Raport dotyczący wdrożenia protokołów DMARC i MTA-STS w Wielkiej Brytanii w 2026 r.

Firma PowerDMARC podjęła wyzwanie przeanalizowania aktualnego stanu wdrożenia praktyk uwierzytelniania poczty elektronicznej w Wielkiej Brytanii w 2026 roku. Wynikiem tych działań jest raport, w którym przeanalizowano stopień wdrożenia protokołów DMARC, SPF, MTA-STS i DNSSEC w całym kraju, w poszczególnych sektorach oraz w kontekście globalnym. Raport obejmuje 875 brytyjskich domen i liczy 22 strony, a zawarte w nim informacje wskazują, że ponad 50% kraju musi zapewnić sobie ochronę przed kosztownymi i natychmiastowymi naruszeniami bezpieczeństwa.

Kwestia ta nabiera coraz większego znaczenia ze względu na fakt, że brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) oficjalnie wycofało swoje usługi Mail Check i Web Check z dniem 31 marca 2026 r. Obecnie firmy i organizacje przechodzą na prywatne narzędzia, takie jak PowerDMARC, w celu wdrażania i egzekwowania protokołów uwierzytelniania. 

Z naszego raportu wynika, że kraj ten jest gotowy jedynie częściowo, a istniejące luki mogą zostać łatwo wykorzystane przez atakujących. Organizacje zadbały o „uwierzytelnianie” (SPF), ale w dużej mierze zignorowały warstwy „szyfrowania” (MTA-STS) i „integralności” (DNSSEC).

Poniżej przedstawiamy krótkie podsumowanie niektórych wniosków zawartych w raporcie PowerDMARC pt. „Raport dotyczący wdrażania standardów DMARC i MTA-STS w Wielkiej Brytanii – 2026”. Jeszcze bardziej szczegółowe informacje można znaleźć w pełnej wersji raportu.

Krajowy przegląd sytuacji w Wielkiej Brytanii: historia dwóch systemów obronnych

Zanim przejdziemy do poszczególnych branż i ich analizy, przyjrzyjmy się najpierw ogólnej sytuacji w Wielkiej Brytanii.

Wielka Brytania SPF

Poprawność SPF – 93,7%

DMARC w Wielkiej Brytanii

Wdrożenie DMARC – 86,4%

DMARC p=odrzuć – 44,1%

Wielka Brytania MTA-STS

Wdrożenie MTA-STS – 20,6%

Brak MTA-STS – 79,4%

Testy MTA-STS – 4,5%

MTA-STS Enforce – 16,1%

Logo BIMI

Wdrożenie DNSSEC – 3,8%

Rozpocznij 15-dniowy okres próbny

1. Bankowość i finanse: Bezpieczna strefa z otwartymi tunelami

W sektorze osiągającym najlepsze wyniki w Wielkiej Brytanii ponad 95% wiadomości e-mail o charakterze finansowym nadal przesyłanych jest bez szyfrowania, co oznacza, że wystarczy jeden atak typu „downgrade”, by ujawnić potwierdzenia SWIFT

Metryczny Wskaźnik przyjęcia
Poprawność SPF 93.5%
DMARC p=odrzuć 61.3%
Przyjęcie MTA-STS 4.8%
Bankowość Przyjęcie SPF Wielka Brytania

❌ Najpoważniejsze zagrożenie: przechwycenie transakcji o wysokiej wartości.

Wysoki poziom egzekwowania przepisów nie zapewnia bankom brytyjskim ochrony podczas przesyłania danych przez niezaszyfrowane kanały. Najnowsze dane wskazują, że w wyniku oszustw płatniczych i innych nadużyć skradziono ponad 629,3 mln funtów w samej tylko pierwszej połowie 2025 r., często w wyniku manipulacji wiadomościami e-mailowymi.

✅ Rozwiązanie PowerDMARC:

Z Hosted MTA-STS, wymuszamy przesyłanie wszystkich wiadomości e-mail dotyczących finansów za pośrednictwem szyfrowanych kanałów TLS 1.2+, co znacznie zmniejsza ryzyko „ataków typu downgrade”, w których przestępcy usuwają szyfrowanie, aby odczytać poufną korespondencję między bankiem a klientem podczas przesyłania.

