Defaults.Exposed › Methodologie
Methodologie — hoe we beoordelen
Elk domein wordt beoordeeld op 34 controles (25 die meetellen voor de beoordeling + 9 informatief) in vijf categorieën: e-mailbeveiliging, TLS & certificaten, webbeveiliging, DNS-beveiliging en infrastructuur. Zo werkt het precies — geen black box.
Hoe de beoordeling werkt
Elke controle geeft geslaagd, gezakt of N.v.t. terug. De score van een domein is het aandeel punten dat het behaalt over de controles die op het domein van toepassing zijn, omgezet naar een lettercijfer:
| Beoordeling | Score |
|---|---|
| A+ | 95% + |
| A | 90% + |
| B | 80% + |
| C | 70% + |
| D | 60% + |
| F | onder 60% |
Beoordelingen zijn ook relatief — een percentiel toont waar een domein staat ten opzichte van de populatie van zijn TLD, niet alleen ten opzichte van een vaste checklist.
De geen-gegevens-regel (N.v.t. telt nooit als gezakt)
Als een controle echt niet kan worden geëvalueerd (een time-out, een afgeschermd record), wordt deze gemarkeerd als N.v.t. en uitgesloten van de score — het telt nooit tegen je. Dat is iets anders dan een echte fout (geen DMARC, geen HTTPS), wat een werkelijke zakkende score is. Een domein zonder SPF/DMARC scoort terecht slecht: het kan worden vervalst.
Principes
- Onafhankelijk & extern. We meten wat iedereen op het internet kan waarnemen — geen toegang tot je systemen vereist.
- Alleen geaggregeerd in het openbaar. We publiceren patronen (per TLD, land, branche). De beoordeling van een individueel domein wordt alleen aan de geverifieerde eigenaar getoond — nooit publiekelijk.
- Transparant. De volledige controlelijst staat hieronder; de oplossingen zijn gratis.
- Verwerkt in de EU. Gegevens worden verwerkt in de EU.
De 34 controles
Elke controle, wat het betekent voor je bedrijf, en of het meetelt voor je beoordeling. Volg een link voor de volledige handleiding "wat het je kost + hoe je het oplost".
E-mailbeveiliging
Of je domein in e-mail kan worden nagebootst, en of je eigen post wel de inbox bereikt.
| Controle | Wat het betekent voor je bedrijf | Telt mee? |
|---|---|---|
| SPF-record | Voorkomt dat criminelen e-mail sturen die lijkt van jou afkomstig te zijn, en helpt je post de inbox te bereiken. | Beoordeeld |
| Sterkte van SPF-beleid | Een zwakke SPF waarschuwt alleen; een strikte blokkeert vervalsingen daadwerkelijk. | Beoordeeld |
| DMARC-beleid | De instructie die mailproviders vertelt nagebootste e-mail te weigeren — de kern van de anti-spoofingbescherming. | Beoordeeld |
| DMARC-rapportage | Rapporteert wie er post als jou verstuurt, zodat je misbruik en verkeerde configuratie opmerkt. | Beoordeeld |
| DKIM | Een cryptografische handtekening die bewijst dat post echt van jou is; verbetert de afleverbaarheid. | Beoordeeld |
| MX-records | Of je domein correct is ingesteld om überhaupt e-mail te ontvangen. | Beoordeeld |
| Reverse DNS (PTR) | Helpt je mailserver er legitiem uit te zien zodat berichten niet als spam worden gemarkeerd. | Beoordeeld |
TLS & certificaten
Het hangslot — of verkeer naar je site versleuteld is met een geldig, modern certificaat.
