Raport dotyczący wdrożenia protokołów DMARC i MTA-STS w Stanach Zjednoczonych w 2026 r.

Raport PowerDMARC z 2026 r. dotyczący uwierzytelniania wiadomości e-mail w Stanach Zjednoczonych miał na celu zbadanie stopnia wdrożenia protokołu DMARC w tym kraju, jego konfiguracji oraz nacisku na zaawansowane protokoły bezpieczeństwa tranzytowego, takie jak MTA-STS i DNSSEC. Nasze statystyki obejmują cały kraj oraz jego główne branże, ujawniając kluczowe problemy związane z bezpieczeństwem, które pozostają niezauważone.

Nie jest zaskoczeniem powszechne wdrożenie protokołu DMARC, co świadczy o poważnym podejściu do protokołów uwierzytelniania poczty elektronicznej. Zaskakujący okazał się natomiast brak zabezpieczeń w sieci tranzytowej, gdzie ryzyko spoofingu i obniżenia poziomu bezpieczeństwa jest największe.

Pomimo zaostrzonych wytycznych federalnych, takich jak program „Shields Up” agencji CISA  oraz szerszych krajowych inicjatyw w zakresie cyberbezpieczeństwa, Stany Zjednoczone pozostają głównym polem działania oszustw opartych na sztucznej inteligencji, takich jak spoofing i ataki typu Business Email Compromise (BEC), które w zeszłym roku kosztowały gospodarkę ponad 2,9 mld dolarów w zeszłym roku.

Z analizy PowerDMARC wynika, że kraj ten zajął się kwestią uwierzytelniania tożsamości (SPF/DMARC), pozostawiając jednak bezpieczeństwo warstwy transportowej (MTA-STS) oraz integralność strefy (DNSSEC) niebezpiecznie narażone. Przyjrzyjmy się pokrótce, co wynika z tego raportu.

Ogólny stan bezpieczeństwa poczty elektronicznej w Stanach Zjednoczonych

System uwierzytelniania poczty elektronicznej w Stanach Zjednoczonych opiera się na dwóch poziomach: niemal powszechnie stosowanych podstawowych rejestrach (SPF i DMARC) w połączeniu z minimalną ochroną na poziomie warstwy transportowej (MTA-STS i DNSSEC). W przypadku ponad 900 domen podstawowe wskaźniki przedstawiają się następująco:

SPF

USA SPF

DMARC

USA-DMARC-Square

MTA-STS

USA MTA-STS

DNSSEC

Logo BIMI

Wskaźniki bezpieczeństwa poczty elektronicznej w USA

Metryczny Wskaźnik przyjęcia
Poprawność SPF 95.7%
Przyjęcie DMARC 95.8%
DMARC p=odrzuć 49.0%
Przyjęcie MTA-STS 1.7%
Przyjęcie DNSSEC 18.0%

1. Bankowość i finanse: infrastruktura o wysokim poziomie egzekwowania przepisów

Oszustwo phishingowe z 2024 r. związane z JPMorgan przyniosło zysk w wysokości 100 mln dolarów, co po raz kolejny pokazuje, że choć amerykańskie banki kładą nacisk na egzekwowanie przepisów, to samo to nie wystarcza, by zapewnić pełne bezpieczeństwo.

Metryczny Wskaźnik przyjęcia
Poprawność SPF 90.9%
Przyjęcie MTA-STS 3.0%
Przyjęcie DNSSEC 22.7%
Bankowość Przyjęcie SPF

❌Ryzyko krytyczne

Przejęcie potwierdzeń SWIFT: Wykorzystując lukę w protokole MTA-STS wynoszącą 97,0%, atakujący mogą przechwycić potwierdzenia przelewów bankowych w trakcie przesyłania, zanim jeszcze zorientuje się, że doszło do naruszenia bezpieczeństwa.

✅Poprawka PowerDMARC

Zautomatyzowane Hosting MTA-STS: Przesyłanie wiadomości e-mail odbywa się za pośrednictwem szyfrowanych kanałów TLS 1.2+, co znacznie zmniejsza ryzyko obniżenia poziomu bezpieczeństwa i przechwycenia danych poprzez wymuszanie protokołu TLS przy dostarczaniu wiadomości przychodzących oraz wymaganie zgodności z polityką za pośrednictwem MTA-STS.

2. Rząd: obowiązkowy, ale podatny na zagrożenia

Amerykańskie agencje federalne odgrywają wiodącą rolę we wdrażaniu standardu DMARC dzięki wiążącym wytycznym operacyjnym CISA. W zakresie bezpieczeństwa transportu nadal występują znaczne luki w zakresie widoczności.

