Conclusie: zonder gebruik van een verzendende mailserver met multistandaard-ondersteuning (DANE, MTA-STS en DNSSEC + certificaatvalidatie) en een veilige fallback blijft e-mailverkeer in Nederland zowel kwetsbaar als non-compliant met NIS2, BIO, NTA 7516 en NEN 7510.
E-mail is in 2025 nog altijd het meest gebruikte communicatiemiddel in Nederland. Zorginstellingen wisselen patiëntgegevens uit, gemeenten communiceren met burgers en bedrijven versturen contracten, facturen en vertrouwelijke informatie. Juist die alomtegenwoordigheid maakt e-mail kwetsbaar.
Het onderliggende protocol, SMTP, stamt uit 1982 en kent van oorsprong geen enkele beveiliging. Zonder aanvullende maatregelen kan e-mail onderweg eenvoudig worden afgeluisterd, gemanipuleerd of onderschept. Dit is niet alleen een theoretisch risico: in de praktijk leidt het tot datalekken, juridische problemen en reputatieschade.
Daarom is sterke transportbeveiliging (TLS met afdwingbare standaarden) de absolute ondergrens. Zonder betrouwbare versleuteling tussen verzender en ontvanger stort de hele piramide van veilig mailen in. Zelfs een vertrouwelijke of aangetekende mail is waardeloos wanneer de onderliggende verbinding kan worden teruggezet naar onveilig SMTP.
In deze blog brengen we de staat van transportbeveiligingsstandaarden in Nederland in kaart. Op basis van een analyse van de 10.000 meest gemailde domeinen door Zivver-klanten geven we een realistisch beeld van hoe goed organisaties voorbereid zijn op veilig mailen. Daarbij kijken we niet alleen naar de huidige stand van zaken, maar ook naar de trend in adoptie, en leggen we de cijfers naast de verplichtingen uit NIS2, BIO, NTA 7516 en NEN 7510.
Lees ook: De werking en toepassing van standaarden voor beveiligd mailen
Het is belangrijk onderscheid te maken tussen verschillende niveaus van veilig mailen:
Deze blog richt zich op niveau 1: transportbeveiliging. Want als dit fundament ontbreekt, stort de hele piramide in.
Transportbeveiliging bij e-mail lijkt op een handshake: het werkt alleen als beide handen elkaar stevig vastpakken. Als één partij loslaat, is de beveiliging weg. Dat maakt e-mail anders dan veel andere beveiligingstechnieken: het succes hangt af van zowel verzender als ontvanger.
Aan de verzendende kant kan een organisatie instellen dat e-mail alleen via TLS wordt afgeleverd en proberen standaarden zoals DANE of MTA-STS af te dwingen. Maar als de ontvangende server deze standaarden niet ondersteunt, wordt de verbinding automatisch teruggezet naar een zwakker protocol zoals STARTTLS of zelfs naar plain SMTP zonder enige versleuteling.
Aan de ontvangende kant kan een organisatie netjes een DANE-record publiceren of een MTA-STS-policy instellen. Maar als de verzendende mailserver deze standaarden niet begrijpt of niet ondersteunt, blijft de mail alsnog kwetsbaar voor downgrade- of man-in-the-middle-aanvallen.
In de praktijk betekent dit dat een veilige route alleen tot stand komt wanneer zowel de verzender als de ontvanger een ondersteunde standaard aanbieden én de verzender kan kiezen en afdwingen.
Dit tweezijdige karakter zorgt voor een “zwakste schakel”-probleem: de beveiliging is altijd zo sterk als de minst geavanceerde partij in de keten. Juist omdat e-mailketens vaak lang zijn – denk aan ziekenhuizen die mailen met kleine leveranciers, of gemeenten die communiceren met burgers – is de kans groot dat ergens in de keten de zwakste schakel de verbinding openbreekt.
Daarom is brede adoptie van alle drie de standaarden (DANE, MTA-STS, DNSSEC) essentieel, én moet de verzendende kant een veilige fallback kunnen toepassen. Alleen dan kunnen organisaties garanderen dat berichten onderweg niet onbeschermd worden afgeleverd.
Transportbeveiliging met TLS klinkt eenvoudig: “versleutel de verbinding en klaar.” In werkelijkheid is het complexer, omdat TLS zonder extra borging kwetsbaar blijft voor aanvallen en verkeerde configuraties. Daarom zijn er drie standaarden ontwikkeld die TLS afdwingbaar en betrouwbaar maken.
DANE koppelt het TLS-certificaat van een mailserver cryptografisch aan het domein via DNSSEC. Hierdoor kan een verzendende mailserver controleren of het aangeboden certificaat ook écht bij de ontvangende server hoort.
