Defaults.Exposed › Rapporten
Hoe wij het hele internet hebben beoordeeld: de A–F-methodiek voor domeinbeveiliging (2026)
Gepubliceerd 2026-06-28
Referentiepagina · methodiek v7 · data per 2026-06-28. Deze pagina legt uit hoe elk getal op deze site tot stand komt. Alle gepubliceerde statistieken zijn geaggregeerd; het individuele cijfer van een domein is alleen zichtbaar voor de geverifieerde eigenaar.
Defaults.Exposed beoordeelt domeinen van A+ tot F op basis van 34 extern waarneembare beveiligingscontroles, volledig uitgevoerd via het openbare internet — zonder ooit iemands systemen aan te raken. Op deze pagina leggen we in gewone taal uit hoe dat werkt: wat we meten, hoe een cijfer tot stand komt, wat de data wel en niet kunnen vertellen, en de ethische regels waaraan we ons houden. We zijn hier bewust transparant in, want een beveiligingscijfer is alleen zo betrouwbaar als de methode erachter.
Wat we meten
Elk domein wordt getoetst aan 34 controles, verdeeld over vijf categorieën. Elke controle is iets wat iedereen van buitenaf kan waarnemen — er worden geen privésystemen gescand, er wordt niet ingelogd en er vindt geen inbraak plaats.
- E-mailauthenticatie — kan dit domein worden nagebootst in e-mail? Omvat SPF, DKIM, DMARC (inclusief of DMARC daadwerkelijk op handhaving staat) en de mailconfiguratie (MX).
- TLS en certificaten — is de verbinding van de website correct versleuteld? Omvat certificaatgeldigheid en hostnaamovereenkomst, moderne TLS-versies en HSTS.
- Beveiligingsheaders voor het web — beschermt de site de browser? Omvat Content-Security-Policy, bescherming tegen clickjacking (X-Frame-Options), MIME-sniffingbeveiliging, Referrer-Policy en cross-origin-headers.
- DNS — is de naamlaag beveiligd? Omvat DNSSEC, CAA en nameserverconfiguratie.
- Infrastructuur — ondersteunende signalen zoals reverse DNS en IPv6-ondersteuning.
Van de 34 controles tellen een deel mee voor het cijfer (ze beïnvloeden de beoordeling) en de rest is informatief (gerapporteerd als context, maar niet gestraft).
Hoe een controle wordt beoordeeld: geslaagd, gezakt of N/A
Elke controle levert één van drie uitkomsten op:
- Geslaagd — de bescherming is aanwezig en correct.
- Gezakt — de bescherming ontbreekt of is defect. Een echte tekortkoming is een echte tekortkoming: een domein zonder afgedwongen SPF en DMARC scoort slecht, omdat het daadwerkelijk kan worden nagebootst — niet vanwege de manier waarop we tellen.
- N/A — de controle kan voor dit domein niet worden vastgesteld. N/A-resultaten worden uitgesloten van het cijfer; ze tellen nooit in het nadeel van een domein.
Dit laatste punt is belangrijk: we straffen een domein niet voor iets wat we niet eerlijk konden beoordelen.
Hoe het lettercijfer wordt berekend
De cijfers lopen van A+, A, B, C, D tot F. Het cijfer weerspiegelt in hoeverre een domein de relevante kwetsbaarheden afsluit — gewogen naar de controles met de grootste impact in de praktijk (e-mailspoofing en transportbeveiliging wegen zwaarder dan cosmetische headers). Een domein dat de belangrijkste basismaatregelen goed heeft ingericht en alleen kleine lacunes heeft, scoort hoog; een domein dat de basisbescherming mist waardoor het kan worden nagebootst, eindigt op een F.
Omdat dezelfde methode op elk domein identiek wordt toegepast, zijn de cijfers vergelijkbaar over de hele populatie — dat maakt de ranglijsten (per TLD, per land en per sector) zinvol.
Hoe groot is de dataset?