Metryczny Wskaźnik adopcji
Poprawność SPF 97.7%
DMARC p=odrzuć 80.1%
Przyjęcie MTA-STS 3.4%

❌Ryzyko krytyczne

Krytyczne Spoofing: Biorąc pod uwagę wymagany poziom bezpieczeństwa, nawet brakujące 19,9% pozwala podmiotom z innych państw na fałszowanie oficjalnych poświadczeń .gov, omijając zaufanie obywateli w celu dostarczania złośliwego oprogramowania lub gromadzenia wrażliwych danych osobowych (PII).

✅Poprawka PowerDMARC

Zautomatyzowana zgodność z wytycznymi SCuBA dla domen .gov: Nasza platforma automatyzuje proces spełniania wymagań dotyczących uwierzytelniania poczty elektronicznej określonych w dokumencie CISA BOD 25-01, zapewniając scentralizowany pulpit nawigacyjny umożliwiający przejście domen .gov na tryb DMARC p=reject bez żadnego ręcznego nakładu pracy, co pozwala spełnić podstawowe wymagania bezpieczeństwa SCuBA dla M365 oraz Google Workspace.

3. Opieka zdrowotna: niechroniony obszar HIPAA

Pamiętacie wyciek danych z Change Healthcare z 2024 roku? Podmioty świadczące usługi medyczne są nieustannie atakowane za pośrednictwem sfałszowanych adresów nadawców zewnętrznych, a poczta elektroniczna pozostaje słabym ogniwem.

Metryczny Wskaźnik adopcji
DMARC p=odrzuć 64.6%
Przyjęcie MTA-STS 1.3%
Przyjęcie DNSSEC 11.4%

❌Ryzyko krytyczne

Wycieki danych osobowych w systemie PHI Transit: 98,7% ruchu ruchu e-mailowego w służbie zdrowia jest przesyłane bez szyfrowania. Atakujący mogą przechwycić chronione informacje zdrowotne (PHI) bezpośrednio z sieci, co prowadzi do ogromnych kar wynikających z ustawy HIPAA oraz wycieku danych pacjentów.

✅Poprawka PowerDMARC

Zarządza procesem wdrażania pełnych standardów DMARC i MTA-STS, zapewniając, że każda wysyłana dokumentacja medyczna jest szyfrowana za pośrednictwem hostowanego serwisu MTA-STS.

4. Energia i usługi komunalne: ryzyka związane z technologią operacyjną

Pomimo postępów w tej dziedzinie firmowa poczta elektroniczna nadal stanowi aktywny punkt wrażliwy na ataki oprogramowania ransomware w tej branży.

Metryczny Wskaźnik adopcji
Poprawność SPF 96.8%
DMARC p=odrzuć 51.6%
Przyjęcie MTA-STS 1.6%
Wdrożenie DNSSEC w energetyce

❌Ryzyko krytyczne

Ataki phishingowe jako punkt wyjścia do ataków na systemy OT: Prawie połowa podmiotów z tej branży nie jest w stanie zablokować sfałszowanych wiadomości e-mail, co sprawia, że skrzynka odbiorcza staje się bramą do fizycznej sieci energetycznej.

✅Poprawka PowerDMARC

Optymalizacja rekordów: Egzekwuje ścisłe zasady DMARC we wszystkich domenach usługowych oraz kompresuje złożone rekordy SPF za pomocą PowerSPF, nie przekraczając limitów wyszukiwania DNS i zapewniając jednocześnie bezpieczeństwo komunikacji operacyjnej.

5. Edukacja: Pozyskiwanie własności intelektualnej

W amerykańskim szkolnictwie wyższym odnotowuje się najniższy wskaźnik wdrażania protokołu DMARC spośród wszystkich sektorów w USA, mimo że uczelnie są głównym celem kradzieży własności intelektualnej, nadużyć związanych z grantami badawczymi oraz ukierunkowanego phishingu.

Metryczny Wskaźnik adopcji
DMARC p=odrzuć 30.3%
Przyjęcie MTA-STS 3.4%
Przyjęcie DNSSEC 12.4%

❌Ryzyko krytyczne

Wykradanie danych logowania na uczelniach: Wskaźnik odrzucenia na poziomie 30,3% oznacza, że około siedem na dziesięć uczelni pozwala atakującym na fałszowanie wiadomości e-mail z domeny .edu, uzyskując w ten sposób dostęp do baz danych badań naukowych o wartości wielu milionów dolarów, wniosków o dotacje oraz danych finansowych absolwentów.