Voordelen:
Beperkingen:
Conclusie: DANE is de meest robuuste standaard en moet in Nederland als basis worden gezien.
MTA-STS laat domeineigenaren via een HTTPS-policy publiceren dat hun mailservers alleen via TLS bereikbaar zijn. Verzenders die MTA-STS ondersteunen, weigeren verbindingen zonder TLS.
Voordelen:
Beperkingen:
Conclusie: MTA-STS is een waardevolle aanvulling voor interoperabiliteit, vooral in internationale communicatie.
Naast DANE en MTA-STS beschrijft de NTA 7516 een alternatief waarbij certificaten via DNSSEC gevalideerd worden. Dit biedt extra zekerheid in ketens waar DANE (nog) niet is ingevoerd.
Voordelen:
Beperkingen:
Conclusie: nuttige aanvulling, maar geen volwaardig alternatief.
Belangrijk om te beseffen: drie losse standaarden
DANE, MTA-STS en DNSSEC-certificaatvalidatie zijn niet uitwisselbaar, maar complementair. Een verzender die alleen DANE ondersteunt, kan nog steeds onveilig afleveren bij een ontvanger die uitsluitend MTA-STS heeft. Voor maximale dekking moet een verzendende mailserver daarom alle drie de standaarden ondersteunen en actief afdwingen.
Waarom “gewoon TLS” (STARTTLS) niet genoeg is
Veel organisaties vertrouwen nog op opportunistische TLS via STARTTLS. Dat lijkt veilig (“de verbinding is immers versleuteld”), maar de praktijk is anders:
Daarom geldt: alleen met DANE, MTA-STS of DNSSEC-validatie wordt transportbeveiliging écht betrouwbaar.
Meer achtergrond hierover lees je in mijn eerdere blog: De werking en toepassing van standaarden voor beveiligd mailen.
Voor dit onderzoek is een representatieve scan uitgevoerd van de 10.000 domeinen waar Zivver-klanten het meest naartoe mailen. Dit zijn niet willekeurige adressen, maar domeinen van zorginstellingen, gemeenten, ministeries, banken, onderwijsinstellingen en bedrijven – precies de partijen die samen een groot deel van het Nederlandse e-mailverkeer vertegenwoordigen.
We hebben per domein gecontroleerd of de volgende standaarden actief waren: DANE, MTA-STS en DNSSEC + certificaatvalidatie. Daarbij is onderscheid gemaakt tussen:
De scan is uitgevoerd op 1 juli en 1 september 2025, zodat we niet alleen een momentopname hebben, maar ook zicht op veranderingen. Zo werd duidelijk welke domeinen zijn opgewaardeerd naar DANE of MTA-STS, en welke juist zijn teruggevallen.
Beperkingen: alleen domeinen waarnaar echt gemaild is zijn meegenomen, en de resultaten zeggen iets over de ontvangende kant, niet over uitgaande mailservers.
Voor dit onderzoek hebben we de 10.000 domeinen geanalyseerd waar Zivver-klanten het meest naartoe mailen. Het gaat dus niet om een willekeurige steekproef, maar om de domeinen die in de praktijk een groot deel van het Nederlandse e-mailverkeer afhandelen: van ziekenhuizen en gemeenten tot ministeries, banken en toeleveranciers. Daarmee ontstaat een realistisch beeld van hoe goed Nederland er werkelijk voorstaat op het gebied van transportbeveiliging.
Wanneer we puur kijken naar het aantal domeinen, ontstaat het volgende beeld:
| Standaard | Aantal domeinen | Percentage |
|---|---|---|
| DANE | 1.256 | 12,56 % |
| DANE + MTA-STS | 123 | 1,23 % |
| MTA-STS + DNSSEC | 285 | 2,85 % |
| MTA-STS | 195 | 1,95 % |
| DNSSEC | 4.886 | 48,86 % |
| Geen standaard | 3.255 | 32,55 % |
| Totaal | 10.000 | 100 % |
Wat opvalt: bijna de helft van de domeinen heeft DNSSEC geactiveerd, maar slechts een klein deel gaat een stap verder naar DANE of MTA-STS. Slechts 14% van de domeinen ondersteunt DANE, de standaard die in Nederland verplicht is voor overheden. Nog zorgwekkender: één op de drie domeinen (32,5%) heeft helemaal geen enkele standaard actief en valt dus terug op STARTTLS zonder afdwinging of zelfs onversleutelde verbindingen.
