Facebook-pikselsporingsbildepunktHopp til hovedinnhold
← Alle innlegg
StrategiRyze

DMARC, SPF og DKIM forklart: slik beskytter du bedriften mot e-post-spoofing

Norske bedrifter får regelmessig e-poster som ser ut som de kommer fra deg — men kommer fra svindlere. SPF, DKIM og DMARC stopper det. Her er hva de er, hvorfor du trenger dem, og hvordan du setter dem opp riktig.

Akkurat nå sender en svindler sannsynligvis en e-post som ser ut som den kommer fra bedriften din.

Hvis du ikke har satt opp e-post-autentisering riktig, har vedkommende fri bane. De skriver «til alle kundene våre, vi har oppdatert bankkonto, vennligst betal fremover til kontonummer ...» — og det treffer kundens innboks med ditt navn som avsender.

Det er ikke en hypotetisk trussel. Det er den vanligste angrepsformen mot norske SMB-er i 2026, og den eneste forsvaret er en kjede av tre teknologier: SPF, DKIM og DMARC.

Hva er e-post-spoofing, og hvorfor er det så enkelt?

E-post-protokollen (SMTP) ble designet på 1980-tallet før noen tenkte på sikkerhet. Det er ingen innebygd autentisering — den som sender en e-post sier bare «dette er fra noen@dittdomene.no», og mottakeren har ingen måte å verifisere det på.

Det er som om du kunne stille deg utenfor postkassen til naboen, lage et brev som så ut som det kom fra ham, og levere det. Det er trivielt teknisk.

Tre teknologier ble laget for å fikse dette — og alle tre er nødvendige for full beskyttelse:

  • SPF (Sender Policy Framework, fra 2006) — domene-eieren forteller hvilke servere som har lov til å sende e-post i deres navn
  • DKIM (DomainKeys Identified Mail, fra 2007) — hver utgående e-post signeres kryptografisk, mottakeren kan verifisere at innholdet ikke er endret
  • DMARC (Domain-based Message Authentication, fra 2012) — binder SPF og DKIM sammen og forteller mottakere hva de skal gjøre når en e-post feiler

Du trenger alle tre. SPF alene har et hull (videresendt e-post). DKIM alene har et hull (mismatch mellom avsender og signatur). DMARC binder dem og lukker hullene.

Hvordan virker SPF i praksis?

SPF er en TXT-post i DNS-en på domenet ditt. Den ser slik ut:

v=spf1 include:_spf.google.com include:mailgun.org -all

Tolkningen: «E-poster fra mitt domene har lov til å komme fra Google sine servere (Workspace) og Mailgun. Alt annet — -all — skal avvises.»

Når en mottaker som Gmail får en e-post som hevder å være fra deg, gjør den et SPF-oppslag på domenet ditt. Hvis avsender-IP-en er på listen, passerer e-posten. Hvis ikke, avvises den (eller markeres som spam, avhengig av mottakerens policy).

Vanlige SPF-feil vi ser:

  • +all eller ?all — tillater hvem som helst å sende. Det er nesten verre enn ingen SPF.
  • Over 10 DNS-oppslag — SPF-standarden tillater maks 10 nested includes. Mange bedrifter overgår dette ved å inkludere alle leverandører de noen gang har brukt.
  • Manglende inkludering av kritiske tjenester — Mailchimp, fakturasystemer, kundeservice-verktøy. Hvis ikke alle som sender på vegne av deg står i SPF, går deres e-poster i spam.

Bruk e-post-autentisering-sjekken for å se hva SPF-en din faktisk inneholder, og om den er gyldig.

Hvordan virker DKIM?

DKIM signerer hver utgående e-post med en kryptografisk signatur som matches mot en public key publisert i DNS-en din.

Praktisk:

  1. E-post-leverandøren din (Google Workspace, Microsoft 365, Mailgun osv.) genererer et nøkkelpar. Public key publiseres i DNS-en under en «selektor» — typisk google._domainkey.dittdomene.no.
  2. Hver utgående e-post får en DKIM-Signature-header med signaturen.
  3. Mottakeren leser headeren, henter public key fra DNS, og verifiserer at signaturen er gyldig.

Selve oppsettet gjøres hos e-post-leverandøren — du genererer en DKIM-nøkkel i admin-konsollen, og leverandøren forteller deg hvilke TXT-poster du skal legge til i DNS.

Hvorfor vi ikke kan sjekke DKIM automatisk i verktøyet vårt: selektoren varierer per leverandør og oppsett. Du finner den ved å åpne en e-post du har mottatt fra deg selv og se på kildekoden — kig etter s= i DKIM-Signature-header. Det er selektoren.

Hva binder DMARC sammen?

DMARC sier til mottakere: «Når en e-post hevder å være fra mitt domene, sjekk SPF og DKIM. Hvis begge feiler, gjør dette.»