✅Poprawka PowerDMARC

Zarządzaj tysiącami subdomen wydziałowych z poziomu jednego panelu kontrolnego. Stosuj zasady bezpieczeństwa w całej uczelni, ograniczając skuteczne ataki phishingowe w systemach przeznaczonych dla kadry naukowej, absolwentów i służb studenckich.

6. Media: wzmacniacz dezinformacji

Walka redakcji z fałszywymi wiadomościami nie przynosi oczekiwanych rezultatów z powodu niskiego poziomu stosowania środków weryfikacji. Biorąc pod uwagę, że redakcje są źródłem informacji o charakterze krajowym, jest to poważna luka, którą należy wypełnić.

Metryczny Wskaźnik adopcji
DMARC p=odrzuć 30.4%
Przyjęcie MTA-STS 0.4%
Przyjęcie DNSSEC 3.3%
Logo BIMI

❌Ryzyko krytyczne

Źródło – kradzież tożsamości: Przy niemal zerowym wskaźniku MTA-STS i niskim poziomie egzekwowania DMARC prywatna korespondencja dziennikarzy z poufnymi źródłami jest widoczna dla każdego, kto monitoruje sieć.

✅Poprawka PowerDMARC

Integralność źródła: Przenosi domeny mediów do grupy p=reject, dzięki czemu tylko zweryfikowani dziennikarze mogą wysyłać wiadomości e-mail z domeny danej publikacji. Dodaj BIMI , aby wyświetlać logo weryfikacji w skrzynkach odbiorczych adresatów, wzmacniając zaufanie do treści redakcyjnych.

7. Telekomunikacja: magnes przyciągający oszustów

Operatorzy chronią swoje sieci, ale pozostawiają skrzynki odbiorcze całkowicie otwarte, co sprzyja rozprzestrzenianiu się zjawiska podmiany kart SIM, które co roku kosztuje Amerykanów miliardy.

Metryczny Wskaźnik adopcji
DMARC p=odrzuć 41.4%
Przyjęcie MTA-STS 2.3%
Przyjęcie DNSSEC 12.6%

❌Ryzyko krytyczne

Oszustwa związane z rozliczeniami i przejęcia kont: Oszuści wysyłają wyglądające na autentyczne powiadomienia dotyczące rozliczeń, które służą do pozyskiwania kodów 2FA, a te są następnie wykorzystywane do autoryzacji wymiany kart SIM i opróżniania kont bankowych.

✅Poprawka PowerDMARC

SIM-Phish Slamming: Wymusza odrzucanie (p=reject) w różnych domenach operatorów i hostuje MTA-STS w celu zabezpieczenia zautomatyzowanych procesów rozliczeniowych.

8. Transport i logistyka: kompromis w zakresie łańcucha dostaw

Linie lotnicze i sieci kolejowe stoją w obliczu „zmiany tras logistycznych”, gdzie sfałszowane listy przewozowe prowadzą do kradzieży ładunków i zmiany tras dostaw paliwa.

Metryczny Wskaźnik przyjęcia
Poprawność SPF 90.2%
DMARC p=odrzuć 42.4%
Brak rekordu DMARC 1.1%
Przyjęcie MTA-STS 0.0%
Przyjęcie DNSSEC 12.0%

❌Ryzyko krytyczne

Kradzież manifestu w postaci zwykłego tekstu: A 100% luka w standardzie MTA-STS oznacza, że każdy manifest ładunkowy wysyłany pocztą elektroniczną jest niezaszyfrowany. Atakujący mogą z łatwością przechwycić informacje o wartości przesyłek i trasach, aby koordynować fizyczną lub cyfrową kradzież towarów.

✅Poprawka PowerDMARC

Kanały logistyczne odporne na oszustwa: Hosting MTA-STS uruchamiany jednym kliknięciem zabezpiecza warstwę transportową, zapewniając szyfrowanie poufnych danych wysyłkowych od początku do końca oraz zapobiegając atakom typu „man-in-the-middle” wywołanym za pośrednictwem poczty elektronicznej.

Cztery słabe punkty strukturalne powodujące lukę w egzekwowaniu prawa

Luka wdrożeniowa p=none

46,8% domen w Stanach Zjednoczonych posiada DMARC , ale nie są egzekwowane (p=none lub p=kwarantanna). Obecny stan p=brak nie zapewnia możliwości naprawy, co pozwala atakującym na dalsze podszywanie się pod zaufane marki, podczas gdy organizacja jedynie obserwuje tę aktywność w logach.

