Data analizy: 2025

Raport o przyjęciu DMARC i MTA-STS w Nowej Zelandii 2025

Sektor publiczny Nowej Zelandii znajduje się pod rosnącą presją ataków phishingowych i spoofingowych wymierzonych w domeny rządowe. W odpowiedzi rząd uruchomił program Secure Government Email (SGE) Frameworkktóry wymaga od wszystkich agencji przyjęcia otwartych standardów, w tym DMARC (ustawionego na "odrzuć"), SPF, DKIM, MTA-STS i TLS-RPT, do października 2025 roku. Ramy te zastępują starszy system SEEMail i wprowadzają regularne raportowanie, naprawianie błędów i standardy bezpiecznej transmisji wiadomości e-mail. W niniejszym raporcie dokonano przeglądu postępów w zakresie wdrażania i przedstawiono kroki mające na celu zmniejszenie ryzyka cybernetycznego, egzekwowanie integralności poczty elektronicznej i ochronę komunikacji w sektorze publicznym.

Zarezerwuj demo Pobierz PDF

Ocena krajobrazu zagrożeń

PowerDMARC's New Zealand DMARC and MTA-STS Adoption Report 2025 odpowie na następujące kluczowe pytania:

  • Jak skutecznie Nowa Zelandia wdrożyła SPF i DMARC w domenach?

  • Jaki jest obecny poziom wdrożenia MTA-STS w nowozelandzkich organizacjach?

  • Które sektory w Nowej Zelandii są najbardziej narażone na cyberzagrożenia związane z pocztą elektroniczną?

  • Jakie najczęstsze błędy popełniają nowozelandzkie organizacje w zakresie uwierzytelniania poczty e-mail?

  • Jakie konkretne działania powinni podjąć właściciele domen w Nowej Zelandii, aby poprawić swój stan bezpieczeństwa poczty e-mail?

Analizowane sektory

Łączna liczba przeanalizowanych domen: 976

  • Finanse

  • Opieka zdrowotna

  • Media

  • Rząd

  • Inne

  • Telekomunikacja

  • Transport

  • Edukacja

Co mówią liczby?

Analiza przyjęcia SPF w Nowej Zelandii

Logo BIMI

Analiza przyjęcia DMARC w Nowej Zelandii

Logo BIMI

Analiza przyjęcia MTA-STS w Nowej Zelandii

Logo BIMI

Analiza przyjęcia DNSSEC w Nowej Zelandii

Logo BIMI

Kluczowe wnioski

  • 81,2% domen nowozelandzkich ma poprawne rekordy rekordy SPF.
  • 16,7% domen wdrożyło politykę DMARC "Odrzuć".
  • 36,9% domen nie ma rekordu DMARC.
  • Tylko 1,3% domen wdrożyło egzekwowanie MTA-STS; zdecydowana większość (97,6%) nie wdrożyła MTA-STS.
  • 13,4% domen ma włączony DNSSEC.

Finanse

Analiza przyjęcia SPF

Logo BIMI

Analiza przyjęcia DMARC

Logo BIMI

Analiza przyjęcia MTA-STS

Logo BIMI

Analiza przyjęcia DNSSEC

Logo BIMI

Kluczowe wnioski 

  • 86,3% domen ma poprawne rekordy SPF.
  • 42,1% domen nie posiada rekordu DMARC.
  • Tylko 0,9% domen wdrożyło egzekwowanie MTA-STS, podczas gdy 98,7% nie ma MTA-STS.
  • 97,0% domen ma wyłączony DNSSEC.

Opieka zdrowotna

Analiza przyjęcia SPF

Logo BIMI

Analiza przyjęcia DMARC

Logo BIMI

Analiza przyjęcia MTA-STS

Logo BIMI

Analiza przyjęcia DNSSEC

Logo BIMI

Kluczowe wnioski

  • 68,1% domen opieki zdrowotnej posiada poprawne rekordy SPF.
  • 42,7% domen nie posiada rekordu DMARC.
  • Tylko 1,0% domen wdrożyło egzekwowanie MTA-STS, podczas gdy 98,5% całkowicie nie posiada MTA-STS.
  • 91,2% domen związanych z opieką zdrowotną ma wyłączony DNSSEC.

