Defaults.Exposed

Defaults.ExposedÅtgärderGuides

En kunds säkerhetsenkät frågar om e-postautentisering — svara (och åtgärda luckorna) på en eftermiddag (2026)

Publicerad 2026-07-08

Siffror från 2026-06-29 · metodik v7. Aggregerade censusdata över 261 miljoner graderade domäner — vi publicerar aldrig en enskild domäns resultat. Se hur vi graderar.

Din kund frågar för att europeiska leveranskedjans säkerhetsregler nu kräver att de kontrollerar sina leverantörer. Frågorna har en tvåminuters startpunkt: en kostnadsfri sökning graderar exakt vad de söker. Bara 7.4% av domänerna har e-postautentisering fullt anpassad och tillämpad, enligt Defaults.Exposed-censuset med 261,086,232 domäner (per 2026-06-29) — de flesta leverantörer kan inte svara “ja” än heller.

Här är planen för eftermiddagen: kör den kostnadsfria sökningen, läs den ensidiga graderade rapporten, svara ärligt på vad som redan är sant och åtgärda de gratis snabbvinsterna samma dag. För allt djupare är en daterad rapport plus en kort åtgärdsnotering ett acceptabelt interimssvar — och ett bättre än ett ostödiat “ja”.

Varför frågar vår största kund plötsligt om vår e-postsäkerhet?

Det är inte personligt. Om din kund är i räckvidden för NIS2 — EU:s direktiv om nätverks- och informationssäkerhet — förpliktar artikel 21(2)(d) dem att hantera säkerheten i sin leveranskedja, och kommissionens genomförandeförordning (EU) 2024/2690 specificerar åtgärderna och namnger e-postsäkerhet specifikt. Så upphandling skickar alla leverantörer ett frågeformulär; du kanske inte själv omfattas av NIS2, men det är så skyldigheten kaskaderar ner till dig. Deadline och konsekvensen — att stanna på den godkända leverantörslistan — finns för att din kund måste visa en tillsynsmyndighet att de utförde kontrollen. (Vi har sammanfattat vad NIS2 faktiskt säger om e-postautentisering.) Försäkringsgivare ställer nu samma frågor — om ditt förnyelsesformulär också börjat, är det försäkringsversionen av den här eftermiddagen.

Vad betyder frågorna egentligen?

E-postsäkerhetsavsnittet i ett typiskt leverantörsfrågeformulär är fyra frågor som bär akronymer. Översatta en gång, sedan lägger vi dem åt sidan.

Vad enkäten frågarVad det betyder på klarspråkHur sökripporten besvarar det
”Tillämpar du en DMARC-policy?” (DMARC — Domain-based Message Authentication, Reporting and Conformance)Har du berättat för världens e-postservrar att vägra e-post som förfalskar din domän? Raden de flesta leverantörer misslyckas med: bara 7.4% av 261,086,232 graderade domäner har detta anpassat och tillämpat (censuset per 2026-06-29).Anger och graderar din policy. “Tillämpad” innebär reject eller quarantine; “övervakningsläge” blockerar ingenting ännu — säg vilket, ärligt.
”Är SPF konfigurerat med en restriktiv policy?” (SPF — Sender Policy Framework)Har du publicerat listan över servrar som får skicka e-post som ditt företag — och slutar den fast (“ingen annan”) eller med en axelryckning (“och kanske andra”)?Visar om listan finns, är giltig och slutar fast eller mjukt.
”Är utgående e-post digitalt signerad (DKIM)?” (DKIM — DomainKeys Identified Mail)Bär din e-post en manipulationssäker signatur som bevisar att den kom från din domän — i ditt namn, inte din leverantörs standard?Visar om en signatur finns i din domäns namn — leverantörs-standard-fällan är det vanligaste gapet sökningen hittar.
”Övervakar du domänförfalskning?”Om någon skickade falsk e-post som du, skulle du få veta — eller skulle det första tecknet vara ett argt telefonsamtal?Visar om rapporteringsadressen är påslagen, så att imitationsförsök når dig.

Vart och ett av dessa besvaras från din domäns offentliga inställningar — ingen revision, ingen byrå, ingen åtkomst till dina system. Det är varför eftermiddagsplanen fungerar. Dessa fyra är också bara e-post-raderna i en längre lista: vad cyberförsäkring och leverantörsfrågeformulär kontrollerar på din domän tabellerar varje kontroll de söker, med internetomfattande godkännandegraden för varje. Den här sidan håller sig till din eftermiddag — vad du ska svara och vad du ska åtgärda först.

