Defaults.Exposed

Defaults.Exposed › Rapporten

De Domain Exposure Score: de meeste domeinen hebben 1 van de 5 basisbeschermingen (2026)

Gepubliceerd 2026-06-29

Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen. De exposure-score telt hoeveel van vijf kernbeschermingen een domein heeft ingesteld: SPF, een afgedwongen DMARC-beleid, DNSSEC, HTTPS en HSTS (0 = geen, 5 = alle). Zie hoe we beoordelen.

Kies vijf willekeurige basisbeschermingen, beoordeel elk domein op internet op een schaal van vijf, en het typische resultaat is één — misschien twee. Over 261 miljoen domeinen heen heeft 8,8% geen van de vijf, het merendeel clustert bij één of twee, en slechts 0,09% heeft alle vijf. De exposure-curve is geen klok met een gezond midden — hij stapelt zich onderaan op.

De exposure-curve

Aantal van de vijf kernbeschermingen (SPF · afgedwongen DMARC · DNSSEC · HTTPS · HSTS) dat een domein heeft ingesteld. Per 2026-06-29:

Ingestelde beschermingenAandeel van domeinen
0 — volledig blootgesteld8,8%23.105.485 domeinen
137,2%
239,7%
312,0%
42,1%
5 — volledig vergrendeld0,09%247.054 domeinen

Twee cijfers vertellen het verhaal: 8,8% scoort nul — geen e-mailauthenticatie, geen versleuteling, niets — en slechts 0,09% doet alles goed. De meest voorkomende uitkomst is één of twee beschermingen, vrijwel altijd HTTPS (nu wijdverbreid) plus, in het beste geval, een niet-afgedwongen SPF. De controles die aanvallen daadwerkelijk stoppen — afgedwongen DMARC, DNSSEC, HSTS — zijn waar bijna iedereen tekortschiet.

Waarom de curve zo laag ligt

Het is dezelfde grondoorzaak op elke laag: deze beschermingen staan standaard uit en moeten bewust worden ingeschakeld. HTTPS klom omdat hosts en CDN’s het automatisch begonnen in te schakelen — daarom is het de ene bescherming die de meeste domeinen hebben. De andere vier vereisen nog steeds dat een eigenaar weet dat ze bestaan en actie onderneemt:

Niets hiervan is duur. Het verschil tussen een 1 en een 5 zijn een paar configuratiewijzigingen, allemaal gratis. De drempel is bewustzijn, niet kosten.

Waar sta jij op de curve?

De meeste eigenaren gaan ervan uit dat ze een 3 of 4 zijn en zijn verrast te ontdekken dat ze een 1 zijn — een HTTPS-site waarvan iedereen de e-mail kan vervalsen. De enige manier om je score te kennen is hem te controleren. Omhoog klimmen op de curve is het meest renderende beveiligingswerk dat de meeste kleine bedrijven kunnen doen, en het is gratis.

Veelgestelde vragen

Wat is een goede basislijn voor domeinbeveiliging? Alle vijf hebben: SPF, afgedwongen DMARC, DNSSEC, HTTPS en HSTS — de “5 van 5” die slechts 0,09% van de domeinen bereikt. Een realistisch kortetermijndoel voor de meeste bedrijven is afgedwongen e-mailauthenticatie (SPF + DMARC) plus geldige HTTPS.

Wat betekent “volledig blootgesteld”? Een domein zonder een van de vijf beschermingen — geen e-mailauthenticatie, geen versleuteling, geen DNS- of transportverharding. 8,8% van de domeinen verkeert in deze staat.

Waarom hebben de meeste domeinen maar één of twee beschermingen? Meestal HTTPS (nu een gangbare standaard) en hooguit een niet-afgedwongen SPF. De beschermingen die een bewuste handmatige stap vereisen — afgedwongen DMARC, DNSSEC, HSTS — worden door de grote meerderheid overgeslagen.

Hoe verbeter ik mijn score? Dwing DMARC af, zorg voor geldige HTTPS, voeg HSTS toe en overweeg DNSSEC. Het zijn allemaal gratis configuratiewijzigingen. Controleer je domein om te zien welke je mist.

Bekijk je exposure-score

Ontdek hoeveel van de vijf je hebt — en precies hoe je de gaten dicht — privé en gratis.

Controleer je domein → · Kan iemand je domein spoofen? → · The State of Domain Security 2026 → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.