Media

Analiza przyjęcia SPF

Logo BIMI

Analiza przyjęcia DMARC

Logo BIMI

Analiza przyjęcia MTA-STS

Logo BIMI

Analiza przyjęcia DNSSEC

Logo BIMI

Kluczowe wnioski

  • 73,7% domen posiada poprawne rekordy SPF.
  • 42,5% domen ma nie ma rekordu DMARC.
  • W tym sektorze zaobserwowano 0% adopcji MTA-STS; tylko 1,3% jest w fazie testów, podczas gdy 98,7% nie ma MTA-STS.
  • 97,5% domen ma wyłączony DNSSEC.

Rząd

Analiza przyjęcia SPF

Logo BIMI

Analiza przyjęcia DMARC

Logo BIMI

Analiza przyjęcia MTA-STS

Logo BIMI

Analiza przyjęcia DNSSEC

Logo BIMI

Kluczowe wnioski

  • 89,6% domen rządowych poprawnie wdrożyło rekordy SPF.
  • 13,2% domen rządowych nie posiada rekordu DMARC.
  • Wdrożenie MTA-STS jest bardzo ograniczone, przy 95,1% domen bez rekordów MTA-STS i tylko 2,8% w fazie testów; nie zaobserwowano pełnego wdrożenia.
  • Wdrożenie DNSSEC jest umiarkowane, z 52,1% włączonych domen rządowych.

Inne

Analiza przyjęcia SPF

Logo BIMI

Analiza przyjęcia DMARC

Logo BIMI

Analiza przyjęcia MTA-STS

Logo BIMI

Analiza przyjęcia DNSSEC

Logo BIMI

Kluczowe wnioski

  • 83,3% domen poprawnie zaimplementowało rekordy SPF.
  • 25,0% domen nie ma rekordu DMARC.
  • Wdrożenie MTA-STS jest bardzo ograniczone - tylko 12,5% domen egzekwuje MTA-STS; 87,5% nie wdrożyło go.
  • Wdrożenie DNSSEC pozostaje na niskim poziomie - 70,8% domen ma wyłączone DNSSEC, a tylko 29,2% włączone.

Telekomunikacja

Analiza przyjęcia SPF

Logo BIMI

Analiza przyjęcia DMARC

Logo BIMI

Analiza przyjęcia MTA-STS

Logo BIMI

Analiza przyjęcia DNSSEC

Logo BIMI

Kluczowe wnioski

  • 84,8% domen posiada poprawne rekordy SPF.
  • 35,2% domen nie posiada rekordu DMARC.
  • MTA-STS nie został wdrożony w tym sektorze - żadna domena nie wdrożyła MTA-STS.
  • 95,2% domen ma wyłączony DNSSEC.

Transport

Analiza przyjęcia SPF

Logo BIMI

Analiza przyjęcia DMARC

Logo BIMI

Analiza przyjęcia MTA-STS

Logo BIMI

Analiza przyjęcia DNSSEC

Logo BIMI

Kluczowe wnioski

  • 80,5% domen sektora transportowego posiada poprawne rekordy SPF.
  • 52,3% domen nie posiada rekordu DMARC.
  • Przyjęcie MTA-STS jest niezwykle niskie, tylko 0,8% domen egzekwuje MTA-STS, a 98,4% nie ma rekordu MTA-STS.
  • DNSSEC nie jest powszechnie stosowany; tylko 9,4% domen ma włączony DNSSEC, podczas gdy 90,6% jest wyłączonych.

Edukacja

Analiza przyjęcia SPF

Logo BIMI

Analiza przyjęcia DMARC

Logo BIMI

Analiza przyjęcia MTA-STS

Logo BIMI

Analiza przyjęcia DNSSEC

Logo BIMI

Kluczowe wnioski

  • 89,7% domen edukacyjnych poprawnie wdrożyło rekordy SPF.
  • 20,7% domen nie posiada rekordu DMARC, podczas gdy dodatkowe 24,1% używa polityki DMARC "Brak" (tylko monitorowanie).
  • Przyjęcie MTA-STS jest bardzo ograniczone: tylko 3,5% domen wymusza MTA-STS, a 93,1% nie ma rekordu MTA-STS.
  • Przyjęcie DNSSEC w tym sektorze jest niskie - tylko 8,6% domen edukacyjnych jest włączonych.