„Polityka DMARC ustawiona na p=none zapewnia jedynie raportowanie i widoczność prób spoofingu, nie blokując ich. Chociaż wysoki wskaźnik przyjęcia tej polityki w Stanach Zjednoczonych jest zachęcający, przejście na politykę DMARC p=reject jest konieczne, aby aktywnie zapobiegać nieautoryzowanemu wykorzystaniu poczty elektronicznej. Bez egzekwowania tej polityki domeny poczty elektronicznej pozostają podatne na ataki”.

Maitham Al Lawati, dyrektor generalny, PowerDMARC

„Obserwujemy to nieustannie w firmach z listy Fortune 500: dodają nowe narzędzie marketingowe i nagle ich e-maile z fakturami zaczynają wracać. Limit 10 wyszukiwań jest sztywnym ograniczeniem w DNS. Bez optymalizacji SPF , takich jak spłaszczanie lub makra do kompresji tych rekordów, rozbudowa stosu cyfrowego nieuchronnie zakłóca dostarczalność wiadomości e-mail”.

Yunes Tarada, kierownik ds. świadczenia usług, PowerDMARC

Złożoność SPF w skali

Podczas gdy 95,7% domen ma prawidłowy SPF, pozostałe 4,3% ma poważne problemy z konfiguracją. W dużych amerykańskich firmach często wynika to z osiągnięcia „limit 10 wyszukiwań” dla zapytań DNS, co powoduje, że legalne wiadomości e-mail od zewnętrznych dostawców (systemy CRM, HR) nie przechodzą uwierzytelniania i znikają.

MTA-STS: deficyt szyfrowania

Z 98,3% ekspozycji we wszystkich obszarach, Stany Zjednoczone mają niemal całkowitą lukę kontrolną w zakresie bezpieczeństwa transportu. Bez MTA-STS atakujący mogą przeprowadzać „ataki downgrade”, zmuszając serwery poczty elektronicznej do rezygnacji z szyfrowania i przesyłania wiadomości w postaci zwykłego tekstu, który może odczytać każdy monitorujący sieć.

„Standardowe szyfrowanie poczty elektronicznej (STARTTLS) ma charakter oportunistyczny; wymaga szyfrowania, ale nie jest to wymóg bezwzględny. MTA-STS jest sposobem na wymuszenie blokady transportu. Ponieważ prawie cały ruch w Stanach Zjednoczonych jest narażony, atakujący może z łatwością usunąć szyfrowanie i odczytać poufną korespondencję firmową w trakcie przesyłania”.

Ayan Bhuiya, kierownik zmiany ds. operacji i realizacji, PowerDMARC

„Organizacje inwestują znaczne środki w budowanie zaufania do marki, ale pojedyncze przejęcie DNS może zniszczyć to zaufanie w ciągu kilku sekund. DNSSEC pełni rolę strażnika Twojej tożsamości cyfrowej, zapewniając, że klienci, którzy się z Tobą kontaktują, łączą się z prawdziwym Tobą. Nie jest to już tylko protokół informatyczny, ale fundamentalna warstwa zarządzania reputacją marki”.

Ahona Rudra, kierownik ds. marketingu, PowerDMARC

DNSSEC: Słaba podstawa

DNSSEC jest włączony tylko w 18,0% domen. Bez tego system katalogowy internetu (DNS) pozostaje bez ochrony. Zaawansowani atakujący sponsorowani przez państwo mogą przejąć kontrolę nad odpowiedź DNS , przekierowując cały przepływ poczty elektronicznej firmy na fałszywy serwer, bez wiedzy nadawcy lub odbiorcy.

Globalne porównanie: Stany Zjednoczone w kontekście

KrajSPF CorrectPrzyjęcie DMARCDMARC p=odrzućMTA-STS (szyfrowanie)Przyjęcie DNSSEC
Stany Zjednoczone 🇺🇸95.7%95.8%49.0%1.7%18.0%
Holandia 🇳🇱92.4%88.5%41.2%14.5%59.0%
Szwecja 🇸🇪85.0%77.9%29.9%2.9%25.9%
Norwegia 🇳🇴85.2%83.1%29.0%2.8%45.6%
Australia 🇦🇺91.5%78.4%26.5%3.1%6.8%
Arabia Saudyjska 🇸🇦80.6%54.4%18.4%0.2%11.9%
Japonia 🇯🇵95.0%74.6%9.2%0.5%2.1%

Analiza: W jakich obszarach Stany Zjednoczone przodują, a w jakich pozostają w tyle

Dane porównawcze za lata 2025–2026 wskazują, że Stany Zjednoczone są obecnie światowym liderem w dziedzinie obrony aktywnej, osiągając najwyższy wskaźnikiem odrzucania wniosków wynoszącą 49,0%. Sukces ten wynika w dużej mierze z wczesnych wymogów regulacyjnych oraz środowiska obarczonego wysokim ryzykiem w sektorach bankowości i opieki zdrowotnej.

