Meer dan de helft van de grootste organisaties in de Amerikaanse staat Massachusetts is nog steeds kwetsbaar voor phishing en domain spoofing — simpelweg omdat ze de e-mailauthenticatiestandaard die dit zou stoppen niet volledig handhaven. Een nieuwe cybersecurity-analyse geeft een exact getal aan die kwetsbaarheid, en de bevindingen zouden elke ondernemer, marketeer en beveiligingsteam die e-mail verstuurt vanuit een zakelijk domein moeten alarmeren.
De bevindingen: een meerderheid nog steeds kwetsbaar
Een analyse van de 100 grootste bedrijven, non-profitorganisaties en overheidsinstellingen in Massachusetts toont aan dat slechts 42% de e-mailauthenticatiestandaard DMARC volledig handhaaft, zo blijkt uit onderzoek van cybersecuritybedrijf Red Sift.
Volgens Axios Boston is de verdeling binnen de onderzochte groep opvallend:
26% heeft enige handhaving ingevoerd, zoals het in quarantaine plaatsen van verdachte e-mails.
28% handhaaft DMARC helemaal niet — ze monitoren en rapporteren nep-e-mails alleen passief.
4% heeft helemaal geen e-mailbeveiligingsprotocol geïmplementeerd.
Dit patroon strekt zich uit voorbij Massachusetts. Red Sift analyseerde 700 domeinen verspreid over zeven staten en concludeerde dat 43% DMARC-protocollen niet handhaafde of helemaal niet had ingevoerd, terwijl slechts 35% volledige handhaving rapporteerde.
Die kloof is extra zorgwekkend gezien het belang van vertrouwelijke, hoogwaardige communicatie in sectoren als gezondheidszorg, biotechnologie, hoger onderwijs, financiële dienstverlening en defensie — allemaal sterk afhankelijk van e-mail.
"Als je e-mail verstuurt, ben je een doelwit," aldus Brian Westnedge, Vice President of Alliance and Partnerships bij Red Sift.
Waarom 'gedeeltelijke' handhaving niet genoeg is
DMARC — Domain-based Message Authentication, Reporting and Conformance — is een DNS-beleid dat ontvangende mailservers vertelt wat ze moeten doen met berichten die de authenticatiecontroles niet doorstaan. Het kan gespoofde e-mails weigeren of in quarantaine plaatsen, zodat alleen berichten die daadwerkelijk afkomstig zijn van de geclaimde organisatie in een inbox belanden.
Meer dan de helft van de grootste organisaties in de Amerikaanse staat Massachusetts is nog steeds kwetsbaar voor phishing en domain spoofing — simpelweg omdat ze de e-mailauthenticatiestandaard die dit zou stoppen niet volledig handhaven. Een nieuwe cybersecurity-analyse geeft een exact getal aan die kwetsbaarheid, en de bevindingen zouden elke ondernemer, marketeer en beveiligingsteam die e-mail verstuurt vanuit een zakelijk domein moeten alarmeren.
De bevindingen: een meerderheid nog steeds kwetsbaar
Een analyse van de 100 grootste bedrijven, non-profitorganisaties en overheidsinstellingen in Massachusetts toont aan dat slechts 42% de e-mailauthenticatiestandaard DMARC volledig handhaaft, zo blijkt uit onderzoek van cybersecuritybedrijf Red Sift.
Volgens Axios Boston is de verdeling binnen de onderzochte groep opvallend:
26% heeft enige handhaving ingevoerd, zoals het in quarantaine plaatsen van verdachte e-mails.
28% handhaaft DMARC helemaal niet — ze monitoren en rapporteren nep-e-mails alleen passief.
4% heeft helemaal geen e-mailbeveiligingsprotocol geïmplementeerd.
Dit patroon strekt zich uit voorbij Massachusetts. Red Sift analyseerde 700 domeinen verspreid over zeven staten en concludeerde dat 43% DMARC-protocollen niet handhaafde of helemaal niet had ingevoerd, terwijl slechts 35% volledige handhaving rapporteerde.
Die kloof is extra zorgwekkend gezien het belang van vertrouwelijke, hoogwaardige communicatie in sectoren als gezondheidszorg, biotechnologie, hoger onderwijs, financiële dienstverlening en defensie — allemaal sterk afhankelijk van e-mail.
