Defaults.Exposed

Defaults.ExposedOplossingenGuides

Iemand verstuurt e-mails vanaf uw domein: de noodgids (2026)

Gepubliceerd 2026-07-08

Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen. Zie hoe wij beoordelen.

Controleer eerst of de nep-e-mails uw exacte domein gebruiken of een lookalike, want de oplossingen zijn compleet verschillend. Exact-domeinspoofing kan in DNS worden uitgeschakeld — en de meeste domeinen hebben dat niet gedaan: 89,41% heeft geen gehandhaafd DMARC-beleid, en 46,4% publiceert helemaal geen SPF, volgens de Defaults.Exposed-census van 261.086.232 beoordeelde domeinen.

Dit is een incidentchecklist: eerste uur — bevestig wat er gebeurt zonder het erger te maken; eerste dag — sluit de open deur, of start de verwijdering als de deur niet de uwe is; eerste week — monitor, waarschuw de mensen die erdoor geraakt kunnen worden, handhaaf. Vraagt u zich alleen af of dit zou kunnen gebeuren? Begin dan bij kan iemand mijn domein spoofen? — deze pagina is voor wanneer het al gebeurt.

Eerst: is het echt uw domein, of een namaak?

Pak een van de nep-e-mails en lees het afzenderadres teken voor teken. Alles wat volgt hangt hiervan af:

Wat het From-adres toontWat er gebeurtUw pad
[email protected] — uw domein, precies goed gespeldSpoofing: de server van een vreemde vervalst uw domein in de From-regel. Uw systemen zijn NIET gehackt.DNS-oplossing — SPF, DKIM, gehandhaafde DMARC. Pad 1.
[email protected], yourcompany-billing.com, yourcompany.co — lijkt erop, maar is niet van uEen lookalike-domein dat iemand anders registreerde. Uw DNS wordt nooit geraadpleegd.Verwijdering + waarschuwingen. Pad 2.
Uw exacte adres, en de berichten staan in uw eigen map Verzonden items of beantwoorden echte threadsAccountcompromittering — iemand zit in een echt postvak. Een ander incident.Verander het wachtwoord, trek sessies in, schakel 2FA in, controleer doorstuurregels — vóór al het andere.

Gegevens per 2026-06-29.

De vetgedrukte rij is de meest voorkomende en de best op te lossen. Het kernprotocol van e-mail heeft de From-regel nooit geverifieerd — iedereen kan uw domein erin typen — dus de oplossing is het publiceren van DNS-records waarmee ontvangers zelf kunnen controleren. De ongemakkelijke censuscijfers: 121.145.609 van de 261.086.232 beoordeelde domeinen (46,4%) publiceert helemaal geen SPF-record, en 36.014 van de 138.927.207 domeinen die wél SPF publiceren, eindigen op +all — wat letterlijk het hele internet autoriseert om als hen te versturen (gegevens per 2026-06-29).

Het eerste uur: bevestig, reageer niet overhaast

  1. Voer de gratis scan uit op defaults.exposed. Dertig seconden, geen aanmelding. Het vertelt u of uw domein momenteel spoofbaar is — SPF aanwezig en strikt of niet, DMARC gehandhaafd of niet — voordat u aan DNS komt.
  2. Reageer niet op het nepbericht, klik nergens op, en stuur nog geen massamail naar uw contacten. Een paniekerige “negeer e-mails van ons!”-uitzending vanaf hetzelfde domein leest precies als de oplichting. Waarschuwingen komen later, gericht en buiten e-mail om.
  3. Verzamel één volledig voorbeeld met complete headers. Vraag een ontvanger het nepbericht als bijlage door te sturen (Gmail: “Origineel weergeven” → downloaden; Outlook: “Berichtbron weergeven”). Een screenshot van de From-regel is niet genoeg — de headers zijn het bewijs voor alles wat volgt.
  4. Lees het oordeel dat de ontvangende server al velde. Zoek in de headers naar Authentication-Results:dmarc=fail tegen uw exacte domein bevestigt spoofing van uw domein; een lookalike in header.from= bevestigt pad 2. Eén nuance: ontvangers evalueren SPF tegen het Return-Path-domein (de RFC5321.MailFrom, het bounce-adres), niet de From-header die uw ontvanger ziet — een gespoofte mail kan zelfs spf=pass tonen voor het domein van de spammer, terwijl het uw domein vervalst in de From-regel. DMARC’s alignmentcontrole sluit precies dat gat.

