Hvorfor har min virksomhed brug for email-autentificering?

90% af alle cyberangreb starter med en phishing-email. Uden SPF, DKIM og DMARC kan kriminelle sende emails der ser ud som om de kommer fra jeres domæne — f.eks. falske fakturaer til jeres kunder eller CEO-fraud mails til bogholderiet. Med korrekt konfigureret email-autentificering (især DMARC sat til reject) vil disse falske mails aldrig nå modtagerens indbakke. For virksomheder under NIS2-direktivet er email-autentifikation desuden et grundlæggende sikkerhedstiltag der forventes at være på plads.

Hvad er SPF, DKIM og DMARC? (Forklaret simpelt for ikke-teknikere)

Q: Hvad er SPF, DKIM og DMARC?

SPF (Sender Policy Framework) er en DNS-record der definerer hvilke mailservere der må sende emails på vegne af jeres domæne — som en gæsteliste. DKIM (DomainKeys Identified Mail) tilføjer en kryptografisk signatur til udgående mails, så modtageren kan verificere at mailen er ægte og uændret. DMARC (Domain-based Message Authentication, Reporting and Conformance) definerer hvad der skal ske med mails der fejler SPF- eller DKIM-tjekket — fra overvågning (none) til fuld afvisning (reject). Tilsammen beskytter de mod phishing, CEO-svindel og falske fakturaer.

Opdateret april 2026 · 6 min læsetid

Forestil dig, at nogen sender en faktura til jeres kunde — fra jeres emailadresse. Fakturaen ser ægte ud. Logoet er korrekt. Afsenderadressen er jeres domæne. Men pengene går til en kriminel konto i udlandet.

Det er ikke science fiction. Det sker for danske virksomheder hver eneste dag. Og det kan lade sig gøre, fordi email-protokollen fra 1982 ikke har indbygget afsenderverifikation. SPF, DKIM og DMARC er de tre teknologier, der lukker det hul.

90% af alle cyberangreb starter med en phishing-email (Verizon DBIR). Alligevel har størstedelen af danske SMV'er ikke konfigureret deres email-sikkerhed korrekt.

SPF — gæstelisten til jeres domæne

Tænk på SPF (Sender Policy Framework) som en gæsteliste til en fest. Listen fortæller omverdenen: "Disse mailservere har lov til at sende emails på vegne af vores domæne. Alle andre er uvelkomne."

Konkret er SPF en DNS-record — en lille tekst-fil der ligger hos jeres domæne-udbyder. Den definerer præcis, hvilke IP-adresser og servere der må sende mail som @jeres-domæne.dk.

Uden SPF kan en angriber sende en mail fra "direktør@jeres-domæne.dk" fra en hvilken som helst server i verden. Med SPF kan modtagerens mailserver tjekke gæstelisten og se, at afsenderen ikke er inviteret.

Typisk fejl: Mange virksomheder har en SPF-record, men den er forældet. Den inkluderer måske en gammel marketingplatform I ikke bruger mere, eller mangler jeres nye CRM-system. En ufuldstændig SPF er næsten lige så slem som ingen SPF.

DKIM — den digitale underskrift

Hvis SPF er gæstelisten, er DKIM (DomainKeys Identified Mail) den digitale underskrift på selve brevet.

Når jeres mailserver sender en email, tilføjer DKIM en kryptografisk signatur i mailens header. Modtagerens server kan derefter tjekke signaturen mod en offentlig nøgle i jeres DNS. Hvis signaturen matcher, ved modtageren to ting: emailen kom faktisk fra jeres domæne, og indholdet er ikke blevet ændret undervejs.

Det er som at forsegle et brev med laksegl. Hvis seglet er brudt, ved modtageren, at nogen har pillet ved brevet.

Typisk fejl: DKIM kræver at jeres mailserver er konfigureret til at signere udgående mails, OG at den offentlige nøgle er publiceret i DNS. Mange virksomheder mangler det ene eller det andet — især efter migration til Microsoft 365, hvor DKIM-signering skal aktiveres manuelt.

Tjek jeres email-sikkerhed gratis

Vores live scanner analyserer jeres SPF, DKIM og DMARC-opsætning på under 30 sekunder. Ingen installation, ingen forpligtelser.

Kør gratis sikkerhedstjek →

DMARC — reglerne for hvad der sker med falske mails

DMARC (Domain-based Message Authentication, Reporting and Conformance) er den tredje og mest afgørende brik. DMARC definerer, hvad der skal ske, når en email fejler SPF- eller DKIM-tjekket.

Tænk på det som instruktionen til dørmanden: "Hvis nogen ikke er på gæstelisten OG ikke har den rigtige invitation, hvad gør du så?"

DMARC har tre niveauer:

none — overvåg og rapporter, men lad mailen igennem alligevel. Nyttigt som startpunkt, men beskytter ikke.
quarantine — send mistænkelige mails til spam. Bedre, men mange modtagere tjekker spam-mappen.
reject — afvis mailen helt. Det er målet. Falske mails når aldrig modtagerens indbakke.

Det skræmmende: Langt de fleste danske SMV'er kører enten uden DMARC eller med DMARC sat til "none". Det svarer til at have en dørmand, der lukker alle ind uanset hvad.

Den virkelige konsekvens: CEO-svindel og falske fakturaer

Her er et scenarie vi har set flere gange:

En angriber finder ud af, at jeres domæne ikke har DMARC reject. De sender en email fra "regnskab@jeres-domæne.dk" til en leverandør med besked om at ændre bankoplysningerne for fremtidige betalinger. Leverandøren ser afsenderadressen, tror det er legitimt, og ændrer kontonummeret. Næste fakturabetaling går direkte til angribers konto.

Eller internt: en mail der ser ud som om den kommer fra direktøren, beder bogholderiet om at overføre et beløb akut. Det hedder CEO-fraud, og det koster danske virksomheder millioner hvert år.

Med korrekt SPF + DKIM + DMARC (reject) ville disse mails aldrig nå frem.

Hvordan kommer I i gang?

Det første skridt er at finde ud af, hvor I står. Det tager bogstaveligt talt 30 sekunder med vores gratis sikkerhedsscanner. Den tjekker jeres SPF, DKIM og DMARC automatisk og giver jer en konkret rapport.

Derefter er processen:

Opret eller ret jeres SPF-record, så den matcher de servere I faktisk bruger
Aktiver DKIM-signering i jeres mailsystem (Microsoft 365, Google Workspace, osv.)
Start med DMARC i "none"-tilstand for at overvåge
Analyser DMARC-rapporter for at identificere legitime afsendere
Skru gradvist op til "quarantine" og derefter "reject"

Processen tager typisk 4-8 uger at gennemføre korrekt, fordi I skal sikre jer, at legitime mails ikke bliver blokeret undervejs. Det er en af de ting vi hjælper med i vores Cyberbeskyttelse-pakker — fra Basis til Enterprise.

For virksomheder der er underlagt NIS2-kravene, er email-autentifikation et grundlæggende sikkerhedstiltag, der forventes at være på plads.

Få en gratis email-sikkerhedsrapport

Indtast jeres domæne og se med det samme, om jeres SPF, DKIM og DMARC er konfigureret korrekt. Ingen installation, ingen binding.

Tjek jeres domæne nu →