SPF, DKIM og DMARC forklart - bygg e-postsikkerhet riktig
SPF, DKIM og DMARC er tre TXT-poster i DNS som sammen sikrer at e-post fra ditt domene leveres riktig og ikke kan forfalskes. SPF angir hvem som får sende på dine vegne, DKIM signerer meldingene kryptografisk, og DMARC bestemmer hva som skjer hvis sjekkene feiler.
Hvorfor er e-postsikkerhet viktig?
Uten korrekt SPF, DKIM og DMARC blir e-post fra ditt domene ofte stemplet som spam - eller verre, kapret av phishing-forsøk i ditt navn. Store mottakere som Gmail og Outlook stiller stadig strengere krav, og fra 2024 er DMARC praktisk talt obligatorisk for å nå innboksen.
De tre teknologiene jobber sammen, men løser ulike problemer. Forståelsen av hver enkelt er nødvendig for å bygge robust e-postsetup.
SPF - hvem får sende?
Sender Policy Framework (SPF) er en TXT-post som angir hvilke IP-adresser eller servere som får sende e-post på vegne av domenet ditt.
Mottakerservere sjekker SPF mot avsenderens IP. Stemmer det ikke, vet de at meldingen kanskje er forfalsket.
v=spf1 include:_spf.google.com include:mailgun.org ~all
Mekanismer i SPF
ip4/ip6: spesifikke IP-adresser eller -blokker. a/mx: tillat servere som tilsvarer A-eller MX-pekeren. include: arve regler fra et annet domene (typisk leverandører). all: matcher alle andre - vanligvis med - (hardfail) eller ~ (softfail).
DKIM - er meldingen ekte?
DomainKeys Identified Mail (DKIM) signerer hver utgående melding kryptografisk. Mottakeren kan verifisere signaturen mot en offentlig nøkkel publisert i DNS.
Det betyr to ting: meldingen er ikke endret underveis, og den kommer fra noen som kontrollerer privatnøkkelen for det aktuelle selektoret.
google._domainkey.domene.io. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4..."
DMARC - hva gjør vi om sjekkene feiler?
Domain-based Message Authentication, Reporting and Conformance (DMARC) binder SPF og DKIM sammen og forteller mottakerservere hva de skal gjøre hvis autentiseringen feiler.
DMARC kan også sende rapporter til domeneeieren - en gullgruve for innsikt i hvordan domenet brukes (og misbrukes).
_dmarc.domene.io. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@domene.io; pct=100"
Slik ruller du ut sikkert
Aldri start med p=reject. En typisk gradvis utrulling tar 2-3 måneder:
- Uke 1-2: Sett opp SPF og DKIM riktig. Test med mail-tester.com.
- Uke 3-4: Aktiver DMARC med p=none og rapportering. Samle data.
- Uke 5-8: Analyser rapporter, juster SPF/DKIM, fang skygge-IT.
- Uke 9-12: Hev til p=quarantine med pct=10, så 50, så 100.
- Etter ~3 mnd: Hev til p=reject når du er trygg.
Slik gjør du det
- 1
Identifiser alle sendere
Lag en liste over alle tjenester som sender e-post på vegne av ditt domene - Google Workspace, Mailgun, HubSpot, fakturasystem, alt.
- 2
Sett opp SPF
Lag én TXT-post på rotnavnet med v=spf1, alle include-mekanismer, og avslutt med ~all (softfail) under utrulling.
- 3
Sett opp DKIM
Følg leverandørens veiledning for hver tjeneste. Hver tjeneste får sin egen selektor i DNS.
- 4
Aktiver DMARC med p=none
Start med p=none og en rua-adresse for rapporter. Du får aggregerte rapporter til e-posten.
- 5
Analyser rapportene
Bruk verktøy som Postmark DMARC eller dmarcian for å forstå hvem som sender, hvor, og om SPF/DKIM stemmer.
- 6
Stram inn gradvis
Når data ser bra ut, hev til p=quarantine, og deretter p=reject med pct=10/50/100 trinnvis.
Vanlige feil
- Gå rett til p=reject - kan blokkere legitim e-post.
- To SPF-poster på samme domene - slå dem sammen.
- Glemt en sendende tjeneste i SPF - meldinger fra dem havner i spam.
- DKIM-nøkler aldri rotert - anbefalt en gang per år.
- Ignorere DMARC-rapporter - der ligger gullet for forbedring.
Sjekkliste
- SPF-record satt opp med alle legitime sendere.
- DKIM-selektorer publisert for hver tjeneste.
- DMARC-record med rua-adresse for rapporter.
- Verktøy som mail-tester.com viser 10/10.
- Plan for gradvis stramming opp til p=reject.
Ofte stilte spørsmål
Trenger jeg SPF om jeg har DMARC?
Ja. DMARC bygger på SPF og/eller DKIM - minst én av dem må bestå. Ha begge for redundans.Hvor lang tid tar utrulling?
Plan med 2-3 måneder fra start til p=reject. Hopp ikke over rapport-fasen.Hvordan ser jeg DMARC-rapporter uten verktøy?
Rapportene er XML i e-post - vanskelig å lese manuelt. Bruk Postmark DMARC, dmarcian eller Easy DMARC for parsing.Hva er BIMI?
BIMI viser merkevarens logo i innboksen. Krever DMARC på p=quarantine eller p=reject + verifisert logo.Påvirker SPF/DKIM/DMARC e-post jeg mottar?
Indirekte - de beskytter ditt domene mot å bli misbrukt. Mottatt e-post sjekkes mot avsenderens egne records.
Oppsummert
- SPF angir hvem som får sende e-post på dine vegne.
- DKIM signerer meldinger kryptografisk for ekthet og integritet.
- DMARC binder dem sammen og styrer hva som skjer ved feilet sjekk.
- Roll alltid ut gradvis: none → quarantine → reject.
- Manglende oppsett gir dårlig e-postlevering og åpner for phishing.
Relaterte guider
Relaterte begreper
- Hva er SPF?SPF - Sender Policy Framework - er en TXT-post i DNS som angir hvilke servere som har lov til å sende e-post på vegne av domenet.
- Hva er DKIM?DKIM - DomainKeys Identified Mail - signerer utgående e-post kryptografisk med en privatnøkkel hos avsenderen.
- Hva er DMARC?DMARC - Domain-based Message Authentication - bygger på SPF og DKIM og forteller mottakerservere hvordan de skal håndtere e-post som ikke består autentisering.
- Hva er en TXT-peker?En TXT-peker er en DNS-post som inneholder fritekst og brukes ofte til verifisering, e-postsikkerhet (SPF, DKIM, DMARC) og eierskaps-bevis for tjenester som Google Search Console.
- Hva er en MX-peker?En MX-peker - Mail eXchange-record - forteller resten av internett hvilken server som mottar e-post for domenet ditt.
Relaterte verktøy
Snakk med våre rådgivere
Skreddersydd rådgivning for domener - trygge råd, ingen forpliktelser.
Få eksperthjelp