Domeinvertrouwen, uitgelegd
Heldere uitleg over de vertrouwenssignalen waarop browsers, mailboxen en auditors uw domeinen beoordelen — wat elk signaal is, hoe u uw resultaat leest en hoe u het oplost. Geen registratie nodig.
SPF, DKIM & DMARC
SPF, DKIM en DMARC vertellen ontvangende mailservers dat een bericht echt van u komt. Zonder deze kan iedereen e-mail versturen namens uw domein — en mailboxproviders weigeren of quarantainen domeinen die ze niet instellen steeds vaker.
Waarom het belangrijk is
Zwakke e-mailauthenticatie is de meest voorkomende manier waarop merken worden vervalst bij phishing, en een DMARC-beleid van p=none geeft u zichtbaarheid zonder enige bescherming. Mailboxproviders verwachten inmiddels handhaving.
Zo leest u uw SkyQon-resultaat
SkyQon toont de aanwezigheid en het beleid van elk record, signaleert SPF-lookups die de limiet van 10 DNS-queries overschrijden, en waarschuwt wanneer DMARC vastzit op p=none of de uitlijning faalt.
Zo lost u het op
Publiceer SPF en DKIM en zet DMARC daarna van p=none naar quarantine en ten slotte reject zodra uw legitieme afzenders slagen. SkyQon geeft u de exacte records en verifieert opnieuw na toepassing.
Veelgemaakte fouten
Een tweede SPF-record (er is er maar één toegestaan), een p=reject-beleid zonder rapportageadres, en onbeschermde subdomeinen — aanvallers vervalsen graag het domein dat u vergat.
Ondertekende, manipulatiebestendige DNS
DNS is het adresboek voor alles wat uw domein doet. DNSSEC ondertekent uw DNS-antwoorden cryptografisch, zodat resolvers manipulatie of cachevergiftiging kunnen detecteren.
Waarom het belangrijk is
Niet-ondertekende DNS laat een aanvaller antwoorden vervalsen en uw e-mail of website ongemerkt omleiden. CAA-, MTA-STS- en TLS-RPT-records voegen extra beveiligingen toe die veel domeinen nooit instellen.
Zo leest u uw SkyQon-resultaat
SkyQon meldt of DNSSEC is ingeschakeld en geldig is, of een CAA-record beperkt wie certificaten voor u mag uitgeven, en of MTA-STS en TLS-RPT aanwezig en consistent zijn.
Zo lost u het op
Schakel DNSSEC in bij uw DNS-provider en publiceer het DS-record bij uw registrar; voeg een CAA-record toe met uw CA; publiceer MTA-STS- en TLS-RPT-beleid. SkyQon levert elk record en kan ondersteunde oplossingen voor u toepassen.
Veelgemaakte fouten
DNS ondertekenen maar het DS-record nooit bij de registrar toevoegen (waardoor niets echt wordt gevalideerd), en een CAA-record dat per ongeluk uw eigen certificaatautoriteit buitensluit.
Certificaten die nooit verlopen
Uw TLS-certificaten en cipherconfiguratie zijn wat een browser controleert voordat hij het slotje toont. Een verlopen of onjuist uitgegeven certificaat is een directe, zichtbare storing.
Waarom het belangrijk is
Het verlopen van certificaten is nog steeds een van de meest voorkomende zelfveroorzaakte storingen, en zwakke TLS-versies of ciphers laten audits stilletjes mislukken en tasten vertrouwen aan lang voordat ze echt breken.
Zo leest u uw SkyQon-resultaat
SkyQon volgt de vervaldatum, keten en sleutelsterkte van elk certificaat over uw domeinen, beoordeelt de TLS-configuratie en signaleert alles wat binnen uw waarschuwingsvenster verloopt.
Zo lost u het op
Vernieuw vóór het verlopen (of automatiseer het), verwijder verouderd TLS 1.0/1.1 en zwakke ciphers, en serveer de volledige keten. SkyQon waarschuwt tot 30 dagen vooraf en kan vernieuwingen voor u bewaken.
Veelgemaakte fouten
Het leaf-certificaat vernieuwen maar een intermediate vergeten, alleen het hoofddomein bewaken terwijl een subdomein verloopt, en interne certificaten waar niemand eigenaar van is.
Bewijs, geen beloftes
NIS2, DORA en eIDAS vragen u steeds vaker om aan te tonen dat uw domeinvertrouwenscontroles daadwerkelijk werken — niet alleen te beweren. Dat vereist gedateerd, verifieerbaar bewijs.
Waarom het belangrijk is
Auditors en toezichthouders willen bewijs boven beloftes. Screenshots verouderen slecht en zijn makkelijk te betwisten; een ondertekend, van tijdstempel voorzien overzicht van uw situatie niet.
Zo leest u uw SkyQon-resultaat
SkyQon zet continue monitoring om in een ondertekend bewijsrapport dat is afgestemd op de relevante controleverwachtingen, met een inhouds-hash die iedereen onafhankelijk kan verifiëren.
