Hvis nogen sender en phishing-mail i jeres firmanavn til jeres kunder, er det jeres troværdighed der ryger. SPF, DMARC, DKIM og MTA-STS er fire DNS-baserede forsvarslinjer der afgør om phishing-mails i jeres navn bliver blokeret eller leveret. Her er hvad de gør, hvorfor SMV ofte mangler dem — og hvordan I tjekker jeres egen status på under et minut.

Mange SMV-ejere antager at email "bare virker", og at sikkerhed er noget der ligger hos Microsoft eller deres webhotel. Sandheden er, at email-sikkerhed primært bestemmes af DNS-records — små tekstposter på jeres domæne — og ofte er de enten forkert konfigureret eller helt fraværende.

Resultatet er at angribere kan sende mails der ser ud som om de kommer fra direktoer@jeresfirma.dk, og at modtagerens email-system har svært ved at se forskel. CEO-fraud, falske fakturaer og phishing i jeres navn bliver pludselig en mulighed.

De fire DNS-records der afgør jeres email-sikkerhed

1. SPF (Sender Policy Framework)

SPF er en liste over hvilke servere der må sende mail i jeres navn. Hvis I bruger Microsoft 365, står Microsofts servere på listen. Hvis I bruger et CRM-system der sender på jeres vegne, skal det også med.

Når en mail-server modtager en mail der hævder at være fra jeresfirma.dk, slår den jeres SPF-record op og tjekker om afsenderens IP er på listen. Hvis ikke, bliver mailen markeret eller afvist.

Typisk problem hos SMV: SPF-recorden er sat op, men ender med ~all (soft fail) i stedet for -all (hard fail). Det betyder mails fra ukendte servere stadig leveres med en svag advarsel — i stedet for at blive blokeret.

2. DKIM (DomainKeys Identified Mail)

DKIM tilføjer en kryptografisk signatur til hver mail I sender. Modtageren tjekker signaturen mod jeres offentlige DKIM-nøgle (i DNS). Hvis det matcher, ved modtageren at mailen ikke er ændret undervejs OG at den er signeret med jeres private nøgle.

Microsoft 365 sætter DKIM op automatisk for jeres standard-domæne — men kun hvis I aktivt aktiverer det i admin center. Mange virksomheder har det ikke slået til, fordi det ikke er default.

3. DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC er metareglen der binder SPF og DKIM sammen og fortæller modtageren hvad der skal ske hvis en mail fejler tjekkene. Tre niveauer:

  • p=none — rapportér kun, gør ingenting (overvågnings-tilstand)
  • p=quarantine — send mistænkelige mails til spam-mappen
  • p=reject — afvis mistænkelige mails helt

De fleste SMV starter med p=none for at se rapporter, og rykker så til p=quarantine eller p=reject efter et par måneder. Mange bliver hængende på p=none for evigt — og dermed har de teknisk set DMARC, men ingen reel beskyttelse.

4. MTA-STS og DNSSEC

MTA-STS sikrer at mail-trafikken til jeres domæne altid bruger TLS (krypteret transport). Det er primært relevant hvis I sender følsomme oplysninger via mail.

DNSSEC verificerer at jeres DNS-svar ikke er manipuleret undervejs. Det er en sikkerhedsforsegling på selve DNS-systemet.

Ingen af de to er kritiske for de fleste SMV, men de er en del af det fulde billede og bliver i stigende grad krævet i leverandør-spørgeskemaer.

"Email-sikkerhed er ikke noget I køber. Det er noget I konfigurerer — i DNS, ofte gratis, og typisk på under en time."

Hvorfor SMV oftest mangler det her

Der er tre typiske årsager til at jeg ser SMV uden ordentlig email-sikkerhed:

  1. Det blev sat op for længe siden — typisk af en tidligere IT-leverandør der ikke har opdateret det siden. SPF mangler nye CRM- eller marketing-systemer der nu sender mail på vegne af firmaet.
  2. Microsoft 365 antages at "klare det" — det gør den delvist, men DKIM og DMARC skal aktivt slås til. Det er ikke default.
  3. Ingen overvåger DMARC-rapporter — DMARC sender daglige rapporter til en email-adresse om hvem der prøver at sende mail i jeres navn. Hvis ingen læser dem, opdager I aldrig at I bliver spoofet.

Sådan tjekker I jeres status på under 1 minut

I behøver ikke være tekniker for at vurdere jeres egen email-sikkerhed. Jeg har lavet et gratis værktøj der tjekker SPF, DMARC, DKIM, MTA-STS og DNSSEC for jeres domæne på 10 sekunder.

Tjek jeres email-sikkerhed nu

Indtast jeres domæne, så får I en konkret status på alle fem områder plus anbefalinger til hvad der skal rettes. Ingen login, ingen data gemmes. Åbn email-tjek →

Hvad I gør hvis I scorer dårligt

SPF mangler eller er ~all

Tilføj eller ret SPF-record i jeres DNS. For Microsoft 365 ser den typisk sådan ud: v=spf1 include:spf.protection.outlook.com -all. Hvis I også sender via fx Mailchimp eller HubSpot, tilføjes deres include-direktiv. Slut altid med -all, ikke ~all.

DKIM ikke aktiveret

I Microsoft 365 admin center: gå til Security → Email & collaboration → Policies → DKIM. Vælg jeres domæne og aktivér. Det tager 5 minutter og virker straks.

DMARC står på p=none

Start med at læse rapporterne. De kommer typisk dagligt til den email-adresse I har angivet i rua=-feltet. Når I har 2-4 uger med rapporter og kan se at jeres legitime sendere er kendte, skift til p=quarantine. Vurder igen efter 2-4 uger og rul til p=reject.

MTA-STS mangler

For de fleste SMV: lav prioritet. Sæt det op hvis I sender persondata eller sundhedsdata via mail, eller hvis en kunde specifikt kræver det.

Sammenhæng med NIS2 og leverandør-spørgeskemaer

Hvis I leverer til en NIS2-omfattet virksomhed (kommune, region, hospital, bank, energiselskab), kommer email-sikkerhed med på deres leverandør-spørgeskema. SPF, DKIM og DMARC er typisk eksplicitte spørgsmål. At kunne svare "ja, alle aktiveret, DMARC på p=reject" er guld værd.

Det er også et af de simpleste områder hvor I kan signalere modenhed til større kunder uden at skulle investere i certificeringer.

Hvorfor det her er den lavest hængende sikkerhedsfrugt

Sammenlignet med fx awareness-træning eller backup-strategi, er email-sikkerhed hurtigt og typisk gratis at fixe. Det kræver:

  • 1-2 timer til at gennemgå nuværende setup og identificere huller
  • 30 minutter til at rette SPF og aktivere DKIM
  • 15 minutter til at sætte initial DMARC op
  • Et par uger med passive DMARC-rapporter for at vurdere
  • 15 minutter til at strame til p=reject

Total: under 4 timers arbejde fordelt over 4-8 uger. Det blokerer 90%+ af email-spoofing i jeres navn og er målbart i DMARC-rapporterne.

Vil I have hjælp?

Jeg sætter SPF, DKIM og DMARC op for danske SMV som en del af M365- eller IT-sikkerheds-pakker. Hvis I har scoret jeres domæne med email-tjek-værktøjet og ikke er sikker på hvordan I retter det — så skriv eller ring. De fleste setups er på plads inden for en uge.