Defaults.Exposed › Articles
De staat van domeinbeveiliging 2026
Published 2026-06-27
Cijfers per 2026-06-27 · methodologie v7. Dit is een terugkerend rapport; elke editie meet dezelfde populatie opnieuw, zodat de cijfers in de tijd te volgen zijn. Alle cijfers zijn geaggregeerd — we publiceren nooit het cijfer van een individueel bedrijf.
.comis volledig beoordeeld (129M domeinen) en is meegeteld in de totalen hieronder.
De kern: het grootste deel van het internet zakt voor basale domeinbeveiliging
We hebben 261.752.302 actieve domeinen gemeten op 34 beveiligingscontroles — e-mailauthenticatie (SPF, DKIM, DMARC), TLS en certificaten, webbeveiligingsheaders, en DNS (inclusief DNSSEC). De uitkomst is hard:
- 86,3% scoort een F — het laagste cijfer.
- Minder dan 0,02% behaalt een A of A+ — ruwweg 1 op de 4.700 domeinen.
- Slechts ongeveer 1 op de 27 haalt een C of hoger.
Dit gaat niet over een handvol verwaarloosde sites. Het is de standaardtoestand van het internet: de bescherming die voorkomt dat uw e-mail wordt vervalst en uw bezoekers worden misleid, staat voor de overgrote meerderheid van domeinen simpelweg uit.
Verdeling van cijfers (262M domeinen)
| Cijfer | Domeinen | Aandeel |
|---|---|---|
| A+ | 6.708 | 0,0% |
| A | 49.443 | 0,0% |
| B | 1.142.198 | 0,4% |
| C | 8.566.735 | 3,3% |
| D | 26.225.422 | 10,0% |
| F | 225.761.796 | 86,3% |
Het verschilt sterk per land en TLD
Domeinbeveiliging loopt sterk uiteen per land en per domeinextensie. Gevestigde nationale registries — vooral in Europa — beschermen hun bedrijven doorgaans het best, terwijl goedkope, grootschalige generieke extensies die populair zijn voor bulkregistratie het slechtst presteren. Maar “het best” is relatief: zelfs bij de sterkste extensies blijft het merendeel van de domeinen op een F steken.
Deze ranglijsten verschuiven naarmate de census groeit, dus we houden ze live in plaats van ze hier vast te zetten:
Wat dit betekent voor uw bedrijf
Een onvoldoende is geen abstract cijfer. In gewone taal betekent het meestal dat een of meer van deze zaken voor uw domein gelden:
- Uw e-mail kan worden vervalst. Zonder afgedwongen SPF en DMARC kan een crimineel e-mail versturen die er precies uitziet alsof die van u komt — naar uw klanten, medewerkers en leveranciers — en die belandt gewoon in de inbox. Zo werken nepfactuur- en CEO-fraudezwendel.
- Uw échte e-mail belandt vaker in de spam. Google en Yahoo wantrouwen niet-geauthenticeerde domeinen steeds meer, waardoor uw legitieme offertes en facturen ongemerkt in de spammap verdwijnen.
- U zakt voor de beveiligingscontrole van anderen. Grotere klanten doen vaak even een scan voordat ze tekenen. “Domein niet beschermd — kan worden vervalst” is genoeg om de deal te verliezen.
- Uw site kan bezoekers afschrikken. Een ontbrekend of kapot certificaat toont kopers een rode “Niet veilig”-pagina.
Het bemoedigende: de meeste van deze problemen zijn gratis en snel te verhelpen — meestal een paar regels in de instellingen van uw domein. De drempel is bijna nooit geld; het is dat niemand de eigenaar heeft verteld dat het ertoe doet.
Hoe we het hebben gemeten
- 34 controles, van buitenaf waarneembaar — geen toegang tot iemands systemen nodig. (Volledige methodologie.)
- Geslaagd / niet geslaagd / N.v.t. Waar een controle echt niet kan worden vastgesteld, markeren we die als N.v.t. en sluiten we hem uit — het telt nooit als een zakker.
- Een echte fout is een echte fout. Een domein zonder SPF/DMARC scoort slecht omdat het daadwerkelijk te vervalsen is — niet door de manier waarop we hebben geteld.
- Uitsluitend geaggregeerd. Dit zijn patronen op populatieniveau; het cijfer van een individueel domein is alleen zichtbaar voor de geverifieerde eigenaar.
- De data wordt opgeslagen en verwerkt binnen de EU.
(Een toekomstige editie voegt het aandeel domeinen toe dat helemaal geen bescherming tegen e-mailvervalsing publiceert, zodra die berekening per controle over de volledige populatie is afgerond.)
Kijk waar uw eigen domein staat
Dit zijn gemiddelden. Uw domein hoort misschien bij de 0,02% die een A behaalt — of bij de 86,3% die dat niet doet. U kunt het privé en gratis controleren, en precies zien welke van de 34 controles u doorstaat en hoe u de overige oplost.