Hoppa till innehåll
DMARC · SPF · DKIM · MTA-STS · BEC-skydd

DMARC-kontroll
skydda domänen mot e-postbedrägerier

Northverify kontrollerar DMARC, SPF och DKIM på 10 sekunder och visar om din domän är skyddad mot spoofing, phishing och BEC-attacker — med en DNS-konfigurationsguide om något saknas.

Kör DMARC-kollen gratisFullständig säkerhetsskanning

Gratis, inget kreditkort. Rapport klar på 10 sekunder.

Vad är DMARC och hur skyddar det din e-post?

DMARC är ett DNS-baserat protokoll som kontrollerar autenticiteten hos e-post skickad från din domän. Det bygger på SPF (kontrollerar avsändarens IP) och DKIM (kontrollerar meddelandets signatur). Med DMARC-policy 'reject' kan ingen — inte ens en angripare med fullständig tillgång till internet — skicka e-post som ser autentisk ut från din domän. Utan DMARC är din domän öppen för spoofing — angripare kan skicka e-post till dina kunder och anställda som verkar komma från ditt företag.

DMARC-record — policy, subdomain och rua/ruf

Northverify kontrollerar om ditt DMARC-record finns i DNS, vilken policy som är satt (none/quarantine/reject) och om aggregate-rapporter (rua) och forensic-rapporter (ruf) är konfigurerade. En policy på 'none' ger synlighet men inget skydd — 'reject' krävs för maximalt skydd mot spoofing.

SPF — Sender Policy Framework

Kontrollerar att SPF-recordet finns, att det inte har fler än 10 DNS-lookups (vilket bryter SPF), att syntaxen är korrekt och att '-all' (hard fail) eller '~all' (soft fail) är satt. SPF definierar vilka servrar som är auktoriserade att skicka e-post i din domäns namn.

DKIM — DomainKeys Identified Mail

Identifierar vanliga DKIM-selektorer (google, default, mail, smtp, k1, s1, s2) och validerar att DKIM-recordet är korrekt konfigurerat. DKIM signerar utgående e-post kryptografiskt så att mottagarens server kan verifiera att meddelandet inte ändrats under transporten.

MTA-STS och TLS-RPT — e-posttransport­säkerhet

MTA-STS (Mail Transfer Agent Strict Transport Security) tvingar krypterad e-posttransport och förhindrar downgrade-attacker. TLS-RPT skickar rapporter om TLS-fel vid leverans till din domän. Northverify kontrollerar om MTA-STS är konfigurerat och validerar TLS-RPT-recordet.

Subdomain-policy och DMARC-arv

Subdomäner ärver inte automatiskt DMARC-policy från rooted-domänen. En angripare som registrerar en liknande subdomain kan skicka phishing-e-post om 'sp='-parametern saknas. Northverify identifierar om subdomain-policy saknas och om 'aspf'/'adkim'-alignmentet är strikt eller relaxed.

BEC-bedrägerier och phishing-risker

Business Email Compromise (BEC) — where an attacker impersonates the CEO or finance department — costs Swedish companies hundreds of millions annually. Without DMARC, anyone can send an email that appears to come from your domain. Northverify betygsätter din domäns e-postsäkerhet och visar konkret risk för BEC-angrepp.

Rapport med DNS-konfigurationsguide

Varje DMARC-brist i Northverify-rapporten innehåller en konkret DNS-post som du eller din hostingleverantör kan klistra in direkt. Inga vaga rekommendationer — specifika TXT-records med korrekt syntax för SPF, DMARC och DKIM.

DMARC (Domain-based Message Authentication, Reporting & Conformance) är ett e-postautentiseringsprotokoll som verifierar att e-post som skickas från din domän faktiskt är auktoriserad av dig. En korrekt DMARC-konfiguration med policy=reject blockerar spoofing och phishing som utnyttjar ditt domännamn.

Din DMARC-konfiguration är komplett när:

  • SPF-post finns och är korrekt
  • DKIM är konfigurerat och aktivt
  • DMARC-post finns med policy=reject (eller quarantine)
  • Inga fel i rua/ruf-rapportadressen
  • Ingen alignment-mismatch

Läs den fullständiga guiden om e-postautentisering: E-postautentisering — guide för Sverige.

8 steg till DMARC reject-policy

Rekommenderat tillvägagångssätt för att nå maximalt skydd utan att störa legitim e-post.

  1. 1Publicera SPF-record: v=spf1 include:_spf.google.com -all
  2. 2Konfigurera DKIM-signering hos e-postleverantören
  3. 3Starta DMARC med none-policy: v=DMARC1; p=none; rua=mailto:dmarc@dindomän.se
  4. 4Granska aggregate-rapporterna (rua) i 2–4 veckor
  5. 5Skärp till quarantine-policy: p=quarantine; pct=25 → 100
  6. 6Skärp till reject-policy: p=reject (maximalt skydd)
  7. 7Lägg till subdomain-policy: sp=reject
  8. 8Aktivera MTA-STS för krypterad e-posttransport
Kontrollera DMARC-status nuLäs e-postautentiserings­guiden →

26 kategorier — ett resultat

Varje skanning täcker alla dessa kategorier utan att du behöver konfigurera något.

DMARC — policy, rua, ruf, subdomain
SPF — DNS-lookups, syntax, hard/soft fail
DKIM — selektor­verifiering och konfiguration
MTA-STS och TLS-RPT-transport­säkerhet
Security headers (HSTS, CSP, X-Frame)
SSL/TLS-certifikat och HTTPS-konfiguration
GDPR & personuppgifter
Cookie-samtycke och ePrivacy
SEO & teknisk SEO
Tillgänglighet WCAG 2.1 AA / EAA

DMARC-kontroll i praktiken

Fyra scenarier där DMARC-granskning ger konkret skydd.

