Raport dotyczący wdrożenia protokołów DMARC i MTA-STS w Stanach Zjednoczonych w 2026 r.

W PowerDMARC przeanalizowaliśmy stan uwierzytelniania wiadomości e-mail w domenach amerykańskich i zwróciły naszą uwagę dwie kwestie: wdrażanie protokołu DMARC zyskuje na popularności, ale jego egzekwowanie pozostaje nierównomierne, a protokół MTA-STS pozostaje znacznie w tyle. Ta luka stanowi źródło ryzyka związanego z fałszowaniem i obniżaniem poziomu bezpieczeństwa. 

Waszyngton pozostaje epicentrum globalnej polityki cyberbezpieczeństwa, ale wraz z nadejściem roku 2026 różnica między mandatami a ich wdrażaniem pogłębia się. Pomimo zaostrzonych wytycznych federalnych, takich jak „Shields Up”  oraz szersze krajowe inicjatywy w zakresie cyberbezpieczeństwa, Stany Zjednoczone pozostają głównym polem działania dla oszustw opartych na sztucznej inteligencji i kompromitacji biznesowej poczty elektronicznej (BEC), które w zeszłym roku kosztowały gospodarkę ponad 2,9 mld dolarów.

Analiza PowerDMARC pokazuje, że kraj ten zajął się kwestią uwierzytelniania tożsamości (SPF/DMARC), ale pozostawił niebezpiecznie narażone bezpieczeństwo warstwy transportowej (MTA-STS) i integralność strefy (DNSSEC).

Wniosek o raport – Wdrożenie DMARC w Stanach Zjednoczonych

"*" oznacza pola wymagane

To pole służy do celów walidacji i powinno pozostać niezmienione.
Nazwa*

Słabe punkty poszczególnych sektorów i wyniki w USA

Aby zapewnić jasną podstawę, przed przejściem do konkretnych sektorów przemysłowych przedstawiamy ogólną sytuację bezpieczeństwa Stanów Zjednoczonych we wszystkich ponad 900 domenach.

SPF

USA SPF

DMARC

USA-DMARC-Square

MTA-STS

USA MTA-STS

DNSSEC

Logo BIMI

Wskaźniki bezpieczeństwa poczty elektronicznej w USA

Metryczny Wskaźnik przyjęcia
Poprawność SPF 95.7%
Przyjęcie DMARC 95.8%
DMARC p=odrzuć 49.0%
Przyjęcie MTA-STS 1.7%
Przyjęcie DNSSEC 18.0%
Rozpocznij 15-dniowy okres próbny

1. Bankowość i finanse: infrastruktura o wysokim poziomie egzekwowania przepisów

Banki są liderami w egzekwowaniu przepisów, ale sama liczba ataków, zwłaszcza fala phishingu z 2024 r. na JPMorgan, która przyniosła 100 mln dolarów zysku, pokazuje, że nawet małe luki mogą mieć katastrofalne skutki.

Metryczny Wskaźnik przyjęcia
Poprawność SPF 90.9%
DMARC p=odrzuć 66.7%
Brak rekordu DMARC 7.6%
Przyjęcie MTA-STS 3.0%
Przyjęcie DNSSEC 22.7%
Bankowość Przyjęcie SPF

Ryzyko krytyczne

Przejęcie potwierdzenia SWIFT. Z 97,0% w MTA-STS, tryliony potwierdzeń przelewów bankowych są przesyłane niezaszyfrowanymi ścieżkami. Atakujący mogą przechwycić je w trakcie przesyłania, aby zidentyfikować nieautoryzowaną modyfikację, zanim bank lub klient zorientuje się o naruszeniu.

Naprawa PowerDMARC

Automatyzacja Hosting MTA-STS. Wszystkie wiadomości e-mail są przesyłane za pomocą szyfrowanych kanałów TLS 1.2+, co znacznie zmniejsza ryzyko obniżenia poziomu bezpieczeństwa i przechwycenia danych dzięki wymuszeniu stosowania protokołu TLS dla dostarczania wiadomości przychodzących oraz wymaganiu zgodności z polityką za pośrednictwem MTA-STS. Pomaga to spełnić powszechne oczekiwania dotyczące bezpiecznego przesyłania wiadomości e-mail i komunikacji z dostawcami.

