Defaults.Exposed › Rapporten
SPF publiceren is niet genoeg: het valse gevoel van e-mailveiligheid (2026)
Gepubliceerd 2026-06-29
Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens die controles per domein samenvoegen over 261 miljoen beoordeelde domeinen. „Handhavend” = een DMARC-beleid van
quarantineofreject. Zie hoe we beoordelen.
De gevaarlijkste plek in e-mailbeveiliging is je beschermd voelen. 32,4% van de domeinen publiceert SPF maar heeft helemaal geen DMARC — en 45,7% heeft SPF dat niet door handhaving wordt ondersteund. Deze eigenaren deden iets, zagen „SPF: geconfigureerd” en stopten. Maar SPF alleen weerhoudt niemand ervan je zichtbare „Van”-adres te vervalsen — alleen gehandhaafd DMARC doet dat. Per 2026-06-29 is slechts 3,87% van de domeinen volledig e-mailbeschermd.
De kloof tussen „geconfigureerd” en „beschermd”
SPF controleert welke servers namens jou mogen verzenden. Het regelt niet het „Van”-adres dat iemand daadwerkelijk ziet, en het vertelt ontvangers niet wat te doen bij een mislukking. Dat is de taak van DMARC. SPF zonder een handhavend DMARC-beleid is dus een slot zonder deur erachter:
| Status | Aandeel domeinen | Echt beschermd? |
|---|---|---|
| SPF gepubliceerd, helemaal geen DMARC-record | 32,4% | Nee |
| SPF gepubliceerd, DMARC niet handhavend | 45,7% | Nee |
| Volledig e-mailbeschermd (SPF + gehandhaafd DMARC) | 3,87% | Ja |
Lees die middelste rij nog eens: 45,7% van alle domeinen heeft SPF maar geen handhaving — bijna een meerderheid van het internet in de zone van schijnveiligheid. Ze zijn, voor de doeleinden van een aanvaller, vervalsbaar — en 89,4% van de domeinen in totaal is dat.
De ergste versie: post komt binnen, geen bewaker aan de deur
Het wordt scherper voor domeinen die daadwerkelijk e-mail ontvangen. 42,7% van de domeinen accepteert post (ze hebben MX-records) maar heeft helemaal geen werkende e-mailauthenticatie — geen SPF-handhaving, geen DMARC. Dit zijn actieve, in gebruik zijnde domeinen waarvan de eigenaren elke dag verzenden en ontvangen, volledig na te bootsen. Juist die activiteit maakt ze aantrekkelijke doelwitten voor factuurfraude en leveranciersoplichting.
Waarom „we hebben SPF” de val werd
SPF is ouder, eenvoudiger en het eerste wat de meeste installatiegidsen noemen — dus het is het vakje dat wordt aangevinkt. DMARC kwam later, klinkt geavanceerder en vereist een bewuste opbouw naar handhaving. Het resultaat is een enorme groep die stap één overnam en stap twee nooit zette, en daarna bleef geloven dat de klus geklaard was. De census maakt de omvang van dat misverstand voor het eerst zichtbaar: 32,4% met SPF en helemaal geen DMARC.
Hoe je daadwerkelijk beschermd raakt
- Behoud je SPF, maar vertrouw er niet alleen op. (SPF herstellen.)
- Voeg DKIM toe zodat je post wordt ondertekend. (DKIM herstellen.)
- Publiceer DMARC en breng het naar handhaving (
p=none→quarantine→reject). Dit is de stap die „geconfigureerd” in „beschermd” verandert. (DMARC herstellen.)
Veelgestelde vragen
Is SPF genoeg om e-mailspoofing te stoppen? Nee. SPF beschermt het zichtbare „Van”-adres niet en vertelt ontvangers niet om vervalsingen te weigeren — alleen een handhavend DMARC-beleid doet dat. 45,7% van de domeinen heeft SPF zonder die handhaving.
Ik heb een SPF-record — ben ik beschermd?
Niet op zichzelf. Je bent alleen beschermd wanneer SPF (en idealiter DKIM) wordt ondersteund door DMARC ingesteld op quarantine of reject. Slechts 3,87% van de domeinen bereikt dat.
Welk aandeel domeinen kan nog worden nagebootst? 89,4% — omdat ze geen handhavend DMARC hebben, ongeacht of ze SPF publiceren.
Waarom is post (MX) hebben zonder authenticatie bijzonder riskant? 42,7% van de domeinen verzendt en ontvangt actief e-mail maar heeft geen werkende authenticatie — actieve, vertrouwde domeinen die iedereen kan vervalsen, precies waar oplichters naar op zoek zijn.
Controleer of je echt beschermd bent
„We hebben SPF” is niet hetzelfde als beschermd. Controleer je domein gratis en privé — zie of je e-mail nog steeds vervalst kan worden.
Controleer je domein → · DMARC herstellen → · De domeinblootstellingsscore → · p=none is geen bescherming → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.