2. Rząd: przewodzenie dzięki mandatowi, porażka z powodu braku nadzoru nad tożsamością

Rząd przoduje we wdrażaniu protokołu MTA-STS, ale czy to wystarczy? Ponad 60% komunikacji e-mailowej nadal odbywa się bez zabezpieczeń.

Metryczny Wskaźnik przyjęcia
Poprawność SPF 94.8%
DMARC p=odrzuć 57.1%
Przyjęcie MTA-STS 39.9%
Wdrożenie DMARC przez rząd Wielkiej Brytanii

❌ Najpoważniejsze zagrożenie: podszywanie się pod obywateli i wycieki danych osobowych.

Dane wskazują, że poważne działania, takie jak wytyczne NCSC, sprawiły, że uwierzytelnianie wiadomości e-mail stało się koniecznością, jednak wciąż pozostaje wiele do zrobienia. Wyciek danych z Ministerstwa Obrony w 2024 r., w wyniku którego ujawniono dane dotyczące wynagrodzeń 272 000 pracowników, pokazuje, jak bardzo infrastruktura sektora publicznego pozostaje podatna na ataki wykorzystujące dane tożsamościowe. 

✅ Rozwiązanie PowerDMARC:

Nasza platforma automatyzuje proces p=reject dla subdomen rządowych, zapewniając spełnienie najwyższych standardów bezpieczeństwa bez ryzyka zakłócenia krytycznych przepływów komunikacyjnych z obywatelami.

3. Opieka zdrowotna: ryzyko związane z HIPAA na terenie Wielkiej Brytanii

Dwie trzecie brytyjskich placówek opieki zdrowotnej nie jest w stanie powstrzymać fałszywych wiadomości e-mail, a biorąc pod uwagę, że 13,2% z nich nie posiada w ogóle rekordu DMARC, dane pacjentów są o krok od wycieku – wystarczy jeden link phishingowy.

Metryczny Wskaźnik przyjęcia
DMARC p=odrzuć 34.0%
Brak rekordu DMARC 13.2%
Przyjęcie MTA-STS 9.4%
Wdrożenie MTA-STS w służbie zdrowia w Wielkiej Brytanii

❌ Najpoważniejsze zagrożenie: wycieki danych dotyczących chronionych informacji zdrowotnych (PHI).

Sektor opieki zdrowotnej pozostaje głównym celem grup zajmujących się oprogramowaniem ransomware, takich jak Qilin, które niedawno zaatakowała brytyjską służbę zdrowia (NHS) i ujawniła 400 GB poufnych danych. Przy słabym egzekwowaniu standardu DMARC i niemal zerowym wdrożeniu DNSSEC atakujący mogą z łatwością sfałszować dane uwierzytelniające szpitali, aby dostarczyć złośliwe oprogramowanie lub uzyskać dostęp do poufnej dokumentacji medycznej.

✅ Rozwiązanie PowerDMARC:

Zapewniamy zarządzaną ścieżkę do pełnej DMARC i MTA-STS, zapewniając szyfrowanie każdej wychodzącej dokumentacji medycznej i weryfikację każdego oficjalnego zawiadomienia zdrowotnego.

Zarezerwuj demo

4. Transport i logistyka: niezabezpieczona brama łańcucha dostaw

Sieci transportowe w Wielkiej Brytanii stanowią otwarte zaproszenie do oszustw, osiągając najwyższy wskaźnik „No-DMARC” w kraju.

Metryczny Wskaźnik przyjęcia
DMARC p=odrzuć 32.8%
Brak rekordu DMARC 26.7%
Przyjęcie MTA-STS 6.2%

❌ Najpoważniejsze zagrożenie: przejęcie faktur i zakłócenia w świadczeniu usług.

