Defaults.Exposed › Oplossingen › Guides
Een beveiligingsvragenlijst van een klant vraagt naar e-mailauthenticatie — beantwoord hem (en dicht de gaten) in één middag (2026)
Gepubliceerd 2026-07-08
Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen — wij publiceren nooit de resultaten van een individueel domein. Zie hoe wij beoordelen.
Uw klant vraagt dit omdat Europese regels voor toeleveringsketenbeveiliging nu vereisen dat zij hun leveranciers controleren. De vragen hebben een startpunt van twee minuten: een gratis scan beoordeelt precies wat ze onderzoeken. Slechts 7,4% van de domeinen heeft e-mailauthenticatie volledig gealigneerd en gehandhaafd, volgens de Defaults.Exposed-census van 261.086.232 domeinen (per 2026-06-29) — de meeste leveranciers kunnen ook nog geen “ja” antwoorden.
Hier is het plan voor de middag: voer de gratis scan uit, lees het eenpagina’s beoordeelde rapport, beantwoord eerlijk wat al waar is, en herstel dezelfde dag de gratis quick wins. Voor alles wat dieper gaat, is een gedateerd rapport plus een korte hersteltoelichting een acceptabel tussentijds antwoord — en een beter antwoord dan een onderbouwde “ja”.
Waarom vraagt onze grootste klant ineens naar onze e-mailbeveiliging?
Het is niet persoonlijk. Valt uw klant onder NIS2 — de netwerk- en informatiebeveiligingsrichtlijn van de EU — dan verplicht Artikel 21(2)(d) hen om de beveiliging van hun toeleveringsketen te beheren, en Uitvoeringsverordening (EU) 2024/2690 van de Commissie specificeert de maatregelen, met e-mailbeveiliging expliciet genoemd. Dus stuurt inkoop elke leverancier een vragenlijst; u valt zelf misschien niet onder NIS2, maar zo cascadeert de verplichting naar u toe. De deadline en het gevolg — op de goedgekeurde-leverancierslijst blijven staan — bestaan omdat uw klant een toezichthouder moet aantonen dat hij heeft gecontroleerd. (Wij hebben uitgeschreven wat NIS2 daadwerkelijk zegt over e-mailauthenticatie.) Verzekeraars stellen nu dezelfde vragen — is uw verlengingsformulier ook begonnen, dan is dat de verzekeringsversie van deze middag.
Wat betekenen de vragen eigenlijk?
De e-mailbeveiligingssectie van een typische leveranciersvragenlijst bestaat uit vier vragen vermomd als afkortingen. Eén keer vertaald, en dan laten we ze los.
| Wat de vragenlijst vraagt | Wat het in gewone taal betekent | Hoe het scanrapport het beantwoordt |
|---|---|---|
| ”Handhaaft u een DMARC-beleid?” (DMARC — Domain-based Message Authentication, Reporting and Conformance) | Hebt u de mailservers van de wereld verteld e-mail te weigeren die uw domein nabootst? De rij waarop de meeste leveranciers falen: slechts 7,4% van de 261.086.232 beoordeelde domeinen heeft dit gealigneerd en gehandhaafd (census per 2026-06-29). | Vermeldt en beoordeelt uw beleid. “Gehandhaafd” betekent reject of quarantine; “alleen monitoring” blokkeert nog niets — zeg eerlijk welke van de twee. |
| ”Is SPF ingesteld met een restrictief beleid?” (SPF — Sender Policy Framework) | Hebt u de lijst gepubliceerd van servers die e-mail namens uw bedrijf mogen versturen — en eindigt die stevig (“verder niemand”) of met een schouderophalen (“en misschien anderen”)? | Toont of de lijst bestaat, geldig is, en stevig of soepel eindigt. |
| ”Zijn uitgaande e-mails digitaal ondertekend (DKIM)?” (DKIM — DomainKeys Identified Mail) | Draagt uw e-mail een handtekening die manipulatie aantoont en bewijst dat hij van uw domein komt — in uw naam, niet de standaardnaam van uw provider? | Toont of er een handtekening bestaat op naam van uw domein — de provider-standaard-valkuil is het meest voorkomende gat dat de scan vindt. |
| ”Monitort u op domeinspoofing?” | Als iemand nep-e-mail als u zou versturen, zou u het ontdekken — of zou het eerste teken een boos telefoontje zijn? | Toont of het rapportageadres is ingeschakeld, zodat pogingen tot identiteitsfraude u bereiken. |
Elk van deze wordt beantwoord vanuit de openbare instellingen van uw domein — geen audit, geen bureau, geen toegang tot uw systemen. Daarom werkt het middagplan. Deze vier zijn ook slechts de e-mailrijen van een langere lijst: wat cyberverzekerings- en leveranciersvragenlijsten op uw domein controleren tabelleert elke controle die ze onderzoeken, met het internetbrede slagingspercentage voor elk. Deze pagina blijft bij uw middag — wat u moet beantwoorden, en wat u eerst moet repareren.
Hoe beantwoorden we dit voor de deadline? Het middagplan
- Voer de gratis scan uit op defaults.exposed — twee minuten, voordat iemand iets aanraakt. Deze leest de openbare instellingen van uw domein en beoordeelt precies de vier bovenstaande gebieden. Geen aanmelding, geen toegang tot uw e-mail.
