Отчет о внедрении DMARC и MTA-STS в США в 2026 году

Мы в PowerDMARC проанализировали состояние аутентификации электронной почты в доменах США и выделили две вещи: внедрение DMARC растет, но его применение остается неравномерным, а MTA-STS существенно отстает. Именно в этом разрыве и сохраняется риск подделки и понижения рейтинга. 

Вашингтон, округ Колумбия, остается эпицентром глобальной политики в области кибербезопасности, но по мере приближения 2026 года разрыв между мандатом и реализацией увеличивается. Несмотря на усиление федерального регулирования, такого как «Shields Up»  и более широких национальных инициатив в области кибербезопасности, США остаются основной площадкой для мошенничества с использованием искусственного интеллекта и компрометации деловой электронной почты (BEC), которые в прошлом году обошлись экономике в более чем 2,9 миллиарда долларов.

Анализ PowerDMARC показывает, что страна решила проблему аутентификации идентичности (SPF/DMARC), но оставила без внимания безопасность транспортного уровня (MTA-STS) и целостность зоны (DNSSEC), что представляет серьезную угрозу.

Запрос отчета — Внедрение DMARC в США

"*" указывает на обязательные поля

Это поле предназначено для проверки и должно быть оставлено без изменений.
Имя*

Отраслевые уязвимости и показатели в США

Чтобы обеспечить четкую отправную точку, прежде чем перейти к конкретным отраслям, приведем общие данные о состоянии безопасности в США по всем более чем 900 доменам.

SPF

США SPF

DMARC

США-DMARC-Square

МТА-СТС

США MTA-STS

DNSSEC

логотип BIMI

Показатели безопасности электронной почты в США

Метрика Уровень принятия
Корректность SPF 95.7%
Принятие DMARC 95.8%
DMARC p=отклонить 49.0%
Принятие MTA-STS 1.7%
Принятие DNSSEC 18.0%
Начните 15-дневную пробную версию

1. Банковское дело и финансы: инфраструктура с высоким уровнем правоприменения

Банки США Банки лидируют в стране по эффективности правоприменения, однако огромное количество атак, в частности, волна фишинговых атак на JPMorgan в 2024 году, принесшая 100 миллионов долларов прибыли, доказывает, что даже небольшие пробелы в безопасности могут иметь катастрофические последствия.

Метрика Уровень принятия
Корректность SPF 90.9%
DMARC p=отклонить 66.7%
Нет записи DMARC 7.6%
Принятие MTA-STS 3.0%
Принятие DNSSEC 22.7%
Принятие банковского SPF

Критический риск

Угон подтверждений SWIFT. С 97,0% разрывом в MTA-STS, триллионы подтверждений банковских переводов проходят по незашифрованным каналам. Злоумышленники могут перехватить их во время передачи, чтобы выявить несанкционированные изменения до того, как банк или клиент обнаружат нарушение.

Исправление PowerDMARC

Автоматизированный MTA-STS хостинг. Мы принудительно перенаправляем всю почту через зашифрованные каналы TLS 1.2+, что существенно снижает риск перехода на более раннюю версию и перехвата данных за счет принудительного использования TLS для входящих сообщений и требования соблюдения политики через MTA-STS. Это помогает обеспечить соответствие общим требованиям к управлению в области безопасной передачи электронной почты и коммуникаций с поставщиками.

2. Правительство: обязательное, но уязвимое

Федеральные агентства являются золотым стандартом для DMARC, однако постоянство атак на цепочку поставок в стиле SolarWinds подчеркивает огромный пробел в видимости безопасности транспортировки.

Метрика Уровень принятия
Корректность SPF 97.7%
DMARC p=отклонить 80.1%
Нет записи DMARC 2.3%
Принятие MTA-STS 3.4%
Принятие DNSSEC 54.5%

Критический риск

Удостоверение Спуфинг. В то время как 80,1% применяют p=reject, остальные 19,9% позволяют национальным государствам подделывать официальные учетные данные .gov, обходя доверие граждан, чтобы распространять вредоносное ПО или собирать конфиденциальную личную информацию. Низкий уровень внедрения MTA-STS также ставит под угрозу безопасность входящей электронной почты.

Исправление PowerDMARC

Автоматическое обеспечение соответствия SCuBA для доменов .gov. Наша платформа автоматизирует строгие требования к аутентификации электронной почты, установленные CISA BOD 25-01. Мы предоставляем централизованную панель управления для перехода доменов .gov на DMARC p=reject без каких-либо ручных затрат, гарантируя, что федеральные облачные среды соответствуют базовым требованиям безопасности SCuBA для Microsoft 365 и Google Workspace без риска нарушения легитимного почтового потока.

