Du har kanskje opplevd det selv: Du sender en viktig faktura til en kunde eller et pristilbud til en potensiell samarbeidspartner, men får aldri svar. Etter en uke tar du kontakt, bare for å høre at de aldri har mottatt e-posten din. Etter en sjekk viser det seg at den havnet rett i kundens søppelpost-mappe.
Dette er et vanlig problem for bedriftseiere over hele Norge. Tenk deg for eksempel Andreas, en rørlegger i Bergen, som mister en stor kontrakt fordi tilbudet hans ble flagget som søppelpost av kundens Microsoft 365-filter. For Andreas ser e-posten profesjonell ut, men for mottakerens server mangler den de nødvendige sikkerhetsstemplene som beviser at den faktisk kommer fra ham.
I dagens digitale landskap er det ikke lenger nok å bare skrive en god e-post. Verdens største e-postleverandører, som Google og Yahoo, har innført strenge krav til hvordan e-post skal autentiseres. Hvis du ikke har satt opp de riktige tekniske innstillingene for domenet ditt, risikerer du ikke bare at e-postene dine forsvinner, men også at domenet ditt blir svartelistet.
I denne artikkelen skal vi gå i dybden på de tre viktigste verktøyene du har for å sikre at e-posten din havner i innboksen: SPF, DKIM og DMARC. Vi forklarer hva de er, hvordan de fungerer sammen, og hvorfor de er kritiske for din bedrifts omdømme på nett.
Hurtigoppsummering
SPF (Sender Policy Framework) forteller verden hvilke servere som har lov til å sende e-post på dine vegne.
DKIM (DomainKeys Identified Mail) legger til en digital signatur som garanterer at innholdet ikke er endret underveis.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) gir instruksjoner om hva som skal skje hvis SPF eller DKIM feiler.
Manglende autentisering er den vanligste årsaken til at e-post havner i søppelpost hos store leverandører som Gmail og Outlook.
Disse innstillingene konfigureres i DNS-sonen til domenet ditt hos din domeneregistrar.
Korrekt oppsett beskytter også mot at svindlere sender e-post i ditt navn (spoofing).
Hva er egentlig e-postautentisering?
E-post ble opprinnelig designet i en tid der internett var basert på tillit. Det var teknisk sett mulig for hvem som helst å sende en e-post og utgi seg for å være hvem som helst. Dette kalles "spoofing". For å bekjempe dette har det over tid blitt utviklet tre standarder som fungerer som et digitalt pass og visum for e-postene dine.
Når du sender en e-post fra ditt webhotell eller din egen server, utfører mottakerens e-postserver en rekke kontroller før den slipper meldingen inn i innboksen. Den spør seg selv: "Kjenner jeg denne avsenderen? Er dette en autorisert kilde? Er meldingen endret av en tredjepart?"
SPF: Din autoriserte gjesteliste
SPF. står for Sender Policy Framework. Tenk på SPF som en gjesteliste for domenet ditt. I din DNS-sone publiserer du en tekststreng (TXT-record) som lister opp alle IP-adressene eller serverne som har lov til å sende e-post fra din adresse.
Hvis du for eksempel bruker Norgesdomene som leverandør, vil din SPF-post fortelle mottakerens server at "alle e-poster som kommer fra Norgesdomenes servere er godkjent av meg". Hvis en svindler i et annet land forsøker å sende e-post fra sin egen server, men bruker din adresse, vil mottakerens server se at denne serveren ikke står på din SPF-liste og dermed kaste e-posten i søppelposten.
En vanlig feil er å ha for mange SPF-oppslag (maksimalt 10 er tillatt) eller å glemme tredjeparter som Mailchimp eller et regnskapssystem som sender fakturaer på dine vegne. Hvis disse ikke er inkludert i SPF-posten din, vil de ofte bli blokkert.
DKIM: Det digitale seglet
DKIM. står for DomainKeys Identified Mail. Mens SPF sjekker *hvor* e-posten kommer fra, sjekker DKIM *hva* som er i den og om avsenderen faktisk er den de utgir seg for å være.
Dette gjøres ved hjelp av kryptografi. Din utgående e-postserver setter en usynlig digital signatur i e-postens header (topptekst). Denne signaturen er unik for din e-post og ditt domene. Mottakerens server henter en offentlig nøkkel fra din DNS-profil for å låse opp og verifisere signaturen.
Hvis e-posten din blir plukket opp av en hacker underveis som forsøker å endre kontonummeret i fakturaen din, vil DKIM-signaturen bli ugyldig. Mottakerens server ser umiddelbart at "seglet er brutt" og behandler e-posten som utrygg.
DMARC: Sjefen som bestemmer
DMARC. står for Domain-based Message Authentication, Reporting, and Conformance. Dette er den mest kraftfulle komponenten. DMARC bruker SPF og DKIM for å gi mottakeren klare instrukser om hva de skal gjøre hvis noe ikke stemmer.
Uten DMARC er det opp til hver enkelt mottakerserver (som Gmail eller Outlook) å gjette hva de skal gjøre hvis SPF eller DKIM feiler. Med DMARC tar du kontrollen selv. Du kan sette tre ulike policyer:
p=none: (Overvåking) Send e-posten som vanlig, men send meg en rapport om at noe feilet.
p=quarantine: (Karantene) Hvis autentiseringen feiler, legg e-posten i søppelpost-mappen.
p=reject: (Avvisning) Hvis autentiseringen feiler, ikke lever e-posten i det hele tatt.
For en bedrift som ønsker maksimal sikkerhet, er målet å ende opp på "reject". Da er det fysisk umulig for andre å misbruke domenet ditt til å sende falske e-poster, da de vil bli stoppet i døra.
