E-postsikkerhet for bedrifter
En praktisk guide til e-postsikkerhet for bedrifter: autentiseringsprotokollene som hindrer spoofing, 2FA, phishing-bevissthet og eget domene.
E-post er fortsatt den vanligste inngangsporten for dataangrep mot norske bedrifter. Phishing, spoofing og kompromitterte kontoer koster virksomheter tid, penger og omdømme. Den gode nyheten er at mye kan gjøres med relativt enkle grep – særlig om du har e-post på eget domene og kontroll over DNS-innstillingene.
Hvorfor eget domene er et sikkerhetsgode
En e-postkonto på et gratis tjeneste gir deg begrenset kontroll. Med e-post på eget .no-domene kan du selv styre hvem som har lov til å sende e-post fra domenet, sette opp kryptografisk signering og motta varsler om misbruk.
Det gir deg tre tekniske verktøy som er vanskelige å bruke uten kontroll over DNS: SPF, DKIM og DMARC.
SPF, DKIM og DMARC: fundamentet
Disse tre protokollene jobber sammen for å beskytte mot spoofing – at noen utgir seg for å sende e-post fra domenet ditt.
SPF
SPF (Sender Policy Framework) er en TXT-post i DNS-en din som lister opp hvilke e-postservere som er autorisert til å sende på vegne av domenet. Mottakerserveren sjekker om den innkommende meldingen kom fra en godkjent kilde.
En typisk SPF-post ser slik ut:
v=spf1 include:mail.dittdomene.no ~all
~all betyr at e-post fra ukjente servere behandles som mistenkelig (softfail). ‑all er strengere og betyr at slike meldinger avvises.
DKIM
DKIM (DomainKeys Identified Mail) legger til en kryptografisk signatur i hver utgående e-post. Mottakeren kan verifisere at meldingen ikke er manipulert underveis og at den faktisk ble sendt av en server med tilgang til din private nøkkel.
DMARC
DMARC binder SPF og DKIM sammen og forteller mottakerservere hva de skal gjøre med e-post som ikke passerer sjekken – ingenting (none), sette i karantene (quarantine) eller avvise (reject). DMARC kan også sende deg aggregerte rapporter om e-postaktivitet fra domenet. Les mer om dette i guiden vår om DMARC-rapporter
.
Å sette opp alle tre er ikke valgfritt for en seriøs bedrift. Vymo hjelper deg med å konfigurere disse riktig for ditt .no-domene.
Tofaktorautentisering (2FA)
Et sterkt passord er ikke nok. Dersom en ansatts passord lekker – gjennom phishing, gjenbruk fra andre tjenester eller et datainnbrudd et annet sted – kan angriperen logge inn på e-postkontoen og lese, sende og slette e-post.
2FA krever en ekstra bekreftelse i tillegg til passordet, typisk en engangskode fra en autentiseringsapp. Det betyr at et lekket passord alene ikke er nok til å ta over kontoen.
Aktiver 2FA for alle e-postkontoer i bedriften. De fleste e-postklienter og webmail-løsninger støtter TOTP-basert 2FA (Time-based One-Time Password) via apper som Google Authenticator, Authy eller Microsoft Authenticator.
Phishing: den menneskelige faktoren
Tekniske tiltak beskytter mot mange angrep, men phishing retter seg mot mennesker – ikke systemer. Et phishing-angrep er en e-post som ser ut til å komme fra en pålitelig kilde (banken, en kollega, direktøren) og lurer mottakeren til å klikke en lenke, oppgi et passord eller overføre penger.
Vanlige kjennetegn
- Hastehenvendelser: «Kontoen din stenges om 24 timer»
- Usikre lenker: url-en ser riktig ut, men domenet er feil (f.eks. vymo-login.net i stedet for vymo.no)
- Forespørsel om passord, betalingsinformasjon eller overføring
- Dårlig norsk eller merkelig setningsoppbygging
Tiltak
- Lær opp ansatte til å verifisere avsenderadresser og mistenksomme lenker
- Rapporter phishing-forsøk til IT-ansvarlig og Nasjonal sikkerhetsmyndighet (NSM)
- Bruk ikke passordgjenbruk – separate passord for hvert system, gjerne via en passordhåndterer
- Verifiser betalingsforespørsler via telefon eller annen kanal om beløpet er uvanlig
Kryptering i transport og lagring
E-post sendt mellom servere som bruker TLS (Transport Layer Security) er kryptert i transit. Dette er i dag standard mellom moderne e-postservere. Pass likevel på at e-postklienten din er konfigurert til å bruke krypterte porter (993 for IMAP, 587 eller 465 for SMTP) – se vår guide til å sette opp e-post i Outlook og Apple Mail .
For svært sensitiv kommunikasjon kan du vurdere end-to-end-kryptering (S/MIME eller PGP), men dette er mer avansert og krever at begge parter er satt opp.
Rutiner og policy for ansatte
Teknologien er bare halve jobben. Gode rutiner er like viktige:
- Passordpolicy: Krev minst 12 tegn, kombinasjon av tegn. Rull passord ved avgang.
- Avgangsrutine: Deaktiver e-postkontoen til ansatte som slutter umiddelbart. Sett opp videresending eller autoresponder midlertidig.
- Delte kontoer: Unngå det der det er mulig. Bruk heller e-postalias for generelle adresser som post@ eller kontakt@, og la reelle innbokser tilhøre navngitte personer.
- Enhetssikkerhet: E-postklienten er bare så sikker som enheten den kjører på. Krev skjermlås og oppdatert operativsystem.
Holde seg oppdatert
Trusselbildet endrer seg kontinuerlig. Det viktigste er ikke å ha det perfekte oppsettet fra dag én, men å ha et bevisst og systematisk forhold til sikkerhet som forbedres over tid.
Start med SPF, DKIM og DMARC. Aktiver 2FA. Lær opp ansatte. Overvåk DMARC-rapportene. Deretter kan du bygge videre derfra.
Har du e-post fra Vymo på ditt .no-domene og trenger hjelp med konfigurasjonen, finner du oss på kontaktsiden .
Klar til å sikre domenet ditt?
Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.