Elk bedrijf dat security verkoopt zou zijn eigen huiswerk moeten laten zien. Hieronder staat de DonderSec Quick Check, uitgevoerd op dondersec.nl zelf: wat er goed staat, wat ik heb opgelost, en wat er nog open staat. Inclusief de punten waar ik zelf nog niet tevreden over ben.
Basis: de grootste gaten zijn dicht, de laatste beschermlaag is in opbouw. E-mail is goed beschermd, de verbinding is modern, het domein is ondertekend en de website stuurt sinds 12 juni alle aanbevolen beveiligings-headers mee. Naar "goed": DMARC doorzetten naar volledige handhaving. Dat laatste punt is bewust gefaseerd en staat hieronder met status en plan.
Waarom ik mezelf geen "goed" geef. Bij twijfel tussen twee niveaus kies ik in elk rapport het lagere, ook in dit rapport. Een check die zichzelf mooier beoordeelt dan een klant is niets waard.
De eerste scan draaide begin juni, direct na de livegang van de website. Dit is de tijdlijn sindsdien:
E-mail van dondersec.nl wordt nu digitaal ondertekend, zodat ontvangers kunnen controleren dat een mail echt van dit domein komt en onderweg niet is aangepast.
Er staat nu een DMARC-beleid met rapportage: ik ontvang wekelijks rapporten over wie er mail probeert te sturen uit naam van dondersec.nl. Spoiler: dat ben niet alleen ik.
Deze scan vond geen security.txt, het vaste meldpunt voor beveiligingsonderzoekers. Voor een securitybedrijf hoort dat er gewoon te zijn. Opgelost tijdens het schrijven van dit rapport.
De eerste scan vond deze headers niet, en op het oude shared-hosting-pakket waren ze ook niet zelf in te stellen. In plaats van wachten op een supportticket is de website verhuisd naar moderne statische hosting, waar de headers wél in eigen beheer zijn. Sinds 12 juni stuurt dondersec.nl alle aanbevolen headers mee, onafhankelijk geverifieerd met een A-score. De les voor klanten blijft staan: soms is de juiste fix niet een ticket bij je host, maar een betere plek voor je website.
DMARC staat bewust eerst in de monitoringstand. Wie meteen op streng zet, riskeert dat eigen legitieme mail wordt geweigerd. Na een aantal weken schone rapporten gaat het beleid stapsgewijs naar volledige handhaving.
De scan vond dat de website lettertypen rechtstreeks bij Google laadde, waarbij het IP-adres van bezoekers naar Google gaat. Exact dezelfde bevinding die ik bij klanten markeer als privacy-aandachtspunt. Opgelost: de lettertypen staan nu op de eigen server.
Tijdens een eerdere scan van dit domein kreeg mijn eigen scan-tool niet de echte website te zien, maar een tussenpagina van de hostingpartij die geautomatiseerde bezoekers tegenhoudt. Een minder kritische tool had die tussenpagina gewoon beoordeeld en een rapport vol onzin opgeleverd.
Daarom herkent de DonderSec-scanner dit soort situaties nu zelf, en markeert hij alles wat hij niet kon verifiëren ook eerlijk als "niet geverifieerd". Liever een rapport dat zegt "dit weet ik niet zeker" dan een rapport dat mooi oogt maar niet klopt. Dat principe geldt voor elke check die ik uitvoer, ook deze.
Over deze controle. Dit is een momentopname van 10 juni 2026, op basis van een passieve controle van buitenaf: geen inbraaktest, geen formele audit. Het rapport doet geen uitspraak over naleving van wet- en regelgeving. Dit is dezelfde rapportage die klanten van de Security Quick Check ontvangen, alleen dan over hun eigen domein en inclusief een accountcheck en persoonlijke toelichting.
De Security Quick Check doet dit voor jouw website, e-mail én accounts: een helder rapport, een persoonlijke toelichting, en na drie maanden een herscan die laat zien wat er verbeterd is. Vaste prijs, €495.
Boek een Quick Check →