Store navn – svak sikkerhet: Equinor, Hydro og Yara scorer 0 av 100

Ukens gjennomgang av 158 norske domener avslører at flere av Norges største selskaper ikke har grunnleggende e-postsikkerhet på plass.

Publisert 29. jun 2026 · Av Terje Otterlei · 4 min lesetid

Ukens tall i korte trekk

Snittscore for uke 27 ligger på 64,8 av 100 blant de 158 analyserte domenene. Det er et moderat nivå — godt nok til å bestå, men langt fra betryggende. 86 domener har innført p=reject, som er den sterkeste formen for DMARC-beskyttelse. Samtidig mangler 12 domener DMARC helt.

Karakter	Antall domener
A+	24
A	39
B	17
C	31
D	26
F	21

Over halvparten av domenene scorer B eller bedre — men 21 stykker stryker på karakterskalaen. Det er der ukens store nyhet ligger.

Norske tungindustriselskaper med 0 av 100

Det som gjør denne ukens rapport særlig påfallende, er hvem som befinner seg helt i bunnen. Blant domenene med F-karakter og 0 poeng finner vi:

equinor.no — Norges største selskap, børsnotert internasjonalt
hydro.no — global aluminiumsprodusent med over 30 000 ansatte
yara.no — verdens ledende gjødselsprodusent
aker-solutions.no — olje- og gassleverandør med internasjonal tilstedeværelse
sparebanken-ost.no — regional norsk sparebank

0 poeng betyr at domenene mangler eller har feilkonfigurert DMARC, SPF og øvrige sikkerhetslag. Det gjør det teknisk mulig for angripere å sende e-post som ser ut til å komme fra disse domenene — uten at mottakere eller servere har noen mekanisme for å oppdage forfalskningen.

Det er viktig å understreke at 0 poeng i data1.nos analyse ikke nødvendigvis betyr at selskapene er kompromittert eller at ansatte er i umiddelbar fare. Men det betyr at de mangler grunnleggende tekniske barrierer mot e-postforfalskning (spoofing) og phishing i sitt navn.

For store, internasjonalt kjente merkevarer er dette ekstra problematisk: Jo mer kjent avsender, desto mer troverdig fremstår en forfalsket e-post for mottakeren.

Offentlig sektor leverer — igjen

I den andre enden av skalaen troner norske offentlige etater. nav.no, ssb.no, stortinget.no og udi.no scorer alle A+ eller like under. Dette er ikke tilfeldig — offentlig sektor har hatt sterkere insentiver og krav til e-postsikkerhet de siste årene, og det vises i dataen.

telenor.no er det private selskapet som kommer best ut med 97 poeng, noe som viser at høy score er fullt oppnåelig også i næringslivet.

Ukens forbedringer: Gjensidige tar små steg

Bare to domener registrerte målbare forbedringer denne uken:

gjensidige.no: opp fra 63 til 68 poeng (+5p, karakter C)
powerdmarc.com: opp fra 95 til 100 poeng (+5p, karakter A+)

Gjensidige er et forsikringsselskap som håndterer store mengder sensitiv kundekommunikasjon via e-post. En forbedring på 5 poeng er et skritt i riktig retning, men C-karakter gir fortsatt rom for vesentlig styrking — særlig med tanke på bransjen de opererer i. Se den fullstendige analysen på trendsiden for å følge utviklingen over tid.

Hva bør du gjøre?

Enten du driver et lite nettsted eller et børsnotert selskap, er tiltakene de samme — men haster mer jo større du er:

Sjekk ditt eget domene på data1.no — det tar under ett minutt.
Publiser en DMARC-post med minst p=none for å begynne å samle rapporter, selv om du ikke er klar for full håndhevelse.
Gå til p=reject når du har kontroll på alle legitime e-postkilder. Det er dette som faktisk stopper forfalskning.
Legg til MTA-STS og BIMI for ekstra lag — disse gir henholdsvis kryptert transport og visuell avsenderbekreftelse i e-postklienter.

Vil du se hvordan ditt domene måler seg mot andre i samme bransje? Bruk sammenligningsverktøyet for å få perspektiv på hvor du står.

Sjekk ditt eget domene

Få samme analyse for ditt domene på 10 sekunder, helt gratis.

Kjør analyse →