Analiza porównawcza przyjęcia SPF wśród różnych sektorów w Nowej Zelandii

Logo BIMI

Kluczowe wnioski

Sektor edukacyjny przoduje w prawidłowym wdrażaniu SPF, z 89,66% poprawnie skonfigurowanych domen. Sektor rządowy plasuje się tuż za nim z wynikiem 89,58%. W przeciwieństwie do tego, sektor opieki zdrowotnej pozostaje w tyle, z zaledwie 68,14% domen prawidłowo wdrażających SPF - najniższy wśród wszystkich analizowanych sektorów.

Analiza porównawcza przyjęcia DMARC wśród różnych sektorów w Nowej Zelandii

Logo BIMI

Kluczowe wnioski

 W Nowej Zelandii sektor rządowy ma najwyższą adopcję DMARC, z zaledwie 13,19% domen nieposiadających rekordów. Sektor transportu pozostaje w tyle, z 52,3% domen nieposiadających DMARC. Sektor edukacji przoduje w ścisłym stosowaniu polityki "Odrzuć" na poziomie 36,2%, a tuż za nim plasuje się sektor rządowy. Telekomunikacja i finanse wykazują najniższe wykorzystanie polityki "Reject".

Analiza porównawcza przyjęcia MTA-STS wśród różnych sektorów w Nowej Zelandii

Logo BIMI

Kluczowe wnioski

Przyjęcie MTA-STS w Nowej Zelandii pozostaje minimalne we wszystkich sektorach, a ponad 90% domen nie zostało wdrożonych. Kategoria "Inne" wykazuje najwyższą adopcję, ale tylko 12,5% ją wdrożyło. Sektor telekomunikacyjny zgłasza zerowe wykorzystanie MTA-STS - ani w testach, ani w egzekwowaniu.

Analiza porównawcza przyjęcia DNSSEC przez różne sektory w Nowej Zelandii

Logo BIMI

Kluczowe wnioski

Przyjęcie DNSSEC w Nowej Zelandii jest niskie we wszystkich dziedzinach. Sektor rządowy jest liderem z 52,08% włączonych domen, podczas gdy sektor mediów pozostaje w tyle z zaledwie 2,5%. Większość sektorów - w tym finanse, opieka zdrowotna, transport, edukacja i telekomunikacja - ma DNSSEC wyłączony w ponad 90% domen.

Wskaźniki przyjęcia DMARC i MTA-STS: Kluczowe statystyki dla Nowej Zelandii

  • Łączna liczba przeanalizowanych domen: 976

  • 62,5% ma poprawny rekord DMARC; 36,9% nie ma rekordu DMARC.

  • 31,8% ustawiło "brak", 14,0% "kwarantanna" (Q), a 16,7% "odrzuć".

  • Tylko 2,36% ma ważny rekord MTA-STS; 97,64% nie ma żadnego.

  • 81,2% ma poprawny rekord SPF; 14,2% nie ma rekordu SPF.

  • 86,6% ma wyłączony DNNSSEC.

Krytyczne błędy popełniane przez organizacje w Nowej Zelandii

  • 1. Powszechny brak rekordów DMARC

    Kilka nowozelandzkich domen nadal nie posiada rekordu DMARC, co czyni je podatnymi na spoofing poczty elektronicznej. Bez DMARC organizacje nie mają wglądu w nieautoryzowaną aktywność e-mailową, a domeny rządowe nie spełniają wymogów zgodności z SGE.

    Przykłady:

    • "Rekord DMARC nie istnieje dla tej domeny lub jej domeny bazowej".

  • 2. Brakujące lub nieprawidłowe rekordy SPF

    Wiele domen w Nowej Zelandii albo nie posiada rekordu SPF, albo posiada taki, który jest niepoprawny składniowo. Bez prawidłowej konfiguracji SPF serwery pocztowe nie mogą uwierzytelnić nadawcy, co ułatwia atakującym dostarczanie fałszywych lub fałszywych wiadomości e-mail. Aby zapobiec odrzucaniu legalnych wiadomości e-mail lub oznaczaniu ich jako spam, organizacje muszą publikować prawidłowy, wolny od błędów rekord SPF, który obejmuje wszystkich autoryzowanych nadawców.

