Update: online dienstverlening overheid binnen de EU, 2251 domeinen en 539 mailservers in de VS

Dit is een update van ons onderzoek van augustus 2023. We meten hoeveel domeinen binnen en buiten de EU+GDPR zone staan en bij welke leverancier. De exacte landen die vallen in de EU staat in het vorige artikel.

We meten een verdubbeling in het aantal domeinen buiten de zone. Dat is te verklaren doordat basisbeveiliging.nl meer overheidsdomeinen meet. In april 2024 zijn er 3500 domeinen van Digitoegankelijk toegevoegd, dit zijn met name projectdomeinen. Het e-mail adres op deze domeinen wijst vaak naar een bureau of een overheid: dit zie je goed in de cijfers terug.

Qua e-mail binnen de EU zien we dat Microsoft verreweg de grootste leverancier is. Als we alleen kijken naar hoofddomeinen van overheidssites dan gaat 33% van de e-mail via Microsoft. Van de overige 157 e-mail dienstverleners voor de overheid komen alleen Signet en Surf boven de 4%.

20232024
Mailservers410539 (+ 129)
Webservers10762305 (+1229)
Absolute aantallen mail en webservers buiten de EU.
20232024
Mailservers10.00%7.75% (-2.25%)
Webservers3.00%4.64% (+1.64%)
Procentueel aantal mail en webservers buiten de EU.

Om het het voor gebruikers van basisbeveiliging makkelijker te maken om te zien waar hun web en mailservers staan is het tabblad “📍 Locaties” toegevoegd aan de rapportage. Hier staan ook vlaggetjes bij voor snelle herkenbaarheid. Hieronder een voorbeeld van het NCSC.

Voorbeeldoverzicht locaties bij het NCSC: alles staat in de EU.

Update leveranciers mailservers

Leveranciers e-mail overheid buiten de EU

7,75% van alle ingestelde mailservers gaat naar Amerikaanse dienstverleners op basis van het computeradres (ip adres). In totaal gaat het om 540 adressen buiten de zone op een totaal van 6961 ingestelde servers. In de tabel aan het is de verdeling tussen verschillende leveranciers te zien. Tegenover 2023 zien we procentueel een daling van 10% naar 7.75%. Er staat 1 mailserver in Azië, de rest van de buitenlandse servers staat in de VS.

De eerste opvallende wijziging is een stijging van “Cisco Systems Ironport Division”, ofwel AS 30238. Deze stijging zit vooral in projectdomeinen van Groningen en een aantal gemeenten. Dit netwerk is sterk verdeeld over verschillende leveranciers. In totaal staan er 163 adressen ingesteld naar dit netwerk, verdeeld over 23 mailservers.

De tweede opvallende wijziging is een migratie van Google tussen twee platforms. Adressen gaan van “Google Servers” naar “Google Cloud”.

Tot slot zien we een aantal nieuwe partijen. Akamai Connected Cloud heeft veel mailservers op het “link” subdomein: dit wijst op het gebruik van het product SMTP2GO. De andere nieuwe leveranciers zijn het resultaat van het toevoegen van nieuwe domeinen op basisbeveiliging.nl

Leverancier / Netwerk20232024Wijziging
Cisco Systems Ironport Division95163+68
Google Servers220143-77
Google Cloud25102+77
Amazon.com2739+11
SendGrid2825-3
Akamai Connected Cloud17nieuw
Google12nieuw
Rackspace Hosting18+7
Proofpoint6nieuw
Namecheap6nieuw
Input Output Flood LLC440
Cogent Communications24+2
Proofpoint, Inc.220
NTT-LTD2nieuw
Microsoft Azure2nieuw
ZOHOC1nieuw
GTT Communications1nieuw
Verdeling mailservers in de VS

Leveranciers e-mail overheid binnen de EU

We kijken op twee manieren naar e-mail: welk hoofddomein bij welke leverancier staat en het totaal aantal ingerichte mailservers.

E-mailen op het hoofddomein is wat iedereen gewend is om te doen. Als we kijken naar de verdeling van leveranciers over hoofddomeinen, dan zien we dat Microsoft 33% van de markt in handen heeft. De overige ±150 leveranciers blijven ver achter.