3. Здравоохранение: незащищенный фланг HIPAA

Взлом Change Healthcare в 2024 году доказал, что медицинские поставщики становятся мишенью для мошенников, использующих поддельные адреса третьих лиц. Несмотря на растущее использование MFA, электронная почта остается слабым звеном.

Метрика Уровень принятия
Корректность SPF 94.9%
DMARC p=отклонить 64.6%
Нет записи DMARC 1.3%
Принятие MTA-STS 1.3%
Принятие DNSSEC 11.4%

Критический риск

Утечки PHI Transit. 98,7 от трафика электронной почты в сфере здравоохранения не шифруется при передаче. Это позволяет злоумышленникам перехватывать защищенную медицинскую информацию (PHI) непосредственно из сети, что приводит к огромным штрафам по закону HIPAA и утечке данных пациентов.

Исправление PowerDMARC

Мы предоставляем управляемый путь к полному внедрению DMARC и MTA-STS, обеспечивая шифрование всех исходящих медицинских записей с помощью хостинга MTA-STS.

Закажите демо-версию

4. Энергетика и коммунальные услуги: операционные технологические риски

После атаки на трубопровод Colonial Pipeline энергетический сектор США укрепил свою операционную технологию (OT), но корпоративная электронная почта по-прежнему остается активной площадкой для атак программ-вымогателей.

Метрика Уровень принятия
Корректность SPF 96.8%
DMARC p=отклонить 51.6%
Нет записи DMARC 3.2%
Принятие MTA-STS 1.6%
Принятие DNSSEC 6.5%
Применение DNSSEC в энергетике

Критический риск

Фишинг-OT-пивоты. Только 51,6% предприятий энергетического сектора блокируют мошенничество. Злоумышленники используют поддельные «предупреждения о критическом оборудовании», чтобы заставить инженеров переходить по вредоносным ссылкам, тем самым сокращая расстояние между корпоративным почтовым ящиком и физической энергосистемой.

Исправление PowerDMARC

Оптимизация записей. Мы защищаем операционные коммуникации от фишинговых атак, применяя строгие DMARC и оптимизируя сложные записи SPF, чтобы не выходить за пределы ограничений DNS-поиска.

5. Образование: сбор интеллектуальной собственности

Американские университеты являются привлекательной мишенью для кражи интеллектуальной собственности, однако уровень правоприменения в этой сфере остается самым низким в стране.

Метрика Уровень принятия
Корректность SPF 96.6%
DMARC p=отклонить 30.3%
Нет записи DMARC 2.2%
Принятие MTA-STS 3.4%
Принятие DNSSEC 12.4%

Критический риск

Сбор логинов университетов. Низкий DMARC p=reject (30,3%) позволяет злоумышленникам подделывать логины .edu, получая доступ к многомиллионным исследовательским базам данных и финансовым отчетам выпускников.

Исправление PowerDMARC

Мы упрощаем внедрение и обеспечение соблюдения, помогаем управлять тысячами поддоменов отделов с одной панели управления, сокращая количество успешных попыток фишинга на всей территории кампуса.

6. СМИ: усилитель дезинформации

Редакции борются с фейковыми новостями, но их собственные домены электронной почты часто используются для их распространения через поддельные подписи.

Метрика Уровень принятия
Корректность SPF 96.7%
DMARC p=отклонить 30.4%
Нет записи DMARC 5.5%
Принятие MTA-STS 0.4%
Принятие DNSSEC 3.3%
логотип BIMI

Критический риск

Кража источника идентификации. При практически нулевом MTA-STS (0,4%) и низким уровнем применения DMARC, частная переписка журналистов с конфиденциальными источниками становится доступной для любого, кто отслеживает сеть, а их подписи можно легко подделать, чтобы распространять фейковые истории.

Исправление PowerDMARC

Целостность источника. Мы переносим медиа-домены в категорию p=reject, гарантируя, что только проверенные журналисты могут отправлять почту с домена редакции, сохраняя доверие к бренду в эпоху информационных войн.

Начните 15-дневную пробную версию

7. Телекоммуникации: магнит для мошенников, обманывающих абонентов

Операторы защищают свои сети, но оставляют свои почтовые ящики широко открытыми, что способствует распространению эпидемии SIM-свопа, которая ежегодно обходится американцам в миллиарды долларов.

Метрика Уровень принятия
Корректность SPF 96.6%
DMARC p=отклонить 41.4%
Нет записи DMARC 8.0%
Принятие MTA-STS 2.3%
Принятие DNSSEC 12.6%

Критический риск

Мошенничество с выставлением счетов и захват учетных записей. Высокий уровень «No-DMARC» (8,0%) позволяют мошенникам отправлять поддельные уведомления о счетах, которые выглядят законными, и обманывать пользователей, заставляя их раскрывать коды 2FA, необходимые для подмены SIM-карты.

