Norske industrigiganter stryker på e-postsikkerhet — uke 20-rapport

Equinor, Hydro og Yara er blant Norges største selskaper — men alle tre scorer 0 av 100 på e-postsikkerhet.

Publisert 15. mai 2026 · Av Micronet · 4 min lesetid

Denne uken ble 158 norske domener analysert på data1.no. Snittscoren endte på 64,6 av 100, og 86 domener har aktivert full DMARC-beskyttelse (p=reject). Det er oppløftende — men bunnlisten fortjener oppmerksomhet. Der finner vi navn som overrasker.

Norsk næringsliv i rødt

Tre av Norges mest kjente industrikonserner — equinor.no, hydro.no og yara.no — scorer alle 0 poeng og får karakteren F. Det samme gjør aker-solutions.no.

Dette betyr i praksis at disse domenene ikke har grunnleggende e-postautentisering på plass. Konsekvensen er konkret: hvem som helst kan sende e-post som tilsynelatende kommer fra @equinor.no eller @hydro.no, uten at mottakerens e-postserver har noe teknisk grunnlag for å avvise det.

Viktig: Et domene uten DMARC-policy gir angripere fritt spillerom til å forfalske avsenderadressen. For store merkevarer med høy gjenkjennelsesgrad øker dette risikoen for vellykket phishing betydelig — mot både ansatte, kunder og samarbeidspartnere.

Også sparebanken-ost.no og faedrelandsvennen.no er på bunnlisten med 0 poeng. En bank og en regional avis — to typer virksomheter som daglig kommuniserer sensitiv informasjon med privatpersoner.

Offentlig sektor leverer

Topplisten domineres av offentlige norske virksomheter. nav.no, ssb.no, stortinget.no og udi.no scorer alle A+ med henholdsvis 100 eller 97 poeng. Det viser at det absolutt er mulig å gjøre dette riktig — også for store, komplekse organisasjoner.

Domene	Karakter	Score
nav.no	A+	100
ssb.no	A+	100
stortinget.no	A+	97
udi.no	A+	97
equinor.no	F	0
hydro.no	F	0
yara.no	F	0
sparebanken-ost.no	F	0

Karakterfordeling uke 20

Av 158 analyserte domener fordeler karakterene seg slik:

A+ og A: 63 domener (40 %) — god til meget god beskyttelse
B og C: 47 domener (30 %) — delvis beskyttelse, rom for forbedring
D og F: 48 domener (30 %) — svak eller ingen beskyttelse

12 domener mangler DMARC-post helt. Se trendoversikten for å følge utviklingen over tid, eller sammenlign domener innen samme bransje.

Hva bør gjøres — og i hvilken rekkefølge?

For domener som scorer lavt, er det en naturlig rekkefølge å følge:

Publiser en SPF-post som lister opp alle legitime avsenderservere for domenet ditt.
Sett opp DKIM-signering for all utgående e-post — dette gjøres vanligvis i e-postplattformen (Microsoft 365, Google Workspace, o.l.).
Opprett en DMARC-post — start gjerne med p=none og rapportering aktivert, slik at du ser hva som sendes i ditt navn.
Skjerp policyen til p=quarantine og til slutt p=reject når du har kontroll på e-postflyten.
Vurder MTA-STS og BIMI for ytterligere sikkerhet og merkevarevisning i innboksen.

Sjekk status for ditt eget domene direkte på data1.no — analysen er gratis og tar noen sekunder.

Sjekk ditt eget domene

Få samme analyse for ditt domene på 10 sekunder, helt gratis.

Kjør analyse →