Hvorfor dette er kritisk for norske bedrifter
La oss se på et konkret eksempel med en fiktiv bedrift, "Oslo Elektro AS". De har ti ansatte som daglig sender tilbud og kommuniserer med kunder. De har nylig oppgradert til en profesjonell e-postløsning, men har ikke konfigurert SPF, DKIM og DMARC manuelt.
En dag begynner kundene deres å rapportere at de får merkelige e-poster fra Oslo Elektro som ber om innlogging på en falsk nettside. En hacker har "spoofet" domenet deres. Fordi Oslo Elektro ikke har satt opp DMARC med en streng policy, har ikke mottakernes servere noen grunn til å stoppe de falske e-postene.
Resultatet er svekket tillit, tapt arbeidstid og i verste fall økonomisk tap for kundene. Ved å implementere disse tre protokollene hos sin leverandør, kunne Oslo Elektro effektivt ha stoppet angrepet før en eneste e-post nådde frem til kundene.
Slik kommer du i gang med oppsettet
Prosessen med å sette opp disse protokollene krever tilgang til kontrollpanelet for domenet ditt. Hos Norgesdomene gjøres dette enkelt via DNS-innstillingene.
Steg 1: Sjekk din nåværende status
Bruk verktøy som MXToolbox eller dmarcian for å se om du allerede har SPF, DKIM eller DMARC aktivt. Mange moderne webhotell setter opp grunnleggende SPF automatisk, men DKIM og spesielt DMARC krever ofte manuell aktivering.
Steg 2: Konfigurer SPF
Lag en TXT-record i DNS. En enkel SPF-post ser slik ut: v=spf1 include:_spf.norgesdomene.no ~all. Dette forteller at Norgesdomene er en godkjent avsender. Tegnet ~all (softfail) betyr at e-post som feiler skal merkes som mistenkelig, men ikke nødvendigvis slettes umiddelbart.
Steg 3: Aktiver DKIM
DKIM genereres vanligvis i kontrollpanelet til e-postleverandøren din. Du får oppgitt en "selector" og en lang streng med tekst (den offentlige nøkkelen) som du må legge inn som en TXT- eller CNAME-record i DNS-en din.
Steg 4: Implementer DMARC
Når SPF og DKIM er på plass, kan du legge til DMARC. Start forsiktig med en policy som kun overvåker (none). En typisk start-record er: v=DMARC1; p=none; rua=mailto:admin@dittdomene.no. Her vil du få rapporter sendt til din e-postadresse om hvem som sender e-post i ditt navn.
Sjekkliste for sikker e-postlevering
Har du kun én SPF-post per domene? (Flere SPF-poster vil gjøre dem ugyldige).
Inneholder SPF-posten din alle verktøy du bruker (f.eks. Visma, Mailchimp, Zendesk)?
Er DKIM aktivert for alle domener og subdomener?
Mottar du DMARC-rapporter for å overvåke eventuelle feil?
Har du vurdert å oppgradere til en VPS for bedre kontroll over din egen IP-reputasjon hvis du sender store mengder e-post?
Ofte stilte spørsmål
Hva skjer hvis jeg har feil i SPF-oppsettet mitt?
Hvis SPF-posten din inneholder feil, for eksempel feilstavinger eller at du peker på feil servere, vil mange mottakere se på e-postene dine som uautoriserte. Dette fører ofte til at e-posten havner rett i søppelposten eller blir helt blokkert.
Hvorfor krever Google og Yahoo DMARC nå?
For å beskytte sine brukere mot phishing og spam, annonserte de store leverandørene i 2024 at alle som sender mer enn 5000 e-poster om dagen til deres tjenester, *må* ha SPF, DKIM og DMARC korrekt konfigurert. Selv om du sender mindre, følger de samme reglene for å vurdere din troverdighet.
Kan jeg sette opp DMARC selv?
Ja, det er fullt mulig å sette opp DMARC selv via DNS. Det anbefales imidlertid å starte med p=none for å se at alt fungerer som det skal før du strammer inn til p=quarantine eller p=reject, ellers risikerer du å blokkere dine egne legitime e-poster.
Hvor lang tid tar det før DNS-endringer trer i kraft?
Endringer i DNS kan ta alt fra noen minutter til 24-48 timer å spre seg over hele internett (propagering). Det er lurt å vente litt før du tester om endringene har hatt effekt.
Må jeg ha SPF hvis jeg allerede har DKIM?
Ja. Selv om begge er autentiseringsmetoder, utfyller de hverandre. Noen servere foretrekker SPF, andre DKIM. DMARC krever at minst én av dem (helst begge) er på plass og fungerer korrekt for å gi full beskyttelse.
Hva kan vi hjelpe deg med?
Å navigere i den tekniske jungelen av e-postautentisering kan virke overveldende, men det er en av de viktigste investeringene du gjør i din digitale tilstedeværelse. Ved å sikre at SPF, DKIM og DMARC er riktig satt opp, beskytter du ikke bare ditt eget omdømme, men du sikrer også at kundene dine får den informasjonen de trenger, når de trenger den.
Hos Norgesdomene har vi gjort det enkelt å administrere dine DNS-innstillinger. Våre pakker for webhotell og e-post er designet for å gi deg de verktøyene du trenger for profesjonell og sikker kommunikasjon.
Er du usikker på om ditt oppsett er korrekt, eller trenger du hjelp til å konfigurere ditt domene? Vårt kundesenter har lang erfaring med å hjelpe norske bedrifter med akkurat dette.
Ta kontakt med oss i dag for en hyggelig prat om hvordan vi kan sikre at din e-post alltid når frem til innboksen.



