Arrow Left Back to Blog

Hvorfor din bedrift trenger DMARC, DKIM og SPF – og hvordan du setter det opp i Microsoft 365

Blume Team
Calendar February 18, 2026
5 min read
Hvorfor din bedrift trenger DMARC, DKIM og SPF – og hvordan du setter det opp i Microsoft 365

Det starter ofte med en telefon fra en forvirret kunde: «Vi har fått en faktura fra dere med en merkelig lenke – er dette ekte?» Eller kanskje det er en leverandør som lurer på hvorfor de aldri mottar svarene dine. I verste fall oppdager du at noen har sendt tusenvis av spam-meldinger i bedriftens navn.

Velkommen til virkeligheten når e-postdomenet ditt ikke er ordentlig sikret.

For norske bedrifter er e-post fortsatt den viktigste kommunikasjonskanalen – både internt og eksternt. Men uten riktig autentisering er det som å la hoveddøren stå på vidt gap. Hvem som helst kan utgå seg for å være deg, og mottakerne har ingen måte å vite forskjell på.

Hvorfor e-postsikkerhet ikke lenger er valgfritt

Mer enn 90 prosent av alle nettangrep starter med en e-post. Phishing, spoofing og direktørsvindel er ikke bare teoretiske trusler – de rammer norske bedrifter hver eneste dag. Og konsekvensene er reelle: tapt tillit, skadet omdømme, økonomisk tap, og i verste fall brudd på personvernregelverket.

Men det handler ikke bare om å beskytte seg mot angrep utenfra. Uten ordentlig e-postautentisering risikerer du også at legitime meldinger fra din bedrift havner i spam-filteret hos kundene. Fakturaer som ikke kommer frem. Tilbud som aldri blir lest. Viktig kommunikasjon som forsvinner i det digitale mørket.

Det er her SPF, DKIM og DMARC kommer inn i bildet. Disse tre protokollene jobber sammen for å sikre at e-posten din faktisk er det den utgir seg for å være – og at mottakerne kan stole på den.

Hva er egentlig SPF, DKIM og DMARC?

La oss ta det enkelt, uten unødvendig teknisk sjargong.

SPF (Sender Policy Framework) er som en godkjent avsenderliste. Du forteller verden hvilke servere som har lov til å sende e-post på vegne av ditt domene. Når noen mottar en e-post som påstår å være fra deg, kan de sjekke om den faktisk kommer fra en godkjent server. Hvis ikke, er det grunn til å være skeptisk.

DKIM (DomainKeys Identified Mail) fungerer som et digitalt sigill på e-posten din. Hver melding får en kryptografisk signatur som beviser at den faktisk kommer fra deg, og at innholdet ikke er endret underveis. Tenk på det som lakkseglet på et gammelt brev – hvis det er brutt, vet du at noen har tuklet med det.

DMARC (Domain-based Message Authentication, Reporting and Conformance) er sjefen som holder oversikten. Den bygger på SPF og DKIM, og forteller mottakerne hva de skal gjøre hvis en e-post ikke passerer sikkerhetssjekken. Skal den avvises? Havne i spam? Eller bare flagges som mistenkelig? DMARC gir deg også verdifull innsikt gjennom rapporter som viser hvem som prøver å sende e-post i ditt navn.

Email authentication flow

Sammen skaper disse tre protokollene et robust forsvar som beskytter både deg og mottakerne av e-posten din.

Forretningsverdien: Mer enn bare IT-sikkerhet

Det er lett å tenke på e-postautentisering som nok en teknisk oppgave på IT-avdelingens liste. Men dette handler om mye mer enn bare sikkerhet.

Omdømme og tillit er fundamentet for enhver bedrift. Når kunder mottar phishing-forsøk som ser ut til å komme fra deg, skades tilliten – selv om du ikke har noe med det å gjøre. Med ordentlig DMARC-oppsett kan du aktivt forhindre at noen misbruker ditt merkenavn.

E-postleveranse påvirker bunnlinjen direkte. Hvis fakturaene dine havner i spam, forsinkes betalinger. Hvis markedsføringsmeldingene ikke når frem, mister du salg. Store e-posttjenester som Gmail og Outlook krever i økende grad DMARC for å akseptere e-post – det er ikke lenger en «nice to have», men en forutsetning for å bli tatt seriøst.