2. Rząd: obowiązkowy, ale podatny na zagrożenia

Agencje federalne są złotym standardem dla DMARC, jednak utrzymujące się ataki na łańcuch dostaw w stylu SolarWinds uwypuklają ogromną lukę w widoczności bezpieczeństwa transportu.

Metryczny Wskaźnik przyjęcia
Poprawność SPF 97.7%
DMARC p=odrzuć 80.1%
Brak rekordu DMARC 2.3%
Przyjęcie MTA-STS 3.4%
Przyjęcie DNSSEC 54.5%

Ryzyko krytyczne

Poświadczenie Spoofing. Podczas gdy 80,1% stosuje zasadę p=odrzuć, pozostałe 19,9% pozwala podmiotom państwowym na fałszowanie oficjalnych poświadczeń .gov, omijając zaufanie obywateli w celu dostarczania złośliwego oprogramowania lub gromadzenia wrażliwych danych osobowych. Niskie wykorzystanie MTA-STS naraża również bezpieczeństwo przychodzących wiadomości e-mail.

Naprawa PowerDMARC

Automatyczna zgodność SCuBA dla domen .gov. Nasza platforma automatyzuje rygorystyczne wymagania dotyczące uwierzytelniania wiadomości e-mail określone w CISA BOD 25-01. Oferujemy scentralizowany pulpit nawigacyjny umożliwiający przeniesienie domen .gov do DMARC p=reject bez żadnych dodatkowych nakładów pracy, zapewniając zgodność federalnych środowisk chmurowych z podstawowymi wymogami bezpieczeństwa SCuBA dla Microsoft 365 i Google Workspace bez ryzyka zakłócenia legalnego przepływu poczty.

3. Opieka zdrowotna: niechroniony obszar HIPAA

Naruszenie bezpieczeństwa w firmie Change Healthcare w 2024 r. dowiodło, że dostawcy usług medycznych są atakowani za pośrednictwem fałszywych nadawców zewnętrznych. Pomimo rosnącej popularności uwierzytelniania wieloskładnikowego (MFA) poczta elektroniczna pozostaje słabym ogniwem.

Metryczny Wskaźnik przyjęcia
Poprawność SPF 94.9%
DMARC p=odrzuć 64.6%
Brak rekordu DMARC 1.3%
Przyjęcie MTA-STS 1.3%
Przyjęcie DNSSEC 11.4%

Ryzyko krytyczne

Wycieki PHI Transit. 98,7% z ruchu poczty elektronicznej w służbie zdrowia nie jest szyfrowany podczas przesyłania. Umożliwia to atakującym przechwytywanie chronionych informacji zdrowotnych (PHI) bezpośrednio z sieci, co prowadzi do ogromnych kar HIPAA i wycieku danych pacjentów.

Naprawa PowerDMARC

Zapewniamy zarządzaną ścieżkę do pełnego wdrożenia protokołów DMARC i MTA-STS, gwarantując, że każda wysyłana dokumentacja medyczna jest szyfrowana za pomocą hostowanego protokołu MTA-STS.

Zarezerwuj demo

4. Energia i usługi komunalne: ryzyka związane z technologią operacyjną

Po wprowadzeniu rurociągu Post-Colonial Pipeline amerykański sektor energetyczny wzmocnił swoją technologię operacyjną (OT), ale firmowa poczta elektroniczna nadal stanowi aktywny obszar ataku dla oprogramowania ransomware.

