Slik strammer du inn DMARC trygt (none → reject)

DMARC er den kraftigste mekanismen du har for å beskytte domenet ditt mot e-postforfalskning. Men full beskyttelse krever tålmodighet – hopper du rett til reject uten forberedelser, risikerer du å blokkere din egen legitime e-post. Denne guiden viser deg hvordan du gjør det trygt, steg for steg.

Hva er DMARC og hvorfor en gradvis tilnærming?

DMARC (Domain-based Message Authentication, Reporting & Conformance) er en TXT-post i DNS, publisert under _dmarc.domenet.no. Den forteller mottakerservere hva de skal gjøre med e-post som ikke passerer SPF- eller DKIM-sjekken:

• none – Ingenting. Bare observasjon og rapportering.
• quarantine – Send til spammappe.
• reject – Avvis meldingen helt.

En gradvis innstramming er viktig fordi du først må forstå hvem og hva som sender e-post på dine vegne. Mange virksomheter har glemt tjenester: CRM-systemer, nyhetsbrevplattformer, faktureringssystemer – alle sender e-post fra ditt domene. Avviser du disse feilaktig, mister kunder og samarbeidspartnere meldingene dine.

Forutsetninger

Før du begynner DMARC-innstramming, sørg for at:

• SPF er konfigurert – En gyldig SPF TXT-post autoriserer alle dine legitime avsenderservere.
• DKIM er konfigurert – Utgående e-post er signert. Se dkim-oppsett for hjelp.
• Du har en rapportadresse – En e-postadresse som kan motta DMARC-rapporter (aggregatrapporter/RUA).

Fase 1: none – Overvåk uten å blokkere

Opprett DMARC-posten

Legg til følgende TXT-post i DNS:

Navn:  _dmarc.bedrift.no
Type:  TXT
Verdi: v=DMARC1; p=none; rua=mailto:dmarc@bedrift.no

• p=none betyr at ingenting skjer med e-post som feiler – du samler bare data.
• rua=mailto:... angir adressen som mottar daglige aggregatrapporter.

Hva du gjør i fase 1

Vent minimum 2–4 uker og analyser rapportene du mottar. Lær mer om tolking av rapporter i vår guide til dmarc-rapporter .

Se etter:

• Ukjente IP-adresser som sender e-post fra ditt domene (mulig forfalskning eller glemte tjenester).
• Legitime tjenester som ikke passerer SPF eller DKIM.

Oppdater SPF-posten til å inkludere alle legitime avsendere, og konfigurer DKIM for alle tjenester som mangler det.

Ikke rush fase 1. Jo lenger du observerer, jo tryggere er overgangen til neste fase.

Fase 2: quarantine – Begynn å håndheve

Når rapportene viser at nesten all din legitime e-post passerer autentisering, kan du gå til quarantine:

v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@bedrift.no

pct=10 betyr at policyen bare gjelder 10 % av e-post som feiler, resten behandles som none. Start lavt og øk gradvis.

Tidslinje for fase 2

Mottar du klager om at e-poster forsvinner, tilbakestill til lavere pct og undersøk rapportene på nytt.

Fase 3: reject – Full beskyttelse

Når du er trygg på at all legitim e-post passerer, setter du den endelige policyen:

v=DMARC1; p=reject; rua=mailto:dmarc@bedrift.no

Med p=reject vil mottakerservere avvise e-post som feiler DMARC-sjekken direkte, og avsenderen får en bounce-melding. Dette er den sterkeste beskyttelsen mot at noen utgir seg for å sende fra ditt domene.

Vanlige fallgruver

Glemte avsendertjenester: Husk tredjepartstjenester som sender e-post på dine vegne. Legg dem til i SPF og konfigurer DKIM der det er mulig.

Videresending: E-post som videresendes gjennom mellomliggende servere kan bryte SPF-sjekken. Vurder å bruke SPF-alignment-innstillingene aspf=r (relaxed) i DMARC-posten.

For rask innstramming: Hopp ikke fra none til reject i én operasjon. Alltid gjennom quarantine.

Rapporter ignoreres: Rapportanalyse er ikke valgfritt – det er selve grunnlaget for å gjøre dette trygt.

Oppsummering

DMARC-innstramming er en prosess, ikke en enkelthandling. Start med none, analyser rapportene i minst fire uker, gå gradvis til quarantine med lav pct, og kryss av på reject først når du er trygg. Kombinert med spf-dkim-dmarc gir dette ditt .no-domene industristandard e-postbeskyttelse.