Onderzoekscentrum

Onderzoek naar SPF en DMARC implementatie

59.5

%

Effectief SPF record

Een SPF record dat niet faalt en een softfail (~) of hardfail (-) geeft.

3.2

%

DMARC none + reporting

Een DMARC record dat nog niet compleet is, maar wel rapporteert.

2.1

%

Functioneel DMARC record

Een DMARC record dat volledig is - met 'quarantaine' of 'reject'

eCommerce

(6903 domeinen)

59.2

%

Effectief SPF record

2.8

%

DMARC 'none' + reporting

2

%

DMARC quarantine of reject

Energieleveranciers

(60 domeinen)

68.4

%

Effectief SPF record

16.7

%

DMARC 'none' + reporting

6.6

%

DMARC quarantine of reject

Verzekeraars

(120 domeinen)

71.6

%

Effectief SPF record

18.3

%

DMARC 'none' + reporting

6.7

%

DMARC quarantine of reject

Detective with a blue fingerprint behind him looking at the check tool

7000+ domeinen gecheckt in 2019

Van de 7.083 domeinen heeft slechts 59.5% een goed functionerend SPF-record, terwijl DMARC met een toepassingsgraad van 3.2% nog nauwelijks wordt ingezet. Dat betekent dat bijna 98% van de bedrijven hun domeinen niet beschermt tegen spoofing.

Zie volledig onderzoek

Waarom onderzoeken we SPF & DMARC implementatie?

E-mail spoofing is nog steeds een groot probleem, ondanks het feit dat de technologie om het te voorkomen al lang bestaat. Zo blijkt uit de cijfers die de Volkskrant in 2019 rapporteerde dat identiteitsfraude via e-mail de gemiddelde Nederlandse consument duizenden euro's per jaar kost (Volkskrant, 2019). De analyse die wij (DMARCDetective / Flowmailer) uitvoeren, controleert de aanwezigheid en geldigheid van SPF- en DMARC-records in de DNS-instellingen van de geselecteerde domeinen. Op basis van deze resultaten evalueren wij of een domein al dan niet veilig genoeg is. Optimale bescherming tegen phishing is alleen mogelijk wanneer DMARC actief is ingesteld. Die voorwaarde is daarom als uitgangspunt genomen voor dit onderzoek en rapport; de DMARC policy mag alleen 'quarantine' of 'reject' bevatten. Domeinen met policy 'none' en reporting enabled (ingesteld RUA-adres) zijn echter oranje gewaardeerd in plaats van rood of groen, omdat ze in ieder geval toewerken naar een actieve policy.

Waarom geen onderzoek naar DKIM?

De DKIM-techniek leent zich in deze vorm van onderzoek niet voor geautomatiseerde en grootschalige controle. Dit heeft geen gevolgen voor de overige verzamelde informatie en onze conclusies. De onderzochte domeinnamen zijn verzameld via de websites van Keurmerk.info, Thuiswinkel.org, Energie Nederland, het Verbond van Verzekeraars en Twinkle. Bankdomeinen zijn afkomstig van de lijst van banken die onder het depositogarantiestelsel vallen.