DMARC, SPF och DKIM: komplett guide på svenska 2026
Senast uppdaterad: 2026-05-22
E-postbedrägeri och phishing är de vanligaste ingångsvägarna för cyberattacker mot svenska företag. Business Email Compromise (BEC) — där angripare förfalskar mejladresser från betrodda avsändare — orsakar globalt miljarder i förluster varje år. Det finns ett tekniskt svar som kostnader ingenting att implementera och som dramatiskt minskar risken: DMARC.
Den här guiden förklarar hur SPF, DKIM och DMARC fungerar, varför Google och Yahoo nu kräver det, och hur du implementerar det steg för steg på din svenska domän.
Varför e-postspoofing är ett verkligt hot
SMTP — det protokoll som driver e-post sedan 1980-talet — har ingen inbyggd autentisering. Utan tilläggsprotokoller kan vem som helst skicka ett mejl med valfri avsändaradress. Det är tekniskt lika enkelt som att skriva ett falskt avsändarnamn på ett brev.
I praktiken innebär det att en angripare kan:
- Skicka fakturabedrägeri-mejl som ser ut att komma från din redovisningsbyrå
- Phisha dina kunder med mejl som ser ut att komma från din support-adress
- Lura dina leverantörer att byta betalningsinformation via fejkade mejl från din CFO
Swedish context: Polisen (Blå volymen) rapporterar år efter år att BEC-bedrägerier är en av de snabbast växande brottskategorierna mot svenska företag. Medianförlusten per incident överstiger 500 000 SEK.
Hur protokollen fungerar
SPF — Sender Policy Framework
SPF publicerar en lista i DNS som specificerar vilka IP-adresser och tjänster som är auktoriserade att skicka mejl för din domän.
En SPF-record ser ut ungefär så här:
v=spf1 include:_spf.google.com include:mailchimp.com ~all
- v=spf1 — version
- include:_spf.google.com — Google Workspace är auktoriserat
- include:mailchimp.com — Mailchimp är auktoriserat
- ~all — alla andra källor ger "soft fail" (rekommenderat under testning)
- -all — alla andra källor ger "hard fail" (rekommenderat i produktion)
Vanliga misstag med SPF:
- Fler än 10 DNS-uppslag (ger "PermError")
- Glömma att lägga till alla tjänster som skickar mejl (CRM, fakturasystem, support-desk)
- Använda ~all permanent istället för att gå vidare till -all
DKIM — DomainKeys Identified Mail
DKIM lägger till en kryptografisk signatur i varje utgående mejl. Mottagarens server verifierar signaturen mot en publik nyckel som du publicerar i DNS.
DKIM-recorden publiceras under ett "selectornamn" och ser ut ungefär så här:
google._domainkey.dindomän.se TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3..."
DKIM verifieras oberoende av SPF — ett mejl kan klara DKIM men misslyckas med SPF, eller tvärtom. DMARC kräver att minst ett av dem klarar "alignment" (mer om det nedan).
DMARC — Domain-based Message Authentication, Reporting and Conformance
DMARC definierar vad mottagarens server ska göra med mejl som misslyckas med SPF och DKIM, och hur rapporter ska skickas till domänägaren.
En minimal DMARC-record ser ut så här:
_dmarc.dindomän.se TXT "v=DMARC1; p=none; rua=mailto:dmarc@dindomän.se"
- p=none — rapportera men gör ingenting (startläge)
- p=quarantine — lägg mejl i skräppost
- p=reject — blockera mejlet helt (slutmål)
- rua= — skicka aggregerade rapporter till denna adress
DMARC alignment: För att ett mejl ska klara DMARC måste antingen SPF eller DKIM klara "alignment" — det vill säga domänen i SPF/DKIM-kontrollen måste matcha domänen i mejlets From:-fält. Det är viktigt att förstå för att undvika false positives.
Steg-för-steg implementation
Steg 1: Kontrollera nuläget
Börja med att kontrollera vad som redan finns. Använd vår gratis DMARC-koll för att se SPF, DKIM och DMARC-status på din domän på 30 sekunder.