Omdat niet elk domein even zwaar meeweegt in de dagelijkse mailstroom, hebben we ook gekeken naar het e-mailvolume. Grote partijen zoals banken, ministeries en zorginstellingen genereren immers veel meer verkeer dan kleine leveranciers of lokale bedrijven, alsook populaire domeinen zoals @gmail.com en @hotmail.com die alleen MTA-STS ondersteunen.
| Standaard | Percentage (volume) |
|---|---|
| DANE | 25,0 % |
| DANE + MTA-STS | 2,8 % |
| MTA-STS + DNSSEC | 2,9 % |
| MTA-STS | 19,1 % |
| DNSSEC | 36,6 % |
| Geen standaard | 13,6 % |
Hieruit blijkt dat DANE in volume veel belangrijker is dan per domein: een kwart van alle e-mails kan ermee beveiligd worden. Ook MTA-STS wordt door grote partijen vaker toegepast, vooral door weging van berichten naar @gmail.com en @hotmail.com, waardoor het aandeel stijgt naar 19,1%. Toch blijft ook hier een harde conclusie overeind: 14% van alle mails gaat nog steeds naar domeinen zonder een goede beveiligingsstandaard.
Door de cijfers van 1 juli 2025 te vergelijken met die van 1 september 2025, zien we hoe domeinen zich ontwikkelen.
| Verandering | Aantal domeinen |
|---|---|
| DNSSEC → DANE | 47 |
| None → DNSSEC | 52 |
| None → DANE | 4 |
| DNSSEC → MTA-STS + DNSSEC | 5 |
| DANE → DNSSEC (down) | 10 |
| DNSSEC → None (down) | 33 |
| Totaal mutaties | 162 |
Het goede nieuws: 47 domeinen maakten de stap van DNSSEC naar DANE, en meer dan 50 domeinen gingen van “geen standaard” naar ten minste DNSSEC. Er is dus een positieve beweging.
Het slechte nieuws: er is ook terugval. 33 domeinen die in juli nog DNSSEC hadden, verloren die configuratie in september. Tien domeinen zakten zelfs terug van DANE naar enkel DNSSEC. Dat laat zien dat implementatie vaak niet structureel geborgd is. Een verlopen certificaat of foutieve DNS-wijziging kan er zomaar toe leiden dat een domein ineens niet langer veilig bereikbaar is.
De resultaten laten een gemengd beeld zien:
Conclusie: Nederland zet kleine stapjes vooruit, maar het fundament is fragiel. Zolang een derde van de domeinen niets heeft ingericht, blijft een groot deel van het e-mailverkeer afhankelijk van verzendende systemen die slim genoeg zijn om per e-mail te bepalen welke standaard mogelijk is, en die een veilige fallback bieden wanneer er geen enkele standaard actief is.
De cijfers laten zien dat de adoptie van transportbeveiligingsstandaarden in Nederland achterblijft. Dat is niet alleen een technisch probleem, maar ook een kwestie van compliance: verschillende wettelijke en normatieve kaders verplichten organisaties om transportbeveiliging aantoonbaar goed in te richten.
Kortom: organisaties die DANE, MTA-STS en DNSSEC niet hebben geïmplementeerd, lopen niet alleen technische risico’s, maar overtreden ook wettelijke verplichtingen en riskeren boetes en reputatieschade.
Zelfs als jouw organisatie alles perfect op orde heeft—DANE geïmplementeerd, DNSSEC actief, certificaten netjes ingericht—kan een e-mail nog steeds onveilig worden afgeleverd. De reden is simpel: je hebt geen invloed op de ontvangende kant. Als de ontvanger geen enkele standaard ondersteunt, val je alsnog terug op onbeveiligd transport.
Daarom is de rol van de verzendende e-mailserver cruciaal. Die moet namelijk niet alleen controleren of de ontvanger bepaalde standaarden ondersteunt, maar ook automatisch de juiste keuze maken. Een moderne verzendende mailserver hoort het volgende te doen:
Dit laatste noemen we de fallback. Zonder een betrouwbare fallback loop je het risico dat gevoelige informatie alsnog in onversleuteld over het internet wordt verstuurd. Dat is niet alleen technisch onveilig, maar ook strijdig met normen zoals de BIO, NTA 7516 en NIS2.
Kortom: transportbeveiliging moet niet alleen aan de ontvangende kant goed geregeld zijn, maar ook aan de verzendende kant. Alleen dan is er de garantie dat gevoelige informatie altijd veilig én compliant wordt afgeleverd, ook als de ontvanger nog achterloopt in de adoptie van standaarden.
De cijfers zijn confronterend: te weinig domeinen ondersteunen DANE, MTA-STS is nog marginaal aanwezig en één op de drie domeinen heeft helemaal niets geregeld. Dat vraagt om actie. Hieronder de belangrijkste aanbevelingen voor organisaties die hun e-mailverkeer veilig en compliant willen maken: