Altinn, NRK, UiO og 9 andre offentlige etater har DMARC kun på overvåking
12 norske offentlige etater — inkludert Altinn, NRK, Universitetet i Oslo, NTNU og tre kommuner — har DMARC-record på plass, men kun på overvåkings-modus (p=none). Det betyr at e-postservere ikke avviser phishing-e-post som utgir seg for å komme fra disse domenene.
p=quarantine eller p=reject. Det betyr at Gmail og Outlook samler inn DMARC-rapporter for spoofing-forsøk, men leverer fortsatt den falske e-posten i innboksen. Det er trygt å bli i overvåkings-modus i 4-8 uker mens man analyserer rapportene — men flere av disse etatene har hatt DMARC-record i flere år uten å skjerpe.
Hva betyr "p=none"?
DMARC har tre nivåer av håndhevelse, satt via p=-parameteren i TXT-recorden:
p=none— overvåking. Mottakende e-postserver (Gmail, Outlook, Apple Mail) sjekker DMARC, samler rapport-data, men leverer e-posten uansett. Phishing-e-post når innboksen.p=quarantine— mistenkelig e-post sendes til spam-mappen.p=reject— mistenkelig e-post avvises ved levering, mottaker ser den aldri. Dette er anbefalt sluttilstand.
Anbefalt overgang er p=none i 4-8 uker for å identifisere alle legitime avsendere, deretter trinnvis skjerpelse til p=quarantine med prosentvis utrulling, og til slutt p=reject. Hele prosessen tar typisk 2-3 måneder.
De 12 offentlige etatene med p=none
Data1.no har scannet 158 norske domener daglig siden januar 2026. Følgende 12 offentlige domener har DMARC-record, men har stoppet på overvåkings-modus:
| Domene | Sektor | Karakter | DMARC-policy | Live-status |
|---|---|---|---|---|
| altinn.no | Statsportal | F | p=none | Se rapport → |
| nrk.no | Statskanalen | D | p=none | Se rapport → |
| forsvaret.no | Forsvaret | D | p=none | Se rapport → |
| uio.no | Universitetet i Oslo | F | p=none | Se rapport → |
| ntnu.no | NTNU | F | p=none | Se rapport → |
| nmbu.no | NMBU | D | p=none | Se rapport → |
| hvl.no | Høgskulen på Vestlandet | D | p=none | Se rapport → |
| khio.no | Kunsthøgskolen i Oslo | D | p=none | Se rapport → |
| oslo.kommune.no | Oslo kommune | D | p=none | Se rapport → |
| baerum.kommune.no | Bærum kommune | D | p=none | Se rapport → |
| tromso.kommune.no | Tromsø kommune | D | p=none | Se rapport → |
| ks.no | KS (kommune-interesseorganisasjon) | D | p=none | Se rapport → |
Alle 12 har bekreftet aktive MX-records (verifisert via Cloudflare DNS 12. mai 2026), så dette er reelle e-post-domener, ikke parkerte URL-er.
Hva betyr dette i praksis?
For en kriminell som ønsker å sende phishing-e-post i navnet til en av disse etatene, er forskjellen mellom p=none og p=reject avgjørende:
- Med
p=reject: Forfalsket e-post medFrom: [email protected]blir avvist av Outlook/Gmail før den når frem. Mottakeren ser aldri den. - Med
p=none: Samme forfalskede e-post leveres normalt til innboksen. Mottakeren kan ikke skille den fra ekte Altinn-varsel uten å sjekke headers manuelt.
Norsk offentlig sektor er et populært phishing-mål, særlig rundt skattemeldings-sesongen for altinn.no og rundt søknadsfrister for universitetene. DMARC med p=reject er det enkleste enkelttiltak for å redusere risikoen.
Motpolen: offentlige etater som har skjerpet
For å sette dette i kontekst: flere norske offentlige etater har fullført overgangen til håndhevende DMARC. nav.no, ssb.no og stortinget.no kjører alle med p=reject. Det viser at det er fullt mulig — det krever bare prioritet og en plan for utrulling.
Hva bør skje nå?
For etatene som står på p=none: hvis DMARC-recorden har vært aktiv i over 8 uker, er det på tide å skjerpe. Praktisk gjennomføring:
- Analyser DMARC-rapporter (RUA) — finn alle legitime avsendere og verifiser at de består SPF og DKIM.
- Skjerp til
p=quarantine; pct=25— 25 % av spoofet e-post sendes til spam. - Trinnvis opp til pct=100, deretter
p=reject.
For alle andre med eget domene: sjekk DMARC-statusen din her på 10 sekunder. Eller bruk vår DMARC-generator for å bygge riktig record.
p=none. Karakter (A+ til F) reflekterer en sammenlagt score basert på DMARC (35p), SPF (25p), DKIM (20p), MTA-STS (12p), TLS-RPT (5p) og BIMI (3p). Full metodikk: ordbok.