Дата анализа: 02/08/2025

Отчет о внедрении DMARC и MTA-STS в Новой Зеландии за 2025 год

Государственный сектор Новой Зеландии испытывает растущее давление фишинговых и спуфинг-атак, направленных на правительственные домены. В ответ на это правительство запустило программу Secure Government Email (SGE) Frameworkкоторая требует от всех ведомств принять открытые стандарты, включая DMARC (с настройкой "отклонить"), SPF, DKIM, MTA-STS и TLS-RPT, к октябрю 2025 года. Система заменяет устаревшую систему SEEMail и вводит регулярную отчетность, устранение проблем и стандарты безопасной передачи электронной почты. В этом отчете рассматривается ход внедрения и описываются шаги по снижению киберриска, обеспечению целостности электронной почты и защите коммуникаций в государственном секторе.

Заказать демонстрацию Скачать PDF

Оценка ландшафта угрозы

В отчете PowerDMARC о внедрении DMARC и MTA-STS в Новой Зеландии за 2025 год будут рассмотрены следующие ключевые вопросы:

  • Насколько успешно Новая Зеландия внедрила SPF и DMARC в доменах?

  • Каков текущий уровень внедрения MTA-STS в организациях Новой Зеландии?

  • Какие отрасли в Новой Зеландии наиболее подвержены киберугрозам, связанным с электронной почтой?

  • Какие распространенные ошибки допускают новозеландские организации при аутентификации электронной почты?

  • Какие конкретные действия должны предпринять владельцы доменов в Новой Зеландии, чтобы повысить уровень безопасности электронной почты?

Анализируемые сектора

Всего проанализировано доменов: 976

  • Финансы

  • Здравоохранение

  • СМИ

  • Правительство

  • Другие

  • Телекоммуникации

  • Транспорт

  • Образование

О чем говорят цифры?

Анализ использования SPF в Новой Зеландии

логотип BIMI

Анализ внедрения DMARC в Новой Зеландии

логотип BIMI

Анализ внедрения MTA-STS в Новой Зеландии

логотип BIMI

Анализ внедрения DNSSEC в Новой Зеландии

логотип BIMI

Основные выводы

  • 81,2% новозеландских доменов имеют корректные записи SPF.
  • 16,7% доменов внедрили политику DMARC "Reject".
  • 36,9% доменов не имеют DMARC-запись.
  • Только 1,3 % доменов реализовали принудительное использование MTA-STS; подавляющее большинство (97,6 %) не развернули MTA-STS.
  • В 13,4 % доменов включен DNSSEC.

Финансы

Анализ внедрения SPF

логотип BIMI

Анализ внедрения DMARC

логотип BIMI

Анализ внедрения MTA-STS

логотип BIMI

Анализ применения DNSSEC

логотип BIMI

Основные выводы 

  • 86,3 % доменов имеют корректные записи SPF.
  • 42,1% доменов не имеют записи DMARC.
  • Только в 0,9% доменов реализовано внедрение MTA-STS, а в 98,7% доменов MTA-STS отсутствует.
  • В 97,0% доменов DNSSEC отключен.

Здравоохранение

Анализ внедрения SPF

логотип BIMI

Анализ внедрения DMARC

логотип BIMI

Анализ внедрения MTA-STS

логотип BIMI

Анализ применения DNSSEC

логотип BIMI

Основные выводы

  • 68,1% доменов здравоохранения имеют корректные SPF-записи.
  • 42,7 % доменов не имеют записи DMARC.
  • Только в 1,0% доменов реализовано внедрение MTA-STS, а в 98,5% доменов MTA-STS отсутствует полностью.
  • В 91,2% доменов здравоохранения DNSSEC отключен.

СМИ

Анализ внедрения SPF

логотип BIMI

Анализ внедрения DMARC

логотип BIMI

Анализ внедрения MTA-STS

логотип BIMI

Анализ применения DNSSEC

логотип BIMI

Основные выводы

  • 73,7 % доменов имеют корректные записи SPF.
  • 42,5% доменов не имеют нет записи DMARC.
  • В этом секторе наблюдается 0% внедрения MTA-STS; только 1,3% находятся в стадии тестирования, а 98,7% не имеют MTA-STS.
  • В 97,5 % доменов DNSSEC отключен.

Правительство

Анализ внедрения SPF

логотип BIMI

Анализ внедрения DMARC

логотип BIMI

Анализ внедрения MTA-STS

логотип BIMI

Анализ применения DNSSEC

логотип BIMI

Основные выводы

  • 89,6% государственных доменов правильно реализовали записи SPF.
  • 13,2% правительственных доменов не имеют записи DMARC.
  • Внедрение MTA-STS крайне ограничено: 95,1% доменов не имеют записей MTA-STS и только 2,8% находятся в стадии тестирования; полного развертывания не наблюдается.
  • Уровень внедрения DNSSEC умеренный - 52,1 % государственных доменов.