Metryczny Wskaźnik przyjęcia
Poprawność SPF 96.8%
DMARC p=odrzuć 51.6%
Brak rekordu DMARC 3.2%
Przyjęcie MTA-STS 1.6%
Przyjęcie DNSSEC 6.5%
Wdrożenie DNSSEC w energetyce

Ryzyko krytyczne

Przejście od phishingu do OT. Tylko 51,6% sektor energetyczny blokuje oszustwa. Atakujący wykorzystują fałszywe „alerty dotyczące krytycznego sprzętu”, aby nakłonić inżynierów do kliknięcia złośliwych linków, wypełniając lukę między firmową skrzynką odbiorczą a fizyczną siecią energetyczną.

Naprawa PowerDMARC

Optymalizacja rekordów. Zabezpieczamy komunikację operacyjną przed atakami phishingowymi, stosując rygorystyczne zasady zasad DMARC i optymalizując złożone rekordy SPF, aby pozostać w granicach limitów wyszukiwania DNS.

5. Edukacja: Pozyskiwanie własności intelektualnej

Amerykańskie kampusy są atrakcyjnym celem dla złodziei własności intelektualnej, a mimo to mają najniższy wskaźnik egzekwowania prawa w całym kraju.

Metryczny Wskaźnik przyjęcia
Poprawność SPF 96.6%
DMARC p=odrzuć 30.3%
Brak rekordu DMARC 2.2%
Przyjęcie MTA-STS 3.4%
Przyjęcie DNSSEC 12.4%

Ryzyko krytyczne

Zbieranie danych logowania do serwisów uniwersyteckich. Niski DMARC p=odrzuć (30,3%) umożliwia atakującym fałszowanie loginów .edu, uzyskując dostęp do wielomilionowych baz danych badawczych i dokumentacji finansowej absolwentów.

Naprawa PowerDMARC

Ułatwiamy wdrażanie i egzekwowanie zasad, pomagamy zarządzać tysiącami poddomen departamentów z jednego pulpitu nawigacyjnego, ograniczając liczbę udanych prób phishingu na całym kampusie.

6. Media: wzmacniacz dezinformacji

Redakcje walczą z fałszywymi wiadomościami, ale ich własne domeny e-mailowe są często wykorzystywane do ich rozpowszechniania za pomocą sfałszowanych podpisów.

Metryczny Wskaźnik przyjęcia
Poprawność SPF 96.7%
DMARC p=odrzuć 30.4%
Brak rekordu DMARC 5.5%
Przyjęcie MTA-STS 0.4%
Przyjęcie DNSSEC 3.3%
Logo BIMI

Ryzyko krytyczne

Kradzież tożsamości źródła. Przy niemal zerowym MTA-STS (0,4%) i niskim poziomem egzekwowania DMARC prywatna korespondencja dziennikarzy z poufnymi źródłami jest widoczna dla każdego, kto monitoruje sieć, a ich podpisy można łatwo sfałszować, aby rozpowszechniać fałszywe informacje.

Naprawa PowerDMARC

Integralność źródła. Przenosimy domeny mediów do p=reject, zapewniając, że tylko zweryfikowani dziennikarze mogą wysyłać wiadomości e-mail z domeny redakcji, zachowując zaufanie do marki w erze wojen informacyjnych.

Rozpocznij 15-dniowy okres próbny

7. Telekomunikacja: magnes przyciągający oszustów

Operatorzy chronią swoje sieci, ale pozostawiają skrzynki odbiorcze szeroko otwarte, co sprzyja epidemii wymiany kart SIM, która kosztuje Amerykanów miliardy dolarów rocznie.

Metryczny Wskaźnik przyjęcia
Poprawność SPF 96.6%
DMARC p=odrzuć 41.4%
Brak rekordu DMARC 8.0%
Przyjęcie MTA-STS 2.3%
Przyjęcie DNSSEC 12.6%

Ryzyko krytyczne

Oszustwa rozliczeniowe i przejęcia kont. Wysokie wskaźniki „No-DMARC” (8,0%) pozwalają oszustom wysyłać fałszywe powiadomienia o rozliczeniach, które wyglądają na wiarygodne, nakłaniając użytkowników do ujawnienia kodów 2FA wymaganych do wymiany karty SIM.