Исправление PowerDMARC

SIM-Phish Slamming. Наша платформа обеспечивает выполнение p=reject во всех доменах операторов связи и поддерживает MTA-STS для защиты автоматизированных процессов биллинга, что затрудняет мошенникам использование имени оператора связи против его абонентов.

8. Транспорт и логистика: компромисс в цепочке поставок

Авиакомпании и железнодорожные сети сталкиваются с проблемой «перенаправления логистики», когда поддельные манифесты приводят к краже грузов и перенаправлению поставок топлива.

Метрика Уровень принятия
Корректность SPF 90.2%
DMARC p=отклонить 42.4%
Нет записи DMARC 1.1%
Принятие MTA-STS 0.0%
Принятие DNSSEC 12.0%

Критический риск

Кража манифеста в виде простого текста. A 100,0 пробел в MTA-STS означает, что все грузовые манифесты, отправляемые по электронной почте, не зашифрованы. Злоумышленники могут перехватить информацию о стоимости и маршрутах грузов, чтобы скоординировать физическое или цифровое хищение товаров, поставляемых по системе «точно в срок».

Исправление PowerDMARC

Логистические каналы, защищенные от мошенничества. Мы предоставляем хостинг MTA-STS в один клик, который защищает транспортный уровень, обеспечивая сквозное шифрование конфиденциальных данных о доставке и предотвращая сбои, вызванные атаками «человек посередине» через электронную почту.

Под капотом: четыре структурных слабости

Разрыв в реализации p=none

46,8% доменов в США имеют DMARC , но не имеют механизмов принудительного применения (p=none или p=quarantine). В текущем состоянии p=none отсутствует возможность исправления, что позволяет злоумышленникам продолжать подделку доверенных брендов, в то время как организация лишь наблюдает за этой деятельностью в журналах.

«Политика DMARC, установленная на p=none, обеспечивает только отчетность и видимость попыток подделки, не блокируя их. Хотя высокий уровень внедрения в США обнадеживает, для активного предотвращения несанкционированного использования электронной почты необходимо перейти к политике DMARC p=reject. Без принудительного применения домены электронной почты остаются уязвимыми».

Майтам Аль-Лавати, генеральный директор PowerDMARC

«Мы постоянно наблюдаем это в компаниях из списка Fortune 500: они добавляют новый маркетинговый инструмент, и вдруг их электронные письма с счетами начинают возвращаться. Ограничение в 10 запросов — это жесткий предел в DNS. Без оптимизации SPF , таких как уплощение или макросы для сжатия этих записей, расширение вашего цифрового стека неизбежно нарушает доставку вашей электронной почты».

Юнес Тарада, менеджер по предоставлению услуг, PowerDMARC

Сложность SPF при масштабировании

В то время как 95,7% доменов имеют правильный SPF, остальные 4,3% имеют критические ошибки в настройках. В сложных американских предприятиях это часто происходит из-за достижения «ограничению в 10 запросов» для DNS-запросов, в результате чего легитимные электронные письма от сторонних поставщиков (CRM, HR-системы) не проходят аутентификацию и исчезают.

MTA-STS: Дефицит шифрования

С 98,3% показателем уязвимости по всем направлениям, США практически полностью утратили контроль над безопасностью транспорта. Без MTA-STS злоумышленники могут осуществлять «атаки понижения версии», заставляя почтовые серверы отключать шифрование и передавать сообщения в виде обычного текста, который может прочитать любой, кто отслеживает сеть.

«Стандартное шифрование электронной почты (STARTTLS) является оппортунистическим; оно запрашивает шифрование, но не требует его. MTA-STS — это способ обеспечить транспортную блокировку. Поскольку практически весь трафик в США открыт, злоумышленнику не составляет труда снять шифрование и прочитать конфиденциальную корпоративную переписку во время передачи».

Айан Бхуия, руководитель смены по операциям и доставке, PowerDMARC

«Организации вкладывают значительные средства в укрепление доверия к бренду, но один-единственный угона DNS может разрушить его за считанные секунды. DNSSEC действует как хранитель вашей цифровой идентичности, гарантируя, что когда клиенты обращаются к вам, они связываются с реальным вами. Это уже не просто IT-протокол, это фундаментальный уровень управления репутацией бренда».

Ахона Рудра, менеджер по маркетингу, PowerDMARC

DNSSEC: слабое основание

DNSSEC включен только на 18,0% доменов. Без этого система каталогов Интернета (DNS) остается незащищенной. Изощренные злоумышленники, действующие по заказу государства, могут захватить DNS , перенаправив весь поток электронной почты компании на мошеннический сервер, причем ни отправитель, ни получатель даже не будут об этом знать.