Cyberatak z 2024 roku na Transport for London (TfL), w wyniku którego ujawniono dane finansowe 5 000 klientów, dowodzi, że systemy transportu publicznego są celami o dużej wartości. Atakujący wykorzystują sfałszowane „alerty dotyczące sprzętu krytycznego” lub fałszywe listy przewozowe, aby połączyć skrzynkę pocztową firmy z fizyczną logistyką.

✅ Rozwiązanie PowerDMARC:

Optymalizujemy złożone rekordy SPF, aby pozostać w granicach limitów wyszukiwania DNS i egzekwujemy surowe zasady DMARC, aby zabezpieczyć kanały logistyczne przed oszustwami związanymi z fakturami.

5. Edukacja: Dziedzina pozyskiwania własności intelektualnej

Brytyjskie uczelnie charakteryzują się najniższym poziomem egzekwowania standardu DMARC w kraju, mimo że około 91% uczelni wyższych zgłosiło naruszenie cyberbezpieczeństwa w 2025 r.

Metryczny Wskaźnik przyjęcia
Poprawność SPF 94.6%
DMARC p=odrzuć 23.9%
Brak rekordu DMARC 4.3%
Edukacja SPF Adopcja Wielka Brytania

❌ Największe zagrożenie: badania i wykradanie danych logowania.

Niski poziom egzekwowania standardu DMARC (23,9%) umożliwia atakującym fałszowanie danych logowania do systemów uniwersyteckich, co pozwala im uzyskać dostęp do baz danych badawczych o wartości wielu milionów funtów oraz do dokumentacji finansowej studentów.

✅ Rozwiązanie PowerDMARC:

Pomagamy uniwersytetom zarządzać tysiącami subdomen wydziałowych z jednego pulpitu nawigacyjnego, ograniczając skuteczne próby phishingu na całym kampusie.

6. Media: wzmacniacz dezinformacji

Redakcje walczą z fałszywymi wiadomościami, ale ich własne domeny e-mailowe pozostają podatne na fałszywe podpisy i dystrybucję deepfake'ów.

Metryczny Wskaźnik przyjęcia
Poprawność SPF 98.4%
Przyjęcie MTA-STS 1.6%
Przyjęcie DNSSEC 1.6%
Logo BIMI

❌ Najpoważniejsze zagrożenie: kradzież tożsamości i oszustwa z wykorzystaniem technologii deepfake.

Chociaż sektor mediów charakteryzuje się wysokim poziomem zgodności z protokołem SPF, wdrożenie standardów MTA-STS i DNSSEC jest w nim praktycznie zerowe. Oznacza to, że komunikacja dziennikarzy jest widoczna dla osób monitorujących sieć, a ich dane uwierzytelniające mogą zostać sfałszowane w celu rozpowszechniania fałszywych wiadomości typu deepfake lub nakłonienia pracowników do dokonania nieuprawnionych przelewów.

✅ Rozwiązanie PowerDMARC:

Przenosimy domeny medialne do p=reject, zapewniając, że tylko zweryfikowani pracownicy mogą wysyłać wiadomości e-mail, zachowując zaufanie do marki w erze wojen informacyjnych opartych na sztucznej inteligencji.

Rozpocznij 15-dniowy okres próbny

7. Telekomunikacja: magnes przyciągający oszustów

Operatorzy telekomunikacyjni zabezpieczają sieć, ale nie skrzynkę odbiorczą, co daje oszustom swobodę wysyłania fałszywych powiadomień o rachunkach do milionów abonentów.

Metryczny Wskaźnik przyjęcia
Poprawność SPF 91.0%
DMARC p=odrzuć 32.8%
Brak rekordu DMARC 11.9%
Logo BIMI

❌ Najpoważniejsze zagrożenie: oszustwa związane z rozliczeniami i przejęcia kont.

Wysoki odsetek wiadomości oznaczonych jako „No-DMARC” w połączeniu z nieprawidłową konfiguracją DMARC umożliwia oszustom wysyłanie fałszywych powiadomień rozliczeniowych, które wyglądają na autentyczne, co skłania użytkowników do ujawnienia kodów 2FA niezbędnych do przejęcia karty SIM lub kradzieży tożsamości.