Naprawa PowerDMARC

SIM-Phish Slamming. Nasza platforma wymusza p=reject w domenach operatorów i obsługuje MTA-STS w celu zabezpieczenia automatycznych przepływów rozliczeniowych, utrudniając oszustom wykorzystanie nazwy operatora przeciwko jego abonentom.

8. Transport i logistyka: kompromis w zakresie łańcucha dostaw

Linie lotnicze i sieci kolejowe stoją w obliczu „zmiany tras logistycznych”, gdzie sfałszowane listy przewozowe prowadzą do kradzieży ładunków i zmiany tras dostaw paliwa.

Metryczny Wskaźnik przyjęcia
Poprawność SPF 90.2%
DMARC p=odrzuć 42.4%
Brak rekordu DMARC 1.1%
Przyjęcie MTA-STS 0.0%
Przyjęcie DNSSEC 12.0%

Ryzyko krytyczne

Kradzież manifestu tekstowego. A 100,0% Luka w MTA-STS oznacza, że każdy manifest ładunkowy wysyłany pocztą elektroniczną jest niezaszyfrowany. Atakujący mogą przechwycić wartości przesyłek i trasy, aby skoordynować fizyczną lub cyfrową kradzież towarów „just-in-time”.

Naprawa PowerDMARC

Kanały logistyczne zabezpieczone przed oszustwami. Oferujemy hosting MTA-STS dostępny za jednym kliknięciem, który zabezpiecza warstwę transportową, zapewniając szyfrowanie wrażliwych danych wysyłkowych od początku do końca i zapobiegając zakłóceniom typu „man-in-the-middle” wywołanym za pośrednictwem poczty elektronicznej.

Pod maską: cztery słabe punkty konstrukcyjne

Luka wdrożeniowa p=none

46,8% domen w Stanach Zjednoczonych posiada DMARC , ale nie są egzekwowane (p=none lub p=kwarantanna). Obecny stan p=brak nie zapewnia możliwości naprawy, co pozwala atakującym na dalsze podszywanie się pod zaufane marki, podczas gdy organizacja jedynie obserwuje tę aktywność w logach.

„Polityka DMARC ustawiona na p=none zapewnia jedynie raportowanie i widoczność prób spoofingu, nie blokując ich. Chociaż wysoki wskaźnik przyjęcia tej polityki w Stanach Zjednoczonych jest zachęcający, przejście na politykę DMARC p=reject jest konieczne, aby aktywnie zapobiegać nieautoryzowanemu wykorzystaniu poczty elektronicznej. Bez egzekwowania tej polityki domeny poczty elektronicznej pozostają podatne na ataki”.

Maitham Al Lawati, dyrektor generalny, PowerDMARC

„Obserwujemy to nieustannie w firmach z listy Fortune 500: dodają nowe narzędzie marketingowe i nagle ich e-maile z fakturami zaczynają wracać. Limit 10 wyszukiwań jest sztywnym ograniczeniem w DNS. Bez optymalizacji SPF , takich jak spłaszczanie lub makra do kompresji tych rekordów, rozbudowa stosu cyfrowego nieuchronnie zakłóca dostarczalność wiadomości e-mail”.

Yunes Tarada, kierownik ds. świadczenia usług, PowerDMARC

Złożoność SPF w skali

Podczas gdy 95,7% domen ma prawidłowy SPF, pozostałe 4,3% ma poważne problemy z konfiguracją. W dużych amerykańskich firmach często wynika to z osiągnięcia „limit 10 wyszukiwań” dla zapytań DNS, co powoduje, że legalne wiadomości e-mail od zewnętrznych dostawców (systemy CRM, HR) nie przechodzą uwierzytelniania i znikają.

MTA-STS: deficyt szyfrowania

Z 98,3% ekspozycji we wszystkich obszarach, Stany Zjednoczone mają niemal całkowitą lukę kontrolną w zakresie bezpieczeństwa transportu. Bez MTA-STS atakujący mogą przeprowadzać „ataki downgrade”, zmuszając serwery poczty elektronicznej do rezygnacji z szyfrowania i przesyłania wiadomości w postaci zwykłego tekstu, który może odczytać każdy monitorujący sieć.

