Defaults.Exposed

Defaults.Exposed › Rapporter

Kan noen sende e-post og utgi seg for bedriften din? For de fleste domener: ja (2026)

Publisert 2026-06-29

Tall per 2026-06-29 · metodikk v7. Aggregerte folketellingsdata på tvers av 261 millioner vurderte domener. «Kan utgis for» betyr at domenet ikke håndhever DMARC (ingen policy om karantene eller avvisning), kontrollen som ber mottakende e-postservere om å stoppe forfalsket e-post. Se hvordan vi vurderer.

For de fleste bedrifter, ja — noen kan sende e-post som ser ut til å komme nøyaktig fra ditt domene. Bare 10.59% av de 261 millioner domenene vi vurderte håndhever DMARC, den ene kontrollen som faktisk blokkerer identitetsforfalskning. De andre 89.41% lar døren stå åpen: en svindler kan sette din nøyaktige adresse i «Fra»-feltet, og de fleste innbokser vil vise den som ekte. Dette er mekanismen bak falske fakturaer, betalingsforespørsler i form av direktørsvindel og leverandørsvindel — og det koster ingenting å forsøke.

Kan noen virkelig sende e-post som mitt domene?

Hvis domenet ditt ikke håndhever DMARC, så ja. E-post ble utformet uten en innebygd måte å verifisere avsenderen på, så «Fra»-adressen er trivielt enkel å forfalske. Tre innstillinger, lagvis, fikser det — SPF, DKIM og DMARC — men bare den siste, satt til håndhevelse, ber mottakerserveren om faktisk å avvise eller sette en forfalskning i karantene. Per 2026-06-29:

89.41% av domenene — mer enn åtte av ti — kan utgis for i e-post i dag.

«Men vi har SPF» — hvorfor det ikke er nok

Dette er den vanligste og farligste misforståelsen. 53.21% av domenene publiserer en SPF-oppføring, langt flere enn de 10.59% som håndhever DMARC. Eiere ser SPF og antar at de er dekket. Det er de ikke: SPF (og DKIM) sjekker den tekniske sendebanen, men styrer ikke «Fra»-adressen et menneske faktisk ser. Uten DMARC satt til håndhevelse kan en angriper fortsatt bestå SPF på sin egen infrastruktur og forfalske din synlige adresse. SPF er nødvendig rørleggerarbeid; DMARC-håndhevelse er låsen.

Hvor utsatt er ditt hjørne av nettet?

Håndhevelsen varierer mye etter domeneending. Høyere er bedre — det er andelen domener som faktisk blokkerer identitetsforfalskning. Per 2026-06-29:

DomeneendingDMARC-håndhevendeKan utgis for
.nl (Nederland)29.43%29.43% beskyttet, resten utsatt
.de (Tyskland)21.38%
.in (India)19.26%
.uk (Storbritannia)13.42%
.com9.50%den mest brukte endingen ligger under det globale gjennomsnittet på 10.59%
.net10.08%
.org10.01%
.xyz5.15%
.top3.17%
.cn (Kina)1.45%den laveste av de store endingene

Selv den best presterende store endingen beskytter under en tredjedel av domenene sine. På .com — der de fleste bedrifter holder til — håndhever bare 9.50% DMARC.

Hva dette faktisk koster en bedrift

Identitetsforfalskning via e-post er mekanismen bak noe av den mest kostbare nettkriminaliteten som rapporteres til politimyndigheter verden over — kompromittering av forretnings-e-post. Mønsteret er alltid det samme:

Ingenting av dette krever at noen hacker systemene dine. Det krever bare at domenet ditt ikke håndhever DMARC — noe det, for 89.41% av domenene, ikke gjør.

Hvordan vite om du er beskyttet (og fikse det)

Du kan ikke se fra utsiden om du er blant de 10.59% — den eneste måten å vite det på er å sjekke domenet ditt. Løsningen er gratis og tar vanligvis en ettermiddag, gjort i rekkefølge: publiser SPF og DKIM, og deretter flytt DMARC til håndhevelse (p=nonequarantinereject). Det siste trinnet er det som faktisk lukker døren.

Vanlige spørsmål

Kan noen sende en e-post og utgi seg for å være selskapet mitt? Hvis domenet ditt ikke håndhever DMARC (en policy om karantene eller avvisning), ja — din nøyaktige «Fra»-adresse kan forfalskes, og de fleste innbokser vil vise den som ekte. Per 2026-06-29 er 89.41% av de vurderte domenene i denne tilstanden.

Vi har allerede SPF — er vi ikke trygge? Nei. SPF sjekker den tekniske sendebanen, men ikke den synlige «Fra»-adressen. 53.21% av domenene publiserer SPF, men uten DMARC satt til håndhevelse kan adressen din fortsatt forfalskes. Du trenger DMARC på quarantine eller reject.

Er ikke en DMARC-oppføring nok? Bare hvis den håndhever. En oppføring satt til p=none (kun overvåking) — som 14.29% av domenene bruker — gjør ingenting for å stoppe forfalskning. Bare quarantine eller reject gjør det, og bare 10.59% av domenene kommer dit.

Hvordan sjekker jeg mitt eget domene? Kjør en gratis, privat sjekk (nedenfor). Vi viser kun et domenes resultat til dets verifiserte eier.

Er det dyrt å fikse dette? Nei. SPF, DKIM og DMARC er gratis DNS-innstillinger. Kostnaden er tiden det tar å sette dem i riktig rekkefølge, ikke penger.

Sjekk om domenet ditt kan utgis for

Ikke gjett hvilken side av de 10.59% du er på. Sjekk domenet ditt privat og gratis — du vil se din DMARC-, SPF- og DKIM-status og nøyaktig hva som må fikses.

Sjekk domenet ditt → · Fiks DMARC → · Fiks SPF → · Hvordan vi vurderer → · Kun aggregerte data. Data lagret og behandlet i EU.