Hur svarar vi på det innan deadline? En-eftermiddags-planen

  1. Kör den kostnadsfria sökningen på defaults.exposed — två minuter, innan någon rör något. Den läser din domäns offentliga inställningar och graderar exakt de fyra områdena ovan. Ingen registrering, ingen åtkomst till din e-post.
  2. Läs den graderade rapporten. En sida, klarspråk, daterad — varje betyg mappas mot en enkätfråga, så du vet dina verkliga svar istället för att gissa.
  3. Svara på det som redan är sant. Där rapporten visar godkänt, säg ja och säg varför (“verifierat av oberoende sökning,” med datum).
  4. Åtgärda de gratis snabbvinsterna samma dag. De vanliga luckorna är inställningar, inte inköp: en avsändarlista som slutar mjukt (SPF-fixen), en förfalskningsregel som saknas eller sitter fast i övervakningsläge (DMARC-fixen), en signatur i leverantörens standard-namn. Alla gratis, mestadels ett DNS-register var — vidarebefordra åtgärdssidan till den som hanterar din domän, och flera “nej”-svar blir “ja” innan formuläret skickas tillbaka.
  5. För allt djupare, skicka den daterade rapporten med en åtgärdsnotering. Att flytta till en fullt tillämpad policy kräver ordentligt veckor av övervakning först — påstå aldrig att det är klart när det inte är det. “Oberoende sökning bifogad; tillämpningsutrullning pågår, målsatt september” är ett acceptabelt interimssvar på alla kompetenta upphandlingsteam. Ett falskt “ja” är det inte: upphandlingsteam kontrollerar om igen, ofta med exakt den här typen av sökning.

Kan det här frågeformuläret faktiskt gynna oss?

Ja — på grund av vad alla andra skickar tillbaka. De flesta leverantörer svarar med ett bart “ja” och ingenting bakom det, medan bara 7.4% av 261,086,232 graderade domäner faktiskt har den anpassade-och-tillämpade hållning som söks (censuset per 2026-06-29). En daterad, oberoende graderad rapport — även en som visar ett gap och ett åtgärdsdatum — slår ett ostödiat “ja”, för en är verifierbar och den andra är hopp. Du ombeds inte vara perfekt; du ombeds vara kontrollerbar. Få av dina konkurrenter på den listan kommer att vara det.

Och om det som verkligen gnager dig är den fakturabedrägerihistorien från nätverksevenemanget — samma inställningar, samma tvåminuterskontroll.

Vanliga frågor

Vad gäller om jag inte kan åtgärda allt innan deadline? Skicka det som är sant: den daterade rapporten, vad du åtgärdade den här veckan och en daterad plan för resten. NIS2 leveranskedjegranskare bedömer om leverantörer hanterar risk, inte om de är felfria — en graderad rapport med en åtgärdsnotering är riskhantering, skriftligt. Vad som misslyckas med granskningar är tystnad, eller ett påstående som inte överlever en omkontroll.

Kan min IT-konsult hantera detta? De gratis inställningarna, ja — avsändarlistan, din egna signatur och förfalskningsregeln är rutin-DNS-arbete, och åtgärdssidorna ovan är skrivna för den överlämningen. Vad konsulter rimligen kallar bortom sin kompetens är bedömningslagret: vilken policy att tillämpa, när det är säkert att skärpa, vad man säger till kunden under tiden. Den graderade rapporten omvandlar dessa beslut till ett dokument, så att ingen av er improviserar.

Kommer de verkligen att ta bort oss som leverantör? För ett blankt svar eller ett ertappat falskt påstående — så småningom, ja; kunden har en tillsynsmyndighet att svara mot. För ett ärligt gap med ett åtgärdsdatum — mycket osannolikt: av alla 261,086,232 graderade domäner tillämpar bara 10.59% förfalskningspolicyn dessa frågeformulär frågar om (censuset per 2026-06-29). Ärlighet-med-en-plan håller dig kvar på listan.

Vi omfattas inte av NIS2 — kan vi ignorera frågeformuläret? Skyldigheten är din kunds, och de uppfyller den genom att välja kontrollerbara leverantörer. Utrymmet att sticka ut är enormt: bara 7.4% av alla 261,086,232 graderade domäner har e-postautentisering anpassad och tillämpad (censuset per 2026-06-29). En eftermiddag sätter dig före nästan alla andra namn på den leverantörslistan.

Vidarebefordra rapporten till din IT-kontakt

Skriv inte om något av detta. Kör den kostnadsfria sökningen, vidarebefordra sedan två saker till den som sköter din domän: den graderade rapporten och den här artikeln. Rapporten säger exakt vilka inställningar som ska ändras; åtgärdssidorna ger stegen. När den korrigerade rapporten kommer tillbaka skriver sig enkätsvaren själva — betyg för betyg. Sedan arkivera det: nästa kund ställer samma fyra frågor, din försäkringsförnyelse gör det redan, och en daterad rapport du kan bifoga på fem minuter är skillnaden mellan en eftermiddag och en brandövning.

Kontrollera din domän → · Vad frågeformulär kontrollerar på din domän → · Den fakturabedrägerihistorien du hört → · Enbart aggregerade data. Data lagras och behandlas inom EU.