SPF: Slik beskytter du domenet mot e-post-spoofing
SPF (Sender Policy Framework) er den eldste og enkleste byggesteinen i moderne e-postsikkerhet. Hvis SPF-recorden din er feil eller mangler, kan hvem som helst sende e-post i ditt navn — og dine egne legitime e-poster havner i spam-mappa.
Innhold
1. Hva er SPF?
SPF står for Sender Policy Framework og ble standardisert i 2006 (RFC 4408, oppdatert i 2014 i RFC 7208). Det er en TXT-record i DNS-en din som lister opp alle servere som har tillatelse til å sende e-post på vegne av domenet ditt.
Eksempel på en SPF-record:
v=spf1 include:spf.protection.outlook.com -allDette betyr: «Bare Outlook/Microsoft 365-servere får sende e-post fra dittfirma.no — alt annet skal avvises.»
2. Slik fungerer SPF
Når en e-postserver mottar en e-post med fra@dittfirma.no, gjør den følgende:
- Henter SPF-recorden fra DNS for
dittfirma.no. - Sjekker om avsenderens IP-adresse matcher noen av mekanismene i SPF.
- Hvis ja → SPF pass. Hvis nei → SPF fail/softfail.
Resultatet brukes deretter av DMARC til å avgjøre hva som skal skje med meldingen — leveres, settes i karantene eller avvises.
3. Oppsett — eksempler for vanlige leverandører
Her er de vanligste oppsettene for norske bedrifter. Legg til som TXT-record på rotnivå (@ eller blank navn):
Microsoft 365 / Outlook
v=spf1 include:spf.protection.outlook.com -allGoogle Workspace / Gmail
v=spf1 include:_spf.google.com -allMicrosoft 365 + Mailchimp
v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -allDomeneshop e-post
v=spf1 include:_spf.domeneshop.no -allEgen server (med fast IP)
v=spf1 ip4:185.183.30.17 -allDu kan kun ha ÉN SPF-record per domene. Dette er en av de vanligste feilene. Hvis du legger til en ekstra SPF-record (f.eks. fordi du fikk ny e-postleverandør), vil begge bli ugyldige. Slå sammen alle include:-direktiver i én record.
4. Forklaring av SPF-mekanismer
| Mekanisme | Betydning |
|---|---|
v=spf1 | Versjonsdeklarasjon. Må være først. |
include:domene | Inkluder en annen SPF-record (f.eks. fra leverandør). |
ip4:x.x.x.x | Tillat denne IPv4-adressen. |
ip6:::1 | Tillat denne IPv6-adressen. |
a | Tillat domenets egen A-record (IP). |
mx | Tillat domenets MX-servere. |
-all | Hard fail — alt annet avvises. |
~all | Soft fail — alt annet markeres som mistenkelig. |
?all | Nøytral — ingen håndhevelse. |
+all | FARLIG — godta alle. Aldri bruk dette. |
5. -all, ~all eller +all?
Slutten på SPF-recorden bestemmer håndhevelsen:
- -all (hard fail): «Alle andre er ulovlige avsendere.» Anbefales — men krever at du har alle legitime avsendere i SPF.
- ~all (soft fail): «Alle andre er mistenkelige.» Brukes ofte i overgangsfasen mens man tester.
- ?all (neutral): Ingen tydelig policy. Ikke anbefalt — gir ingen reell beskyttelse.
- +all: «Alle får sende.» Aldri bruk dette — det åpner for full e-post-spoofing av domenet ditt.
Vi ser dessverre at flere norske bedrifter har +all ved en feil — sjekk din SPF nå med data1.no.
6. 7 vanlige SPF-feil
- Mer enn 10 DNS-oppslag. SPF har en hard grense på 10 lookups. Hver
include:teller. Når du går over, blir hele SPF-recorden ugyldig (PermError). Bruk SPF-flattening (f.eks. fra Mailgun eller en tjeneste som Easymail) for å løse dette. - To SPF-records på samme domene. Begge blir ugyldige. Slå dem sammen til én.
- Manglende -all/~all. Uten dette er SPF i praksis tom — alle får sende.
- Glemte include for en sub-leverandør. Hvis du bruker Mailchimp i tillegg til Outlook, må begge være med i SPF.
- Subdomener uten egen SPF.
nyhetsbrev.dittfirma.noarver ikke SPF fradittfirma.no. - Bruker domenet i Reply-To og glemmer SPF. Hvis avsender bruker
noreply@gmail.commenFrom:erinfo@dittfirma.no, må SPF-recorden være på dittfirma.no. - Cache-problemer etter endring. SPF caches lokalt hos mottakere i opptil 4 timer. Vent før du tester.
7. Hvordan teste SPF
Det enkleste er å bruke data1.no som validerer SPF-recorden, teller DNS-oppslag, og forteller deg om -all er satt riktig. Du får svar på 10 sekunder.
Alternativt kan du bruke dig i terminalen:
dig +short TXT dittfirma.no | grep spf1Eller på Windows:
nslookup -type=TXT dittfirma.noSjekk SPF-recorden din nå
Få full validering: DNS-oppslag, syntakssjekk og leveringsanbefalinger på 10 sekunder.
Sjekk eget domene →Lese mer
- DMARC forklart: Slik beskytter du domenet mot phishing
- DKIM: Digital signatur for e-post
- Norges 100 største nettsteder — e-post sikkerhetsrapport 2026
Test SPF på et domene
Bruk SPF-generatoren for å lage en korrekt SPF-record, eller se eksempler i katalogen over 158 overvåkede norske domener: equinor.no, sbanken.no, oslo.kommune.no.
Vanlige SPF-feil
- SPF 10-lookup overskredet — for mange include:-mekanismer
- SPF PermError — syntaksfeil eller for mange oppslag
- SPF fail men DMARC pass — DKIM redder dagen
- Mail havner i spam — ofte SPF-relatert