Defaults.Exposed

Defaults.Exposed › Rapporten

Kan iemand e-mails sturen alsof ze van jouw bedrijf zijn? Bij de meeste domeinen wel (2026)

Gepubliceerd 2026-06-29

Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen. „Kan worden nagebootst” betekent dat het domein DMARC niet afdwingt (geen beleid van quarantaine of weigeren), de controle die ontvangende mailservers vertelt om vervalste post te stoppen. Zie hoe wij beoordelen.

Voor de meeste bedrijven is het antwoord ja — iemand kan e-mail versturen die er precies uitziet alsof die van uw domein kwam. Slechts 10,59% van de 261 miljoen door ons beoordeelde domeinen dwingt DMARC af, de enige controle die nabootsing daadwerkelijk blokkeert. De overige 89,41% laat de deur open: een oplichter kan uw exacte adres op de „Van”-regel zetten en de meeste inboxen tonen het als echt. Dit is het mechanisme achter valse facturen, CEO-fraude-betaalverzoeken en leveranciersoplichting — en het kost niets om het te proberen.

Kan iemand echt e-mail versturen als mijn domein?

Als uw domein DMARC niet afdwingt, dan ja. E-mail is ontworpen zonder een ingebouwde manier om de afzender te verifiëren, dus het „Van”-adres is triviaal te vervalsen. Drie gelaagde instellingen lossen het op — SPF, DKIM en DMARC — maar alleen de laatste, ingesteld op afdwingen, vertelt de ontvangende server om een vervalsing daadwerkelijk te weigeren of in quarantaine te plaatsen. Per 2026-06-29:

Dus 89,41% van de domeinen — meer dan acht op de tien — kan vandaag in e-mail worden nagebootst.

„Maar we hebben SPF” — waarom dat niet genoeg is

Dit is het meest voorkomende en gevaarlijkste misverstand. 53,21% van de domeinen publiceert een SPF-record, veel meer dan de 10,59% die DMARC afdwingt. Eigenaren zien SPF en gaan ervan uit dat ze gedekt zijn. Dat zijn ze niet: SPF (en DKIM) controleren het technische verzendpad, maar bepalen niet het „Van”-adres dat een mens daadwerkelijk ziet. Zonder DMARC ingesteld op afdwingen kan een aanvaller SPF nog steeds laten slagen op zijn eigen infrastructuur en uw zichtbare adres vervalsen. SPF is noodzakelijk leidingwerk; DMARC-afdwinging is het slot.

Hoe blootgesteld is uw hoek van het web?

Afdwinging varieert sterk per domeinuitgang. Hoger is beter — het is het aandeel domeinen dat nabootsing daadwerkelijk blokkeert. Per 2026-06-29:

DomeinuitgangDMARC-afdwingendKan worden nagebootst
.nl (Nederland)29,43%29,43% beschermd, rest blootgesteld
.de (Duitsland)21,38%
.in (India)19,26%
.uk (Verenigd Koninkrijk)13,42%
.com9,50%de meestgebruikte uitgang ligt onder het wereldwijde gemiddelde van 10,59%
.net10,08%
.org10,01%
.xyz5,15%
.top3,17%
.cn (China)1,45%de laagste van de grote uitgangen

Zelfs de best presterende grote uitgang beschermt minder dan een derde van zijn domeinen. Op .com — waar de meeste bedrijven zitten — dwingt slechts 9,50% DMARC af.

Wat dit een bedrijf daadwerkelijk kost

E-mailnabootsing is het mechanisme achter enkele van de duurste online misdaden die wereldwijd bij rechtshandhaving worden gemeld — business e-mailcompromittering. Het patroon is altijd hetzelfde:

Niets hiervan vereist het hacken van uw systemen. Het vereist alleen dat uw domein DMARC niet afdwingt — wat voor 89,41% van de domeinen het geval is.

Hoe te bepalen of u beschermd bent (en het op te lossen)

U kunt van buitenaf niet zien of u bij de 10,59% hoort — de enige manier om het te weten is uw domein controleren. De oplossing is gratis en kost meestal een middag, in volgorde gedaan: publiceer SPF en DKIM, en zet DMARC dan op afdwinging (p=nonequarantinereject). De laatste stap is degene die de deur daadwerkelijk sluit.

Veelgestelde vragen

Kan iemand een e-mail versturen die zich voordoet als mijn bedrijf? Als uw domein DMARC niet afdwingt (een beleid van quarantaine of weigeren), ja — uw exacte „Van”-adres kan worden vervalst en de meeste inboxen tonen het als echt. Per 2026-06-29 bevindt 89,41% van de beoordeelde domeinen zich in deze staat.

We hebben al SPF — zijn we niet veilig? Nee. SPF controleert het technische verzendpad, maar niet het zichtbare „Van”-adres. 53,21% van de domeinen publiceert SPF, maar zonder DMARC ingesteld op afdwingen kan uw adres nog steeds worden vervalst. U heeft DMARC op quarantine of reject nodig.

Is een DMARC-record niet genoeg? Alleen als het afdwingt. Een record ingesteld op p=none (alleen-monitoren) — dat 14,29% van de domeinen gebruikt — doet niets om spoofing te stoppen. Alleen quarantine of reject doet dat, en slechts 10,59% van de domeinen komt daar.

Hoe controleer ik mijn eigen domein? Voer een gratis, privécontrole uit (hieronder). Wij tonen het resultaat van een domein alleen aan de geverifieerde eigenaar.

Is dit oplossen duur? Nee. SPF, DKIM en DMARC zijn gratis DNS-instellingen. De kosten zijn de tijd om ze in de juiste volgorde in te stellen, geen geld.

Controleer of uw domein kan worden nagebootst

Gok niet aan welke kant van de 10,59% u staat. Controleer uw domein privé en gratis — u ziet uw DMARC-, SPF- en DKIM-status en precies wat u moet oplossen.

Controleer uw domein → · DMARC oplossen → · SPF oplossen → · Hoe wij beoordelen → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.