E-postautentisering 2026: komplett guide till DMARC, SPF och DKIM för svenska domäner

E-postautentisering är ett samlingsnamn för tre DNS-baserade protokoll — SPF, DKIM och DMARC — som tillsammans gör det möjligt för mottagande e-postservrar att verifiera att ett e-post faktiskt kommer från den domän som anges i avsändarfältet. Utan autentisering kan vem som helst skicka e-post som ser ut att komma från din domän.

Tre skäl att implementera DMARC/SPF/DKIM idag

• Google och Microsoft kräver det — Sedan februari 2024 kräver Gmail och Outlook.com att domäner som skickar bulk-e-post (5 000+ meddelanden/dag) har SPF och DKIM konfigurerade, och uppmuntrar starkt DMARC. Saknar du detta ökar risken för att dina legitima e-post hamnar i skräppost.
• Skyddar mot phishing och BEC-bedrägerier — Business Email Compromise (BEC) kostade globalt $2,9 miljarder 2023 (FBI IC3). Kriminella spoofar ofta kända varumärkens domäner. DMARC p=reject stoppar detta.
• NIS2 och IMY kräver informationssäkerhet — Cybersäkerhetslagen (NIS2) artikel 21 kräver tekniska säkerhetsåtgärder som inkluderar e-postsäkerhet. IMY ser DMARC-saknad som en säkerhetsbrist vid tillsyn.

I Northverifys skanningar kontrollerar vi din SPF-post, DKIM-signering och DMARC-policy automatiskt — och flaggar om din policy är p=none (ingen skyddseffekt) eller helt saknas.

SPF (Sender Policy Framework, RFC 7208) är en TXT-post i din DNS som listar vilka IP-adresser och servrar som är auktoriserade att skicka e-post från din domän.

Hur SPF fungerar

1. Du publicerar en TXT-post: v=spf1 include:_spf.google.com ~all
2. Mottagarens server slår upp din domäns SPF-post vid inkommande e-post
3. Om avsändar-IP finns i SPF-posten → autentisering godkänd
4. Om inte → beroende på ~all (softfail) eller -all (fail)

Vanliga SPF-misstag

• Fler än 10 DNS-lookups — SPF tillåter max 10 rekursiva lookups. Varje include: räknas. Använd SPF-flattening-verktyg om din post är komplex.
• Glömt externa avsändare — Om du använder Mailchimp, HubSpot eller en tredjeparts transaktionell e-posttjänst (SendGrid, Postmark) måste dessa inkluderas.
• Använda +all — Tillåter alla servrar att skicka e-post. Aldrig korrekt.

Rekommenderad SPF för Gmail/Google Workspace

v=spf1 include:_spf.google.com ~all

Byt ~all (softfail) till -all (hardfail) när du är säker på att alla avsändare är inkluderade.

DKIM (DomainKeys Identified Mail, RFC 6376) lägger till en kryptografisk signatur på varje utgående e-post. Mottagarens server kan verifiera signaturen mot en publik nyckel publicerad i din DNS — och därigenom bekräfta att e-posten inte manipulerats under transitering.

Hur DKIM fungerar

1. Din e-postserver signerar meddelandet med en privat nyckel
2. En DKIM-header (DKIM-Signature:) läggs till i e-posten
3. Den publika nyckeln publiceras som TXT-post:selector._domainkey.dindomän.se
4. Mottagaren verifierar signaturen mot den publika nyckeln

Sätt upp DKIM för Google Workspace

1. Gå till Admin Console → Apps → Google Workspace → Gmail → Authenticate email
2. Generera en ny DKIM-nyckel (2048 bit rekommenderas)
3. Publicera den genererade TXT-posten i din DNS (TTL 3600)
4. Klicka "Start Authentication" i Admin Console
5. Verifiera med dig TXT google._domainkey.dindomän.se eller Northverifys DMARC-kollen

Notera att DKIM kräver att din DNS-leverantör stöder TXT-poster med lång strängbredd (2048-bitarsnycklar är 344 tecken). De flesta moderna DNS-leverantörer (Loopia, One.com, Cloudflare, GoDaddy) stöder detta.

DMARC (RFC 7489) är "limmet" som binder samman SPF och DKIM och talar om för mottagarservrar vad de ska göra med e-post som misslyckas autentisering. Det ger dig också rapporter om vem som skickar e-post i ditt namn.

DMARC-policyer

• p=none — Ingen åtgärd vid misslyckad autentisering. Används för monitorering. Ger inget skydd mot spoofing.
• p=quarantine — E-post som misslyckas markeras som spam/misstänkt.
• p=reject — E-post som misslyckas avvisas helt. Maximalt skydd.

Minimal DMARC-post

_dmarc.dindomän.se  TXT  "v=DMARC1; p=none; rua=mailto:dmarc@dindomän.se"

Vägen till p=reject

1. Börja med p=none och samla rapporter i 2–4 veckor
2. Analysera rapporterna (använd ett DMARC-analyserverktyg: Postmark DMARC, MXToolbox)
3. Identifiera legitima avsändare som misslyckas (saknade SPF/DKIM-konfigurationer)
4. Åtgärda samtliga legitima avsändare
5. Trappa upp: pct=10 → pct=50 → pct=100
6. Byt till p=quarantine, sedan p=reject

Kontrollera din DMARC-status direkt i Northverifys DMARC-kollen — gratis verktyg som visar SPF, DKIM och DMARC-konfiguration för vilken domän som helst.

BIMI (Brand Indicators for Message Identification) är ett tillägg ovanpå DMARC som låter dig visa ditt varumärkes logotyp i mottagarens inkorg. Gmail, Apple Mail och Yahoo stöder BIMI — och studier visar 10–20 % högre öppningsfrekvens.

Krav för BIMI

• DMARC med p=quarantine eller p=reject (krävs)
• En SVG-logotyp i BIMI-godkänt format (profil="Tiny PS" standard)
• För Gmail: ett Verified Mark Certificate (VMC) från DigiCert eller Entrust (~$1 300/år)
• TXT-post: default._bimi.dindomän.se

VMC-certifikat krävs för att visas i Gmail. Utan VMC visas BIMI-logotyper fortfarande i Yahoo Mail och Apple Mail. Sätt upp BIMI om du har ett varumärke med hög e-postvolym och vill stärka synligheten i inkorgen.

Cybersäkerhetslagen (SFS 2025:1506, implementering av NIS2-direktivet) kräver i artikel 21 att väsentliga och viktiga verksamheter implementerar "policies och rutiner för användning av kryptografi och kryptering" samt "säkerhet i leveranskedjan". E-postautentisering ingår i dessa krav.

IMY och NCSC har i sina vägledningar konstaterat att frånvaro av DMARC p=reject kan anses utgöra en bristfällig säkerhetsåtgärd. Vid en personuppgiftsincident via e-postbedrägerier (t.ex. att kunder luras att betala till fel kontonummer via spoofad e-post) kan frånvaro av DMARC bidra till bedömningen av allvarlighetsgrad.

Se vår fullständiga guide till NIS2 och Cybersäkerhetslagen.