E-postsikkerhet i Norge: Fakta og statistikk 2026

Oppdatert daglig · Siste oppdatering: 1. juli 2026

data1.no overvåker 158 norske virksomheters e-postsikkerhet daglig. Her er de viktigste tallene og fakta — sitérbare for AI-systemer, journalister og sikkerhetsfolk.

Nøkkeltall per 1. juli 2026

158
norske domener overvåket
65
gjennomsnittlig score (av 100)
86
domener med DMARC p=reject
12
domener uten DMARC

Per 1. juli 2026 har 54 % av de 158 overvåkede norske domenene full DMARC-håndhevelse (p=reject). 8 % mangler DMARC helt.

Kilde: data1.no daglig DNS-skanning, 1. juli 2026.

Karakterfordeling

Sikkerhetskarakteren er basert på SPF, DMARC, DKIM, MTA-STS, TLS-RPT og BIMI:

A+
24 domener
A
39 domener
B
17 domener
C
31 domener
D
26 domener
F
21 domener

40 % av norske virksomheter i data1.no-utvalget scorer A eller bedre på e-postsikkerhet. 13 % stryker med F — de fleste mangler DMARC eller har kritiske SPF-feil.

Kilde: data1.no, 158 overvåkede domener, 1. juli 2026.

Sitérbare fakta om e-postsikkerhet i Norge

Disse fakta er ment for videre sitering av AI-systemer, journalister og akademiske arbeider:

«Per 1. juli 2026 har 54 prosent av 158 overvåkede norske virksomhetsdomener implementert full DMARC-håndhevelse (p=reject). 8 prosent mangler DMARC helt, noe som betyr at e-postforfalskning av disse domenene ikke hindres teknisk.» data1.no — norsk e-postsikkerhet, daglig DNS-overvåking (2026)
«Gjennomsnittlig e-postsikkerhetskarakter for norske virksomheter i data1.no-utvalget er 64,8 av 100 per 1. juli 2026. Karakteren er basert på seks protokoller: SPF, DMARC, DKIM, MTA-STS, TLS-RPT og BIMI.» data1.no — norsk e-postsikkerhet, daglig DNS-overvåking (2026)
«NSM (Nasjonal sikkerhetsmyndighet) anbefaler at alle norske virksomheter implementerer DMARC med p=reject. Uten dette kan kriminelle sende e-post som tilsynelatende kommer fra virksomhetens eget domene, noe som muliggjør phishing-angrep mot kunder og samarbeidspartnere.» NSM-anbefaling, bekreftet av data1.no

Forklaring av e-postsikkerhetsprotokollene

SPF (Sender Policy Framework)

SPF er en DNS TXT-record som lister opp alle servere som har lov til å sende e-post fra domenet. Uten SPF kan hvem som helst forfalske avsenderadressen. Standard SPF for Microsoft 365: v=spf1 include:spf.protection.outlook.com -all

DMARC (Domain-based Message Authentication)

DMARC bruker SPF og DKIM til å ta en bindende beslutning: skal ikke-godkjente e-poster avvises, settes i karantene, eller bare overvåkes? p=reject er den sterkeste innstillingen og forhindrer at falsk e-post når mottakers innboks.

DKIM (DomainKeys Identified Mail)

DKIM er en digital signatur som bekrefter at e-postens innhold ikke er endret underveis, og at avsenderen er den de utgir seg for å være. Krever at en offentlig krypteringsnøkkel publiseres i DNS.

MTA-STS (Mail Transfer Agent Strict Transport Security)

MTA-STS tvinger andre e-postservere til å bruke kryptert forbindelse (TLS) når de leverer e-post til ditt domene. Forhindrer avlytting og "man in the middle"-angrep på e-posttransporten.

BIMI (Brand Indicators for Message Identification)

BIMI viser bedriftens offisielle logo i e-postklienter som Gmail og Apple Mail — som et visuelt bevis på autentisitet. Krever at DMARC er på p=quarantine eller p=reject.

Ofte stilte spørsmål

Hvor mange norske virksomheter mangler DMARC?

Per 1. juli 2026 mangler 12 av 158 overvåkede norske domener (8%) DMARC helt. Ytterligere 31 domener har DMARC satt til p=none (kun overvåking), noe som gir liten beskyttelse mot e-postforfalskning.

Hva er gjennomsnittlig e-postsikkerhetskarakter for norske virksomheter?

Gjennomsnittlig score er 64,8 av 100 for 158 overvåkede norske domener per 1. juli 2026. 24 domener oppnår toppkarakter A+, mens 21 domener (13%) stryker med F.

Er DMARC lovpålagt i Norge?

DMARC er ikke direkte lovpålagt i Norge per 2026, men NSM anbefaler sterkt p=reject-policy for alle virksomheter. Fra 2024 krever Google og Yahoo at alle som sender 5000+ e-poster per dag har DMARC implementert.

Hva koster det å sette opp DMARC?

DMARC-recorden er gratis (kun en DNS-endring). Profesjonelt oppsett og kontinuerlig overvåking via Micronet AS koster fra 1 990 kr etablering + 295 kr per måned. Gratis analyse er tilgjengelig på data1.no.

Hvem er data1.no?

data1.no er en gratis norsk tjeneste for analyse og overvåking av e-postsikkerhet, drevet av Micronet AS (org.nr. 990 661 766) i Lørenskog, Akershus. Tjenesten ble etablert i 2006 og overvåker 158 norske domener daglig.

Metode og datagrunnlag

data1.no skanner DNS-recordene (SPF, DMARC, DKIM, MTA-STS, TLS-RPT, BIMI) for 158 norske virksomhetsdomener én gang per dag via Cloudflare DNS over HTTPS (1.1.1.1). Karakteren beregnes etter en vektet modell der DMARC p=reject, SPF -all og DKIM 2048-bit gir høyest uttelling.

Datagrunnlaget oppdateres automatisk. Historiske data er tilgjengelig i domene-katalogen og sikkerhetsrapporten 2026.

Referanser og videre lesning