Defaults.Exposed

Defaults.Exposed › Rapporten

De volledig beschermde weinigen: de 3,87% die het afmaakte

Gepubliceerd 2026-07-03 · bijgewerkt 2026-07-03

Cijfers per 2026-06-29 · methodologie v7. Censusgegevens die controles per domein samenvoegen over 261 miljoen beoordeelde domeinen. “Volledig beschermd” betekent in dit artikel de complete, afgedwongen e-mailauthenticatiestack: SPF aanwezig, DKIM aanwezig, en een DMARC-beleid van quarantine of reject. De blootstellingspiramide telt vijf kernbeschermingen per domein — SPF, afdwingende DMARC, DNSSEC, HTTPS, HSTS. De overlapcijfers hier komen uit de per-domein-join, waarvan de dedup-korrel marginaal verschilt van de beleidssplitsingstellingen die op de DAMMM-pagina’s worden aangehaald (27.640.987 versus 27.639.358 afdwingende domeinen) — elke pagina citeert zijn eigen bron, en de twee worden nooit vermengd. Alle cijfers zijn geaggregeerd — we publiceren nooit de beoordeling van een individueel bedrijf.

Wat volledig beschermde domeinen anders doen: ze maken het af

Slechts 3,87% van de 261 miljoen beoordeelde domeinen op internet — 10.092.481 ervan — draait de complete, afgedwongen e-mailbeschermingsstack: SPF en DKIM aanwezig, DMARC op quarantine of reject. Het interessante aan deze groep is wat het niet is. Het is geen club van beveiligingsteams met grotere budgetten — elke betrokken maatregel is een gratis DNS- of webserverinstelling. De 3,87% zijn niet slimmer dan alle anderen; ze zijn systematisch. Ze behandelden de beschermingen als één stack om af te maken in plaats van vijf afzonderlijke projecten om te starten, en de rest van dit artikel gaat over hoe dat eruitziet in de censusgegevens.

Om te zien hoe ongebruikelijk afmaken is, begin je bij waar iedereen anders staat.

De blootstellingspiramide: vijf beschermingen, zes verdiepingen

Beoordeel elk domein op vijf best-practicebeschermingen — SPF, afdwingende DMARC, DNSSEC, HTTPS, HSTS — één punt per stuk, en internet rangschikt zichzelf tot een piramide (de blootstellingscurve, verdieping voor verdieping bekeken). Per 2026-06-29:

VerdiepingBeschermingen aanwezigAandeel van domeinenDomeinen
0Geen — volledig blootgesteld8,8%23.105.485
1Eén (meestal alleen HTTPS)37,2%97.206.153
2Twee (doorgaans HTTPS + SPF)39,7%103.527.371
3Drie12,0%31.424.343
4Vier2,1%5.575.826
5Alle vijf — volledig vergrendeld0,09%247.054

De vorm vertelt het verhaal nog voordat één enkel getal dat doet. 76,9% van alle domeinen — 201 miljoen — bevindt zich op verdiepingen 1 en 2, met precies de beschermingen die standaard aankwamen en niets meer. HTTPS is er omdat hosts en CDN’s het automatisch inschakelden; SPF is er omdat de onboardinggids van elke mailprovider ermee begint. Alles boven verdieping 2 vereist dat een eigenaar beslist — en bij elke beslissing stopt het grootste deel van internet. Verdiepingen 4 en 5 samen bevatten slechts 2,2% van de domeinen.

De piramide is geen rangschikking van wie er iets om geeft. Het is een kaart van waar standaardinstellingen eindigen en bewuste keuzes beginnen.

De trechter die de 3,87% beklom

Volg de e-mailhelft van de stack stap voor stap en hetzelfde patroon herhaalt zich — bij elke fase valt meer dan de helft af van de domeinen die de vorige fase bereikten:

Bij die laatste snede is het de moeite waard even stil te staan. Van de ongeveer 28 miljoen domeinen die DMARC afdwingen, dragen slechts 36,5% zowel SPF als DKIM onder het beleid. Sommige van de rest doen precies het juiste — een domein dat geen mail verzendt zou op p=reject moeten staan met een kale -all-SPF en heeft geen DKIM nodig. Maar de kloof bevat ook afdwingende domeinen waarvan de authenticatie onvolledig is, wat neerkomt op de stack gebouwd van het dak naar beneden. De 3,87% worden gedefinieerd door de tegenovergestelde gewoonte: fundament vóór dak, elke laag, en dan het beleid erbovenop.

SPF alleen dekt 139 miljoen domeinen en beschermt er bijna geen enkele van — de botste illustratie van de census van wat starten zonder afmaken oplevert.

Eén stack, geen vijf projecten

Hier is de gewoonte die de 3,87% onderscheidt, en die is organisatorisch, niet technisch.