"Als je e-mail verstuurt, ben je een doelwit," aldus Brian Westnedge, Vice President of Alliance and Partnerships bij Red Sift.
Waarom 'gedeeltelijke' handhaving niet genoeg is
DMARC — Domain-based Message Authentication, Reporting and Conformance — is een DNS-beleid dat ontvangende mailservers vertelt wat ze moeten doen met berichten die de authenticatiecontroles niet doorstaan. Het kan gespoofde e-mails weigeren of in quarantaine plaatsen, zodat alleen berichten die daadwerkelijk afkomstig zijn van de geclaimde organisatie in een inbox belanden.
Nog geen reacties. Wees de eerste!
Gerelateerd nieuws
Nog geen reacties. Wees de eerste!
Gerelateerd nieuws
Het probleem is dat het publiceren van een DMARC-record niet hetzelfde is als het handhaven ervan. Veel organisaties publiceren DMARC-records met een beleid van p=none — dit geeft inzicht, maar blokkeert gespoofde e-mails niet.
Veel organisaties kiezen voor een tussenoplossing door DMARC in quarantainemodus te laten staan: niet-geauthenticeerde berichten worden dan niet geweigerd, maar naar de spammap gestuurd. Experts waarschuwen echter dat dit geen echte bescherming biedt — gebruikers halen berichten regelmatig op uit hun ongewenste e-mail, zeker als die afkomstig lijken te zijn van bekende contacten. Dat creëert een blijvend risico op succesvolle phishing of fraude.
De bredere authenticatiecrisis
Het onderzoek in Massachusetts is geen uitzondering — het weerspiegelt een wereldwijd, structureel probleem. Uit een analyse uit het tweede kwartaal van 2025 blijkt dat slechts ongeveer 18% van de 10 miljoen meest bezochte domeinen ter wereld een geldig DMARC-record publiceert, en slechts zo'n 4% handhaaft volledig een reject-beleid.
Er is een duidelijke volwassenheidskloof ontstaan: grote ondernemingen bewegen zich steeds verder richting volledige handhaving, terwijl veel snelgroeiende bedrijven vastzitten in een monitoring-only modus. Zelfs onder Fortune 500-bedrijven had 475 van de 500 DMARC geïmplementeerd, maar meer dan 80% had handhavingsniveau bereikt — wat betekent dat zelfs in de absolute top één op de vijf de handhavingsdrempel nog niet had gehaald.
De financiële gevolgen zijn ernstig. Gartner meldt dat betalingen via Business Email Compromise (BEC) in 2024 de grens van 6 miljard dollar overschreden, en de inbox blijft "het meest voorkomende aanvalsoppervlak" omdat medewerkers nu eenmaal moeten communiceren met externen via verouderde, onveilige protocollen. Ondertussen bedroegen de gemiddelde kosten van een phishing-gerelateerde datalek in 2025 4,88 miljoen dollar. Dit zijn Amerikaanse cijfers, maar de trend is in Europa — en dus ook in Nederland — vergelijkbaar zichtbaar.
Volgens het dreigingsrapport van Cloudflare uit 2026 mislukt 46% van alle e-mails bij DMARC-validatie, wat aantoont hoeveel niet-geauthenticeerd verkeer er nog steeds door wereldwijde systemen stroomt.
E-mailproviders dwingen de hand
De druk om DMARC te handhaven is niet langer vrijblijvend — die komt rechtstreeks van de platforms die e-mail bezorgen. Google, Yahoo (februari 2024), Microsoft (mei 2025) en La Poste (september 2025) eisen nu SPF-, DKIM- en DMARC-authenticatie voor bulkafzenders.
In oktober 2025 schafte Google het verouderde Postmaster Tools-dashboard af en lanceerde Postmaster Tools v2, waarbij de focus verschoof van 'Reputatie' naar 'Nalevingsstatus'. Afzenders worden nu beoordeeld op basis van een binair model — een fundamentele verandering in de manier waarop Google de gezondheid van afzenders communiceert. Dat binaire model betekent: gedeeltelijke naleving levert hetzelfde resultaat op als geen naleving: afwijzing.
