Sender du e-post fra eget domene, men opplever at meldingene havner i søppelpost – eller at noen utgir seg for å være deg? SPF, DKIM og DMARC er tre DNS-baserte mekanismer som i fellesskap gjør e-postidentiteten din verifiserbar og beskyttes mot misbruk. Her er hva de gjør, og hvordan du setter dem opp.

Tre ulike lag med beskyttelse

De tre protokollene løser ulike deler av samme problem: at det i utgangspunktet er umulig for en mottaker å vite om en e-post virkelig kommer fra den avsenderen som oppgis.

SPF – hvem har lov til å sende?

SPF (Sender Policy Framework) er en TXT-post i DNS-en din som lister opp hvilke e-postservere som har lov til å sende e-post på vegne av domenet ditt.

Eksempel på en SPF-post:

v=spf1 include:_spf.google.com ~all
  • v=spf1 – angir at dette er en SPF-post
  • include: – tillater servere fra en ekstern leverandør (her Google Workspace)
  • ~all – e-post fra ukjente kilder merkes som tvilsom (softfail); bruk -all for hard avvisning

Når mottakers server tar imot en e-post, sjekker den om avsenderens IP-adresse er godkjent i din SPF-post. Hvis ikke, kan e-posten flagges eller avvises.

DKIM – er innholdet ekte?

DKIM (DomainKeys Identified Mail) legger til en kryptografisk signatur på utgående e-poster. Signaturen verifiseres ved hjelp av en offentlig nøkkel som publiseres som en TXT-post i DNS-en din, typisk under et selectordomene som:

valg._domainkey.dittdomene.no

Mottakeren kan bruke denne offentlige nøkkelen til å bekrefte at e-postens innhold ikke er endret underveis, og at den faktisk ble sendt av en server med tilgang til den tilhørende private nøkkelen. DKIM skiller seg fra SPF ved at signaturen følger selve meldingen – ikke bare tilkoblingen.

DMARC – hva skal skje med svindel?

DMARC (Domain-based Message Authentication, Reporting and Conformance) er den overordnede policyen som binder SPF og DKIM sammen. Den publiseres som en TXT-post under _dmarc.dittdomene.no og forteller mottakende servere hva de skal gjøre med e-poster som feiler SPF- eller DKIM-sjekk.

Eksempel:

v=DMARC1; p=quarantine; rua=mailto:dmarc-rapporter@dittdomene.no
  • p=none – bare overvåking, ingen handling
  • p=quarantine – flagg/legg i søppelpost
  • p=reject – avvis meldingen helt
  • rua= – adresse for aggregerte rapporter om hvem som sender e-post fra domenet ditt

DMARC krever i tillegg alignment: avsenderadressen i e-posthodet (Fra-feltet) må stemme overens med domenet som er verifisert via SPF eller DKIM.

Slik henger de sammen

SPF  → Godkjenner IP-adressen til avsenderserveren
DKIM → Verifiserer at meldingsinnholdet er signert og uendret
DMARC → Avgjør hva som skjer ved brudd, og gir deg rapporter

Ingen av dem er fullgod alene. SPF kan omgås ved videresending; DKIM beskytter ikke mot at en ugyldig server sender fra riktig domene. Til sammen gir de et solid lag med autentisering som gjør det vesentlig vanskeligere å sende falsk e-post fra domenet ditt.

Oppsett steg for steg

  1. SPF: Opprett en TXT-post på rotdomenet (@) med verdien som din e-postleverandør oppgir. Ha kun én SPF-post per domene.
  2. DKIM: Hent den offentlige nøkkelen fra e-postleverandøren (Google Workspace, Microsoft 365 o.l.) og opprett en TXT-post med riktig selectordomene.
  3. DMARC: Start med p=none og en rua-adresse for å samle inn rapporter i noen uker. Analyser rapportene, og stram deretter inn til quarantine og til slutt reject.

Start alltid med p=none og bruk rapportene aktivt. Å hoppe til p=reject uten analyse kan føre til at legitim e-post avvises.

Sjekk statusen din

Bruk verktøy som MXToolbox eller mail-tester.com til å verifisere at postene er riktig konfigurert og at e-postene dine passerer alle tre sjekkene.

Les mer om e-post på eget domene og how to avoid spam . Vil du sette opp e-post med eget domene? Se våre E-post -løsninger eller ta kontakt med Kundeservice .

Klar til å sikre domenet ditt?

Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.

Søk etter domene