jest pojazdem opancerzonym, który chroni ją podczas transportu. Bez niego wiadomości e-mail są wysyłane w postaci zwykłego tekstu, co pozwala atakującym na przechwytywanie, odczytywanie i zmienianie komunikacji między serwerami pocztowymi (atak typu "man-in-the-middle").

4. DNSSEC: Zapomniana Fundacja

Niski poziom wdrożenia DNSSEC (13%) jest podstawową słabością. DNS to internetowa książka telefoniczna. Bez DNSSECatakujący mogą wykonać DNS hijacking i ataki typu "cache poisoning", w których uszkadzają tę książkę telefoniczną, aby przekierować użytkowników z legalnej, bezpiecznej domeny do złośliwej, identycznie wyglądającej domeny w celu kradzieży poświadczeń lub danych.

Podsumowanie: Od świadomości do działania

Niemcy znajdują się w krytycznym punkcie zwrotnym. Powszechna świadomość DMARC i silne fundamentalne przyjęcie SPF stanowią doskonały punkt wyjścia. Jednakże, świadomość to nie ochrona.

Podróż musi teraz zdecydowanie zmienić się z monitorowania na egzekwowanie i od uwierzytelniania do szyfrowanie. Ryzyko związane z bezczynnością jest oczywiste: straty finansowe wynikające z kompromitacji biznesowej poczty elektronicznej, erozja zaufania klientów z powodu phishingu, zakłócenia operacyjne spowodowane oprogramowaniem ransomware i niezgodność z przepisami dotyczącymi ochrony danych. Kolejnymi istotnymi krokami w celu zabezpieczenia niemieckiej struktury zaufania poczty elektronicznej jest powszechne wdrożenie MTA-STS i ponowne skupienie się na DNSSEC.

PowerDMARC jest najlepszym rozwiązaniem DMARC w Niemczech

PowerDMARC oferuje w pełni zintegrowaną platformę, która umożliwia niemieckim organizacjom wypełnienie luki między świadomością a prawdziwą odpornością na pocztę elektroniczną. Zapewniamy najszybszą i najbardziej niezawodną ścieżkę do egzekwowania DMARC, przyjęcia MTA-STS i walidacji DNSSEC. Nasze zarządzane rozwiązania eliminują złożoność, zapewniają analizę zagrożeń w czasie rzeczywistym i kompleksowo zabezpieczają kanały poczty elektronicznej.

Nie czekaj na atak, aby udowodnić potrzebę egzekwowania przepisów. Skontaktuj się z [email protected] lub zarezerwuj indywidualną sesję z naszymi ekspertami już dziś, aby zbudować odporną przyszłość bezpieczeństwa poczty e-mail dla swojej organizacji.

15-dniowy trialZamów demo