✅ Rozwiązanie PowerDMARC:

Nasza platforma egzekwuje p=reject w domenach operatorów i hostuje MTA-STS w celu zabezpieczenia automatycznych przepływów rozliczeniowych, uniemożliwiając oszustom wykorzystanie nazwy operatora przeciwko jego abonentom.

Pod maską: cztery słabe punkty konstrukcyjne

Luka wdrożeniowa p=none

18,9% domen brytyjskich posiada DMARC, ale nie egzekwuje go.

Spostrzeżenia ekspertów:

„Polityka DMARC ustawiona na p=none zapewnia jedynie raportowanie i widoczność prób spoofingu, nie blokując ich. Chociaż wysoki wskaźnik przyjęcia tej polityki w Wielkiej Brytanii jest zachęcający, przejście na politykę DMARC p=reject jest konieczne, aby aktywnie zapobiegać nieautoryzowanemu wykorzystaniu poczty elektronicznej”.

Maitham Al Lawati, dyrektor generalny firmy PowerDMARC

Spostrzeżenia ekspertów:

„Limit 10 wyszukiwań to sztywny pułap w DNS. Bez technik optymalizacji SPF, takich jak spłaszczanie lub makra do kompresji tych rekordów, rozbudowa stosu cyfrowego nieuchronnie pogorszy dostarczalność wiadomości e-mail”.

Yunes Tarada, kierownik ds. świadczenia usług , PowerDMARC

Złożoność SPF w skali

6,3% domen w Wielkiej Brytanii ma poważne problemy z konfiguracją, często z powodu „ograniczenia 10 wyszukiwań”.

MTA-STS: deficyt szyfrowania

79,4% domen w Wielkiej Brytanii wykazuje całkowity brak kontroli w zakresie bezpieczeństwa transportu.

Spostrzeżenia ekspertów:

„Standardowe szyfrowanie poczty elektronicznej (STARTTLS) jest oportunistyczne. MTA-STS to sposób na wymuszenie blokady transportowej. Ponieważ prawie cały ruch w Wielkiej Brytanii jest narażony, atakujący może z łatwością usunąć szyfrowanie i odczytać poufną korespondencję firmową w trakcie przesyłania”.

Ayan Bhuiya, kierownik zmiany ds. operacji i realizacji, PowerDMARC

Spostrzeżenia ekspertów:

„DNSSEC pełni rolę strażnika Twojej tożsamości cyfrowej. Nie jest to już tylko protokół informatyczny, ale fundamentalny element zarządzania reputacją marki. Pojedynczy incydent przejęcia DNS może w ciągu kilku sekund zniszczyć zaufanie do marki”.

Ahona Rudra, kierownik ds. marketingu , PowerDMARC

DNSSEC: Słaba podstawa

Włączone tylko w 3,8% domen w Wielkiej Brytanii.

Kontakt z nami

Globalne porównanie: Wielka Brytania w kontekście

W poniższej tabeli porównano pozycję Wielkiej Brytanii w zakresie kluczowych protokołów bezpieczeństwa z pozycją takich krajów, jak Stany Zjednoczone, Norwegia i Japonia.

KrajSPF CorrectDMARC (p=odrzuć)MTA-STSDNSSEC
Stany Zjednoczone 🇺🇸95.7%49.0%1.7%18.0%
Australia 🇦🇺92.3%46.7%5.8%6.8%
Wielka Brytania 🇬🇧93.7%44.1%20.6%3.8%
Norwegia 🇳🇴85.2%29.0%2.8%45.6%
Włochy 🇮🇹91.0%16.7%1.0%3.5%
Arabia Saudyjska 🇸🇦80.6%18.4%0.2%11.9%
Japonia 🇯🇵95.0%9.2%0.5%16.4%
Nigeria 🇳🇬70.3%14.2%0.0%8.2%

Najważniejsze wnioski z oficjalnych raportów

❗Luka w egzekwowaniu prawa

W Wielkiej Brytanii odnotowuje się wysoki poziom wdrożenia protokołu SFP, jednak tylko niecała połowa domen aktywnie chroni się przed sfałszowanymi wiadomościami e-mail.