Bijna de helft van de grootste werkgevers in de regio Boston heeft nog geen volledige e-mailbeveiligingshandhaving doorgevoerd, waardoor veel lokale instellingen kwetsbaar blijven voor phishing en merkimitatie. Voor Nederlandse organisaties geldt eenzelfde waarschuwing: wie achterblijft bij de adoptie van e-mailauthenticatie, loopt een vergelijkbaar risico — terwijl e-maildreigingen door het gebruik van AI steeds makkelijker op grote schaal kunnen worden ingezet.
Wat dit betekent
Voor ondernemers, marketeers en groeiteams zijn de bevindingen van Red Sift een directe waarschuwing voor deliverability en merkbeveiliging.
Marketingteams optimaliseren al jaren op openingspercentages, doorklikratio's en conversiecijfers. Maar onder het handhavingsmodel van Google zijn al die metrics zinloos als je e-mail de inbox nooit bereikt.
De zakelijke impact van zwakke authenticatie is breed: minder inboxplaatsing, een aangetaste afzenderreputatie, geblokkeerde e-mails bij grote ontvangende servers, en direct financieel verlies door diefstal van inloggegevens en factuurfraudescams.
Hoewel het onderzochte sample slechts een deel van de bedrijven vertegenwoordigt, merkt Red Sift op dat het onderzoek een realistisch beeld geeft van de daadwerkelijke e-mailbeveiligingspositie van organisaties. Als de grootste organisaties nog geen sterkere beveiliging hebben doorgevoerd, is de kans groot dat kleinere bedrijven met minder IT-capaciteit dat al helemaal niet hebben gedaan.
De weg vooruit is helder: ga van p=none naar p=quarantine naar p=reject, zorg dat elk extern verzendplatform is geauthenticeerd, en monitor DMARC-aggregaatrapporten continu. Organisaties moeten kiezen voor geauthenticeerde, geautomatiseerde en identiteitsgerichte e-mailbeveiliging om hun domeinen te beschermen, deliverability op peil te houden en het vertrouwen van klanten te bewaren. In de Nederlandse context, waar de AVG bovendien hoge eisen stelt aan de verwerking van persoonsgegevens via digitale communicatie, is dit geen nice-to-have maar een zakelijke noodzaak.
De handhavingskloof is meetbaar. De gevolgen zijn reëel. De oplossing is beschikbaar — maar alleen voor organisaties die nú handelen.
Het probleem is dat het publiceren van een DMARC-record niet hetzelfde is als het handhaven ervan. Veel organisaties publiceren DMARC-records met een beleid van p=none — dit geeft inzicht, maar blokkeert gespoofde e-mails niet.
Veel organisaties kiezen voor een tussenoplossing door DMARC in quarantainemodus te laten staan: niet-geauthenticeerde berichten worden dan niet geweigerd, maar naar de spammap gestuurd. Experts waarschuwen echter dat dit geen echte bescherming biedt — gebruikers halen berichten regelmatig op uit hun ongewenste e-mail, zeker als die afkomstig lijken te zijn van bekende contacten. Dat creëert een blijvend risico op succesvolle phishing of fraude.
De bredere authenticatiecrisis
Het onderzoek in Massachusetts is geen uitzondering — het weerspiegelt een wereldwijd, structureel probleem. Uit een analyse uit het tweede kwartaal van 2025 blijkt dat slechts ongeveer 18% van de 10 miljoen meest bezochte domeinen ter wereld een geldig DMARC-record publiceert, en slechts zo'n 4% handhaaft volledig een reject-beleid.
Er is een duidelijke volwassenheidskloof ontstaan: grote ondernemingen bewegen zich steeds verder richting volledige handhaving, terwijl veel snelgroeiende bedrijven vastzitten in een monitoring-only modus. Zelfs onder Fortune 500-bedrijven had 475 van de 500 DMARC geïmplementeerd, maar meer dan 80% had handhavingsniveau bereikt — wat betekent dat zelfs in de absolute top één op de vijf de handhavingsdrempel nog niet had gehaald.
De financiële gevolgen zijn ernstig. Gartner meldt dat betalingen via Business Email Compromise (BEC) in 2024 de grens van 6 miljard dollar overschreden, en de inbox blijft "het meest voorkomende aanvalsoppervlak" omdat medewerkers nu eenmaal moeten communiceren met externen via verouderde, onveilige protocollen. Ondertussen bedroegen de gemiddelde kosten van een phishing-gerelateerde datalek in 2025 4,88 miljoen dollar. Dit zijn Amerikaanse cijfers, maar de trend is in Europa — en dus ook in Nederland — vergelijkbaar zichtbaar.
