Sikker e-post-oppsett: SPF, DKIM og DMARC

Beskytt domenet ditt mot phishing og spoofing med riktig e-postautentisering.

Hvorfor e-postsikkerhet betyr noe

E-post er fortsatt den mest brukte kommunikasjonskanalen for bedrifter. Samtidig er phishing og e-postsvindel blant de største truslene. Angripere kan enkelt forfalske avsenderadresser og sende e-post som ser ut til å komme fra din bedrift — med alvorlige konsekvenser for tillit og sikkerhet.

Med SPF, DKIM og DMARC kan du bevise at e-post faktisk kommer fra dine servere, og instruere mottakere hvordan de skal håndtere e-post som ikke består sjekkene. For norske bedrifter er dette spesielt viktig i lys av GDPR og Datatilsynets krav til datasikkerhet.

Hva er e-postautentisering?

E-postautentisering er en samling av tekniske standarder som lar mottakere verifisere at en e-postmelding faktisk kommer fra den som står som avsender. Uten disse mekanismene kan hvem som helst sende e-post som «ser ut» til å komme fra @dinbedrift.no.

De tre hovedpilarene er SPF (hvem kan sende), DKIM (er meldingen uendret?) og DMARC (hva skal mottakeren gjøre ved mislykkede sjekker?). Alle tre lagres som DNS-poster — du kan sjekke status med vårt e-postsikkerhetsverktøy.

SPF i detalj

SPF (Sender Policy Framework) er en TXT-post som lister hvilke IP-adresser og servere som er autorisert til å sende e-post for domenet ditt. Når en mottakerserver mottar e-post fra @eksempel.no, slår den opp SPF-posten og sjekker om avsenders IP står på listen.

Eksempel: v=spf1 include:_spf.google.com ~all. Her inkluderes Googles SPF (for Gmail/Workspace), og ~all betyr «soft fail» — servere som ikke matcher bør behandles med forsiktighet. Bruk -all for «hard fail» (avvis).

Vanlige feil: Glemme å inkludere tredjepartstjenester (f.eks. Mailchimp, SendGrid), ha for mange DNS-lookups (maks 10), eller bruke +all som tillater alle — noe som gjør SPF verdiløst.

DKIM i detalj

DKIM (DomainKeys Identified Mail) signerer e-postmeldinger kryptografisk. Avsenderserveren legger til en digital signatur i e-posthodet. Mottakerserveren henter den offentlige nøkkelen fra DNS og verifiserer at meldingen ikke er endret underveis.

Du oppretter et nøkkelpar: en privat nøkkel (hemmelig, på mailserveren) og en offentlig nøkkel (publisert som TXT-post, f.eks. selector._domainkey.eksempel.no). E-postplattformen din (Google Workspace, Microsoft 365, egen server) signerer meldinger med den private nøkkelen.

Viktig: Roter DKIM-nøkler med jevne mellomrom (f.eks. årlig) og sørg for at gamle nøkler fortsatt er gyldige i en overgangsperiode.

DMARC i detalj

DMARC (Domain-based Message Authentication, Reporting and Conformance) bygger på SPF og DKIM. Den forteller mottakere hva de skal gjøre med e-post som feiler SPF eller DKIM-sjekk, og styrer «alignment» — at avsenderdomenet matcher det som er i From-adressen.

Politikk (p=):

  • p=none — Kun overvåk (anbefalt først for å se rapportene)
  • p=quarantine — Legg mistenkelig e-post i spam
  • p=reject — Avvis e-post som feiler (strammest)

Rapportering: rua=mailto:dmarc@eksempel.no for aggregerte rapporter (daglig), ruf=mailto:dmarc@eksempel.no for forekomstrapporter ved enkeltfeil. Rapportene viser hvem som forsøker å sende e-post på vegne av domenet ditt.

Steg-for-steg: Sett opp e-postsikkerhet

  1. Identifiser alle tjenester som sender e-post for domenet (e-postleverandør, nyhetsbrev, CRM, etc.)
  2. Opprett SPF-posten med alle nødvendige include:-oppføringer. Start med ~all.
  3. Aktiver DKIM hos e-postleverandøren og legg inn den offentlige nøkkelen i DNS.
  4. Opprett DMARC med p=none og rua for rapporter. Vent 1–2 uker.
  5. Analyser rapportene — ser du legitim trafikk som feiler? Rettinger før du strammer inn.
  6. Øk til p=quarantine, overvåk igjen, deretter p=reject når du er trygg.