Compliance og regelverk blir stadig strengere. Personvernforordningen (GDPR) krever at du tar rimelige sikkerhetstiltak for å beskytte personopplysninger. Hvis en kunde blir lurt av en phishing-e-post som utgir seg for å være fra deg, kan det få juridiske konsekvenser.

Slik setter du det opp i Microsoft 365

Heldigvis er Microsoft 365 bygget med støtte for alle disse protokollene. Oppsettet krever litt arbeid, men det er langt fra rakettvitenskap.

SPF-oppsettet starter i DNS-innstillingene dine. Du må legge til en TXT-record som inkluderer Microsofts servere: v=spf1 include:spf.protection.outlook.com -all. Dette forteller verden at e-post fra ditt domene skal komme fra Microsofts infrastruktur. Hvis du bruker andre tjenester som også sender e-post på dine vegne (markedsføringsverktøy, CRM-systemer, etc.), må disse også inkluderes.

DKIM aktiveres direkte i Microsoft 365 admin-senteret. Under «Threat management» finner du DKIM-innstillingene hvor du kan generere nøkler for ditt domene. Microsoft lager to CNAME-records som du må legge til i DNS-en din. Når disse er på plass, vil all utgående e-post automatisk signeres digitalt.

DMARC-policyen er det siste steget, og kanskje det viktigste. Du legger til en ny TXT-record i DNS-en din som starter med v=DMARC1. Her definerer du hva som skal skje med e-post som ikke passerer autentiseringen. Start gjerne forsiktig med p=none for å samle inn rapporter uten å blokkere noe. Når du er trygg på at alt fungerer, kan du trappe opp til p=quarantine eller p=reject.

Det viktigste er å ikke hoppe over rapporteringsdelen. Ved å legge til rua=mailto:din-epost@bedrift.no får du regelmessige rapporter som viser hvem som sender e-post i ditt navn. Dette gir deg verdifull innsikt og lar deg oppdage problemer før de blir alvorlige.

Vanlige fallgruver og hva du bør passe på

Det er noen typiske utfordringer som dukker opp når bedrifter setter opp e-postautentisering.

Tredjepartstjenester er ofte syndebukken. Hvis du bruker Mailchimp, HubSpot, Salesforce eller lignende verktøy til å sende e-post, må disse også konfigureres riktig. De trenger sine egne SPF-inkluderinger og DKIM-signaturer. Mange bedrifter glemmer dette, og plutselig fungerer ikke nyhetsbrevet eller CRM-systemet som det skal.

DNS-endringer tar tid. Når du legger til nye records, kan det ta alt fra noen minutter til 48 timer før endringene er synlige overalt. Vær tålmodig, og test grundig før du skrur på strenge DMARC-regler.

For streng policy for tidlig er en klassiker. Hvis du setter DMARC til p=reject før du har kartlagt alle legitime e-postkilder, risikerer du å blokkere viktig kommunikasjon. Start alltid med p=none, analyser rapportene i noen uker, og juster SPF og DKIM til alt fungerer perfekt. Først da bør du trappe opp sikkerhetsnivået.

Ta kontroll over e-postsikkerheten din

E-post er for viktig til å la det være usikret. Med SPF, DKIM og DMARC på plass beskytter du ikke bare bedriften mot svindel og omdømmetap – du sikrer også at den viktigste kommunikasjonskanalen din faktisk fungerer som den skal.

Oppsettet krever teknisk innsikt og nøye planlegging. DNS-konfigurasjoner, kryptografiske nøkler og policy-håndtering er ikke noe man gjør på en halvtime mellom møter. Og konsekvensene av feil kan være betydelige.

Hos Ironstone har vi satt opp e-postautentisering for hundrevis av norske bedrifter. Vi vet hvilke fallgruver som finnes, hvordan man håndterer komplekse oppsett med flere e-postkilder, og hvordan man tolker DMARC-rapportene for å kontinuerlig forbedre sikkerheten.

Vi gjør IT enkelt og trygt – slik at du kan fokusere på det du er best på. Vil du ha hjelp til å sikre e-postdomenet ditt? Ta kontakt, så tar vi en uforpliktende prat om hvordan vi kan hjelpe.