1

Ny e-postleverantör — verifiera konfigurationen

Byte från en e-posttjänst till en annan (t.ex. från Exchange On-Prem till Microsoft 365, Google Workspace eller Zoho) kräver uppdaterade SPF-records och ny DKIM-konfiguration. Northverify validerar hela e-postsäkerhets­konfigurationen för den domän du skannar — inklusive om DKIM-selektorerna för den nya leverantören är korrekt publicerade.

2

Byråer — kontrollera kundens e-postsäkerhet

Webbbyråer, IT-konsulter och digitala byråer som levererar webbprojekt bör inkludera DMARC-granskning i leverans­checklistans acceptanskriterier. Kunder som inte har DMARC konfigurerat är exponerade mot domain spoofing — ett ansvar som byråer kan hjälpa till att täppa till.

3

E-handelsbolag — skydda mot BEC och leverantörs­bluffar

E-handelsbolag är ett primärt mål för BEC-bedrägerier där angripare utger sig för att vara leverantörer och begär betalnings­byte. Utan DMARC kan angripare skicka e-post som verkar komma direkt från er domän till era leverantörer och kunder. En DMARC reject-policy eliminerar denna angrepps­vektor.

4

NIS2-efterlevnad — e-postsäkerhet som teknisk åtgärd

NIS2 kräver att organisationer implementerar adekvata tekniska åtgärder för att skydda kommunikation. DMARC, SPF och DKIM är explicit nämnda i ENISA:s riktlinjer som rekommenderade tekniska skydds­åtgärder för e-postkommunikation. Northverify ger dokumentation av e-postsäkerhets­konfigurationen för NIS2-revision.

DMARC-kollen — gratis verktyg

Kontrollera DMARC, SPF och DKIM på 10 sekunder

Webbplatssäkerhet — fullständig skanning

Headers, SSL, NIS2 och fler säkerhetskontroller

E-postautentiserings­guide

Djupguide: DMARC, SPF, DKIM och MTA-STS för Sverige

Vanliga frågor om DMARC och e-postsäkerhet

Vad är DMARC och hur skyddar det min e-post?

DMARC (Domain-based Message Authentication, Reporting and Conformance) är ett e-postautentiserings­protokoll som bygger ovanpå SPF och DKIM. Det talar om för mottagande e-postservrar vad de ska göra med meddelanden som misslyckas med SPF och DKIM — 'none' (övervaka), 'quarantine' (skicka till skräppost) eller 'reject' (avvisa). Med DMARC 'reject' kan ingen skicka e-post som ser ut att komma från din domän utan att ha din privata DKIM-nyckel.

Vad är skillnaden mellan SPF, DKIM och DMARC?

SPF definierar vilka servrar som är auktoriserade att skicka e-post för din domän (kontrollerar avsändar-IP). DKIM lägger till en kryptografisk signatur på varje utgående e-post (kontrollerar meddelandets integritet). DMARC binder samman SPF och DKIM och lägger till en policy för vad som händer om autentiseringen misslyckas — plus rapportering. Alla tre behövs för fullständigt skydd: SPF och DKIM utan DMARC ger ingen policy-enforcement.

Hur konfigurerar jag DMARC för min domän?

Steg 1: Publicera SPF-record som TXT på _spf.dindomän.se. Steg 2: Aktivera DKIM-signering hos din e-postleverantör (Google Workspace, Microsoft 365, etc.) och publicera DKIM-nyckeln i DNS. Steg 3: Lägg till DMARC-record som TXT på _dmarc.dindomän.se — börja med p=none och en rua-adress för rapporter. Steg 4: Granska rapporterna i 2–4 veckor och skärp sedan gradvis till p=quarantine och slutligen p=reject. Northverify validerar varje steg och visar exakt vilka DNS-records som behöver korrigeras.

Vad händer om jag inte har DMARC?

Utan DMARC kan vem som helst skicka e-post som ser ut att komma från din domän. Det möjliggör: (1) Phishing mot dina kunder med din varumärkesidentitet, (2) BEC-attacker mot dina anställda och leverantörer, (3) Skräppost­kampanjer som skadar din domäns sändnings­rykte. Utan DMARC kan du heller inte se om din domän missbrukas — eftersom rapporteringsfunktionen (rua/ruf) kräver ett DMARC-record.

Hur kontrollerar Northverify DMARC?

Northverify gör DNS-uppslagningar mot din domäns TXT-records för _dmarc.dindomän.se, _spf.dindomän.se och vanliga DKIM-selektorer (google, default, mail, smtp, k1, s1). Det parsear och validerar alla records mot RFC-specifikationerna och rapporterar specifika fel: saknat DMARC-record, policy på 'none' (svagt skydd), SPF-record med för många DNS-lookups (bryter RFC), felaktigt DKIM-format, och saknad MTA-STS.

Vilken DMARC-policy ska jag använda?

Slutmålet är alltid p=reject, men börja med p=none för att samla in rapporter och förstå vilka system som skickar e-post i din domäns namn — utan att riskera att legitim e-post avvisas. När aggregate-rapporterna visar att all legitim e-post passerar (2–4 veckor), skärp gradvis: p=quarantine;pct=25 → pct=100 → p=reject. Sätt alltid sp=reject för att skydda subdomäner explicit.

Gratis DMARC-kontroll — inget kreditkort

Är din domän skyddad mot e-postbedrägerier?

Northverify kontrollerar DMARC, SPF och DKIM på 10 sekunder och visar om din domän kan utnyttjas för spoofing, phishing och BEC-attacker.

Kör DMARC-kontroll gratisSe priser

Frågor? Läs vanliga frågor eller kontakta oss via chatten.