Equinor, Hydro og Yara: Tre industrigiganter uten e-postsikkerhet

Norges største industriselskaper scorer bunnplassering i ukens DMARC-analyse — mens offentlige etater og tech-selskaper leder an.

Publisert 9. mai 2026 · Av Micronet · 5 min lesetid

Ukens analyse av 79 norske domener avslører et skarpt skille: Mens offentlig sektor og digitale selskaper har implementert solid e-postsikkerhet, mangler tre av Norges absolutt største industriselskaper grunnleggende beskyttelse.

Industriens sikkerhetshull

I bunnen av denne ukens rangering finner vi equinor.no, hydro.no og yara.no — alle med 0 poeng. Dette betyr at de verken har DMARC, SPF eller DKIM konfigurert på en måte som gir reell beskyttelse.

Hva betyr 0 poeng? At hvem som helst kan sende e-post som ser ut til å komme fra disse selskapene, uten at mottakerne har noen måte å verifisere at avsender er ekte. For selskaper av denne størrelsen — med tusenvis av ansatte, leverandører og partnere — er dette en betydelig sikkerhetsrisiko.

Det er ikke bare disse tre. statkraft.no (33p), ntnu.no (18p) og uio.no (33p) scorer også F. At to av landets største universiteter ligger i bunnen er spesielt bekymringsfullt, gitt mengden sensitiv kommunikasjon som går via e-post i akademia.

Offentlig sektor viser vei

Samtidig dominerer offentlige etater og store tech-aktører toppen av listen. nav.no, nbim.no (Oljefondet) og udi.no scorer alle A+ med 97-100 poeng.

Domene	Karakter	Poeng	DMARC-policy
nav.no	A+	100	p=reject
nbim.no	A+	100	p=reject
stortinget.no	A+	97	p=reject
udi.no	A+	97	p=reject

Disse etatene har implementert full DMARC-beskyttelse med p=reject, noe som betyr at e-post som ikke passerer autentiseringssjekker blir avvist før den når mottakeren. Dette er gullstandarden for e-postsikkerhet.

Næringslivet er delt

I privat sektor er bildet mer blandet. telenor.no (97p), dnb.no (95p) og schibsted.com (95p) scorer høyt, mens andre store aktører halter etter.

Spesielt interessant er at tech-orienterte selskaper generelt scorer bedre. ikea.com og strawberry.no (hotellkjeden) har begge A+ med 95-100 poeng, mens tradisjonell industri ligger langt bak.

Hva tallene viser

Av ukens 79 analyserte domener har:

43 domener (54%) implementert p=reject — full beskyttelse
5 domener (6%) mangler DMARC helt
31 domener (39%) har fått A eller A+ karakter
11 domener (14%) scorer F

Gjennomsnittscoren på 65,8 poeng er ganske høy, men dette skyldes i stor grad at offentlig sektor og tech-selskaper drar snittet opp. Se hele trenden over tid her.

Hvorfor dette er viktig nå

Phishing-angrep blir stadig mer sofistikerte, og domene-spoofing — hvor angripere utgir seg for å være legitime avsendere — er en av de mest effektive metodene. Uten DMARC kan en angriper enkelt sende e-post som tilsynelatende kommer fra @equinor.no eller @hydro.no.

For selskaper med omfattende leverandørkjeder og store verdier i omløp, kan én vellykket phishing-kampanje koste millioner. DMARC er ikke en silverkule, men det er grunnmuren i moderne e-postsikkerhet.

Hva kan gjøres?

For domener som scorer dårlig er veien framover klar:

Implementer SPF og DKIM — dette er forutsetningen for DMARC
Legg til en DMARC-policy — start med p=none for å samle data
Analyser rapportene — identifiser legitime avsendere som må godkjennes
Skru til p=quarantine — send mistenkelig e-post til spam
Gå til p=reject — blokker uautorisert e-post fullstendig

Det finnes ingen god grunn til å vente. Verktøy som data1.no gjør det enkelt å sjekke status, og implementering tar vanligvis timer — ikke måneder.

Vil du se hvordan ditt domene står seg? Test det gratis på data1.no, eller sammenlign deg med andre i bransjesammenligningen.

Sjekk ditt eget domene

Få samme analyse for ditt domene på 10 sekunder, helt gratis.

Kjør analyse →