    Przykłady:

    • Błąd "Nie ma rekordu SPF TXT". 
    • "ip4: ~all nie jest prawidłową wartością ipv4"
    • "ip-1 nie jest prawidłową wartością ipv4"

  • 3. Błędnie skonfigurowane i wielokrotne rekordy SPF

    Nawet jeśli rekordy SPF istnieją, często zdarzają się błędne konfiguracje, takie jak wiele rekordów SPF na domenę lub przekroczenie limitu 10 wyszukiwań DNS, z których oba naruszają RFC 7208. Organizacje powinny skonsolidować dane SPF w jednym rekordzie TXT i zoptymalizować go poprzez usunięcie niepotrzebnych mechanizmów "include".

    Przykłady:

    • "ma wiele rekordów SPF TXT" 
    • "Parsowanie rekordu SPF wymaga 11/10 maksymalnych wyszukiwań DNS".
    • "Parsowanie rekordu SPF wymaga 12/10 maksymalnych wyszukiwań DNS".

  • 4. Słabe lub nieprawidłowe zasady DMARC

    Przykłady:

    • v=DMARC1; p=none; aspf=s; adkim=s; pct=100; fo=1;...
    • "Wielokrotne rekordy polityki DMARC nie są dozwolone".

  • 5. Niepowiązane lub obce rekordy TXT

    Niektóre domeny mają niepotrzebne rekordy TXT w krytycznych subdomenach, takich jak \_dmarc i \_mta-sts, co może zakłócać uwierzytelnianie poczty e-mail. Regularne audyty DNS są niezbędne, aby upewnić się, że tylko wymagane rekordy protokołów są publikowane w tych subdomenach.

    Przykład:

    • "Wykryto niepowiązane rekordy TXT. Powinny one zostać usunięte, ponieważ niektórzy odbiorcy mogą nie spodziewać się znalezienia niepowiązanych rekordów TXT w ..."

  • 6. Brak wdrożenia MTA-STS

    Mail Transfer Agent Strict Transport Security (MTA-STS) wymusza szyfrowane dostarczanie wiadomości e-mail, chroniąc przed atakami typu man-in-the-middle i downgrade, i jest wymagany do zapewnienia zgodności z SGE. Jednak większość domen w Nowej Zelandii jeszcze go nie wdrożyła. Organizacje powinny przyjąć i egzekwować MTA-STS, aby zapewnić bezpieczną, szyfrowaną transmisję wiadomości e-mail.

    Przykład:

    • "Rekord DNS MTA-STS nie istnieje dla tej domeny".

  • 7. DNSSEC nie jest powszechnie włączony

    Dane ujawniają, że DNSSEC jest wyłączony dla większości domen nowozelandzkich. Zachęcamy wszystkie organizacje do włączenia DNSSEC w celu zwiększenia integralności i bezpieczeństwa DNS.

    Przykład:

    • "Rekord DNSSEC DNS nie istnieje dla tej domeny".

Jak PowerDMARC pomaga zachować bezpieczeństwo i brak błędów

PowerDMARC to kompleksowa platforma uwierzytelniania poczty elektronicznej, której zaufali MSP, MSSP, przedsiębiorstwa i rządy na całym świecie w celu ochrony domen przed spoofingiem, phishingiem i atakami podszywania się.

Oto, w jaki sposób zapewniamy bezpieczeństwo poczty e-mail od pierwszego dnia:

  • Uproszczone wdrażanie DMARC: Skorzystaj z naszego bezpłatnego DMARC Analyzer do wygenerowania rekordu DMARC.

  • Bezproblemowe zarządzanie SPF: Twórz bezbłędne rekordy SPF za pomocą naszego darmowego generatora i natychmiast zweryfikuj je za pomocą naszego SPF checker narzędzie.

  • Proaktywna analiza kondycji domeny: Skorzystaj z naszego Analizator kondycji domeny do natychmiastowego skanowania DNS w poszukiwaniu ukrytych błędnych konfiguracji.

  • MTA-STS i TLS-RPT bez wysiłku: Wdrażaj i zarządzaj MTA-STS i TLS-RPT bez złożoności.

  • Weryfikacja DNSSEC jednym kliknięciem: Szybko skorzystaj z naszego DNSSEC Checker aby potwierdzić, że domena jest chroniona przed atakami na poziomie DNS.

bezpieczna poczta elektroniczna powerdmarcPotrzebujesz pomocy lub szybkiego demo?

Napisz do nas na adres [email protected] aby zarezerwować sesję 1:1 z naszymi ekspertami już dziś!

15-dniowy trialZamów demo