Stany Zjednoczone borykają się jednak z problemem tzw. „Technical Tail”. Chociaż wdrożenie podstawowych standardów SPF i DMARC jest niemal powszechne, Holandia znacznie wyprzedza Stany Zjednoczone pod względem zaawansowanego szyfrowania. Podkreśla to strategiczne skupienie się na powstrzymywaniu phishingu (DMARC) przy jednoczesnym niedoinwestowaniu w odporność infrastruktury (DNSSEC/MTA-STS).

Ponadto, przy przyjęciu DNSSEC na poziomie zaledwie 18,0%, Stany Zjednoczone pozostają bardziej narażone na wyrafinowane ataki typu DNS hijacking niż Norwegia (45,6%). Ta różnica podkreśla strategiczne skupienie się Ameryki na powstrzymywaniu phishingu (DMARC) przy jednoczesnym niedoinwestowaniu w odporność infrastruktury (DNSSEC/MTA-STS). Aby Stany Zjednoczone utrzymały swoją pozycję lidera w dziedzinie cyberbezpieczeństwa, w następnej fazie należy wyjść poza prostą weryfikację tożsamości i przejść do całkowitego szyfrowania i integralności globalnego ekosystemu poczty elektronicznej.

Od wskaźników do działania: wypełnianie luki wdrożeniowej

Stany Zjednoczone dysponują podstawowymi danymi, które pozwalają im pełnić wiodącą rolę na świecie w dziedzinie uwierzytelniania wiadomości e-mail. Pozostałe zadania mają charakter operacyjny: przejście od monitorowania do egzekwowania przepisów oraz wdrożenie zabezpieczeń na poziomie warstwy transportowej, które większość organizacji odkłada na później ze względu na postrzeganą złożoność tego zadania.

PowerDMARC wypełnia tę lukę dzięki trzem funkcjom:

Zautomatyzowane ścieżki egzekwowania: Przeniesienie firm z listy Fortune 500 i małych oraz średnich przedsiębiorstw z ustawienia p=none na p=reject bez blokowania legalnej poczty.

Uproszczenie infrastruktury: Rozwiązanie problemu limitu 10 zapytań SPF za pomocą PowerSPF, hostowanie zasad MTA-STS oraz weryfikacja rekordów DNSSEC z poziomu jednego panelu kontrolnego w chmurze.

Gotowość regulacyjna: Wsparcie w zakresie zgodności z standardów PCI-DSS 4.0, HIPAA oraz CISA z poziomu jednej platformy.

Perspektywa PowerDMARC

„Stany Zjednoczone są głównym poligonem doświadczalnym dla phishingu opartego na sztucznej inteligencji phishingu opartego na sztucznej inteligencji. Amerykańskie zespoły IT dobrze publikują dane, ale wstrzymują się z egzekwowaniem zasad, ponieważ obawiają się blokowania legalnych wiadomości. W 2026 r. samo monitorowanie będzie w praktyce równoznaczne z poddaniem się wyrafinowanym atakom spoofingowym. Przejście na aktywną obronę jest niezbędnym zabezpieczeniem przed naruszeniami, które będą charakteryzować ten rok”.

Zespół PowerDMARC

Wniosek: Od widoczności do obrony

Dane z 2026 roku nie pozostawiają wątpliwości. Amerykańskie organizacje stworzyły podstawy; kolejnym krokiem jest egzekwowanie tych zasad. W czasach, gdy oszustwa polegające na podszywaniu się z wykorzystaniem sztucznej inteligencji pozwalają już przy pierwszej próbie naśladować ton wypowiedzi i styl pisania członka kierownictwa, ograniczanie się wyłącznie do monitorowania oznacza opóźnienie.

Przejście ze stanu p=none do p=reject trwa tygodnie, a nie kwartały, gdy zarządzanie rekordami odbywa się automatycznie. Sektory, które jako pierwsze dokonają tej zmiany, przekształcą pocztę elektroniczną z największej powierzchni ataku w zaufany kanał komunikacji.

Czy jesteś gotowy, by przejść od zapewnienia widoczności do aktywnej obrony?

Umów się na prezentację