Defaults.Exposed › Rettelser › Guides
En klients sikkerhedsspørgeskema spørger om e-mailgodkendelse — besvar det (og luk hullerne) på én eftermiddag (2026)
Udgivet 2026-07-08
Tal fra 2026-06-29 · metodologi v7. Aggregerede censusdata på tværs af 261 millioner graderede domæner — vi udgiver aldrig et enkelt domænes resultater. Se hvordan vi graderer.
Din klient spørger, fordi europæiske regler om forsyningskædesikkerhed nu kræver, at de kontrollerer deres leverandører. Spørgsmålene har et to-minutters udgangspunkt: en gratis scanning graderer præcis det, de undersøger. Kun 7.4% af domæner har e-mailgodkendelse fuldt justeret og håndhævet, ifølge Defaults.Exposed-census over 261,086,232 domæner (pr. 2026-06-29) — de fleste leverandører kan heller ikke svare “ja” endnu.
Her er planen for eftermiddagen: kør den gratis scanning, læs den ensides graderede rapport, svar ærligt på det, der allerede er sandt, og luk de gratis hurtige gevinster samme dag. For alt dybere er en dateret rapport plus en kort afhjælpningsnote et acceptabelt foreløbigt svar — og et bedre end et uunderbygget “ja”.
Hvorfor spørger vores største klient pludselig om vores e-mailsikkerhed?
Det er ikke personligt. Er din klient inden for NIS2’s rækkevidde — EU’s direktiv om net- og informationssikkerhed — forpligter artikel 21(2)(d) dem til at administrere sikkerheden af deres forsyningskæde, og Kommissionens gennemførselsforordning (EU) 2024/2690 specificerer foranstaltningerne og nævner e-mailsikkerhed specifikt. Så indkøb sender alle leverandører et spørgeskema; du er muligvis ikke selv dækket af NIS2, men sådan kaskaderer forpligtelsen ned til dig. Fristen og konsekvensen — at forblive på listen over godkendte leverandører — eksisterer, fordi din klient skal vise en regulator, at de har kontrolleret. (Vi har skrevet op hvad NIS2 faktisk siger om e-mailgodkendelse.) Forsikringsselskaber stiller nu de samme spørgsmål — er din fornyelsesformular også begyndt at gøre det, er det forsikringsversionen af denne eftermiddag.
Hvad betyder spørgsmålene egentlig?
E-mailsikkerhedsdelen af et typisk leverandørspørgeskema er fire spørgsmål klædt i akronymer. Oversat én gang, derefter dropper vi dem.
| Hvad spørgeskemaet spørger | Hvad det betyder på klart sprog | Hvordan scanningsrapporten besvarer det |
|---|---|---|
| ”Håndhæver du en DMARC-politik?” (DMARC — Domain-based Message Authentication, Reporting and Conformance) | Har du fortalt verdens mailservere at afvise e-mail, der forfalsker dit domæne? Den række, de fleste leverandører fejler: kun 7.4% af 261,086,232 graderede domæner har dette justeret og håndhævet (census pr. 2026-06-29). | Angiver og graderer din politik. “Håndhævet” betyder reject eller quarantine; “kun overvågning” blokerer endnu intet — sig hvilken, ærligt. |
| ”Er SPF konfigureret med en restriktiv politik?” (SPF — Sender Policy Framework) | Har du udgivet listen over servere, der er godkendt til at sende e-mail som din virksomhed — og slutter den fast (“ingen andre”) eller med en skuldertrækken (“og måske andre”)? | Viser, om listen eksisterer, er gyldig og slutter fast eller blødt. |
| ”Er udgående e-mails digitalt signeret (DKIM)?” (DKIM — DomainKeys Identified Mail) | Bærer din e-mail en manipulationssikker signatur, der beviser, at den kom fra dit domæne — i dit navn, ikke din udbyders standard? | Viser, om en signatur eksisterer i dit domænes navn — udbyder-standard-fælden er det mest almindelige hul, scanningen finder. |
| ”Overvåger du for domæne-spoofing?” | Hvis nogen sendte falsk e-mail som dig, ville du finde ud af det — eller ville det første tegn være et vredt telefonopkald? | Viser, om rapporteringsadressen er aktiveret, så efterligningsforsøg når dig. |
Alle disse besvares fra dit domænes offentlige indstillinger — ingen revision, intet bureau, ingen adgang til dine systemer. Det er grunden til, at eftermiddagsplanen virker. Disse fire er også blot e-mail-rækkerne på en længere liste: hvad cyberforsikrings- og leverandørspørgeskemaer kontrollerer på dit domæne tabellerer alle kontroller, de undersøger, med den internetdækkende beståede andel for hver. Denne side holder sig til din eftermiddag — hvad du svarer, og hvad du løser først.
Hvordan besvarer vi det inden fristen? Én-eftermiddags-planen
- Kør den gratis scanning på defaults.exposed — to minutter, inden nogen rører noget. Den læser dit domænes offentlige indstillinger og graderer præcis de fire områder ovenfor. Ingen tilmelding, ingen adgang til din e-mail.