Pad 1 — het is uw exacte domein: de eerste dag

Spoofing van uw exacte domein werkt alleen zolang uw DNS niets zegt waarmee ontvangers het kunnen weigeren. Vandaag publiceert (of verstrakt) u de drie records; handhaving volgt in de loop van de week.

  1. SPF: publiceer één record met uw echte afzenders, eindigend op -all (“iedereen anders: fail”). Eindigt het uwe op +all of ?all, herstel dat dan eerst — het is een open deur die u zelf hebt gepubliceerd. Stapsgewijs: hoe u SPF repareert, providerklikpad bij SPF op GoDaddy.
  2. DKIM: schakel domeinondertekening in bij uw e-mailprovider en elke nieuwsbrief-/facturatietool (meestal een paar CNAME-records per stuk).
  3. DMARC: publiceer v=DMARC1; p=none; rua=mailto:... vandaag zodat rapporten beginnen te stromen; p=reject is het project van deze week, niet van dit uur — volledige referentie bij hoe u DMARC repareert. Verstuurt het domein helemaal geen legitieme e-mail — een oud merk, een geparkeerd domein — sla dan de voorzichtigheid over en sluit het vandaag af: dat oude domein van uw rebranding is een deur die u hebt laten openstaan.

De eerlijke kanttekening, voordat u ontspant: een gehandhaafd DMARC-beleid vertelt ontvangende servers exact-domeinvervalsingen te weren of te weigeren — en de grote providers respecteren dat. Maar het bindt alleen ontvangers die het controleren, en het doet helemaal niets tegen lookalike-domeinen: zodra de oplichters niet meer als yourcompany.com kunnen versturen, kost het registreren van yourcompany-billing.com een paar euro. DMARC verkleint de aanval; het beëindigt het verhaal niet — de stappen van de eerste week zijn ook voor u belangrijk.

Pad 2 — het is een lookalike: dit is geen DNS-oplossing

Geen enkel record dat u op uw domein publiceert, beïnvloedt mail van een domein dat u niet bezit — er wordt niets in uw DNS zelfs maar bekeken. Het draaiboek is verwijdering plus waarschuwingen:

  1. Zoek uit wie achter de lookalike zit. Zoek het op in RDAP/WHOIS (bijv. lookup.icann.org) om de registrar te vinden, en controleer of het een website host.
  2. Meld het bij het misbruikcontact van de registrar met uw volledige-headervoorbeeld bijgevoegd — registrars schorsen dagelijks phishingdomeinen; duidelijk bewijs maakt het snel. Is het een phishingsite? Meld die ook bij de host, Google Safe Browsing en Microsoft SmartScreen.
  3. Meld de e-mails als phishing in de ontvangende postvakken (Gmail/Outlook “Phishing melden”) — dit traint de grote filters sneller tegen de lookalike dan welke brief dan ook.
  4. Waarschuw de waarschijnlijke doelwitten buiten e-mail om — de stap die daadwerkelijk voorkomt dat er geld verdwijnt. Bel of app (niet alleen e-mail) klanten, leveranciers en uw boekhouder: noem het nepdomein, en zorg dat elke wijziging van bankgegevens “van u” telefonisch te verifiëren is. Die gewoonte is de beste verdediging tegen het verhaal over factuurfraude dat u hebt gehoord.
  5. Misbruikt de lookalike uw merk, dan kan een UDRP-klacht het domein overdragen — trager dan een verwijdering, maar permanent.

En doorloop pad 1 toch: aanvallers moeite doen zelden met een lookalike terwijl het echte domein nog open staat, en 89,41% van de domeinen heeft geen gehandhaafde DMARC (slechts 27.640.987 van 261.086.232 — 10,59% — wel, per 2026-06-29). Sluit uw eigen deur sowieso.

