Defaults.Exposed

Defaults.Exposed › Rapporten

SPF Is Niet Genoeg: de 119 Miljoen Domeinen Die Nooit Handhaven

Gepubliceerd 2026-07-03 · bijgewerkt 2026-07-03

Cijfers per 2026-06-29 · methodologie v7. Census-data die checks per domein samenvoegt over 261 miljoen beoordeelde domeinen. “Handhavend” = een DMARC-beleid van quarantine of reject; “volledig beschermd” = SPF en DKIM beide aanwezig, plus handhavende DMARC — de complete e-mailauthenticatietriade. Alle cijfers zijn geaggregeerd — we publiceren nooit de score van een individueel bedrijf.

De telling: hoeveel domeinen vertrouwen alleen op SPF

SPF alleen is niet genoeg om e-mailimpersonatie te stoppen — en de census kan nu tellen hoeveel domeinen er toch op vertrouwen: 119.212.005 (119 miljoen) publiceren SPF maar handhaven nooit DMARC. Dat is 85,8% van elk domein dat de moeite nam om SPF in te stellen. Het bijbehorende artikel, SPF zonder DMARC, legt het mechanisme uit — waarom SPF het “Van”-adres dat een persoon daadwerkelijk ziet niet kan verdedigen; dit artikel meet de populatie — hoeveel domeinen die kloof blootgesteld laat, en wat de vorm van de blootstelling is.

De korte versie: SPF instellen is de meest voorkomende daad van e-mailbeveiliging op het internet, en voor de overweldigende meerderheid van de domeinen die het deden, is het ook de laatste.

De drie populaties

139 miljoen domeinen — 138.911.937 ervan — publiceren een SPF-record. Opgesplitst naar wat erachter staat:

PopulatieDomeinenAandeel van SPF-publishers
SPF gepubliceerd, helemaal geen DMARC-record84.638.43060,9%
SPF gepubliceerd, DMARC aanwezig maar nooit gehandhaafd (superset, inclusief de rij hierboven)119.212.00585,8%
SPF + DKIM, ondersteund door handhavende DMARC10.092.481

De rijen tellen niet op tot het SPF-totaal: de rest zijn SPF-publishers wiens DMARC wél handhaaft maar wiens DKIM niet volledig aanwezig is — handhavend, maar toch net niet de complete triade die de onderste rij telt.

De middelste rij is de kop: ruwweg 119 miljoen domeinen deden het werk om hun legitieme afzenders te verklaren en vertelden vervolgens de inboxen van de wereld nooit om ernaar te handelen. En de onderste rij is de clou: over alle 261 miljoen beoordeelde domeinen heen is slechts 3,87% — ongeveer 10 miljoen — volledig e-mailbeschermd. Volledige bescherming is technisch geen hoge lat; het is simpelweg de eindstreep van een reis die 119 miljoen domeinen begonnen en stopten.

Waarom de telling zo scheef is

SPF is waar elke installatiegids begint, waar de onboarding van de meeste mailproviders eindigt, en wat de meeste compliance-checklists daadwerkelijk testen. Het produceert een zichtbaar artefact — een TXT-record — en een groen vinkje in welke tool het ook controleerde. Gehandhaafde DMARC produceert de tegenovergestelde ervaring: het vereist een progressie (publiceren, observeren, afzenders identificeren, dan handhaven), en de beloning is onzichtbaar — vervalste mail die stilletjes niet meer aankomt.

Dus het internet optimaliseerde voor het vinkje. De census laat zien hoe dat er op grote schaal uitziet: 85 miljoen domeinen (84.638.430) hebben SPF en geen enkel DMARC-record — zelfs geen p=none-tijdelijke aanduiding. Deze eigenaren zijn niet lui; ze volgden de instructies die ze kregen, en de instructies stopten vroegtijdig.

Wat “gedekt” hier eigenlijk betekent

Gevolg, geen angst: een domein met SPF en zonder handhavende DMARC kan nog steeds worden geïmiteerd op de ene plek waar mensen kijken — de zichtbare “Van”-regel. SPF laat ontvangende servers verifiëren welke machines mogen verzenden namens het envelop-domein, maar zonder DMARC is er geen vereiste dat de zichtbare afzender overeenkomt met iets wat SPF controleerde, en geen instructie om mail te weigeren die faalt. De vervalste factuur, de nep-wachtwoordreset, de omleiding van leveranciersbetalingen — ze blijven allemaal afleverbaar aan uw klanten en leveranciers in uw naam, SPF-record of niet.

In de zes stadia van DMARC-volwassenheid zitten deze 119 miljoen domeinen vast in Stadia 1–3 — de vloer is gebouwd, of deels gebouwd, en de deur werd nooit geplaatst. De afstand van daar naar beschermd is goed begrepen en grotendeels procedureel; wat deze census toevoegt is de wetenschap dat vrijwel niemand hem aflegt.

Als uw domein een van de 119 miljoen is

  1. Behoud SPF — het is een vereiste, geen fout. (SPF repareren →.)
  2. Voeg DKIM toe zodat uw mail zowel ondertekend als afkomstig is. (DKIM repareren →.)
  3. Publiceer DMARC met rapportage, en handhaaf danp=none met rua= eerst, identificeer elke legitieme afzender, ga dan over naar quarantine en reject. Dit is de stap die “geconfigureerd” omzet in “beschermd”. (DMARC repareren →.)

Veelgestelde vragen

Is SPF genoeg om een domein tegen spoofing te beschermen? Nee. SPF valideert verzendende servers tegen het envelop-domein; het controleert noch het zichtbare “Van”-adres, noch vertelt het ontvangers om fouten te weigeren. Alleen een handhavend DMARC-beleid doet beide — en 119.212.005 domeinen publiceren SPF zonder er een.

Hoeveel domeinen hebben SPF maar helemaal geen DMARC? 84.638.430 — 60,9% van alle SPF-publishers heeft geen enkel DMARC-record, zelfs geen monitoringmodus.

Hoeveel domeinen zijn volledig beschermd? 10.092.481 — 3,87% van de 261 miljoen beoordeelde domeinen combineert SPF en DKIM met een DMARC-beleid van quarantine of reject.

Helpt het hebben van SPF op zijn minst? Ja — het is het fundament waartegen DMARC evalueert, en het verbetert de afleverbaarheid van uw legitieme mail. Het beschermt alleen niets op zichzelf; het is stap één van drie, en de census laat zien dat het grootste deel van het internet het als de hele trap behandelde.

Controleer in welke populatie uw domein zit

“We hebben SPF ingesteld” beschrijft 139 miljoen domeinen; “we zijn beschermd” beschrijft 10 miljoen. Uitzoeken welke van de twee u bent kost een minuut, privé en gratis — zie welke van de 34 checks u doorstaat en hoe u de checks repareert die u niet doorstaat.

Controleer uw domein → · De 6 stadia van DMARC-volwassenheid → · De DMARC-pijler → · Alleen geaggregeerde data. Data opgeslagen en verwerkt in de EU.