„Standardowe szyfrowanie poczty elektronicznej (STARTTLS) ma charakter oportunistyczny; wymaga szyfrowania, ale nie jest to wymóg bezwzględny. MTA-STS jest sposobem na wymuszenie blokady transportu. Ponieważ prawie cały ruch w Stanach Zjednoczonych jest narażony, atakujący może z łatwością usunąć szyfrowanie i odczytać poufną korespondencję firmową w trakcie przesyłania”.

Ayan Bhuiya, kierownik zmiany ds. operacji i dostaw, PowerDMARC

„Organizacje inwestują znaczne środki w budowanie zaufania do marki, ale pojedyncze przejęcie DNS może zniszczyć to zaufanie w ciągu kilku sekund. DNSSEC pełni rolę strażnika Twojej tożsamości cyfrowej, zapewniając, że klienci, którzy się z Tobą kontaktują, łączą się z prawdziwym Tobą. Nie jest to już tylko protokół informatyczny, ale fundamentalna warstwa zarządzania reputacją marki”.

Ahona Rudra, kierownik ds. marketingu, PowerDMARC

DNSSEC: Słaba podstawa

DNSSEC jest włączony tylko w 18,0% domen. Bez tego system katalogowy internetu (DNS) pozostaje bez ochrony. Zaawansowani atakujący sponsorowani przez państwo mogą przejąć kontrolę nad odpowiedź DNS , przekierowując cały przepływ poczty elektronicznej firmy na fałszywy serwer, bez wiedzy nadawcy lub odbiorcy.

Kontakt z nami

Globalne porównanie: Stany Zjednoczone w kontekście

KrajSPF CorrectPrzyjęcie DMARCDMARC p=odrzućMTA-STS (szyfrowanie)Przyjęcie DNSSEC
Stany Zjednoczone 🇺🇸95.7%95.8%49.0%1.7%18.0%
Holandia 🇳🇱92.4%88.5%41.2%14.5%59.0%
Szwecja 🇸🇪85.0%77.9%29.9%2.9%25.9%
Norwegia 🇳🇴85.2%83.1%29.0%2.8%45.6%
Australia 🇦🇺91.5%78.4%26.5%3.1%6.8%
Arabia Saudyjska 🇸🇦80.6%54.4%18.4%0.2%11.9%
Japonia 🇯🇵95.0%74.6%9.2%0.5%2.1%

Analiza: Stanowisko Stanów Zjednoczonych na arenie międzynarodowej

Dane porównawcze za lata 2025–2026 pokazują, że Stany Zjednoczone są obecnie światowym liderem w dziedzinie aktywnej obrony, osiągając najwyższy p=odrzucenie egzekwowania wynoszącym 49,0%. Jest to znacznie więcej niż w przypadku rozwiniętych gospodarek cyfrowych, takich jak Australia (26,5%) czy Japonii (9,2). Sukces Stanów Zjednoczonych wynika w dużej mierze z wczesnych regulacji prawnych oraz wysokiego ryzyka, na jakie narażone są sektory bankowości i opieki zdrowotnej.

Jednak Stany Zjednoczone borykają się z problemem „Technical Tail”. Chociaż podstawowe rozwiązania SPF i DMARC są stosowane niemal powszechnie (95,0%+), Królestwo Niderlandów znacznie przewyższa Stany Zjednoczone pod względem zaawansowanego szyfrowania, osiągając wynik 14,5 przyjęciem MTA-STS w porównaniu z niewielkim 1,7. PowerDMARC wypełnia tę lukę we wdrażaniu, zapewniając automatyczne wprowadzanie zasad, przy jednoczesnym zachowaniu obsługi wyjątków dla krytycznych nadawców starszego typu.