| Controle | Wat het betekent voor je bedrijf | Telt mee? |
|---|---|---|
| HTTPS beschikbaar | Zonder waarschuwen browsers bezoekers met "Niet veilig" en haken ze af. | Beoordeeld |
| Certificaat geldig | Een vertrouwd, correct uitgegeven certificaat; een ongeldig exemplaar geeft beangstigende browserwaarschuwingen. | Beoordeeld |
| Certificaatvervaldatum | Een certificaat dat bijna verloopt haalt je site offline met een paginabrede waarschuwing. | Beoordeeld |
| Handtekeningalgoritme | Gebruikt een modern, ongebroken ondertekeningsalgoritme (niet het verouderde SHA-1). | Beoordeeld |
| Sleutelsterkte | Voldoende sleutellengte zodat de versleuteling niet kan worden gekraakt. | Beoordeeld |
| TLS-versie | Modern TLS (1.2/1.3); oude versies zijn gebroken en zakken voor beveiligingscontroles. | Beoordeeld |
| Ciphersterkte | Sterke versleuteling die gegevens onderweg beschermt. | Beoordeeld |
| TLS-compressie | Compressie uitgeschakeld om een bekende klasse aanvallen te vermijden. | Informatief |
| OCSP-stapling | Snellere, meer privacyvriendelijke controles op certificaatintrekking. | Informatief |
| Veilige heronderhandeling | Beschermt tegen een TLS-heronderhandelingsaanval. | Informatief |
Webbeveiliging
De HTTP-headers die de browsers van je bezoekers beschermen tegen veelvoorkomende aanvallen.
| Controle | Wat het betekent voor je bedrijf | Telt mee? |
|---|---|---|
| HSTS | Forceert elk bezoek het veilige hangslot zodat klanten niet kunnen worden teruggebracht naar een onveilige verbinding. | Beoordeeld |
| HTTP→HTTPS-omleiding | Stuurt bezoekers die op http binnenkomen direct door naar de veilige versie. | Beoordeeld |
| Content-Security-Policy | Verkleint de kans dat een gehackt of geïnjecteerd script klantgegevens van je site steelt. | Beoordeeld |
| Clickjacking-bescherming | Voorkomt dat aanvallers je site inbedden om je klanten te misleiden tot het klikken op dingen. | Beoordeeld |
| MIME-sniffing-bescherming | Voorkomt dat browsers bestanden verkeerd interpreteren op manieren die aanvallers kunnen misbruiken. | Beoordeeld |
| Referrer-Policy | Bepaalt welke adresinformatie naar andere sites lekt wanneer bezoekers wegklikken. | Beoordeeld |
| Cross-origin headers (COOP/CORP/COEP) | Geavanceerde isolatie die je weerbaar maakt tegen cross-site datalekken. | Informatief |
DNS-beveiliging
Of de fundamenten van je domein kunnen worden gekaapt of offline gehaald.
| Controle | Wat het betekent voor je bedrijf | Telt mee? |
|---|---|---|
| CAA-records | Voorkomt dat iemand anders dan je gekozen provider SSL-certificaten voor je domein uitgeeft. | Beoordeeld |
| DNSSEC (DS) | Voorkomt dat aanvallers je domein kapen om bezoekers naar een valse kopie van je site te sturen. | Beoordeeld |
| DNSSEC (DNSKEY) | De ondertekeningssleutel die DNSSEC-bescherming daadwerkelijk laat werken. | Beoordeeld |
| Nameserverdiversiteit | Meerdere onafhankelijke nameservers zodat één storing je niet offline haalt. | Beoordeeld |
| SOA-configuratie | Een correct geconfigureerd DNS "start of authority"-record. | Beoordeeld |
| IPv6-ondersteuning | Bereikbaar via het moderne internetprotocol. | Informatief |
Infrastructuur
Context over waar en hoe je site wordt gehost (informatief — deze veranderen je beoordeling nooit).
| Controle | Wat het betekent voor je bedrijf | Telt mee? |
|---|---|---|
| CDN-/WAF-detectie | Of een content delivery network / web application firewall je site beschermt. | Informatief |
| Hostingprovider | Identificeert waar je site wordt gehost. | Informatief |
Wil je zien waar je eigen domein staat op alle 34? Voer de gratis controle uit → (privé; we tonen de beoordeling van een domein alleen aan de geverifieerde eigenaar).