Trenger jeg en betalt DMARC-tjeneste for Microsoft 365?

Nei, DMARC i seg selv er gratis (kun en DNS-record). For å lese rapportene anbefales en visualiseringstjeneste, men flere er gratis for små volumer.

Hvor lang tid tar implementeringen?

Selve oppsettet tar 30-60 minutter. Anbefalt full overgang fra p=none til p=reject tar 4-8 uker for å sikre at alle legitime avsendere er identifisert.

Hva om jeg har flere domener?

Hvert domene trenger sin egen DMARC-record. For subdomener arves policyen om sp= ikke er satt eksplisitt.

DMARC i Microsoft 365: Komplett guide for norske bedrifter

Publisert 8. mai 2026 · Av Micronet · 9 min lesetid

Microsoft 365 / Exchange Online dekker ca. 70 % av norske bedriftsmail. Denne guiden tar deg fra "ingen DMARC" til full p=reject uten at en eneste legitim e-post går tapt.

Forutsetninger

Du bruker Microsoft 365 / Exchange Online for utgående e-post.
Du har Global Admin-tilgang i Microsoft 365 admin center.
Du har tilgang til DNS-en for domenet (Domeneshop, Cloudflare, GoDaddy osv.).
Bruker du tredjepartstjenester (Mailchimp, Halo, ServiceNow, Salesforce)? Lag en liste — alle må inkluderes i SPF.

Steg 1: Verifiser SPF

SPF må være korrekt før DMARC har noen effekt. Standard for M365:

v=spf1 include:spf.protection.outlook.com -all

Hvis du sender e-post fra andre tjenester også (Mailchimp, Halo, etc.), legg dem til:

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net include:halo.example.com -all

Pass på 10-lookup grensen! SPF har en hard grense på 10 DNS-oppslag. Hver include: teller. Bruk data1.no for å telle automatisk.

Steg 2: Slå på DKIM i Microsoft 365

Microsoft genererer DKIM-nøklene automatisk. Du må aktivere dem:

Logg inn på security.microsoft.com (Microsoft Defender).
Gå til E-post & samarbeid → Policyer & regler → Trusler → DKIM.
Velg domenet ditt fra listen.

Microsoft viser to CNAME-records:

selector1._domainkey.dittfirma.no  CNAME  selector1-dittfirma-no._domainkey.dittfirma.onmicrosoft.com
selector2._domainkey.dittfirma.no  CNAME  selector2-dittfirma-no._domainkey.dittfirma.onmicrosoft.com

Legg disse to CNAME-records inn hos DNS-leverandøren din.
Vent 30-60 minutter.
Gå tilbake til DKIM-siden og klikk Enable. Hvis Microsoft fortsatt klager: vent enda 30 min og prøv igjen.

Test DKIM-statusen din med data1.no — vi skal se to grønne sjekkmerker for selector1 og selector2.

Steg 3: Opprett DMARC med p=none

Aldri start med p=reject. Du må først bruke 2-4 uker i overvåkingsmodus for å verifisere at all legitim e-post består DMARC.

Legg til denne TXT-recorden hos DNS-leverandøren din:

Felt	Verdi
Type	TXT
Navn / vert	`_dmarc`
Verdi	`v=DMARC1; p=none; rua=mailto:[email protected]; pct=100; adkim=r; aspf=r;`
TTL	3600

Tips: Bruk en dedikert e-post for rua — f.eks. [email protected]. Du kommer til å motta en del XML-rapporter.

Steg 4: Les og tolk DMARC-rapportene

Etter 24-48 timer begynner du å motta XML-rapporter på rua-adressen. Disse er vanskelige å lese manuelt. Anbefalte verktøy:

Postmark DMARC Monitoring — gratis for små volumer, fint dashboard.
Valimail Monitor — gratis for grunnfunksjoner.
dmarcian — populært verktøy.
Halo IT Service Management — om du allerede er kunde.

Det du leter etter i rapportene:

Hvilke IP-adresser sender e-post i ditt navn?
Består de SPF og DKIM?
Er det noen legitime avsendere (f.eks. en CRM eller faktureringssystem) som ikke er i SPF?
Er det noen illegitime avsendere (svindlere som forsøker å bruke ditt domene)?

Steg 5: Skjerp til p=quarantine

Når du har bekreftet i 2-3 uker at:

Mer enn 99 % av legitime e-poster består både SPF og DKIM
Du har lagt til alle saksbehandlersystemer i SPF
Du har aktivert DKIM for alle tredjeparts utsendere

Da er det trygt å skjerpe til quarantine. Først med pct=25 for gradvis utrulling:

v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]; adkim=r; aspf=r;

Etter 1 uke uten klager: oppgrader til pct=50. Etter ytterligere 1 uke: pct=100.

Steg 6: Skjerp til p=reject

Når quarantine ved pct=100 har gått problemfritt i 2 uker, kan du sette p=reject:

v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]; adkim=r; aspf=r;

Da er du i mål. Alle illegitime e-poster med ditt domene som From-adresse blir avvist hos mottakeren.

Vanlige feil i M365-oppsett

Glemt å legge til Mailchimp/Halo/etc. i SPF — sender deres e-post til spam når DMARC strammes.
Glemt SPF for tilbakehoppsadresse (bounce-domain) — vanlig hos brukere av masseutsendelse.
Aktivert DKIM før CNAME-recordene var i DNS — Microsoft klager. Vent og prøv igjen.
Brukt adkim=s; aspf=s (strict alignment) — sjelden nødvendig og bryter ofte legitime avsendere.
Glemt subdomener — nyhetsbrev.dittfirma.no trenger sin egen DKIM eller eksplisitt sp=reject.

FAQ

Trenger jeg en betalt DMARC-tjeneste?

Nei. DMARC er bare en DNS-record. Du trenger imidlertid et verktøy for å lese de aggregerte XML-rapportene — flere er gratis for små volumer.

Hvor lang tid tar full implementering?

30-60 minutter for selve oppsettet. 4-8 uker for trygg overgang fra p=none til p=reject.

Hva med subdomener?

Hvert subdomene trenger egen DMARC eller eksplisitt sp=-policy på hovedrecord. Hvis ikke sp= er satt, arves p=.

Hvorfor ikke bare hoppe rett til p=reject?

Du risikerer å avvise dine egne legitime e-poster (f.eks. fra CRM eller faktureringssystem) hvis de ikke er korrekt i SPF/DKIM. Overvåkingsmodus avdekker dette først.

Sjekk DMARC-statusen din nå

Få full validering på 10 sekunder.

Sjekk eget domene →

Lese mer

Micronet

Norsk IT-konsulenttjeneste — DMARC, e-post sikkerhet og Microsoft 365. micronet.no