Zo lost u het op
Genereer het bewijsrapport voor de beoordeelde periode en geef het aan uw auditor; de openbare verificateur bevestigt dat het niet is gewijzigd. SkyQon levert het bewijs — eerlijk gepresenteerd als “afgestemd op”, nooit “gecertificeerd”.
Veelgemaakte fouten
Een scan-screenshot als bewijs behandelen, en “afgestemd op NIS2” verwarren met “NIS2-gecertificeerd” — SkyQon maakt dat onderscheid bewust.
Betrap look-alikes vroeg
Aanvallers registreren look-alike-domeinen — verwisselde letters, extra koppeltekens, andere extensies — om uw klanten en medewerkers te phishen. Meestal komt u er pas achter na de schade.
Waarom het belangrijk is
Een overtuigende look-alike met een geldig certificaat is alles wat een phishingcampagne nodig heeft. Certificate Transparency-logs maken deze registraties vroeg zichtbaar — als u oplet.
Zo leest u uw SkyQon-resultaat
SkyQon bewaakt Certificate Transparency op certificaten die zijn uitgegeven op namen die op de uwe lijken, en brengt nieuw gesignaleerde look-alikes naar voren zodat u kunt handelen voordat een campagne toeslaat.
Zo lost u het op
Beoordeel elke look-alike, vraag takedowns aan voor de kwaadaardige en registreer de meest risicovolle varianten vooraf. De Brand Protection-add-on van SkyQon volgt zaken en misbruikcontacten van begin tot eind.
Veelgemaakte fouten
Alleen uw exacte domein bewaken, andere extensies (.io / .co / .app) negeren, en aannemen dat een look-alike onschuldig is tot hij wordt ingezet.
Start de migratieklok
Een toekomstige quantumcomputer zou de RSA- en ECC-versleuteling kunnen breken die het verkeer van vandaag beschermt. “Harvest-now, decrypt-later” betekent dat vandaag onderschepte data later kan worden ontsleuteld — de klok tikt dus al.
Waarom het belangrijk is
Toezichthouders en normalisatie-instellingen publiceren al post-quantumtijdlijnen. Weten waar klassieke cryptografie in uw omgeving zit, is de eerste stap, en dat kost tijd.
Zo leest u uw SkyQon-resultaat
SkyQon beoordeelt de post-quantumgereedheid van uw TLS- en certificaatstack en inventariseert waar kwantumkwetsbare algoritmen nog in gebruik zijn.
Zo lost u het op
Bouw een cryptografische inventaris, geef prioriteit aan langlevende geheimen en extern gerichte diensten, en plan hybride/PQC-adoptie zodra uw leveranciers die uitbrengen. De PQC-roadmaptooling van SkyQon structureert de overgang.
Veelgemaakte fouten
Post-quantum als een probleem voor later behandelen, en langlevende data over het hoofd zien die een “harvest-now”-aanvaller als eerste viseert.
De EU-checklist voor domeinvertrouwen
Een checklist van één pagina met de certificaat-, DNS-, e-mail- en bewijscontroles die we uitvoeren — met de oplossing voor elk. Gebruik hem om uzelf te beoordelen voordat u een scan uitvoert.
Woordenlijst
De afkortingen achter de bevindingen, elk in één regel.
- SPF
- Sender Policy Framework — vermeldt welke servers e-mail voor uw domein mogen versturen.
- DKIM
- DomainKeys Identified Mail — een cryptografische handtekening die bewijst dat een bericht onderweg niet is gewijzigd.
- DMARC
- Vertelt mailboxen wat te doen met e-mail die SPF of DKIM niet doorstaat, en waar rapporten heen moeten.
- DNSSEC
- Ondertekent uw DNS-records zodat resolvers vervalste of gemanipuleerde antwoorden kunnen detecteren.
- CAA
- Een DNS-record dat de certificaatautoriteiten benoemt die certificaten voor uw domein mogen uitgeven.
- MTA-STS
- Dwingt inkomende e-mail naar uw domein via geauthenticeerde, versleutelde TLS af.
- TLS-RPT
- Levert rapporten wanneer TLS-bezorging aan uw mailservers mislukt.
- CT
- Certificate Transparency — openbare logs van elk uitgegeven certificaat, gebruikt om look-alikes en onjuiste uitgifte op te sporen.
- OV / EV
- Organisation- en Extended-Validation-certificaten die een geverifieerde juridische identiteit aan een domein koppelen.
- QWAC
- Qualified Website Authentication Certificate — een eIDAS-gekwalificeerd certificaat dat de website-identiteit in de EU aantoont.
- PQC
- Post-Quantum Cryptography — algoritmen die zijn ontworpen om aanvallen van quantumcomputers te weerstaan.
- OCSP
- Online Certificate Status Protocol — een live controle of een certificaat is ingetrokken.