DMARC forklart: Slik beskytter du domenet mot phishing

Publisert 7. mai 2026 · Av Micronet · 7 min lesetid

Hvis du ikke har konfigurert DMARC for domenet ditt, kan hvem som helst i verden sende e-post i ditt navn. Heldigvis er det enklere å fikse enn de fleste tror — her er alt du trenger å vite.

Innhold

Hva er DMARC, helt enkelt?
Hvorfor trenger du det?
Slik fungerer DMARC i praksis
Oppsett — steg for steg
p=none, p=quarantine eller p=reject?
5 vanlige feil å unngå
Hva gjør du med rapportene?

1. Hva er DMARC, helt enkelt?

DMARC står for Domain-based Message Authentication, Reporting and Conformance. Det er en DNS-basert standard som forteller mottakerservere hva de skal gjøre med e-poster som påstår at de kommer fra ditt domene, men som ikke består verifisering.

Tenk på det som et stempel på konvolutten: «Hvis dette ikke er fra meg, kast det.»

DMARC bygger oppå to eldre standarder, SPF og DKIM. SPF og DKIM verifiserer hver for seg at e-posten ble sendt fra en autorisert server — DMARC binder dem sammen og sier hva som skjer hvis verifiseringen mislykkes.

2. Hvorfor trenger du DMARC?

Uten DMARC kan en angriper sende en e-post som ser ut som den kommer fra [email protected] til en hvilken som helst mottaker. Dette kalles e-post-spoofing og er hovedmetoden bak både phishing-svindel og direktørsvindel (CEO fraud).

Tall fra norske bedrifter (2025): 67 % av .no-domener har enten ingen DMARC eller bare DMARC i monitoring-modus (p=none) — som ikke faktisk blokkerer noe. Direktørsvindel kostet norske bedrifter over 250 millioner kroner i 2024 ifølge NorSIS.

DMARC løser tre problemer på én gang:

Beskyttelse: Forhindrer at andre kan sende falske e-poster i ditt navn.
Synlighet: Du får daglige rapporter om hvem som prøver å sende i ditt navn.
Leveringsdyktighet: Gmail og Yahoo krever DMARC for bulk-avsendere siden 2024.

3. Slik fungerer DMARC i praksis

Når noen sender en e-post til en mottaker (for eksempel Gmail), gjør Gmail tre sjekker:

SPF: Er IP-adressen som sendte e-posten autorisert?
DKIM: Er signaturen på e-posten gyldig?
DMARC alignment: Stemmer Fra-adressen med domenet i SPF/DKIM?

Hvis alt stemmer, leveres e-posten. Hvis ikke, sjekker Gmail din DMARC-policy:

v=DMARC1; p=reject; rua=mailto:[email protected];

Dette betyr: «Hvis e-post fra dittfirma.no feiler verifisering, avvis den og send meg en rapport.»

4. Oppsett — steg for steg

Du trenger tilgang til DNS-en for ditt domene. Hos Domeneshop, GoDaddy, Cloudflare og lignende går du til DNS-administrasjonen og legger til en TXT-record.

Steg 1: Sjekk om SPF og DKIM allerede er satt opp

DMARC krever at du har SPF eller DKIM først. Bruk data1.no for å sjekke dette på 10 sekunder.

Steg 2: Start i monitoring-modus

Legg til en TXT-record på _dmarc.dittfirma.no med innhold:

v=DMARC1; p=none; rua=mailto:[email protected]; pct=100;

v=DMARC1: Versjon (alltid denne).
p=none: Bare overvåk, ikke blokker noe ennå.
rua=mailto:...: Hvor rapportene sendes (du får én XML-fil per dag per mottakerserver).
pct=100: Policyen gjelder 100 % av meldingene.

Steg 3: Vent 1-4 uker, les rapportene

I starten vil du se hvilke avsenderservere som faktisk sender e-post i ditt navn — både legitime (din e-postleverandør, marketing-verktøy, fakturasystem) og illegitime (spammere som har misbrukt domenet ditt).

Tips: Rapportene er XML-filer som er vanskelige å lese manuelt. Bruk en gratis-tjeneste som dmarcian eller Postmark DMARC for å aggregere dem til lesbare grafer. Alternativt: la Micronet håndtere det for deg for kr 195/mnd.

Steg 4: Skjerp gradvis

Når alle legitime avsendere er identifisert og lagt til i SPF/DKIM, skjerp policyen:

v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected];

Dette setter 25 % av feilende meldinger i karantene (spam-mappa). Øk gradvis til 100, og deretter til p=reject.

5. p=none, p=quarantine eller p=reject?

Dette er det viktigste valget i DMARC-oppsettet:

p=none (overvåking): Ingen meldinger blir blokkert. Brukes kun i oppstartsfasen. Gir ingen reell beskyttelse.
p=quarantine: Mistenkelige meldinger havner i spam-mappa hos mottaker. Beskyttelse, men svindleren får fortsatt levert i 5-10 % av tilfellene.
p=reject: Mistenkelige meldinger avvises helt. Maksimal beskyttelse — anbefales for alle modne oppsett.

Hvis du fortsatt har p=none etter 6 måneders drift, gir det ingenting. Tenk på det som et alarmsystem du aldri har slått på.

6. 5 vanlige feil å unngå

Stå fast på p=none. Den vanligste feilen er å aldri skjerpe. Ha en plan: 4 uker monitoring → quarantine 25 % → quarantine 100 % → reject.
Glemme subdomener. En angriper kan bruke fakturanrxx.dittfirma.no hvis du ikke har sp=reject i DMARC-recorden.
For mange SPF-includes. SPF har en hard grense på 10 DNS-oppslag. Sammenslå med en SPF-flattening-tjeneste hvis du har mange leverandører.
Ingen rapportadresse. Uten rua= får du aldri vite om at noen prøver å misbruke domenet.
Manuell DKIM-rotering. Mange e-postleverandører roterer DKIM automatisk. Hvis du blokkerer den nye nøkkelen, får du leveringsproblemer.

7. Hva gjør du med rapportene?

DMARC-rapporter er XML-filer som ser slik ut:

<feedback>
  <record>
    <source_ip>185.183.30.17</source_ip>
    <count>42</count>
    <result>
      <dkim>fail</dkim>
      <spf>fail</spf>
      <disposition>none</disposition>
    </result>
  </record>
</feedback>

Hver record forteller: «Server X sendte Y e-poster i ditt navn, og de feilte SPF/DKIM».

Du må svare på tre spørsmål for hver kilde:

Er dette en av mine egne (legg til i SPF/DKIM)?
Er dette en leverandør (be dem fikse SPF/DKIM)?
Er dette en angriper (fortsett å blokkere)?

Sjekk domenet ditt nå

Få full DMARC-analyse på sekunder — gratis, uten registrering.

Sjekk eget domene →

Lese mer

Micronet

Norsk IT-konsulenttjeneste — DMARC, e-post sikkerhet og infrastruktur. micronet.no