- Lees het beoordeelde rapport. Eén pagina, gewone taal, gedateerd — elk cijfer komt overeen met een vraag uit de vragenlijst, zodat u uw echte antwoorden kent in plaats van te raden.
- Beantwoord wat al waar is. Toont het rapport een pass, zeg dan ja en waarom (“geverifieerd door onafhankelijke scan,” met datum).
- Herstel dezelfde dag de gratis quick wins. De veelvoorkomende gaten zijn instellingen, geen aankopen: een afzenderlijst die soepel eindigt (de SPF-fix), een spoofingregel die ontbreekt of vastzit in monitoringmodus (de DMARC-fix), een handtekening op de standaardnaam van de provider. Allemaal gratis, meestal één DNS-record elk — stuur de fixpagina door naar wie uw domein beheert, en verschillende “nee”-antwoorden worden “ja” voordat het formulier terug gaat.
- Stuur voor alles wat dieper gaat het gedateerde rapport met een hersteltoelichting. Overgaan naar een volledig gehandhaafd beleid kost terecht weken van monitoring vooraf — beweer nooit dat het klaar is als dat niet zo is. “Onafhankelijke scan bijgevoegd; uitrol handhaving loopt, streefdatum september” is een acceptabel tussentijds antwoord voor elk bekwaam inkoopteam. Een vals “ja” is dat niet: inkoopteams controleren opnieuw, vaak met precies dit soort scan.
Kan deze vragenlijst eigenlijk in ons voordeel werken?
Ja — vanwege wat iedereen anders terugstuurt. De meeste leveranciers antwoorden met een kaal “ja” zonder onderbouwing, terwijl slechts 7,4% van de 261.086.232 beoordeelde domeinen daadwerkelijk de gealigneerde-en-gehandhaafde houding heeft die wordt onderzocht (census per 2026-06-29). Een gedateerd, onafhankelijk beoordeeld rapport — zelfs één dat een gat en een hersteldatum toont — verslaat een onderbouwd “ja”, omdat het ene verifieerbaar is en het andere hoop. U wordt niet gevraagd om perfect te zijn; u wordt gevraagd om controleerbaar te zijn. Weinig van uw concurrenten op die lijst zullen dat zijn.
En als wat u eigenlijk dwarszit dat verhaal over factuurfraude is van dat netwerkevenement, dan zijn het dezelfde instellingen, dezelfde controle van twee minuten.
Veelgestelde vragen
Wat als ik niet alles kan repareren voor de deadline? Stuur wat waar is: het gedateerde rapport, wat u deze week hebt gerepareerd, en een gedateerd plan voor de rest. NIS2-toeleveringsketenbeoordelaars beoordelen of leveranciers risico beheren, niet of ze foutloos zijn — een beoordeeld rapport met een hersteltoelichting is risicobeheer, op papier. Wat beoordelingen doet mislukken, is stilte, of een claim die een hercontrole niet overleeft.
Kan mijn IT-contractor dit afhandelen? De gratis instellingen, ja — de afzenderlijst, uw eigen handtekening, de spoofingregel zijn routine-DNS-werk, en de bovenstaande fixpagina’s zijn geschreven voor die overdracht. Wat contractors redelijkerwijs buiten hun verantwoordelijkheid noemen, is de beoordelingslaag: welk beleid te handhaven, wanneer het veilig is om aan te scherpen, wat ondertussen tegen de klant te zeggen. Het beoordeelde rapport maakt van die keuzes een document, zodat geen van beide partijen improviseert.
Zullen ze ons echt als leverancier laten vallen? Voor een leeg antwoord of een betrapte valse claim — uiteindelijk, ja; de klant moet een toezichthouder verantwoording afleggen. Voor een eerlijk gat met een hersteldatum — heel onwaarschijnlijk: over alle 261.086.232 beoordeelde domeinen handhaaft slechts 10,59% het spoofingbeleid waar deze vragenlijsten naar vragen (census per 2026-06-29). Eerlijk-met-een-plan houdt u op de lijst.
We vallen niet onder NIS2 — kunnen we de vragenlijst negeren? De verplichting is die van uw klant, en zij voldoen eraan door controleerbare leveranciers te kiezen. De ruimte om op te vallen is enorm: slechts 7,4% van alle 261.086.232 beoordeelde domeinen heeft e-mailauthenticatie gealigneerd en gehandhaafd (census per 2026-06-29). Eén middag zet u voor op bijna elke andere naam op die leverancierslijst.
Stuur het rapport door naar uw IT-contact
Typ niets hiervan opnieuw over. Voer de gratis scan uit, en stuur dan twee dingen door naar wie uw domein beheert: het beoordeelde rapport en dit artikel. Het rapport zegt precies welke instellingen te wijzigen; de fixpagina’s geven de stappen. Komt het gecorrigeerde rapport terug, dan schrijven de antwoorden op de vragenlijst zichzelf — cijfer voor cijfer. Bewaar het dan: de volgende klant zal hetzelfde vragen, uw verzekeringsverlenging doet dat al, en een gedateerd rapport dat u in vijf minuten kunt bijvoegen, is het verschil tussen een middag en een brandoefening.
Controleer uw domein → · Wat vragenlijsten op uw domein controleren → · Dat verhaal over factuurfraude dat u hoorde → · Uitsluitend geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.