LeverancierHoofddomeinenPercentage
Totaal2565100.00%
Microsoft Azure85033.14%
Signet1556.04%
Surf1104.29%
SSC-ICT Haaglanden983.82%
Cldin722.81%
Accenture B. V.602.34%
Amazon.com562.18%
Previder562.18%
Solvinity552.14%
KPN511.99%
E-Zorg441.72%
Ministerie van Economische Zaken421.64%
BIT371.44%
Serverius321.25%
Cogent Communications190.74%
Prolocation BV170.66%
Dienst Uitvoering Onderwijs40.16%
Flowmailer00.00%
Overige 140 leveranciers (niet alles heeft mail op hoofddomeinen)80731.46%
Verdeling leveranciers e-mail op hoofddomeinen

Als we kijken naar absolute aantallen mailservers dan blijft Microsoft aan kop. In de EU zien we 6388 mailservers van de overheid. Deze worden geleverd door 168 leveranciers in 11 landen. 79.92% staat binnen Nederland (5105), 11.46% in Ierland en 4.78% in Duitsland.

Deze aantallen bevatten veel dubbelingen. Onder andere omdat leveranciers vaak meer dan één mailserver instellen zodat mail robuuster wordt. Ook zien we dat er vaak gemaild kan worden naar het subdomein “www”, iets wat in de praktijk obscuur is: andere veel gebruikte subdomein zijn logischer om mail op te ontvangen zoals “mijn.” en “mail.”. Er zijn meer dan 1000 subdomeinen waar naartoe verzonden kan worden. Dit bevat ook veel ontwikkeldomeinen.

LeverancierAantal ingestelde serversPercentage
Totaal6388100.00%
Microsoft Azure129720.30%
Cldin3725.82%
Signet3425.35%
Ministerie van Economische Zaken3255.09%
E-Zorg2964.63%
Surf2594.05%
SSC-ICT Haaglanden2564.01%
Amazon.com2423.79%
Dienst Uitvoering Onderwijs2373.71%
Flowmailer1782.79%
Solvinity1572.46%
Cogent Communications1221.91%
Accenture B. V.1091.71%
Prolocation BV1041.63%
KPN1001.57%
BIT781.22%
Serverius781.22%
Previder671.05%
Overige 150 leveranciers176927.69%
Ingestelde mailservers op alle domeinen, inclusief www en inclusief dubbelingen van mailservers voor redundantie.

Enkele leveranciers gebruiken op hetzelfde domein mailservers binnen en buiten de EU. In totaal zijn dit 18 domeinen. Er zit geen duidelijke lijn in het soort domeinen. Enkele liggen voor de hand (zoals japan.investinholland.com en statiogov.com).

Hosting / Webservers

Websites overheid buiten de EU

Ten opzichte van augustus 2023 is het aantal adressen buiten de EU ruim verdubbeld van 1087 naar 2276. Dat komt vooral door de nieuwe domeinen. Ook is er een lichte stijging omdat veiligheidsregio’s worden meegenomen.

Ver verdeling buiten de EU staat on de onderstaande tabel.

Net als bij het vorige onderzoek zien we dat het leeuwendeel naar de VS gaat. Maar er is meer opvallends: drie domeinen komen uit bij Tencent in China. Dit zijn twee ontwikkeldomeinen en een subdomein van de Financial Intelligence Unit. Bij navraag bij de FIU blijkt dat dit een bewuste ontwerpkeuze is voor de uitvoer van haar taken. Zo zijn er meer bewuste keuzes gemaakt, maar in zeker de helft van de gevallen gaat het om systemen die opgeruimd moeten worden.

ContinentLandOverheidGemeenteProvincieWaterschap
Totaal818126910188
NAUS803125910188
NACA2
ASHK23
ASCN12
ASTR11
ASJP2
AFZA3
AFMA2
SABR3
EUUA11
OCAU1
Tabel online dienstverlening buiten de EU+GDPR zone, 99% gaat via de US.

Websites leveranciers buiten de EU

Er komen 2253 webadressen uit in de verenigde staten. Dat is ongeveer 4.5% van alle adressen van overheidssites. Ook hier is er een sterke verdeling tussen leveranciers, waarbij Amazon, Microsoft en Google de grootste zijn.