- Læs den graderede rapport. Én side, klart sprog, dateret — hver gradering svarer til et spørgeskemaspørgsmål, så du kender dine rigtige svar i stedet for at gætte.
- Svar på det, der allerede er sandt. Hvor rapporten viser godkendt, sig ja og sig hvorfor (“verificeret ved uafhængig scanning,” med datoen).
- Luk de gratis hurtige gevinster samme dag. De almindelige huller er indstillinger, ikke indkøb: en afsenderliste, der slutter blødt (SPF-rettelsen), en spoofing-regel, der mangler eller sidder fast i overvågningstilstand (DMARC-rettelsen), en signatur i udbyderens standardnavn. Alle gratis, de fleste én DNS-post hver — videresend rettelsessiden til den, der administrerer dit domæne, og adskillige “nej”-svar bliver “ja”, inden formularen sendes tilbage.
- For alt dybere, send den daterede rapport med en afhjælpningsnote. At flytte til en fuldt håndhævet politik korrekt kræver ugers overvågning først — hævd aldrig, at det er færdigt, når det ikke er det. “Uafhængig scanning vedhæftet; håndhævelsesudrulning i gang, mål september” er et acceptabelt foreløbigt svar til ethvert kompetent indkøbsteam. Et falsk “ja” er det ikke: indkøbsteams re-kontrollerer, ofte med præcis denne slags scanning.
Kan dette spørgeskema faktisk arbejde til vores fordel?
Ja — på grund af, hvad alle andre sender tilbage. De fleste leverandører svarer med et bart “ja” og intet bag det, mens kun 7.4% af 261,086,232 graderede domæner faktisk har den justerede-og-håndhævede holdning, der undersøges (census pr. 2026-06-29). En dateret, uafhængigt graderet rapport — selv én der viser et hul og en afhjælpningsdato — slår et uunderbygget “ja”, fordi den ene er verificerbar og den anden er håb. Du bliver ikke bedt om at være perfekt; du bliver bedt om at være kontrollerbar. Få af dine konkurrenter på den liste vil det.
Og er det fakturasvindel-historien fra netværkseventen, der egentlig nager dig — samme indstillinger, samme to-minutters kontrol.
Ofte stillede spørgsmål
Hvad hvis jeg ikke kan rette alt inden fristen? Send det, der er sandt: den daterede rapport, hvad du rettede denne uge, og en dateret plan for resten. NIS2-forsyningskæde-revisorer vurderer, om leverandører administrerer risiko, ikke om de er fejlfrie — en graderet rapport med en afhjælpningsnote er risikostyring, skriftligt. Det, der fejler revisioner, er tavshed eller et krav, der ikke overlever en re-kontrol.
Kan min IT-kontraktoren håndtere dette? De gratis indstillinger, ja — afsenderlisten, din egen signatur, spoofing-reglen er rutine-DNS-arbejde, og rettelsessiderne ovenfor er skrevet til den overdragelse. Det, som kontraktorer med rimelighed kalder ud over deres kompetence, er bedømmelseslaget: hvilken politik der skal håndhæves, hvornår det er sikkert at stramme, hvad man fortæller klienten i mellemtiden. Den graderede rapport gør disse beslutninger til et dokument, så ingen af jer improviserer.
Vil de virkelig droppe os som leverandør? For et blankt svar eller et pågrebet falsk krav — til sidst, ja; klienten har en regulator at svare til. For et ærligt hul med en afhjælpningsdato — meget usandsynligt: på tværs af alle 261,086,232 graderede domæner håndhæver kun 10.59% spoofing-politikken, disse spørgeskemaer spørger om (census pr. 2026-06-29). Ærlig-med-en-plan holder dig på listen.
Vi er ikke dækket af NIS2 — kan vi ignorere spørgeskemaet? Forpligtelsen er din klients, og de opfylder den ved at vælge kontrollerbare leverandører. Mulighederne for at skille sig ud er enorme: kun 7.4% af alle 261,086,232 graderede domæner har e-mailgodkendelse justeret og håndhævet (census pr. 2026-06-29). Én eftermiddag placerer dig foran næsten alle andre navne på den leverandørliste.
Videresend rapporten til din IT-kontakt
Omskriv ikke noget af dette. Kør den gratis scanning, videresend derefter to ting til den, der passer dit domæne: den graderede rapport og denne artikel. Rapporten siger præcis, hvilke indstillinger der skal ændres; rettelsessiderne giver trinnene. Når den rettede rapport kommer tilbage, skriver spørgeskemasvaret sig selv — gradering for gradering. Arkivér den derefter: den næste klient vil stille de samme fire spørgsmål, din forsikringsfornyelse gør det allerede, og en dateret rapport, du kan vedhæfte på fem minutter, er forskellen mellem en eftermiddag og en brandøvelse.
Kontrollér dit domæne → · Hvad spørgeskemaer kontrollerer på dit domæne → · Den fakturasvindel-historie, du har hørt → · Kun aggregerede data. Data opbevares og behandles i EU.