Другие

Анализ внедрения SPF

логотип BIMI

Анализ внедрения DMARC

логотип BIMI

Анализ внедрения MTA-STS

логотип BIMI

Анализ применения DNSSEC

логотип BIMI

Основные выводы

  • В 83,3 % доменов правильно реализованы записи SPF.
  • 25,0% доменов не имеют записей DMARC.
  • Внедрение MTA-STS очень ограничено: только 12,5% доменов применяют MTA-STS; 87,5% доменов не внедрили его.
  • Уровень внедрения DNSSEC остается низким: в 70,8 % доменов DNSSEC отключен и только в 29,2 % включен.

Телекоммуникации

Анализ внедрения SPF

логотип BIMI

Анализ внедрения DMARC

логотип BIMI

Анализ внедрения MTA-STS

логотип BIMI

Анализ применения DNSSEC

логотип BIMI

Основные выводы

  • 84,8 % доменов имеют корректные записи SPF.
  • 35,2% доменов не имеют записей DMARC.
  • Внедрение MTA-STS в этом секторе отсутствует - ни один домен не внедрил MTA-STS.
  • В 95,2 % доменов DNSSEC отключен.

Транспорт

Анализ внедрения SPF

логотип BIMI

Анализ внедрения DMARC

логотип BIMI

Анализ внедрения MTA-STS

логотип BIMI

Анализ применения DNSSEC

логотип BIMI

Основные выводы

  • 80,5 % доменов транспортного сектора имеют корректные записи SPF.
  • 52,3 % доменов не имеют записи DMARC.
  • Уровень внедрения MTA-STS крайне низок: только 0,8 % доменов применяют MTA-STS, а 98,4 % не имеют записей MTA-STS.
  • DNSSEC не получил широкого распространения: только в 9,4 % доменов DNSSEC включен, а в 90,6 % отключен.

Образование

Анализ внедрения SPF

логотип BIMI

Анализ внедрения DMARC

логотип BIMI

Анализ внедрения MTA-STS

логотип BIMI

Анализ применения DNSSEC

логотип BIMI

Основные выводы

  • В 89,7 % образовательных доменов правильно реализованы записи SPF.
  • 20,7% доменов не имеют записи DMARC, а еще 24,1% используют политику DMARC "None" (только мониторинг).
  • Применение MTA-STS крайне ограничено: только 3,5% доменов применяют MTA-STS, а 93,1% не имеют записей MTA-STS.
  • Уровень внедрения DNSSEC в этом секторе невысок: только 8,6 % образовательных доменов поддерживают эту технологию.

Сравнительный анализ внедрения SPF в различных секторах экономики Новой Зеландии

логотип BIMI

Основные выводы

Сектор образования лидирует по правильности внедрения SPF: 89,66% доменов настроены должным образом. За ним следует правительственный сектор - 89,58 %. Сектор здравоохранения, напротив, отстает: только 68,14 % доменов правильно применяют SPF - самый низкий показатель среди всех анализируемых секторов.

Сравнительный анализ внедрения DMARC среди различных секторов в Новой Зеландии

логотип BIMI

Основные выводы

 В Новой Зеландии самый высокий уровень внедрения DMARC наблюдается в правительственном секторе - всего 13,19 % доменов не имеют записей. Транспортный сектор отстает: 52,3 % доменов не имеют DMARC. Сектор образования лидирует по принятию строгой политики "Отклонить" - 36,2 %, за ним следует правительство. Телекоммуникации и финансы демонстрируют наименьшее использование политики "Отклонить".

Сравнительный анализ внедрения MTA-STS в различных секторах экономики Новой Зеландии

логотип BIMI

Основные выводы

Внедрение MTA-STS в Новой Зеландии остается минимальным во всех секторах: более 90% доменов не внедрены. Категория "Другое" демонстрирует самый высокий уровень внедрения, однако только 12,5 % доменов применяют его. Сектор телекоммуникаций сообщает о нулевом использовании MTA-STS - ни при тестировании, ни при внедрении.

Сравнительный анализ применения DNSSEC в различных секторах экономики Новой Зеландии

логотип BIMI

Основные выводы

Уровень внедрения DNSSEC в Новой Зеландии низок. Лидирует правительственный сектор с 52,08 % доменов, в то время как сектор СМИ отстает всего на 2,5 %. В большинстве секторов, включая финансы, здравоохранение, транспорт, образование и телекоммуникации, DNSSEC отключен более чем на 90 % доменов.

Показатели внедрения DMARC и MTA-STS: Основные статистические данные по Новой Зеландии

  • Всего проанализировано доменов: 976

  • 62,5% имеют правильную DMARC-запись; 36,9% не имеют DMARC-записи.

  • 31,8% - "нет", 14,0% - "карантин" (Q) и 16,7% - "отклонить".

