Situatie: u heeft uw domein getest op internet.nl en scoort 67% of lager. Er zijn rode en oranje vinkjes waar u niet direct een actie op weet.
Oplossing: werk de categorieën systematisch af. Website (moderne encryptie + beveiligde headers): zet bij uw hoster HSTS, CSP, X-Content-Type-Options en X-Frame-Options aan, activeer TLS 1.2/1.3 en schakel TLS 1.0/1.1 uit. Forceer HTTPS-redirect. Mail (SPF, DKIM, DMARC, DANE, STARTTLS): bij uw DNS-provider voegt u een SPF-record toe dat alleen uw bekende verzenders toestaat (Odoo-SMTP, Microsoft 365, Mailgun, etc.). DKIM activeert u per mailprovider en publiceert u als TXT-record. DMARC zet u minimaal op p=quarantine, bij voorkeur p=reject. Voor DANE hebt u een TLSA-record nodig. Connectie: laat uw hoster IPv6 (AAAA-records) en DNSSEC inschakelen — bij de meeste Europese hosters is dit een tickbox.
Stappenplan:
- Start met DNSSEC en IPv6 — grootste 'quick wins', vrijwel geen risico.
- Dan SPF + DKIM + DMARC (begin met
p=nonevoor monitoring, verhoog naarrejectna 4 weken testen). - Dan STARTTLS en DANE op uw mailserver.
- Afsluitend web-security headers en TLS-hardening.
Tip: laat het niet bij 100% — plan ieder kwartaal een hertest. Providers wijzigen configuraties (bv. nieuwe mailserver-IP), en uw SPF-record kan stilletjes breken. Een gecrashte DMARC kan betekenen dat uw mails op de spam belanden zonder dat u het merkt. Rapporteer met DMARC-aggregaten (gratis bij bv. Postmark of Dmarcian) om inzicht te houden in wie er namens uw domein probeert te versturen.