«Dette» kan være:

  • p=none — gjør ingenting, men send meg en rapport
  • p=quarantine — flytt til spam
  • p=reject — avvis helt

En typisk DMARC-policy:

v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@dittdomene.no; aspf=s; adkim=s

Tolkning: «Kvarantér (p=quarantine) alle e-poster som feiler både SPF og DKIM (pct=100). Send daglige rapporter (rua) over alle e-poster som har feilet. Strict alignment for SPF og DKIM (aspf=s; adkim=s) — domenet i headeren må matche eksakt.»

Hva er den anbefalte rulleringen?

Vi anbefaler norske SMB-er å gå i fire steg, ikke i ett:

Uke 1: Sett opp SPF og DKIM korrekt. Inkluder alle legitime sendere. Test ved å sende e-poster fra hver tjeneste og verifisere at SPF/DKIM passerer (mxtoolbox.com har en gratis sjekker).

Uke 2: Legg til DMARC med p=none. Du blokkerer ingenting ennå — du samler bare data. Sett opp en gratis DMARC-rapporteringstjeneste (Dmarcian, Postmark) som tolker XML-rapportene.

Uke 3–6: Les rapportene. Du oppdager sannsynligvis 2–4 tjenester som «sender i ditt navn» som du hadde glemt. Få dem inn i SPF og DKIM. Du oppdager også eventuelle spoofing-forsøk.

Uke 7: Gå til p=quarantine. Med 100 % alignment og alle legitime sendere autorisert. Sjekk innboksen for falske positiver første uka.

Måned 2+: Vurder p=reject. Det sterkeste forsvaret, men også det mest «alt eller ingenting». De fleste norske SMB-er blir værende på p=quarantine — det er godt nok for de fleste trusler.

Hopp aldri rett til p=reject første dag. Vi har sett bedrifter blokkere alle sine egne faktura-eposter fordi systemet ikke var i SPF.

Hva med BIMI — logoen i innboksen?

BIMI er bonustrinnet. Med DMARC på p=quarantine eller p=reject kvalifiserer du for å vise bedriftens logo ved siden av navnet i Gmail og Apple Mail.

Krever:

  • En SVG-logo i kvadratisk format (1:1 ratio)
  • En BIMI-post (v=BIMI1; l=https://logo.dittdomene.no/bimi.svg)
  • Et Verified Mark Certificate (VMC) for å vises i Gmail — koster cirka 1 000 USD per år fra DigiCert eller Entrust

For større merker er kostnaden lett å forsvare — det er sterkeste merke-signalet du kan gi i en innboks. For en lokal SMB med 30–50 utgående e-poster per dag er det vanskeligere å forsvare. Vi anbefaler vanligvis å vente med BIMI til du har et veletablert merke.

Hvor mye phishing stopper dette egentlig?

Det er viktig å være tydelig:

DMARC stopper eksakt-domenenavn-spoofing — angripere som prøver å bruke ditt nøyaktige domene. Det er den vanligste enkelt-vektoren og den teknisk enkleste.

DMARC stopper IKKE:

  • Look-alike-domener. Hvis noen registrerer dittdomne.no eller dittdomené.no (Unicode-misbruk) og sender derfra, hjelper ikke DMARC.
  • Phishing via andre kanaler. SMS, sosiale medier, falske nettsider.
  • Sosial manipulasjon. «Hei sjef, jeg er på reise og trenger at du raskt betaler denne fakturaen» — fungerer ofte fra hvilket som helst domene.

DMARC er fundamentet, men ikke hele forsvaret. Vi anbefaler å kombinere med:

  • Innboks-filter for «look-alike»-domener
  • Trening av ansatte i å gjenkjenne sosial manipulasjon
  • Tofaktor på alle viktige systemer
  • Klare interne rutiner for fakturabetaling og kontoendringer

Slik kommer du i gang

Hvis du ikke vet status på dette i dag, gjør dette i denne rekkefølgen:

  1. Kjør e-post-autentisering-sjekken på domenet ditt. Du ser status på SPF, DMARC, MX og BIMI på 5 sekunder.
  2. Hvis SPF mangler eller er feil: kontakt e-post-leverandøren din. De har som regel en wizard.
  3. Hvis DMARC mangler: legg til v=DMARC1; p=none; rua=mailto:dmarc@dittdomene.no som en TXT-post på _dmarc.dittdomene.no. Begin med rapportering.
  4. Etter 4–6 uker: oppgrader til p=quarantine.
  5. Hvis du har spørsmål eller usikkerhet — vi gjør 15-minutters gjennomganger gratis.

Dette er ikke prangende arbeid. Det er ikke synlig på nettsiden. Men det er blant de mest kostnadseffektive sikkerhets-grepene en norsk SMB kan gjøre — typisk 2–4 timer arbeid for å eliminere den vanligste angrepsformen.

