SPF, DKIM og DMARC: Komplett guide til e-postsikkerhet

Visste du at over 90 % av alle cyberangrep starter med en falsk e-post? Uten riktig oppsett av SPF, DKIM og DMARC kan hvem som helst sende e-post som ser ut til å komme fra ditt domene. Denne guiden viser deg nøyaktig hvordan du beskytter domenet ditt med TXT-poster, slik at du stopper svindlere før de når innboksen.

Kort oppsummert: SPF forteller mottakeren hvilke servere som har lov til å sende e-post på vegne av domenet ditt. DKIM legger til en digital signatur som bekrefter at meldingen ikke er endret underveis. DMARC knytter SPF og DKIM sammen og bestemmer hva som skal skje med e-poster som feiler autentisering. Alle tre settes opp som TXT-poster i DNS, og du kan registrere og administrere .no-domener hos Feno med full kontroll over DNS-innstillingene dine.

Hva er SPF, DKIM og DMARC?

SPF, DKIM og DMARC er tre ulike standarder for e-postautentisering. Sammen danner de et sikkerhetslag som gjør det svært vanskelig for uvedkommende å forfalske avsenderadressen din. La oss se på hver enkelt.

SPF: Sender Policy Framework

SPF er en TXT-post i DNS som lister opp alle servere og IP-adresser som har tillatelse til å sende e-post fra ditt domene. Når en mottaker får en e-post fra deg, sjekker e-postserveren SPF-posten for å verifisere at avsenderserveren faktisk er godkjent.

Et typisk SPF-oppføring ser slik ut:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all

Her godkjenner du Google Workspace og Microsoft 365 som legitime avsendere. Delen ~all betyr at alle andre servere skal behandles med mistenksomhet. Uten SPF kan en angriper sende e-post som post@dittdomene.no uten at mottakeren oppdager det.

DKIM: DomainKeys Identified Mail

DKIM fungerer som et digitalt stempel på e-posten din. Avsenderserveren signerer meldingen med en privat nøkkel, og den tilhørende offentlige nøkkelen publiseres som en TXT-post i DNS. Mottakerens server bruker den offentlige nøkkelen til å verifisere at innholdet ikke er manipulert underveis.

DKIM-posten ligger vanligvis på et subdomene som selector._domainkey.dittdomene.no og inneholder den offentlige nøkkelen. Denne mekanismen sikrer meldingsintegritet, noe SPF alene ikke gjør.

DMARC: Domain-based Message Authentication

DMARC er limet som binder SPF og DKIM sammen. Med DMARC bestemmer du hva mottakerens e-postserver skal gjøre når en melding feiler autentisering: ingenting (none), sette i karantene (quarantine) eller avvise helt (reject).

En DMARC-post ser typisk slik ut:

v=DMARC1; p=quarantine; rua=mailto:dmarc@dittdomene.no; pct=100

Her ber du om at e-poster som feiler autentisering settes i karantene, og at rapporter sendes til din e-postadresse. Rapportene gir deg innsikt i hvem som prøver å sende e-post på vegne av domenet ditt.

Hvorfor trenger domenet ditt SPF, DKIM og DMARC?

I 2026 er e-postsvindel mer sofistikert enn noensinne. Ifølge Norsk senter for informasjonssikring (NorSIS) er phishing den vanligste formen for nettsvindel i Norge. Uten e-postautentisering risikerer du:

  • Domenekapring for phishing: Svindlere sender falske fakturaer eller innloggingslenker som ser ut til å komme fra din bedrift
  • Tapt omdømme: Kunder og partnere mister tillit når domenet ditt brukes i svindelkampanjer
  • Dårligere leveringsrate: Google og Microsoft krever nå SPF, DKIM og DMARC for pålitelig e-postlevering
  • Svartelisting: Domenet ditt kan bli blokkert av e-postleverandører hvis det misbrukes

Google innførte i 2024 strengere krav som betyr at avsendere uten gyldig autentisering får e-postene sine filtrert bort. I praksis betyr dette at korrekt oppsett av SPF, DKIM og DMARC er obligatorisk for alle som bruker e-post profesjonelt.

Slik setter du opp SPF, DKIM og DMARC steg for steg

Oppsettet gjøres i DNS-kontrollpanelet for domenet ditt. Hos en norsk domeneregistrar som Feno har du full tilgang til å redigere TXT-poster direkte i et moderne og oversiktlig grensesnitt.

Steg 1: Sett opp SPF

  1. Logg inn i kontrollpanelet for domenet ditt
  2. Gå til DNS-innstillinger og opprett en ny TXT-post
  3. Sett Host til @ (rotnivå)
  4. Legg inn SPF-verdien basert på din e-postleverandør. For Google Workspace: v=spf1 include:_spf.google.com ~all
  5. Lagre posten og vent opptil 24 timer på DNS-propagering

Tips: Du kan bare ha én SPF-post per domene. Hvis du bruker flere e-posttjenester, kombiner dem i én post med flere include:-setninger.