Свяжитесь с нами

Глобальный бенчмаркинг: США в контексте

СтранаКоррекция SPFПринятие DMARCDMARC p=отклонитьMTA-STS (шифрование)Принятие DNSSEC
Соединенные Штаты 🇺🇸95.7%95.8%49.0%1.7%18.0%
Нидерланды 🇳🇱92.4%88.5%41.2%14.5%59.0%
Швеция 🇸🇪85.0%77.9%29.9%2.9%25.9%
Норвегия 🇳🇴85.2%83.1%29.0%2.8%45.6%
Австралия 🇦🇺91.5%78.4%26.5%3.1%6.8%
Саудовская Аравия 🇸🇦80.6%54.4%18.4%0.2%11.9%
Япония 🇯🇵95.0%74.6%9.2%0.5%2.1%

Анализ: Позиция США на мировой арене

Данные сравнительного анализа за 2025–2026 годы показывают, что в настоящее время США являются мировым лидером в области активной защиты, демонстрируя самый высокий показатель p=отказ от принудительного исполнения на уровне 49,0%. Это значительно выше, чем в странах с развитой цифровой экономикой, таких как Австралия (26,5%) или Японии (9,2). Успех США в значительной степени обусловлен ранними нормативными требованиями и высокорисковой средой, с которой сталкиваются банковский и медицинский секторы.

Однако США сталкиваются с проблемой «технического отставания». Хотя базовые стандарты SPF и DMARC приняты практически повсеместно (95,0%+), Нидерланды значительно опережают США в области передового шифрования, где их показатель составляет 14,5 MTA-STS по сравнению с скромными 1,7. PowerDMARC устраняет этот разрыв в реализации, обеспечивая автоматическое внедрение политик и сохраняя обработку исключений для критически важных старых отправителей.

Кроме того, с внедрением DNSSEC всего на 18,0%, США по-прежнему более уязвимы для сложных атак по перехвату DNS, чем Норвегия (45,6). Этот разрыв подчеркивает стратегическую ориентацию Америки на борьбу с фишингом (DMARC) при недостаточном финансировании инфраструктурной отказоустойчивости (DNSSEC/MTA-STS). Чтобы США сохранили лидерство в области кибербезопасности, на следующем этапе необходимо перейти от простой проверки подлинности к полному шифрованию и обеспечению целостности глобальной экосистемы электронной почты.

Заключение: от показателей к действиям

Данные говорят сами за себя: США располагают техническими спецификациями и базовыми записями, но еще не перешли от пассивного мониторинга к активному обеспечению соблюдения транспортных протоколов. Несмотря на повсеместное использование SPF и стремительное распространение DMARC, неспособность обеспечить соблюдение (p=reject) и безопасность транспортного уровня (MTA-STS) по-прежнему остается уязвимостью, которая обходится в миллиарды долларов.

Американские организации не могут позволить себе ждать следующей обязательной оперативной директивы CISA или катастрофического инцидента с компрометацией деловой электронной почты (BEC), чтобы перейти от мониторинга к защите. PowerDMARC устраняет этот «разрыв в реализации», предоставляя:

Автоматизированные пути принудительного выполнения: Безопасная миграция компаний из списка Fortune 500 и малых и средних предприятий с p=none на p=reject без блокирования важных деловых коммуникаций.

Упрощение инфраструктуры: Преодоление «ограничения на 10 запросов» с помощью оптимизации SPF, хостинга MTA-STS и проверки записей DNSSEC в единой облачной панели управления.

Соответствие нормативным требованиям: Поддержка соответствия стандартам PCI-DSS 4.0, HIPAA и CISA за счет упрощения защиты от фишинга и обеспечения безопасности электронной почты.

Заказать демонстрацию Свяжитесь с нами

Перспектива PowerDMARC

«В настоящее время США являются основной лабораторией для фишинга на базе искусственного интеллекта фишинга. Хотя американские ИТ-команды отлично справляются с публикацией записей, они часто парализованы страхом заблокировать легитимную почту. В 2026 году позиция «только мониторинг» по сути является капитуляцией перед сложным спуфингом. Переход к активной защите — это не просто обновление безопасности, это необходимое условие для защиты от сложных взломов».

Команда PowerDMARC

Превратите видимость в защиту уже сегодня

Показатели внедрения в США свидетельствуют о том, что фундамент готов; теперь пришло время переключить выключатель. В условиях, когда ИИ может идеально имитировать тон руководителя, полагаться только на «видимость» недостаточно.

Не позволяйте вашему домену оставаться «незащищенной территорией». Перейдите от пассивного мониторинга к активной защите, прежде чем следующая волна скоординированных атак обрушится на вашу отрасль.

Свяжитесь с PowerDMARC , чтобы начать свой путь к обеспечению соблюдения.

15-дн. пр. версияЗаказать демо