SPF: Slik beskytter du domenet mot e-post-spoofing

Publisert 7. mai 2026 · Av Micronet · 6 min lesetid

SPF (Sender Policy Framework) er den eldste og enkleste byggesteinen i moderne e-postsikkerhet. Hvis SPF-recorden din er feil eller mangler, kan hvem som helst sende e-post i ditt navn — og dine egne legitime e-poster havner i spam-mappa.

1. Hva er SPF?

SPF står for Sender Policy Framework og ble standardisert i 2006 (RFC 4408, oppdatert i 2014 i RFC 7208). Det er en TXT-record i DNS-en din som lister opp alle servere som har tillatelse til å sende e-post på vegne av domenet ditt.

Eksempel på en SPF-record:

v=spf1 include:spf.protection.outlook.com -all

Dette betyr: «Bare Outlook/Microsoft 365-servere får sende e-post fra dittfirma.no — alt annet skal avvises.»

2. Slik fungerer SPF

Når en e-postserver mottar en e-post med [email protected], gjør den følgende:

1. Henter SPF-recorden fra DNS for dittfirma.no.
2. Sjekker om avsenderens IP-adresse matcher noen av mekanismene i SPF.
3. Hvis ja → SPF pass. Hvis nei → SPF fail/softfail.

Resultatet brukes deretter av DMARC til å avgjøre hva som skal skje med meldingen — leveres, settes i karantene eller avvises.

3. Oppsett — eksempler for vanlige leverandører

Her er de vanligste oppsettene for norske bedrifter. Legg til som TXT-record på rotnivå (@ eller blank navn):

Microsoft 365 / Outlook

v=spf1 include:spf.protection.outlook.com -all

Google Workspace / Gmail

v=spf1 include:_spf.google.com -all

Microsoft 365 + Mailchimp

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all

Domeneshop e-post

v=spf1 include:_spf.domeneshop.no -all

Egen server (med fast IP)

v=spf1 ip4:185.183.30.17 -all

4. Forklaring av SPF-mekanismer

5. -all, ~all eller +all?

Slutten på SPF-recorden bestemmer håndhevelsen:

• -all (hard fail): «Alle andre er ulovlige avsendere.» Anbefales — men krever at du har alle legitime avsendere i SPF.
• ~all (soft fail): «Alle andre er mistenkelige.» Brukes ofte i overgangsfasen mens man tester.
• ?all (neutral): Ingen tydelig policy. Ikke anbefalt — gir ingen reell beskyttelse.
• +all: «Alle får sende.» Aldri bruk dette — det åpner for full e-post-spoofing av domenet ditt.

Vi ser dessverre at flere norske bedrifter har +all ved en feil — sjekk din SPF nå med data1.no.

6. 7 vanlige SPF-feil

1. Mer enn 10 DNS-oppslag. SPF har en hard grense på 10 lookups. Hver include: teller. Når du går over, blir hele SPF-recorden ugyldig (PermError). Bruk SPF-flattening (f.eks. fra Mailgun eller en tjeneste som Easymail) for å løse dette.
2. To SPF-records på samme domene. Begge blir ugyldige. Slå dem sammen til én.
3. Manglende -all/~all. Uten dette er SPF i praksis tom — alle får sende.
4. Glemte include for en sub-leverandør. Hvis du bruker Mailchimp i tillegg til Outlook, må begge være med i SPF.
5. Subdomener uten egen SPF. nyhetsbrev.dittfirma.no arver ikke SPF fra dittfirma.no.
6. Bruker domenet i Reply-To og glemmer SPF. Hvis avsender bruker [email protected] men From: er [email protected], må SPF-recorden være på dittfirma.no.
7. Cache-problemer etter endring. SPF caches lokalt hos mottakere i opptil 4 timer. Vent før du tester.

7. Hvordan teste SPF

Det enkleste er å bruke data1.no som validerer SPF-recorden, teller DNS-oppslag, og forteller deg om -all er satt riktig. Du får svar på 10 sekunder.

Alternativt kan du bruke dig i terminalen:

dig +short TXT dittfirma.no | grep spf1

Eller på Windows:

nslookup -type=TXT dittfirma.no

Lese mer

• DMARC forklart: Slik beskytter du domenet mot phishing
• DKIM: Digital signatur for e-post
• Norges 100 største nettsteder — e-post sikkerhetsrapport 2026