Volgens het dreigingsrapport van Cloudflare uit 2026 mislukt 46% van alle e-mails bij DMARC-validatie, wat aantoont hoeveel niet-geauthenticeerd verkeer er nog steeds door wereldwijde systemen stroomt.
E-mailproviders dwingen de hand
De druk om DMARC te handhaven is niet langer vrijblijvend — die komt rechtstreeks van de platforms die e-mail bezorgen. Google, Yahoo (februari 2024), Microsoft (mei 2025) en La Poste (september 2025) eisen nu SPF-, DKIM- en DMARC-authenticatie voor bulkafzenders.
In oktober 2025 schafte Google het verouderde Postmaster Tools-dashboard af en lanceerde Postmaster Tools v2, waarbij de focus verschoof van 'Reputatie' naar 'Nalevingsstatus'. Afzenders worden nu beoordeeld op basis van een binair model — een fundamentele verandering in de manier waarop Google de gezondheid van afzenders communiceert. Dat binaire model betekent: gedeeltelijke naleving levert hetzelfde resultaat op als geen naleving: afwijzing.
Bijna de helft van de grootste werkgevers in de regio Boston heeft nog geen volledige e-mailbeveiligingshandhaving doorgevoerd, waardoor veel lokale instellingen kwetsbaar blijven voor phishing en merkimitatie. Voor Nederlandse organisaties geldt eenzelfde waarschuwing: wie achterblijft bij de adoptie van e-mailauthenticatie, loopt een vergelijkbaar risico — terwijl e-maildreigingen door het gebruik van AI steeds makkelijker op grote schaal kunnen worden ingezet.
Wat dit betekent
Voor ondernemers, marketeers en groeiteams zijn de bevindingen van Red Sift een directe waarschuwing voor deliverability en merkbeveiliging.
Marketingteams optimaliseren al jaren op openingspercentages, doorklikratio's en conversiecijfers. Maar onder het handhavingsmodel van Google zijn al die metrics zinloos als je e-mail de inbox nooit bereikt.
De zakelijke impact van zwakke authenticatie is breed: minder inboxplaatsing, een aangetaste afzenderreputatie, geblokkeerde e-mails bij grote ontvangende servers, en direct financieel verlies door diefstal van inloggegevens en factuurfraudescams.
Hoewel het onderzochte sample slechts een deel van de bedrijven vertegenwoordigt, merkt Red Sift op dat het onderzoek een realistisch beeld geeft van de daadwerkelijke e-mailbeveiligingspositie van organisaties. Als de grootste organisaties nog geen sterkere beveiliging hebben doorgevoerd, is de kans groot dat kleinere bedrijven met minder IT-capaciteit dat al helemaal niet hebben gedaan.
De weg vooruit is helder: ga van p=none naar p=quarantine naar p=reject, zorg dat elk extern verzendplatform is geauthenticeerd, en monitor DMARC-aggregaatrapporten continu. Organisaties moeten kiezen voor geauthenticeerde, geautomatiseerde en identiteitsgerichte e-mailbeveiliging om hun domeinen te beschermen, deliverability op peil te houden en het vertrouwen van klanten te bewaren. In de Nederlandse context, waar de AVG bovendien hoge eisen stelt aan de verwerking van persoonsgegevens via digitale communicatie, is dit geen nice-to-have maar een zakelijke noodzaak.
De handhavingskloof is meetbaar. De gevolgen zijn reëel. De oplossing is beschikbaar — maar alleen voor organisaties die nú handelen.
In januari 2026 faalde Gmail's filteralgoritme, waardoor promotionele e-mails massaal in de primaire inbox belandden. Resultaat: meer opens, maar ook een flinke piek in uitschrijvingen. Dit moet je weten als e-mailmarketeer.
In januari 2026 faalde Gmail's filteralgoritme, waardoor promotionele e-mails massaal in de primaire inbox belandden. Resultaat: meer opens, maar ook een flinke piek in uitschrijvingen. Dit moet je weten als e-mailmarketeer.