Ponadto, przy przyjęciu DNSSEC na poziomie zaledwie 18,0%, Stany Zjednoczone pozostają bardziej narażone na wyrafinowane ataki typu DNS hijacking niż Norwegia (45,6%). Ta różnica podkreśla strategiczne skupienie się Ameryki na powstrzymywaniu phishingu (DMARC) przy jednoczesnym niedoinwestowaniu w odporność infrastruktury (DNSSEC/MTA-STS). Aby Stany Zjednoczone utrzymały swoją pozycję lidera w dziedzinie cyberbezpieczeństwa, w następnej fazie należy wyjść poza prostą weryfikację tożsamości i przejść do całkowitego szyfrowania i integralności globalnego ekosystemu poczty elektronicznej.

Wnioski: od wskaźników do działania

Dane są jednoznaczne: Stany Zjednoczone dysponują specyfikacjami technicznymi i podstawowymi rejestrami, ale nie przeszły jeszcze od biernego monitorowania do aktywnego egzekwowania przepisów dotyczących transportu. Chociaż SPF jest powszechnie stosowane, a popularność DMARC gwałtownie rośnie, brak egzekwowania przepisów (p=odrzucenie) i zabezpieczenia warstwy transportowej (MTA-STS) pozostaje luką w zabezpieczeniach wartą miliardy dolarów.

Amerykańskie organizacje nie mogą sobie pozwolić na czekanie na kolejną wiążącą dyrektywę operacyjną CISA lub katastrofalny incydent związany z naruszeniem bezpieczeństwa poczty elektronicznej (BEC), aby przejść od monitorowania do ochrony. PowerDMARC wypełnia tę „lukę wdrożeniową”, zapewniając:

Zautomatyzowane ścieżki egzekwowania: Bezpieczna migracja zarówno firm z listy Fortune 500, jak i małych i średnich przedsiębiorstw z p=none do p=reject bez blokowania krytycznej komunikacji biznesowej.

Uproszczenie infrastruktury: Pokonanie „limitu 10 wyszukiwań” dzięki optymalizacji SPF, hostowaniu MTA-STS i walidacji rekordów DNSSEC w jednym, natywnym dla chmury panelu kontrolnym.

Gotowość regulacyjna: Wspieranie zgodności z normami PCI-DSS 4.0, HIPAA i CISA poprzez uproszczenie ochrony przed phishingiem i zabezpieczenie komunikacji e-mailowej.

Zarezerwuj demo Skontaktuj się z nami

Perspektywa PowerDMARC

„Stany Zjednoczone są obecnie głównym laboratorium dla phishingu opartego na sztucznej inteligencji phishingu opartego na sztucznej inteligencji. Chociaż amerykańskie zespoły IT doskonale radzą sobie z publikowaniem rejestrów, często paraliżuje je obawa przed blokowaniem legalnych wiadomości e-mail. W 2026 r. postawa polegająca wyłącznie na monitorowaniu będzie w zasadzie równoznaczna z poddaniem się wyrafinowanym atakom spoofingowym. Przejście na aktywną obronę to nie tylko ulepszenie zabezpieczeń — jest to niezbędny element ochrony przed wyrafinowanymi naruszeniami bezpieczeństwa”.

Zespół PowerDMARC

Zmień widoczność w obronę już dziś

Wskaźniki adopcji w Stanach Zjednoczonych pokazują, że fundamenty są gotowe; teraz nadszedł czas, aby przełączyć przełącznik. W sytuacji, w której sztuczna inteligencja potrafi doskonale naśladować ton głosu dyrektora wykonawczego, samo poleganie na „widoczności” nie wystarczy.

Nie pozwól, aby Twoja domena pozostała „niechronioną granicą”. Przejdź od pasywnego monitorowania do aktywnej ochrony, zanim kolejna fala skoordynowanych ataków uderzy w Twoją branżę.

Skontaktuj się z PowerDMARC , aby rozpocząć swoją podróż do egzekwowania przepisów.

15-dniowy trialZamów demo