  • Только 2,36% имеют действительную запись MTA-STS; 97,64% - не имеют.

  • 81,2% имеют правильную SPF-запись; 14,2% не имеют SPF-записи.

  • У 86,6 % отключен DNNSSEC.

Критические ошибки, которые допускают организации в Новой Зеландии

  • 1. Повсеместное отсутствие записей DMARC

    В нескольких новозеландских доменах до сих пор отсутствует запись DMARC, что делает их уязвимыми для подделки электронной почты. Без DMARC организации не могут отслеживать несанкционированную почтовую активность, а государственные домены не соответствуют требованиям SGE.

    Примеры:

    • "Запись DMARC не существует для этого домена или его базового домена".

  • 2. Отсутствующие или недействительные записи SPF

    Многие домены в Новой Зеландии либо не имеют SPF-записи, либо имеют синтаксически неправильную запись. Без действительной конфигурации SPF почтовые серверы не могут проверить подлинность отправителя, что облегчает злоумышленникам доставку поддельных или мошеннических писем. Чтобы законные письма не отклонялись и не помечались как спам, организации должны публиковать действительные, безошибочные SPF-записи, включающие всех авторизованных отправителей.

    Примеры:

    • Ошибка "Отсутствует запись SPF TXT". 
    • "ip4: ~all не является действительным значением ipv4"
    • "ip-1 не является действительным значением ipv4"

  • 3. Неправильно настроенные и множественные записи SPF

    Даже если записи SPF существуют, часто встречаются неправильные конфигурации, например несколько записей SPF на домен или превышение лимита в 10 DNS-поисков, что является нарушением RFC 7208. Организациям следует объединить данные SPF в одну TXT-запись и оптимизировать ее, удалив ненужные механизмы "включения".

    Примеры:

    • "имеет несколько записей SPF TXT" 
    • "Для разбора записи SPF требуется 11/10 максимальных DNS-поисков".
    • "Для разбора записи SPF требуется 12/10 максимальных DNS-поисков".

  • 4. Слабые или неправильные политики DMARC

    Примеры:

    • v=DMARC1; p=none; aspf=s; adkim=s; pct=100; fo=1;...
    • "Множественные записи политики DMARC не разрешены".

  • 5. Несвязанные или посторонние записи TXT

    Некоторые домены содержат ненужные TXT-записи на таких важных поддоменах, как \_dmarc и \_mta-sts, что может нарушить аутентификацию электронной почты. Регулярный аудит DNS необходим для того, чтобы убедиться, что на этих поддоменах публикуются только необходимые протокольные записи.

    Пример:

    • "Были обнаружены несвязанные записи TXT. Их следует удалить, так как некоторые получатели могут не ожидать найти несвязанные TXT-записи в ..."

  • 6. Отсутствие внедрения MTA-STS

    Агент передачи почты Строгая транспортная безопасность (MTA-STS) обеспечивает шифрованную доставку электронной почты, защищая от атак типа "человек посередине" и атак на понижение, и является обязательным условием соответствия требованиям SGE. Однако большинство доменов в Новой Зеландии еще не внедрили эту систему. Организациям следует принять и внедрить MTA-STS для обеспечения безопасной передачи зашифрованной электронной почты.

    Пример:

    • "DNS-запись MTA-STS не существует для этого домена".

  • 7. DNSSEC не используется повсеместно

    Полученные данные показывают, что DNSSEC отключен для большинства новозеландских доменов. Всем организациям настоятельно рекомендуется включить DNSSEC для повышения целостности и безопасности DNS.

    Пример:

    • "Для этого домена не существует DNS-записи DNSSEC".

Как PowerDMARC помогает вам обеспечить безопасность и избежать ошибок

PowerDMARC - это комплексная платформа аутентификации электронной почты, которой доверяют MSP, MSSP, предприятия и правительства по всему миру для защиты доменов от спуфинга, фишинга и атак на выдачу себя за другого.

Вот как мы обеспечиваем безопасность вашей электронной почты с первого дня:

  • Упрощенное развертывание DMARC: Используйте наш бесплатный DMARC Analyzer для создания вашей DMARC-записи.

  • Проактивный анализ состояния домена: Используйте наш Анализатор здоровья домена для мгновенного сканирования DNS на предмет скрытых ошибок конфигурации.

  • Эффективные MTA-STS и TLS-RPT: Внедряйте и управление MTA-STS и TLS-RPT без лишних сложностей.

  • Проверка DNSSEC в один клик: Быстро используйте наш программа проверки DNSSEC чтобы подтвердить, что ваш домен защищен от атак на уровне DNS.

защищённая электронная почта PowerdmarcНужна помощь или быстрая демонстрация?

Пишите нам на [email protected] чтобы заказать сеанс 1:1 с нашими экспертами уже сегодня!

15-дн. пр. версияЗаказать демо