Wyróżniający się MTA-STS w Wielkiej Brytanii

W porównaniu z innymi krajami Wielka Brytania charakteryzuje się wysokim wskaźnikiem wdrożenia technologii MTA-STS, co ma istotne znaczenie dla zapewnienia bezpieczeństwa tranzytowego. Wynika to z rygorystycznych wytycznych NCSC.

Wdrażanie DNSSEC

Wielka Brytania pozostaje w tyle za większością krajów pod względem wdrażania protokołu DNSSEC, co naraża ją na ataki typu „d hijacking” oraz „cache poisoning”.

„Pułapka zgodności”

Mimo że coraz więcej organizacji korzysta z rekordów DMARC, ich podejście pozostaje nadal bierne, ponieważ nie ustawiają one wartości p=reject. Oznacza to po prostu monitorowanie, a nie ochronę.

Wnioski: od wskaźników do działania

Raport dotyczący wdrażania standardów DMARC i MTA-STS w Wielkiej Brytanii z 2026 r. wskazuje, że kraj ten stworzył solidne podstawy techniczne, ale nie zdołał jeszcze w pełni zniwelować luki między biernym monitorowaniem a aktywnym egzekwowaniem standardów w zakresie transportu wiadomości.

Nie możesz sobie pozwolić na czekanie na kolejne ostrzeżenie NCSC lub katastrofalny incydent związany z atakiem typu Business Email Compromise (BEC), aby przejść od monitorowania do ochrony. PowerDMARC wypełnia tę „lukę wdrożeniową”, zapewniając:

Zautomatyzowane ścieżki egzekwowania: Bezpieczna migracja spółek z indeksu FTSE 100 oraz małych i średnich przedsiębiorstw z p=none do p=reject bez blokowania krytycznej komunikacji biznesowej lub przepływu poczty między działami.

Uproszczenie infrastruktury: Pokonanie „limitu 10 wyszukiwań” dzięki optymalizacji SPF, hosting MTA-STS w celu wyeliminowania 79 ,4% luki w szyfrowaniu oraz walidacja rekordów DNSSEC w jednym, natywnym dla chmury panelu.

Gotowość regulacyjna: Wspieranie zgodności z RODO, brytyjskimi wymogami Cyber Essentialsi PCI-DSS 4.0 poprzez uproszczenie ochrony przed phishingiem i zabezpieczenie poufnej komunikacji e-mailowej.

Zarezerwuj demo Skontaktuj się z nami

Perspektywa PowerDMARC

„Wielka Brytania jest obecnie głównym celem ataków phishingowych i oszustw związanych z fakturami, wykorzystujących sztuczną inteligencję. Chociaż brytyjskie zespoły IT doskonale radzą sobie z publikowaniem podstawowych rejestrów, często paraliżuje je obawa przed blokowaniem legalnych wiadomości e-mail. W 2026 r. postawa polegająca wyłącznie na monitorowaniu będzie w zasadzie równoznaczna z poddaniem się wyrafinowanym atakom spoofingowym. Przejście do aktywnej obrony to nie tylko ulepszenie zabezpieczeń; jest to niezbędny element ochrony przed naruszeniami, które atakują serce brytyjskiej gospodarki cyfrowej”.

Zespół PowerDMARC

Zmień widoczność w obronę już dziś

Wskaźniki adopcji w Wielkiej Brytanii pokazują, że fundamenty są gotowe; teraz nadszedł czas, aby przełączyć przełącznik. W sytuacji, w której sztuczna inteligencja potrafi doskonale naśladować ton głosu kierownika, samo poleganie na „widoczności” nie wystarczy.

Nie pozwól, aby Twoja domena pozostała „niechronioną granicą”. Przejdź od pasywnego monitorowania do aktywnej ochrony, zanim kolejna fala skoordynowanych ataków uderzy w Twoją branżę.

Skontaktuj się z PowerDMARC , aby rozpocząć swoją podróż do egzekwowania przepisów.

15-dniowy trialZamów demo