De meeste domeinen verzamelen beschermingen op de manier die de piramide suggereert: één voor één, elk uitgelokt door een andere aanleiding — een browserwaarschuwing, een afleverbaarheidsprobleem, een compliancechecklist — elk behandeld als zijn eigen kleine project met zijn eigen “klaar”. “Klaar” betekent in die modus het record bestaat. Zo eindigt internet met 201 miljoen domeinen op verdiepingen 1–2: vijf groene vinkjes beschikbaar, één of twee verzameld, reis voorbij.

De volledig beschermden behandelen de vijf als één systeem met één definitie van klaar: de aanval werkt niet meer. Vervalste mail wordt geweigerd, niet alleen waargenomen; sessies kunnen niet worden gedowngraded, omdat HSTS is vastgepind; antwoorden kunnen niet stilletjes worden verwisseld, waar DNSSEC is ondertekend. In het DMARC Adoption Maturity Model is dat de Stage 6-mentaliteit — bescherming als een discipline die wordt gemonitord en onderhouden, niet een badge die ooit eenmalig werd verdiend. Niets eraan vereist expertise die de andere 96% missen. Het vereist afmaken — in de juiste volgorde, controleren dat elke laag daadwerkelijk standhoudt, en “geconfigureerd” behandelen als het middelpunt in plaats van de bestemming.

De top erboven: alle vijf samen

Boven de volledig-e-mailbeschermden zit een veel kleinere populatie: de 247.054 domeinen — 0,09% — die alle vijf beschermingen tegelijk hebben, met DMARC, DNSSEC en HSTS samen ingezet bovenop SPF en HTTPS. De poort is DNSSEC: geldig op slechts 1,99% van de domeinen, is het de zeldzaamste van de vijf, dus de bovenste verdieping van de piramide is noodzakelijkerwijs piepklein. Als verdieping 5 je ambities beschrijft, doet de volgorde er nog steeds toe — dwing eerst e-mailauthenticatie af (dat stopt de aanvallen die daadwerkelijk dagelijks binnenkomen), pin dan het transport met HSTS, en onderteken vervolgens de zone.

Hoe je je bij de 3,87% voegt

Elke stap is een configuratiewijziging, en elke stap is gratis:

  1. Publiceer SPF met je echte verzenders, eindigend op -all. (SPF repareren →)
  2. Schakel DKIM in bij elke dienst die namens jou verzendt — bij de meeste providers is het een schakelaar. (DKIM repareren →)
  3. Publiceer DMARC met rapportage, observeer, dwing daarna af — eerst p=none plus rua=, identificeer elke legitieme verzender, ga daarna over naar quarantine en reject. Dit is de muur die de meeste domeinen nooit beklimmen, en het is onderzoekswerk, geen geld. (DMARC repareren →)
  4. Dan de weblaag: HSTS op je HTTPS-site, en DNSSEC als je DNS-provider het ondertekenen voor je beheert.

Een domein dat geen mail verzendt kan de observatiefase volledig overslaan: SPF -all en p=reject vandaag, één DNS-wijziging, zo langs de muur.

Veelgestelde vragen

Hoe ziet een volledig beschermd domein eruit? SPF en DKIM aanwezig en daarbovenop een DMARC-beleid van quarantine of reject — de complete, afgedwongen e-mailauthenticatiestack. 10.092.481 domeinen (3,87%) halen die lat. De strengste versie voegt DNSSEC, HTTPS en HSTS toe: alle vijf samen is de 0,09% van de piramide.

Hoeveel domeinen hebben DMARC, DNSSEC en HSTS samen ingezet? De census publiceert de vijfbeschermingsscore in plaats van elke paarsgewijze kruistabel, dus het eerlijke antwoord is een grens: minstens de 247.054 domeinen die alle vijf hebben, hebben die drie samen, en hoogstens 2,2% van de domeinen (verdiepingen 4–5) zou dat kunnen. Hoe dan ook: ruim minder dan één op de veertig.

Is de volledige stack duur? Nee. SPF, DKIM, DMARC, HSTS en DNSSEC zijn allemaal configuratie — DNS-records en serverheaders, geen licenties. De echte kosten zijn aandacht en volgorde: het identificeren van verzenders vóór DMARC-afdwinging is de enige stap die volgehouden inspanning kost, en het is degene waar de meeste domeinen voor blijven steken.

Welke bescherming moet als eerste komen? Afgedwongen e-mailauthenticatie, omdat e-mailimpersonatie de aanval is waar gewone bedrijven daadwerkelijk mee te maken krijgen. HTTPS heb je vrijwel zeker al; HSTS is een vervolg van één regel; DNSSEC als laatste, en alleen via een provider die het ondertekenen beheert. Verdieping voor verdieping klimmen verslaat vijf projecten tegelijk starten — dat is nu juist het punt.

Controleer hoeveel van de vijf jij hebt

De kloof tussen de 76,9% op verdiepingen 1–2 en de 3,87% die het afmaakten is geen talent of budget — het is een volgorde, en elke stap ervan is gratis. Je kunt privé en gratis controleren, en zien welke van de 34 controles je doorstaat en hoe je de controles repareert die je niet doorstaat.

Controleer je domein → · De 6 stadia van DMARC-volwassenheid → · De DMARC-pijler → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.