Defaults.Exposed › Rapporten
De Domain Exposure Score: de meeste domeinen hebben 1 van de 5 basisbeschermingen (2026)
Gepubliceerd 2026-06-29
Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen. De exposure-score telt hoeveel van vijf kernbeschermingen een domein heeft ingesteld: SPF, een afgedwongen DMARC-beleid, DNSSEC, HTTPS en HSTS (0 = geen, 5 = alle). Zie hoe we beoordelen.
Kies vijf willekeurige basisbeschermingen, beoordeel elk domein op internet op een schaal van vijf, en het typische resultaat is één — misschien twee. Over 261 miljoen domeinen heen heeft 8,8% geen van de vijf, het merendeel clustert bij één of twee, en slechts 0,09% heeft alle vijf. De exposure-curve is geen klok met een gezond midden — hij stapelt zich onderaan op.
De exposure-curve
Aantal van de vijf kernbeschermingen (SPF · afgedwongen DMARC · DNSSEC · HTTPS · HSTS) dat een domein heeft ingesteld. Per 2026-06-29:
| Ingestelde beschermingen | Aandeel van domeinen | |
|---|---|---|
| 0 — volledig blootgesteld | 8,8% | 23.105.485 domeinen |
| 1 | 37,2% | |
| 2 | 39,7% | |
| 3 | 12,0% | |
| 4 | 2,1% | |
| 5 — volledig vergrendeld | 0,09% | 247.054 domeinen |
Twee cijfers vertellen het verhaal: 8,8% scoort nul — geen e-mailauthenticatie, geen versleuteling, niets — en slechts 0,09% doet alles goed. De meest voorkomende uitkomst is één of twee beschermingen, vrijwel altijd HTTPS (nu wijdverbreid) plus, in het beste geval, een niet-afgedwongen SPF. De controles die aanvallen daadwerkelijk stoppen — afgedwongen DMARC, DNSSEC, HSTS — zijn waar bijna iedereen tekortschiet.
Waarom de curve zo laag ligt
Het is dezelfde grondoorzaak op elke laag: deze beschermingen staan standaard uit en moeten bewust worden ingeschakeld. HTTPS klom omdat hosts en CDN’s het automatisch begonnen in te schakelen — daarom is het de ene bescherming die de meeste domeinen hebben. De andere vier vereisen nog steeds dat een eigenaar weet dat ze bestaan en actie onderneemt:
- HTTPS is gangbaar omdat het een standaard werd.
- SPF is half geadopteerd maar meestal te zwak om er zonder DMARC toe te doen.
- Afgedwongen DMARC, DNSSEC en HSTS vereisen allemaal een bewuste stap die bijna niemand zet — daarom blijft de score steken op één of twee.
Niets hiervan is duur. Het verschil tussen een 1 en een 5 zijn een paar configuratiewijzigingen, allemaal gratis. De drempel is bewustzijn, niet kosten.
Waar sta jij op de curve?
De meeste eigenaren gaan ervan uit dat ze een 3 of 4 zijn en zijn verrast te ontdekken dat ze een 1 zijn — een HTTPS-site waarvan iedereen de e-mail kan vervalsen. De enige manier om je score te kennen is hem te controleren. Omhoog klimmen op de curve is het meest renderende beveiligingswerk dat de meeste kleine bedrijven kunnen doen, en het is gratis.
Veelgestelde vragen
Wat is een goede basislijn voor domeinbeveiliging? Alle vijf hebben: SPF, afgedwongen DMARC, DNSSEC, HTTPS en HSTS — de “5 van 5” die slechts 0,09% van de domeinen bereikt. Een realistisch kortetermijndoel voor de meeste bedrijven is afgedwongen e-mailauthenticatie (SPF + DMARC) plus geldige HTTPS.
Wat betekent “volledig blootgesteld”? Een domein zonder een van de vijf beschermingen — geen e-mailauthenticatie, geen versleuteling, geen DNS- of transportverharding. 8,8% van de domeinen verkeert in deze staat.
Waarom hebben de meeste domeinen maar één of twee beschermingen? Meestal HTTPS (nu een gangbare standaard) en hooguit een niet-afgedwongen SPF. De beschermingen die een bewuste handmatige stap vereisen — afgedwongen DMARC, DNSSEC, HSTS — worden door de grote meerderheid overgeslagen.
Hoe verbeter ik mijn score? Dwing DMARC af, zorg voor geldige HTTPS, voeg HSTS toe en overweeg DNSSEC. Het zijn allemaal gratis configuratiewijzigingen. Controleer je domein om te zien welke je mist.
Bekijk je exposure-score
Ontdek hoeveel van de vijf je hebt — en precies hoe je de gaten dicht — privé en gratis.
Controleer je domein → · Kan iemand je domein spoofen? → · The State of Domain Security 2026 → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.