Defaults.Exposed › Oplossingen
Los uw domeinbeveiliging op — gratis, stapsgewijze handleidingen
Handleidingen in begrijpelijke taal voor het oplossen van elk probleem dat we beoordelen — SPF, DKIM, DMARC, DNSSEC, TLS, certificaten en HTTP-beveiligingsheaders. Elke handleiding legt uit wat het is, wat het uw bedrijf kan kosten, en precies hoe u het instelt bij uw provider.
- CAA-records
Een CAA-record is een korte instructie in uw domeininstellingen die benoemt welke certificaatbedrijven het „hangslot”-beveiligingscertificaat voor uw website mogen uitgeven. Met deze instructie aan kan geen enkel ander bedrijf stilletjes een geldig certificaat op uw naam aanmaken. - CDN / WAF & hosting
Twee blikken op het leidingwerk achter uw website: of u achter een beschermend schild zit (een CDN met een Web Application Firewall, zoals Cloudflare) dat aanvallen filtert en verkeerspieken opvangt, en een kaart van wie uw DNS, website en e-mail werkelijk runt. Beide zijn informatief in onze scoring — ze bewegen uw cijfer niet — maar ze beschrijven hoe blootgesteld uw origin-server is aan aanval en storing, en hoe verstrengeld uw providers zijn. Een schild ervoor en een verstandig gesplitste set providers is hoe veerkrachtige bedrijven eruitzien. - Clickjacking-bescherming (X-Frame-Options)
Eén regel instructie die browsers vertelt dat andere websites uw site niet stiekem in hun eigen pagina mogen laden. Zonder deze instructie kan een oplichter uw echte, ingelogde pagina's verbergen achter een nepscherm en uw klanten dingen laten aanklikken die ze nooit bedoeld hebben — een betaling goedkeuren, een wachtwoord wijzigen, toegang verlenen. - Content-Security-Policy (CSP)
Een Content Security Policy is een veiligheidsregel die uw website aan de browser van elke bezoeker overhandigt, met precies welke code mag draaien. Zonder zo'n regel zal de browser, als er ooit iets kwaadaardigs op een pagina belandt — via een reactieveld, een gehackte plug-in, of een extern script — die vrijelijk uitvoeren, inclusief code die stilletjes de kaartnummers en wachtwoorden van uw klanten afroomt terwijl ze typen, met het hangslot nog steeds in beeld. - Cross-origin-isolatieheaders (COOP / CORP / COEP)
Drie optionele browserinstructies die bepalen hoe andere websites met de uwe mogen omgaan — haar openen in pop-ups, haar afbeeldingen en scripts insluiten, of haar bronnen in hun eigen pagina's trekken. Het is moderne verharding, geen basale must-have, en op onze scoring zijn ze informatief: het ontbreken verlaagt uw cijfer niet. Maar de twee veilige sluiten een stil phishing- en bandbreedtediefstalgat, en het IT-team van een zorgvuldige koper merkt het op wanneer ze aanwezig zijn. - DKIM
DKIM is het onzichtbare, fraudebestendige zegel op elke e-mail die uw bedrijf verstuurt. Het laat de ontvangende mailprovider bevestigen dat de e-mail echt van u kwam en ongewijzigd is aangekomen. Zonder DKIM is uw post makkelijker te vervalsen, makkelijker aan te passen en veel waarschijnlijker om in de spam te belanden. - DMARC (bescherming tegen e-mailspoofing)
DMARC is de ene instelling die de mailproviders van de wereld daadwerkelijk opdraagt om e-mails te BLOKKEREN die de naam van uw bedrijf vervalsen. SPF en DKIM controleren de sloten; DMARC bepaalt wat er gebeurt als een vervalsing de controle niet doorstaat — weggooien, markeren of toch doorlaten. Verkeerd ingesteld is uw domein volledig vervalsbaar; goed ingesteld stopt nabootsing bij de inbox. - DNSSEC
DNSSEC is een digitaal zegel op het adresboek van uw domein. Het laat het internet bewijzen dat het antwoord op „waar woont dit domein?” echt van u kwam en onderweg niet is geknoeid. Zonder haar kan het antwoord vervalst worden — en uw bezoekers stilletjes ergens anders heen gestuurd. - Gezondheid van het TLS-certificaat
Uw SSL/TLS-certificaat is het digitale identiteitsbewijs dat aantoont dat een bezoeker echt met uw website praat — en niet met een bedrieger — en het laat het hangslot in de browser branden. Deze controle kijkt of dat certificaat geldig en vertrouwd is, niet bijna verloopt, en is gebouwd met sterke, moderne cryptografie. - HSTS (Strict-Transport-Security)