De eerste week: monitor, waarschuw, handhaaf

  1. Lees uw DMARC-rapporten. Binnen een dag of twee nadat de rua=-tag live is gegaan, tonen geaggregeerde rapporten elke server die als uw domein verstuurt — uw echte servers en de spoofer, met volumes en oordelen. Zo kijkt u de aanval uitdoven.
  2. Bevestig dat uw legitieme afzenders slagen. Elke echte bron (e-mailprovider, nieuwsbrieftool, facturatie-app, contactformulier van de website) moet SPF of DKIM gealigneerd met uw domein doorstaan voordat u handhaaft — anders blokkeert reject ook uw eigen mail.
  3. Schroef DMARC op naar p=quarantine, en dan p=reject. Onder actieve spoofing perst u de gebruikelijke maanden samen tot een week of twee — maar u perst de fasen samen, u slaat ze niet over. De gefaseerde uitrol, pct-opbouw en subdomeinbeleid: van p=none naar p=reject zonder legitieme e-mail te verliezen.
  4. Stuur één kalm, gericht bericht naar tegenpartijen die mogelijk nepberichten hebben ontvangen: wat er gebeurde, wat het nepbericht vroeg, de verifieer-per-telefoon-regel voor betalingswijzigingen, en (pad 2) het exacte lookalike-domein om te blokkeren.
  5. Scan opnieuw en bewaar het rapport. Verzekeraars en klanten vragen steeds vaker wat u aan e-mailbeveiliging hebt gedaan; een gedateerd, beoordeeld rapport geeft schriftelijk antwoord.

Veelgestelde vragen

Ik kreeg een scam-e-mail van mijn eigen adres. Ben ik gehackt? Bijna altijd niet — “van u, aan u”-afpersingsmail is dezelfde vervalsingstruc, die misbruikt dat uw domein nep niet weigert. Controleer uw map Verzonden items en recente logins; is die schoon, dan is het spoofing, en een gehandhaafd DMARC-beleid stopt die variant bij ontvangers die het respecteren. Per 2026-06-29 heeft 89,41% van de 261.086.232 beoordeelde domeinen dit niet gedaan.

Stopt DMARC de lookalike-domein-e-mails? Nee. Uw DMARC-beleid regelt alleen uw exacte domein (en de subdomeinen ervan) — een lookalike is andermans domein met zijn eigen DNS, dat nooit tegen uw records wordt gecontroleerd. Lookalikes worden bestreden met misbruikmeldingen bij registrars, phishingmeldingen en waarschuwingen aan tegenpartijen, niet met DNS.

Hoe snel stopt p=reject de spoofing echt? DNS-wijzigingen bereiken ontvangers binnen uren, en Gmail, Outlook en de meeste grote providers handhaven DMARC-oordelen — exact-domeinvervalsingen beginnen af te sterven op de dag dat het beleid ingaat. Twee eerlijke beperkingen: kleinere ontvangers die DMARC nooit controleren, kunnen nep nog steeds afleveren, en handhaven voordat uw eigen afzenders aligneren blokkeert uw legitieme mail — versnel de fasen, sla ze niet over.

Stuur de eigenaar het rapport

Bent u de IT-contractor die dit afhandelt: zodra de records live zijn, voert u de scan opnieuw uit en stuurt u het beoordeelde rapport door naar de bedrijfseigenaar. Het laat in gewone taal zien wat de spoofing mogelijk maakte, wat u hebt veranderd en waar het domein nu staat — het schriftelijke antwoord op “zijn we nu veilig?”, en het bewijs voor de verzekeringsverlenging of klantvragenlijst. Bent u de eigenaar: vraag precies om dat rapport, en bewaar de voor- en na-versie.

Controleer gratis of uw domein spoofbaar is

Zie of de server van een vreemde momenteel voor u kan doorgaan — en precies wat u moet repareren — privé en alleen voor de eigenaar.

Controleer uw domein → · Van p=none naar p=reject → · Repareer DMARC → · Kan iemand mijn domein spoofen? → · Uitsluitend geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.