OverheidGemeenteProvincieWaterschap
Leverancier803125910188
Amazon.com1994625547
Microsoft Azure1983362116
Amazon CloudFront15511451
Amazon.com, Inc.33139919
Google Cloud5712772
GTT Communications1319
Fastly197
Input Output Flood LLC1010
Cisco Systems Ironport Division1442
Squarespace672
Google Servers132
Cloudflare London141
SendGrid671
Overige 30662411
Verdeling websites leveranciers buiten de EU

Websites overheid binnen de EU

Verdeling per leverancier op hoofddomein

Er zijn 351 leveranciers (ISP’s) waar websites gehost worden. Een veelvoud aan bedrijven zoals marketingsbureaus maken deze sites en kiezen vervolgens een locatie om deze te hosten. We zien dat als we alleen kijken naar hoofddomein de volgende verdeling is te zien. We zien dat Amerikaanse leveranciers een stuk minder sterk vertegenwoordigd zijn.

ISP / NetwerkleverancierAantal sites
Prolocation BV481
Signet321
Amazon.com264
SSC-ICT Haaglanden233
True172
BIT159
Microsoft Azure154
Previder149
LeaseWeb Netherlands B.V.146
Surf145
CJ2 Hosting134
Combell133
Comsenso122
Cldin114
Dienst Uitvoering Onderwijs80
Solvinity75
Intermax Group66
Digital Ocean63
Eurofiber Nederland59
One.com A/S39
Top 20 netwerkleveranciers van overheidsdomeinen op hoofddomeinen

Nemen we subdomeinen mee, dan ziet de top 10 er als volgt uit. We zien dat Microsoft hier de grootste is, vooral door de vele subdomeinen die nodig zijn voor Windows domeinbeheer. SURF is oververtegenwoordigd door research-domeinen van TNO.

ISP / NetwerkleverancierAantal domeinen
Microsoft Azure4432
Surf4107
KPN2789
Prolocation BV2554
Signet2540
Amazon.com2038
Solvinity1770
Dienst Uitvoering Onderwijs1597
Ziggo1492
Ziggo Business1154
Top 10 netwerkleveranciers van overheidsdomeinen op alle domeinen

Verdeling per land

Dit zijn de locaties van (web) servers per overheid verdeeld over Europa en Noord Amerika. Ten opzichte van augstus 2023 zien we een groei in het aantal domeinen van 24%.

ContinentLandOverheidGemeenteProvincieWaterschap
Totaal26686173581273855
EUNL24771154781105781
EUDE8055344914
EUIE4765743541
EUBE255336374
EUSE5717648
EUGB83109243
EUAT514433
EUDK435221
EUFR27243
EUCZ40
EUFI121410
EUIT25
NABQ20
EUEE79
EUPL24
EUCH42
NAAW4
EULU3
EU??12
EUNO1

Verantwoording

Wat wordt gezien als binnen of buiten de zone

De EU+GDPR zone zijn alle landen in de Europese Economische Zone en landen met gelijkwaardige wetgeving zoals Zwitserland, het Verenigd Koninkrijk en Andorra. Expliciet buiten de boot vallen dus 17 landen die wel (deels) op het Europese continent liggen maar andere wetten hebben, zoals Albanië, Oekraïne en Turkije. De wetgeving van de bijzondere gemeenten (Bonaire, Sint Eustatius, Saba) en de andere landen in het Koninkrijk der Nederlanden (Aruba, Curaçao, Sint-Maarten) is ons (nog) niet geheel duidelijk, dus dit keuren we nu goed.

Verdere uitleg staat in dit artikel.

Metingen op basis van IP adressen

Deze cijfers zijn samengesteld op basis van IP-adres informatie, gekoppeld met geolocatie informatie die op allerlei manieren wordt verzameld. Geolocatie is geleverd door MaxMind, aangevuld met correcties uit de database van RIPE. We hebben toestemming om deze gegevens te gebruiken. Deze informatie kan afwijkingen bevatten.

Lees de volledige disclaimer hier.

Waar vind ik deze metingen

Bijgewerkte metingen zijn te vinden op de website basisbeveiliging.nl. In de rapportage van iedere organisatie is een tabblad met locaties te zien. In dat tabblad staat een handig overzicht van de locatie van alle aangeboden diensten.