Equinor, Hydro og Yara scorer null — industrigigantene svikter på e-postsikkerhet

Tre av Norges mest kjente industrikonserner havner helt på bunn i ukens e-postsikkerhetsanalyse, mens statlige etater og universiteter viser vei.

Publisert 8. jun 2026 · Av Terje Otterlei · 4 min lesetid

Ukens oversikt — uke 24

158 norske domener er analysert denne uken. Snittscore ligger på 64,6 av 100 poeng, og 86 av domenene har innført full DMARC-beskyttelse (p=reject). Tolv domener mangler DMARC-oppføring helt.

Karakter	Antall domener
A+	23
A	40
B	17
C	30
D	27
F	21

Bildet er blandet: over halvparten av domenene scorer A eller bedre, men den nedre enden av listen er urovekkende — særlig når det gjelder navn de fleste nordmenn kjenner godt.

Industritopper med null i score

Advarsel: equinor.no, hydro.no og yara.no scorer alle 0 av 100 poeng og får karakteren F. Det samme gjelder aker-solutions.no.

Dette er store, internasjonalt eksponerte selskaper med titusenvis av ansatte og forretningsforbindelser over hele verden. Mangelfull e-postsikkerhet betyr i praksis at hvem som helst kan sende e-post som ser ut til å komme fra @equinor.no eller @hydro.no — uten at mottakernes e-postserver har noe grunnlag for å avvise den.

Det er ikke snakk om tekniske nyvinninger disse selskapene ikke har ressurser til å implementere. SPF, DMARC og DKIM er veletablerte standarder som er godt dokumentert og tilgjengelig for alle. Se en sammenligning av liknende domener for å sette tallene i kontekst.

Også verdt å merke seg

sparebanken-ost.no scorer 0 poeng. For en finansinstitusjon som håndterer kundenes penger og persondata, er dette spesielt alvorlig. Bankenes kunder er et attraktivt mål for phishing, og et domene uten DMARC gir angripere unødvendig mye spillerom.

Staten og akademia leder an

I den andre enden av skalaen finner vi et mønster som har holdt seg stabilt over tid: offentlige etater og universiteter scorer gjennomgående høyt.

nav.no — A+ (100p)
ssb.no — A+ (100p)
stortinget.no — A+ (97p)
udi.no — A+ (97p)
oslomet.no — A+ (97p)

At NAV og Stortinget prioriterer e-postsikkerhet er positivt — disse avsenderadressene brukes jevnlig av angripere i sosial manipulering. Full p=reject-policy gjør det vesentlig vanskeligere å lykkes med slike angrep.

Ukens forbedringer

To domener skiller seg ut med positiv utvikling siden forrige uke:

talkmore.no gikk fra 55 til 80 poeng (+25p) og klatret til karakter A
uib.no gikk fra 40 til 65 poeng (+25p) og er nå oppe i C

Talkmore er et godt eksempel på at forbedring er mulig på kort tid. Et hopp på 25 poeng på én uke tyder på at noen har tatt tak — enten ved å skjerpe DMARC-policyen, legge til DKIM-signering eller aktivere rapportering. Universitetet i Bergen har fortsatt rom for forbedring, men beveger seg i riktig retning.

Følg utviklingen over tid på trendsiden.

Hva bør du gjøre?

Hvis du administrerer et domene som ikke har DMARC på plass, er dette de tre første skrittene:

Sett opp SPF — definer hvilke servere som har lov til å sende e-post på vegne av domenet ditt.
Legg til en DMARC-post — start gjerne med p=none for å samle inn rapporter uten å blokkere e-post.
Aktiver DKIM-signering — sørg for at utgående e-post signeres kryptografisk hos e-postleverandøren din.

Når du har fått oversikt over e-poststrømmene dine via DMARC-rapporter, kan du trygt heve policyen til p=quarantine og til slutt p=reject.

Sjekk ditt eget domene gratis på data1.no.

Sjekk ditt eget domene

Få samme analyse for ditt domene på 10 sekunder, helt gratis.

Kjør analyse →