Det er ikke en investering du vil at noen i bedriften skal lære av en hardt-vunnet erfaring.

Snakk med oss

Trenger du hjelp med digital markedsføring?

Book en kort, uforpliktende samtale. Ingen binding, ingen mas. Vi går gjennom hva som faktisk vil fungere for dere.

Book et møte →Eller send en melding

15 minutter · Ingen binding · Ingen mas

Ofte stilte spørsmål

Hva er forskjellen på SPF, DKIM og DMARC?+
SPF sier hvilke servere som har lov til å sende e-post i ditt navn (en TXT-post på domenet). DKIM signerer hver utgående e-post kryptografisk så mottakeren kan verifisere at innholdet ikke er endret (krever oppsett hos e-post-leverandøren + en TXT-post med public key). DMARC binder de to sammen og forteller mottakere hva de skal gjøre når en e-post feiler SPF eller DKIM. Du trenger alle tre for full beskyttelse.
Hvor lang tid tar det å sette opp DMARC, SPF og DKIM?+
Hvis IT-leverandøren din kjenner det fra før: 30–60 minutter. Hvis ingen har gjort det før: typisk 2–4 timer fordelt over et par dager — fordi DNS-endringer tar tid å propagere og du bør verifisere hver endring før du går videre. Vi anbefaler å gå fra p=none til p=quarantine over 4–6 uker for å fange falske positiver.
Vil DMARC blokkere dine egne legitime e-poster?+
Hvis du går rett til p=reject uten å rapportere først: ja, det kan skje. Tredjeparts-tjenester som sender e-post på vegne av deg (Mailchimp, fakturasystemer, kundeservice-verktøy) må alle inkluderes i SPF og DKIM. Derfor starter du alltid med p=none — den rapporterer hvilke avsendere som «sender i ditt navn» uten å blokkere noe. Etter 4–6 uker vet du hvem du må autorisere.
Er DMARC pålagt for norske bedrifter?+
Ikke ennå, men trenden er klar. Google og Yahoo krever DMARC for avsendere med over 5 000 e-poster per døgn siden februar 2024. EU har signalisert at krav for alle bedrifter kan komme — det er det den europeiske eIDAS 2.0-forordningen åpner for. Praktisk: hvis du ikke har DMARC i 2026, faller flere og flere av dine e-poster i spam i Gmail og Outlook automatisk.
Hva er DMARC-rapportering?+
Når du legger inn `rua=mailto:dmarc@dittdomene.no` i DMARC-policyen, sender mottakere som Gmail, Outlook og Yahoo deg daglige eller ukentlige XML-rapporter over hvilke servere som har sendt e-post i ditt navn. Du leser dem ikke selv — du bruker en DMARC-rapporteringstjeneste (Dmarcian, Postmark, Valimail har gratis-versjoner) som tolker XML-en og viser deg om sporingen din er ren eller om noen forsøker å forfalske domenet.
Hva med BIMI og logo i innboksen?+
BIMI (Brand Indicators for Message Identification) lar deg vise bedriftens logo ved siden av navnet i innboksen til Gmail, Apple Mail og Yahoo. Krever DMARC med p=quarantine eller p=reject, en SVG-logo i kvadratisk format, og en VMC (Verified Mark Certificate) som koster cirka 1 000 USD per år. Mest relevant for større merker — for en lokal SMB er kostnaden vanskelig å forsvare, men det er den sterkeste visuelle merke-signalet du kan gi i innboksen.

Relaterte artikler

Strategi

GDPR-samtykke på nettsiden i 2026: hva som er lovlig og hva som blir bot-stoff

Mange norske bedrifter tror de er compliant fordi de har en cookie-banner. De er ikke det. Her er det vi har lært etter å ha sett gjennom 100+ norske nettsider — og hva som faktisk fungerer.

Strategi

Betalt vs. organisk markedsføring: Hva passer for deg?

Betalt gir fart, organisk gir fundament. Her er hva du bør velge — og hvorfor de fleste trenger begge.

Strategi

OOH-markedsføring: Fungerer utendørsreklame for din bedrift?

Plakater, buss-reklame, digital OOH — hva koster det, og passer det for deg? Ærlig guide.

Ryze Lab

Relaterte verktøy

Gratis verktøy som hjelper deg å sette i gang det du nettopp leste.

Se alle →

E-post-autentisering

SPF, DMARC, MX, BIMI

Prøv gratis →

Sporingssjekk

Annonsepiksler og sporing

Prøv gratis →

Synlighetssjekk

Score 0–100 + forbedringsliste

Prøv gratis →

AI SEO-sjekk

Synlig for ChatGPT og Perplexity

Prøv gratis →