HSTS is een instructie van één regel die uw website aan elke browser geeft: «kom altijd terug via de beveiligde, versleutelde verbinding — nooit de onveilige». Zonder HSTS kan uw hangslot stilletjes worden weggehaald op gedeelde wifi, en is het allereerste bezoek aan uw site blootgesteld. - HTTPS & geforceerde beveiligde omleiding
HTTPS is het hangslot in de browserbalk — het versleutelt alles wat tussen uw website en uw klanten reist zodat het onderweg niet kan worden gelezen of gemanipuleerd. De geforceerde beveiligde omleiding zorgt ervoor dat bezoekers automatisch op die versleutelde versie belanden, zelfs als ze uw adres typen zonder «https://». Samen zijn ze het meest basale dat een website nodig heeft om überhaupt als veilig te worden beschouwd. - IPv6-ondersteuning
IPv6 is de nieuwere, veel grotere versie van het adressysteem van het internet, ingevoerd omdat het oude (IPv4) geen ruimte meer heeft. IPv6-ondersteuning toevoegen betekent dat uw website en e-mail ook over het moderne netwerk bereikbaar zijn, naast het oude. In onze scoring is dit informatief — het niet hebben verlaagt uw cijfer niet — maar het is een reëel bereikvraagstuk: een groeiend deel van mobiele en buitenlandse klanten verbindt over IPv6-only-netwerken, en die bereiken u soepel alleen als u het ondersteunt. De oplossing is gratis en leeft in uw DNS- en hostingopzet. - MIME-sniffing-bescherming (X-Content-Type-Options)
Eén regel header die browsers belet te raden wat een bestand werkelijk is. Zonder haar kan een bestand dat iemand naar uw site uploadt — of een bestand op uw eigen pagina's — verkeerd worden gelezen door de browser en als code worden uitgevoerd, en precies zo veranderen sommige aanvallen een onschuldig ogende upload in een manier om de sessies van uw klanten te stelen. - Moderne versleuteling (TLS-versie & ciphers)
TLS is het slot dat de gegevens versleutelt die tussen uw bezoekers en uw website stromen. Twee dingen maken dat slot betrouwbaar: een moderne versie van TLS gebruiken (niet de oude, kapotte), en sterke ciphers gebruiken (het eigenlijke versleutelrecept). Deze pagina behandelt beide — plus een paar gerelateerde instellingen die uw beoordeling niet beïnvloeden maar het waard zijn om te kennen. - MX-records (mailconfiguratie)
Een MX-record is de wegwijzer die de rest van de wereld vertelt waar e-mail gericht aan uw domein moet worden afgeleverd. Ontbreekt die of is die kapot, dan bouncet elk bericht naar uw bedrijf — klantvragen, wachtwoordherstel, facturen, contracten — meteen terug naar de afzender. Geen MX, geen inbox. - Nameserveropzet (diversiteit & SOA)
Uw nameservers zijn de gids die het hele internet vertelt waar uw website en e-mail te vinden zijn. Zitten ze allemaal op één netwerk en gaat dat plat, dan verdwijnt uw bedrijf op datzelfde moment van het internet — geen site, geen e-mail, niets — en een slordige klokinstelling op die servers kan wijzigingen die u maakt dagenlang vast laten zitten. - Referrer-Policy
Een Referrer-Policy is één regel instructie die uw website aan de browser van elke bezoeker meegeeft en die bepaalt hoeveel van uw webadres meereist wanneer ze op een link naar een andere site klikken. Zonder haar wordt het volledige adres van de pagina waarop ze waren — zoektermen, accountnummers, herstellinks, interne paginapaden en al — stilletjes doorgegeven aan de volgende site waarop ze belanden, inclusief adverteerders, analyticsbedrijven en overal waar een link naartoe wijst. - Reverse DNS (PTR)
Reverse DNS is het identiteitsbewijs voor de server die de e-mail van uw bedrijf verstuurt. Wanneer een ontvangende provider als Gmail of Microsoft 365 opzoekt wie er achter het verzendadres zit en een naam krijgt die klopt, ziet uw post er legitiem uit. Ontbreekt dat bewijs — of komen de naam en het getal niet overeen — dan worden uw volkomen echte facturen en offertes als verdacht behandeld en stilletjes weggegooid of geweigerd. - SPF (Sender Policy Framework)
SPF is de regel in de instellingen van uw domein die vermeldt welke mailservices namens uw bedrijf e-mail mogen versturen. Zonder SPF kan iedereen ter wereld e-mail versturen die eruitziet alsof die van u komt — en belandt uw eigen echte e-mail vaker in de spammap van klanten.