DMARC forklart: Slik beskytter du domenet mot phishing

Publisert 7. mai 2026 · Sist oppdatert 14. mai 2026 · Av Terje Otterlei, Micronet AS · 7 min lesetid

Hvis du ikke har konfigurert DMARC for domenet ditt, kan hvem som helst i verden sende e-post i ditt navn. Heldigvis er det enklere å fikse enn de fleste tror — her er alt du trenger å vite.

Kort oppsummert

DMARC er en DNS-basert protokoll som forteller mottakende e-postservere hva de skal gjøre med e-post som påstår å komme fra ditt domene, men ikke består verifisering.
Tre policy-nivåer: p=none (kun overvåking), p=quarantine (spam-mappe), p=reject (full blokkering). Bare p=reject gir reell beskyttelse.
Status i Norge per 14. mai 2026: 67 % av Norges 100 største nettsteder har enten ingen DMARC eller står fast på p=none (data1.nos ukentlige skanning).
Oppsett tar 20–60 minutter, deretter 4–8 uker monitoring før du kan skjerpe til p=reject.
Gmail og Yahoo krever DMARC for bulk-avsendere siden februar 2024.

1. Hva er DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) er en DNS-basert e-poststandard som forteller mottakende servere — som Gmail, Outlook og Apple Mail — hva de skal gjøre med e-post som påstår å komme fra ditt domene, men feiler verifisering via SPF eller DKIM. Standarden er definert i RFC 7489 og er den eneste mekanismen som faktisk kan blokkere spoofing av domenet ditt på mottakersiden.

Tenk på det som et stempel på konvolutten: "Hvis dette ikke er fra meg, kast det."

DMARC bygger oppå to eldre standarder, SPF og DKIM. SPF og DKIM verifiserer hver for seg at e-posten ble sendt fra en autorisert server — DMARC binder dem sammen og sier hva som skjer hvis verifiseringen mislykkes.

2. Hvorfor trenger du DMARC?

Uten DMARC kan hvem som helst i verden sende e-post som ser ut til å komme fra ditt domene. Dette er hovedmetoden bak phishing-svindel og direktørsvindel (CEO fraud), som kostet norske bedrifter over 250 millioner kroner i 2024 (NorSIS). DMARC gir tre fordeler: beskyttelse mot misbruk, daglige rapporter om hvem som prøver å sende i ditt navn, og bedre leveringsdyktighet hos Gmail og Yahoo som krever DMARC for bulk-avsendere.

Status i Norge per 14. mai 2026 (kilde: data1.nos ukentlige skanning av 158 norske domener):

67 % av Norges 100 største nettsteder har enten ingen DMARC eller står på p=none
9 av 12 store offentlige etater (inkl. Altinn, NRK, UiO) bruker fortsatt p=none
Norsk banksektor: gjennomsnittlig karakter B+
Norsk kommunesektor: gjennomsnittlig karakter D

3. Slik fungerer DMARC i praksis

Når en e-post ankommer en mottakerserver som Gmail, gjøres tre sjekker i rekkefølge: (1) SPF verifiserer om sender-IP er autorisert, (2) DKIM verifiserer den digitale signaturen, og (3) DMARC alignment sjekker om Fra-adressen stemmer med domenet i SPF/DKIM. Hvis alle består, leveres meldingen. Hvis ikke, følger Gmail policyen i din DMARC-record — none, quarantine eller reject.

En typisk DMARC-record ser slik ut:

v=DMARC1; p=reject; rua=mailto:dmarc-rapport@dittfirma.no; pct=100;

Dette betyr: "Hvis e-post fra dittfirma.no feiler verifisering, avvis den og send meg en rapport."

4. Oppsett — steg for steg

DMARC-oppsett krever DNS-tilgang til domenet ditt og tar 20–60 minutter. Du må ha SPF eller DKIM på plass først. Anbefalt fremgangsmåte: start med p=none i 4 uker for å samle data, gå deretter til p=quarantine med pct=25 og øk gradvis til p=reject med pct=100. Hele prosessen tar typisk 6–12 uker fra start til full beskyttelse.

Steg 1: Sjekk om SPF og DKIM allerede er satt opp

DMARC krever SPF eller DKIM først. Bruk data1.no for å sjekke dette på 10 sekunder.

Steg 2: Start i monitoring-modus

Legg til en TXT-record på _dmarc.dittfirma.no med innhold:

v=DMARC1; p=none; rua=mailto:dmarc-rapport@dittfirma.no; pct=100;

v=DMARC1: Versjon (alltid denne)
p=none: Bare overvåk, ikke blokker noe ennå
rua=mailto:...: Hvor rapportene sendes (én XML-fil per dag per mottakerserver)
pct=100: Policyen gjelder 100 % av meldingene

Steg 3: Vent 1–4 uker, les rapportene

I starten vil du se hvilke avsenderservere som faktisk sender e-post i ditt navn — både legitime (e-postleverandør, marketing-verktøy, fakturasystem) og illegitime (spammere som har misbrukt domenet ditt).

Steg 4: Skjerp gradvis

Når alle legitime avsendere er identifisert og lagt til i SPF/DKIM:

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-rapport@dittfirma.no;

Øk pct gradvis til 100, og deretter til p=reject.

5. p=none, p=quarantine eller p=reject?

Det viktigste valget i DMARC er policy-nivået. p=none gir kun overvåking og ingen reell beskyttelse — kun for oppstartsfasen. p=quarantine sender mistenkelig e-post til spam-mappen, men 5–10 % av svindelen kan fortsatt leveres til innboks. p=reject avviser e-post med spoofet domene fullstendig og er det eneste nivået som gir full beskyttelse mot phishing i ditt navn.