Steg 2: Aktiver DKIM

  1. Generer et DKIM-nøkkelpar via e-postleverandøren din (Google Workspace, Microsoft 365 eller lignende)
  2. Kopier den offentlige nøkkelen og TXT-postverdien
  3. Opprett en ny TXT-post i DNS med selectornavnet fra leverandøren (f.eks. google._domainkey)
  4. Lim inn den offentlige nøkkelen som verdi
  5. Aktiver DKIM-signering i e-postleverandørens administrasjonspanel

Steg 3: Konfigurer DMARC

  1. Start med en overvåkingspolicy: v=DMARC1; p=none; rua=mailto:dmarc@dittdomene.no
  2. Opprett en TXT-post med Host satt til _dmarc
  3. Overvåk rapportene i 2 til 4 uker for å se hvem som sender e-post fra domenet ditt
  4. Stram inn til p=quarantine når du er sikker på at alle legitime avsendere er dekket
  5. Gå til p=reject for maksimal beskyttelse når alt fungerer som det skal

Viktig: Ikke hopp rett til reject uten testing. Start med none for å unngå at legitime e-poster blokkeres.

Vanlige feil ved oppsett av e-postautentisering

Selv erfarne IT-folk gjør feil med TXT-poster. Her er de vanligste fallgruvene:

  • Flere SPF-poster: DNS tillater kun én SPF-post per domene. Har du to, vil begge feile
  • For mange DNS-oppslag i SPF: SPF har en grense på 10 DNS-oppslag. Overstiger du dette, feiler hele valideringen
  • Manglende alignment: DMARC krever at domenet i From-adressen matcher domenet i SPF eller DKIM. Sjekk at e-postleverandøren sender med riktig domene
  • Glemt å oppdatere ved bytte av e-posttjeneste: Bytter du fra én leverandør til en annen, må SPF og DKIM oppdateres umiddelbart
  • Ignorerte DMARC-rapporter: Rapportene forteller deg om problemer. Bruk et verktøy som analyserer XML-rapportene automatisk

Hvordan Feno hjelper deg med domenesikkerhet

Hos Feno får du et DNS-kontrollpanel som gjør det enkelt å opprette og administrere TXT-poster for SPF, DKIM og DMARC. I tillegg tilbyr Feno:

  • DNSSEC-støtte: Feno støtter DNSSEC, som legger et ekstra lag med kryptografisk sikkerhet på DNS-postene dine. Dette forhindrer at angripere manipulerer DNS-svar
  • Domeneovervåking: Få automatiske varsler ved endringer i domeneinnstillinger, slik at du oppdager uautoriserte endringer raskt
  • Norsk kundeservice: Ved en sikkerhetshendelse er det avgjørende med rask og forståelig hjelp. Feno tilbyr support på norsk fra folk som kjenner det norske domeneøkosystemet
  • Transparent prising: Ingen skjulte gebyrer for DNS-administrasjon eller sikkerhetsinnstillinger

Verdien av en norsk registrar viser seg spesielt ved sikkerhetshendelser. Når du trenger øyeblikkelig hjelp med å sperre et kompromittert domene eller endre DNS-poster, slipper du å forholde deg til internasjonal support med lange ventetider og språkbarrierer.

Slik verifiserer du at oppsettet fungerer

Etter at du har konfigurert alle tre TXT-postene, bør du teste oppsettet. Her er noen metoder:

  1. Send en test-e-post til Gmail: Åpne meldingen i Gmail, klikk på de tre prikkene og velg "Vis original". Her ser du om SPF, DKIM og DMARC passerer
  2. Bruk nettbaserte verktøy: Tjenester som MXToolbox eller dmarcian lar deg sjekke TXT-postene dine direkte
  3. Sjekk DMARC-rapporter: Etter noen dager mottar du XML-rapporter som viser autentiseringsresultater for alle e-poster sendt fra domenet ditt

Se etter PASS på alle tre kontrollene. Hvis noe viser FAIL, gå tilbake og sjekk TXT-postene i DNS-panelet.

Ofte stilte spørsmål om SPF, DKIM og DMARC

Er SPF, DKIM og DMARC gratis å sette opp?

Ja, alle tre er gratis å konfigurere. Det krever kun tilgang til DNS-innstillingene for domenet ditt, noe du får inkludert når du registrerer et domene hos Feno. Det er ingen ekstra kostnader for å opprette TXT-poster.

Hva skjer hvis jeg bare setter opp SPF uten DKIM og DMARC?

SPF alene gir begrenset beskyttelse. Uten DKIM kan meldingsinnholdet manipuleres etter sending. Uten DMARC har du ingen kontroll over hva som skjer med e-poster som feiler autentisering. For full beskyttelse trenger du alle tre.

Hvor lang tid tar det før TXT-postene er aktive?

DNS-endringer kan ta fra noen minutter til 48 timer å propagere globalt. I praksis er de fleste endringer synlige innen 1 til 4 timer. Du kan sjekke status med et DNS-oppslagsverktøy underveis.

Beskytt domenet ditt i dag

E-postsvindel og phishing er reelle trusler som kan skade både omdømmet og økonomien til virksomheten din. Med riktig oppsett av SPF, DKIM og DMARC gjør du det nesten umulig for svindlere å misbruke domenet ditt.

Prosessen tar under en time, og effekten er umiddelbar. Kombiner e-postautentisering med DNSSEC og domeneovervåking for et komplett sikkerhetslag rundt domenet ditt. Sikre ditt .no-domene hos Feno i dag og ta kontroll over din digitale identitet med en registrar som forstår norske behov.

Registrer ditt .no-domene i dag

Sikre deg det perfekte domenenavnet for din bedrift eller prosjekt. Enkel registrering og administrasjon.

  • Norsk domeneforhandler
  • Enkel DNS-administrasjon
  • Konkurransedyktige priser
Kom i gang

Du vil kanskje også like dette