We volgen een inventaris van 333 miljoen domeinen en beoordelen de actieve populatie van ongeveer 260 miljoen die momenteel bereikbaar zijn. Gepubliceerde statistieken worden bij elke build berekend op basis van deze populatie en zijn voorzien van een peildatum, zodat u altijd weet hoe actueel een getal is.
Hoe actueel zijn de data?
De scanvloot draait continu. De volledige populatie wordt op regelmatige basis opnieuw gemeten, waarbij sommige TLD’s vaker worden hergemeten, zodat de cijfers op deze site een levende meting zijn in plaats van een eenmalige momentopname. Elk rapport toont zijn peildatum, en de uitgelichte onderzoeken worden gepubliceerd als terugkerende edities zodat trends in de tijd kunnen worden gevolgd.
Wat de data wel — en niet — kunnen vertellen
Wij geloven dat de beperkingen net zo belangrijk zijn als de bevindingen:
- Geografie en sector zijn afgeleid van de domeinextensie, niet van de bedrijfsregistratie. De cijfers van een land zijn gebaseerd op de nationale domeinextensie (ccTLD); de cijfers van een sector zijn gebaseerd op sectorspecifieke extensies. Een bedrijf dat een generieke extensie zoals
.comgebruikt, kan op deze schaal niet aan een land of sector worden gekoppeld. Deze segmenten zijn ‘nauwkeurig genoeg’ om populaties te vergelijken, met deze kanttekening vermeld. - We meten domeinen, geen organisaties. Één bedrijf kan meerdere domeinen bezitten; we beoordelen elk domein op basis van zijn eigen configuratie.
- Uitsluitend externe weergave. We beoordelen wat waarneembaar is via het openbare internet. We zien niets achter een login, en proberen dat ook niet.
Onze regels: uitsluitend geaggregeerd, privé voor de eigenaar, EU-residentie
Drie toezeggingen bepalen alles wat we publiceren:
- Uitsluitend geaggregeerd. We publiceren populatiepatronen — ranglijsten per TLD, per land en per sector. We publiceren nooit een geïndexeerde pagina met de naam van een individueel bedrijf en zijn cijfer.
- Privé voor de eigenaar. Het individuele cijfer van een domein en de uitsplitsing per controle zijn uitsluitend zichtbaar voor de geverifieerde eigenaar die het opvraagt.
- EU-dataresidentie. Alle data wordt opgeslagen en verwerkt binnen de EU — een compliancehouding én een bewuste vertrouwenstoezegging.
Veelgestelde vragen
Hoe berekent Defaults.Exposed het beveiligingscijfer van een domein? Door 34 extern waarneembare controles uit te voeren (e-mailauthenticatie, TLS, webheaders, DNS en infrastructuur), elke controle te beoordelen als geslaagd / gezakt / N/A, en ze te wegen naar impact in de praktijk om een cijfer van A+ tot F te produceren.
Scannen of hacken jullie de domeinen die jullie beoordelen? Nee. Elke controle is waarneembaar via het openbare internet — dezelfde informatie die een ontvangende mailserver of de browser van een bezoeker zou zien. Er is geen login, geen inbraak en geen toegang tot privésystemen.
Waarom kan een domein een F krijgen? Meestal omdat het geen afgedwongen SPF en DMARC heeft en daardoor kan worden nagebootst in e-mail — een echte, extern verifieerbare kwetsbaarheid.
Kan ik het cijfer zien van het domein van een specifiek bedrijf? Alleen als het uw eigen domein is en u eigenaarschap verifieert. We publiceren nooit de cijfers van individuele bedrijven.
Hoe vaak worden de data bijgewerkt? Continu. De volledige populatie wordt op regelmatige basis opnieuw gemeten en elk getal is voorzien van een peildatum zodat u weet hoe actueel het is.
Controleer zelf een domein
De snelste manier om de methode te begrijpen is hem zelf uit te voeren. Controleer uw eigen domein privé en gratis, en bekijk alle 34 controles met resultaten in begrijpelijke taal en concrete oplossingen.
Controleer uw domein → · De beveiligingsverdeling van het internet → · Uitsluitend geaggregeerde data. Data opgeslagen en verwerkt in de EU.