Policy	Hva skjer	Beskyttelse	Anbefales for
`p=none`	Ingen blokkering, kun rapporter	Ingen	Første 4–8 uker
`p=quarantine`	Spam-mappe hos mottaker	Delvis	Overgangsfase
`p=reject`	Full avvisning	Maksimal	Modne oppsett

Hvis du fortsatt har p=none etter 6 måneders drift, har du i praksis et alarmsystem du aldri har slått på.

6. 5 vanlige feil å unngå

Stå fast på p=none. Den vanligste feilen. Ha en plan: 4 uker monitoring → quarantine 25 % → quarantine 100 % → reject.
Glemme subdomener. En angriper kan bruke fakturanrxx.dittfirma.no hvis du ikke har sp=reject i DMARC-recorden.
For mange SPF-includes. SPF har en hard grense på 10 DNS-oppslag. Bruk SPF-flattening hvis du har mange leverandører. Se vår SPF Microsoft 365-guide for detaljer.
Ingen rapportadresse. Uten rua= får du aldri vite at noen prøver å misbruke domenet.
Manuell DKIM-rotering. Mange e-postleverandører roterer DKIM automatisk. Hvis du blokkerer den nye nøkkelen, får du leveringsproblemer.

7. Hva gjør du med rapportene?

DMARC-rapporter er XML-filer du mottar daglig på adressen i rua=-feltet. Hver rapport viser hvilke IP-adresser som har sendt e-post i ditt navn, hvor mange meldinger, og om de bestod SPF/DKIM. Rapportene er vanskelige å lese manuelt — bruk en tjeneste som dmarcian, Postmark DMARC eller Micronet sin overvåkingstjeneste for å aggregere dem til lesbare grafer.

For hver kilde i rapporten svarer du på tre spørsmål:

Er dette en av mine egne? → Legg til i SPF/DKIM
Er dette en leverandør? → Be dem fikse SPF/DKIM
Er dette en angriper? → Fortsett å blokkere

Ofte stilte spørsmål om DMARC

Hva er DMARC i én setning?

DMARC er en DNS-basert e-poststandard som forteller mottakende servere om de skal slippe gjennom, sette i karantene eller avvise e-post som påstår å komme fra ditt domene men ikke består SPF/DKIM-verifisering.

Hvor lang tid tar det å sette opp DMARC?

Selve DNS-oppsettet tar 20–60 minutter. Men full implementering fra p=none til p=reject tar typisk 6–12 uker fordi du må samle nok data til å identifisere alle legitime avsendere før du kan skjerpe policyen.

Hva koster DMARC?

DMARC i seg selv er gratis — det er bare DNS-records. Kostnaden ligger i å håndtere rapportene. Dmarcian, Postmark DMARC og andre verktøy koster 50–500 USD/måned avhengig av volum. Norske MSP-er som Micronet tilbyr fullservice fra ca. 295 kr/mnd.

Er DMARC obligatorisk i Norge?

Ikke ennå lovpålagt, men reelt påkrevd. Gmail og Yahoo krever DMARC for bulk-avsendere (over 5 000 meldinger/dag) siden februar 2024. Nasjonal sikkerhetsmyndighet (NSM) anbefaler DMARC i sin veileder for e-postsikring. Stadig flere offentlige anbud stiller krav.

Hva er forskjellen på DMARC og SPF?

SPF (Sender Policy Framework) verifiserer hvilke IP-adresser som har lov til å sende e-post for ditt domene. DMARC bruker SPF-resultatet (sammen med DKIM) og legger til en policy — hva mottaker skal gjøre når SPF feiler. SPF alene gir ikke beskyttelse mot spoofing av Fra-adressen.

Hvor finner jeg DMARC-recorden min?

Den ligger som en TXT-record på _dmarc.dittdomene.no i DNS-en din. Du kan også sjekke den på sekunder ved å skrive inn domenet ditt på data1.no.

Kan DMARC blokkere legitime e-poster?

Ja, hvis du går for raskt til p=reject uten å først identifisere alle legitime avsendere via monitoring-fasen. Derfor anbefales 4–8 uker med p=none før du skjerper. Gjøres riktig blokkerer DMARC kun uautorisert e-post.

Hva er DMARC-status for norske banker og kommuner?

Per 14. mai 2026: Norske banker har gjennomsnittlig karakter B+, mens kommunesektoren ligger på D. Se ukentlig rapport hos data1.no for live-tall per domene.

Sjekk domenet ditt nå

Få full DMARC-analyse på sekunder — gratis, uten registrering.

Sjekk eget domene →

Les mer

Test ditt eget domene

Sjekk DMARC-status for et hvilket som helst norsk domene gratis — eller bla i katalogen vår over 158 overvåkede domener. Eksempler: NRK, DNB, Altinn.

Når DMARC ikke fungerer

Mest vanlige problemer:

DMARC-record not found — ingen TXT-record på _dmarc.<domain>
DMARC reject fail — legitim e-post avvist av p=reject
SPF fail men DMARC pass — alignment-spørsmål
Spoofing fra eget domene — phishing fra interne avsendere

Terje Otterlei

Daglig leder i Micronet AS — HaloPSA-distributør i Norge med 20+ års erfaring innen Microsoft 365 og e-postinfrastruktur. Forvalter DMARC-overvåking for 50+ M365-tenants i Lørenskog. LinkedIn · micronet.no