SPF, DKIM og DMARC – hva er det og hvorfor er det viktig for bedriften din?
Har du noen gang lurt på om noen kan sende e-post som ser ut til å komme fra deg – uten at du vet om det? Det kan de, med mindre du har satt opp tre enkle sikkerhetsfunksjoner i DNS-en din: SPF, DKIM og DMARC.
I dette innlegget forklarer vi hva disse tre er, hvorfor de er viktige og hva som skjer hvis du ikke har dem på plass.
📧 Problemet med e-post
E-post ble ikke designet med sikkerhet i tankene. Det betyr at hvem som helst teknisk sett kan sende en e-post som ser ut til å komme fra post@dinbedrift.no – uten å ha tilgang til kontoen din. Dette kalles e-postspoofing, og det er en av de vanligste metodene svindlere bruker til phishing-angrep.
Tenk deg at en kunde får en e-post som tilsynelatende er fra deg, med en falsk faktura og et nytt kontonummer. Kunden stoler på avsenderen – fordi adressen ser ekte ut. Dette skjer norske bedrifter hver eneste dag.
SPF, DKIM og DMARC er de tre mekanismene som stopper dette.
🔍 Hva er SPF?
SPF (Sender Policy Framework) er en DNS-record som forteller verden hvilke e-postservere som har lov til å sende e-post på vegne av domenet ditt.
Tenk på det som en offisiell liste over godkjente avsendere. Når noen mottar en e-post fra @dinbedrift.no sjekker mottakerens e-postserver: «Er denne serveren på den godkjente listen?» Hvis ikke – er noe galt.
Eksempel på en SPF-record:
v=spf1 include:spf.protection.outlook.com -all
include:spf.protection.outlook.com– Microsoft 365 er godkjent avsender
-all– alle andre servere avvises aktivt
Uten SPF kan hvem som helst sende e-post som ser ut til å komme fra domenet ditt.
🔑 Hva er DKIM?
DKIM (DomainKeys Identified Mail) er en digital signatur som legges til i alle utgående e-poster. Signaturen verifiserer at e-posten faktisk ble sendt fra deg – og at innholdet ikke har blitt endret underveis.
Det fungerer slik:
- Når du sender en e-post legger e-postserveren til en usynlig digital signatur
- Mottakerens server slår opp den offentlige nøkkelen i DNS-en din
- Nøkkelen brukes til å verifisere at signaturen er ekte
Uten DKIM kan e-poster endres underveis uten at det oppdages, og e-poster havner lettere i spam.
🛡️ Hva er DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) bygger på SPF og DKIM og legger til to viktige ting:
- Hva skal skje med e-poster som feiler SPF eller DKIM-sjekken?
- Rapportering – send meg en rapport om alle e-poster som sendes på vegne av domenet mitt
DMARC har tre nivåer av beskyttelse:
| Policy | Hva skjer med falske e-poster |
|---|---|
p=none | Ingenting – kun overvåking og rapportering |
p=quarantine | E-posten sendes til spam-mappen |
p=reject | E-posten avvises og leveres aldri |
Eksempel på en DMARC-record:
v=DMARC1; p=reject; rua=mailto:post@dinbedrift.no; fo=1
p=reject– avvis alle falske e-posterrua=– send samlede rapporter til denne adressenfo=1– rapporter ved enhver feil
Uten DMARC har mottakende e-postservere ingen instruks om hva de skal gjøre med falske e-poster – og du har ingen oversikt over hvem som misbruker domenet ditt.
🤝 Hvordan de tre jobber sammen
SPF, DKIM og DMARC er sterkest når alle tre er på plass:
Innkommende e-post fra @dinbedrift.no
│
▼
SPF-sjekk: Er serveren godkjent?
│
▼
DKIM-sjekk: Er signaturen gyldig?
│
▼
DMARC: Bestå begge? → Lever i innboks ✅
Feil på en/begge? → Spam eller avvis ❌
Tenk på det slik: SPF er dørvakten som sjekker hvem som får sende. DKIM er seglet som beviser at brevet ikke er åpnet og endret. DMARC er sjefen som bestemmer hva som skjer hvis noe er galt – og sender deg rapporten etterpå.
⚠️ Hva skjer uten disse recordene?
Uten SPF, DKIM og DMARC risikerer bedriften din:
- Phishing-angrep – svindlere sender falske fakturaer eller meldinger som ser ut til å komme fra deg
- Dårlig leveringsrate – legitime e-poster fra deg havner i spam hos mottakerne
- Tap av omdømme – kunder og partnere kan miste tilliten til e-poster fra dere
- Avvisning fra Google og Microsoft – begge har skjerpet kravene og avviser e-poster uten disse recordene
📊 Slik leser du DMARC-rapportene
Når DMARC er på plass begynner du å motta XML-rapporter fra Google, Microsoft og andre e-postleverandører. Disse er vanskelige å lese manuelt, men det finnes gode verktøy:
- dmarcian.com – mest brukte og anerkjente verktøyet, 30 dagers gratis prøveperiode
- mxtoolbox.com – gratis, bra for å analysere enkeltrapporter
- easydmarc.com – brukervennlig med god forklaring
Rapportene viser deg blant annet:
- Hvem som sender e-post på vegne av domenet ditt
- Hvor mange e-poster som passerer SPF og DKIM
- Om noen misbruker domenet ditt til spam eller phishing
🔧 Hvordan sette det opp
Alle tre recordene legges til i DNS-en din hos domeneregistraren din – f.eks. one.com, GoDaddy eller Domeneshop.
SPF legges til som en TXT-record på domenet:
v=spf1 include:spf.protection.outlook.com -all
DKIM aktiveres i Microsoft 365 Defender under E-post og samarbeid → DKIM. Microsoft genererer to CNAME-poster du legger til i DNS.
DMARC legges til som en TXT-record på _dmarc.domenet.no:
v=DMARC1; p=none; rua=mailto:post@dinbedrift.no; fo=1
Start alltid med p=none og gå gradvis opp til p=reject over noen uker etter at du har fulgt med på rapportene.
✅ Sjekk om domenet ditt er beskyttet
Du kan enkelt sjekke statusen på domenet ditt med disse gratisverktøyene:
- mxtoolbox.com/emailhealth – komplett sjekk av SPF, DKIM og DMARC
- dmarcian.com/domain-checker – rask DMARC-sjekk
- learndmarc.com – send en test-e-post og se hva som skjer
🛠️ Hvordan vi i Logje Data AS kan hjelpe
Vi hjelper bedrifter med å sette opp og verifisere SPF, DKIM og DMARC:
- 🔍 Gjennomgang av eksisterende DNS-konfigurasjon
- 🔧 Oppsett av SPF, DKIM og DMARC
- 📊 Hjelp til å lese og forstå DMARC-rapporter
- 🔒 Microsoft 365-sikkerhet og e-postbeskyttelse
📞 Trenger du hjelp?
Er du usikker på om e-posten din er sikker nok? Ta kontakt med Logje Data AS for en uforpliktende gjennomgang av DNS-konfigurasjonen din. ✅ Vi leverer Microsoft 365, IT-sikkerhet og total IT-drift – alt på ett sted.