E-postsikkerhet for norske bedrifter

I Norge gjelder GDPR og personvernlovgivningen. Datatilsynet anbefaler at organisasjoner implementerer tekniske tiltak for å beskytte personopplysninger. E-postautentisering reduserer risikoen for at sensitive data havner hos feil mottakere via phishing.

NS 5839 (Norsk standard for informasjonssikkerhet) og ISO 27001 stiller krav til kommunikasjonssikkerhet. SPF, DKIM og DMARC er anerkjente og anbefalte tiltak som viser at du tar e-postsikkerhet på alvor.

Vanlige feil og hvordan unngå dem

  • For streng SPF — Glemmer du en tjeneste, kan legitim e-post feile. Test grundig før du går til -all.
  • Manglende DKIM-rotasjon — Gamle nøkler uten overlapp kan gjøre at meldinger feiler når du roterer.
  • DMARC p=none for alltid — Overvåkingsmodus er bra i starten, men du bør til slutt stramme inn for reell beskyttelse.
  • Subdomener — Husk at subdomener (f.eks. nyhetsbrev.eksempel.no) trenger egne SPF/DKIM/DMARC eller subdomain-policy.

Ofte stilte spørsmål om e-postsikkerhet

Hva er forskjellen mellom SPF og DKIM?
SPF sjekker om avsenders IP-adresse er autorisert til å sende for domenet. DKIM signerer selve meldingen kryptografisk, slik at mottakeren kan verifisere at innholdet ikke er endret. Begge er viktige — DMARC krever at minst én av dem består (med alignment).
Hvorfor feiler e-post min SPF-sjekken?
Vanlige årsaker: Avsenderserveren er ikke listet i SPF-posten, du bruker en tredjepartstjeneste som ikke er inkludert, eller du har flere SPF-poster (du kan kun ha én SPF-post per domene). Bruk e-postsikkerhetssjekken for å analysere konfigurasjonen.
Kan jeg ha både SPF og DKIM?
Ja, og du bør ha begge. DMARC krever at minst én består med alignment. Mange mottakere (f.eks. Gmail) foretrekker at begge er på plass for best mulig leveringsrate.
Hva betyr DMARC alignment?
Alignment betyr at domenet i From-adressen matcher domenet som ble verifisert av SPF eller DKIM. Organisational alignment (fra=o) er mer fleksibel enn streng alignment (fra=s). Uten alignment kan en angriper bruke et subdomene som teknisk består SPF/DKIM.
Hvor lenge tar det å sette opp SPF, DKIM og DMARC?
Selve DNS-endringene tar minutter. Propagering kan ta opptil 48 timer. Anbefalt arbeidsflyt: Sett opp alt, start med DMARC p=none, vent 1–2 uker på rapporter, rett eventuelle problemer, og stram deretter gradvis inn.
Hva gjør jeg med DMARC-rapportene?
Rapportene viser hvem som sender e-post på vegne av domenet ditt. Bruk dem til å identifisere legitim trafikk du kanskje glemte i SPF, og til å oppdage forsøk på spoofing. Mange verktøy (f.eks. Postmark, Valimail) parser rapportene for deg.
Trenger subdomener egen SPF?
Subdomener arver ikke SPF fra rotdomenet. Hvis nyhetsbrev.eksempel.no sender e-post, må du enten ha en SPF-post for det subdomenet, eller bruke include fra rotdomenet. Mange bruker samme SPF for hele domenet via include.
Er e-postautentisering påkrevd i Norge?
Det er ikke lovpålagt, men Datatilsynet og NS 5839 anbefaler tekniske tiltak for datasikkerhet. For bedrifter som håndterer personopplysninger er SPF, DKIM og DMARC gode praksis som reduserer risiko og viser etterlevelse.

Relaterte artikler

E-postsikkerhetssjekk

Analyser SPF, DMARC og DKIM for et domene

DNS Oppslag

Slå opp DNS-poster inkludert TXT for SPF/DKIM

Hva er DNS?

Forstå hvordan DNS fungerer