Alternativt via terminal (macOS/Linux):
# SPF
dig dindomän.se TXT | grep "v=spf1"
# DMARC
dig _dmarc.dindomän.se TXT
# DKIM (byt ut 'google' mot din selector)
dig google._domainkey.dindomän.se TXT
Steg 2: Konfigurera SPF
Identifiera alla tjänster som skickar mejl för din domän:
| Tjänst | Include-sträng |
|---|---|
| Google Workspace | `include:_spf.google.com` |
| Microsoft 365 | `include:spf.protection.outlook.com` |
| Mailchimp | `include:servers.mcsv.net` |
| SendGrid | `include:sendgrid.net` |
| Postmark | `include:spf.mtasv.net` |
| HubSpot | `include:hubspot.com` |
Kombinera till en SPF-record och publicera som TXT-record på din rotdomän:
dindomän.se TXT "v=spf1 include:_spf.google.com include:servers.mcsv.net ~all"
Byt ut `~all` mot `-all` när du verifierat att alla legitima avsändare inkluderas.
Steg 3: Aktivera DKIM
DKIM aktiveras och konfigureras hos varje e-posttjänst:
- Google Workspace: Admin > Appar > Gmail > Autentisera e-post > Generera ny DKIM-nyckel
- Microsoft 365: Security > Email authentication > DKIM
- Mailchimp: Account > Extras > Verified Domains
- SendGrid: Settings > Sender Authentication
Kopiera den DKIM-record som tjänsten ger dig och publicera i DNS. Aktivera sedan DKIM i tjänsten.
Steg 4: Publicera DMARC i rapportläge
Börja alltid med `p=none` — det rapporterar utan att blockera:
_dmarc.dindomän.se TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@dindomän.se; ruf=mailto:dmarc-forensic@dindomän.se; sp=none; adkim=r; aspf=r"
Skapa en intern e-postadress (eller använd en gratistjänst som dmarc.postmarkapp.com) för att ta emot DMARC-rapporterna.
Steg 5: Analysera rapporter i 2–4 veckor
DMARC-rapporter skickas dagligen och visar:
- Vilka IP-adresser som skickar mejl i ditt namn
- Vilka som klarar SPF och DKIM
- Volym per avsändarkälla
Sök efter legitima avsändare som misslyckas (de behöver konfigureras) och illegitima avsändare (bevis på spoofing).
Steg 6: Skärp policyn
När du verifierat att alla legitima avsändare klarar autentiseringen:
-
Byt till `p=quarantine` — mejl som misslyckas hamnar i skräppost
-
Vänta ytterligare 1–2 veckor och kontrollera rapporterna
-
Byt till `p=reject` — mejl som misslyckas avvisas helt
_dmarc.dindomän.se TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@dindomän.se; pct=100"
DMARC och NIS2/GDPR
Cybersäkerhetslagen (NIS2-implementationen) kräver att berörda organisationer implementerar "lämpliga och proportionella säkerhetsåtgärder". E-postautentisering — DMARC, SPF och DKIM — nämns explicit i ENISA:s NIS2-vägledning som en basal säkerhetsåtgärd.
Ur GDPR-perspektiv är e-postsäkerhet relevant under artikel 32 (lämpliga tekniska skyddsåtgärder). En framgångsrik BEC-attack som leder till att en angripare utger sig för att vara din organisation och luras till att personuppgifter skickas till en felaktig adress — är en personuppgiftsincident som ska anmälas till IMY inom 72 timmar.
Du kan kontrollera DMARC-status på din domän gratis och testa SSL-certifikatet för att täcka de två vanligaste tekniska bristerna. För en komplett teknisk säkerhetsgenomgång kör du en fullständig scanning.
Skanna din webbplats — gratis
Northverify hittar GDPR-, säkerhets- och tillgänglighetsproblem på 60 sekunder. Inget konto krävs för att köra första skanningen.
Kör en gratis scanRelaterade artiklar
NIS2 i Sverige 2026: Cybersäkerhetslagen, omfattning och vad du måste göra
Komplett guide till Cybersäkerhetslagen (SFS 2025:1506) som trädde i kraft 15 januari 2026. 18 sektorer, sanktioner upp till €10M, checklista.
14 svenska lagar för webbplats-compliance 2026: komplett guide
Komplett guide till 14 svenska lagar som påverkar din webbplats 2026: marknadsföring, e-handel, GDPR, tillgänglighet, DSA, skatterätt och bransch.
GDPR-checklista för småföretag 2026: 40 konkreta krav för din hemsida
Komplett GDPR-checklista för svenska småföretag: webbplats, cookies, integritetspolicy, formulär, anställda och leverantörsavtal. 40 kontrollpunkter med åtgärder.