Defaults.Exposed › Rapporter
Kan noen sende e-post og utgi seg for bedriften din? For de fleste domener: ja (2026)
Publisert 2026-06-29
Tall per 2026-06-29 · metodikk v7. Aggregerte folketellingsdata på tvers av 261 millioner vurderte domener. «Kan utgis for» betyr at domenet ikke håndhever DMARC (ingen policy om karantene eller avvisning), kontrollen som ber mottakende e-postservere om å stoppe forfalsket e-post. Se hvordan vi vurderer.
For de fleste bedrifter, ja — noen kan sende e-post som ser ut til å komme nøyaktig fra ditt domene. Bare 10.59% av de 261 millioner domenene vi vurderte håndhever DMARC, den ene kontrollen som faktisk blokkerer identitetsforfalskning. De andre 89.41% lar døren stå åpen: en svindler kan sette din nøyaktige adresse i «Fra»-feltet, og de fleste innbokser vil vise den som ekte. Dette er mekanismen bak falske fakturaer, betalingsforespørsler i form av direktørsvindel og leverandørsvindel — og det koster ingenting å forsøke.
Kan noen virkelig sende e-post som mitt domene?
Hvis domenet ditt ikke håndhever DMARC, så ja. E-post ble utformet uten en innebygd måte å verifisere avsenderen på, så «Fra»-adressen er trivielt enkel å forfalske. Tre innstillinger, lagvis, fikser det — SPF, DKIM og DMARC — men bare den siste, satt til håndhevelse, ber mottakerserveren om faktisk å avvise eller sette en forfalskning i karantene. Per 2026-06-29:
- 75.11% av domenene har ingen DMARC-oppføring i det hele tatt.
- 14.29% har en DMARC-oppføring satt til kun overvåking (
p=none) — det ser ut som beskyttelse i en revisjon, men ber mottakere om å gjøre ingenting, så forfalsket e-post lander likevel. - Bare 10.59% håndhever en policy om
quarantineellerreject— konfigurasjonen som stopper identitetsforfalskning.
Så 89.41% av domenene — mer enn åtte av ti — kan utgis for i e-post i dag.
«Men vi har SPF» — hvorfor det ikke er nok
Dette er den vanligste og farligste misforståelsen. 53.21% av domenene publiserer en SPF-oppføring, langt flere enn de 10.59% som håndhever DMARC. Eiere ser SPF og antar at de er dekket. Det er de ikke: SPF (og DKIM) sjekker den tekniske sendebanen, men styrer ikke «Fra»-adressen et menneske faktisk ser. Uten DMARC satt til håndhevelse kan en angriper fortsatt bestå SPF på sin egen infrastruktur og forfalske din synlige adresse. SPF er nødvendig rørleggerarbeid; DMARC-håndhevelse er låsen.
Hvor utsatt er ditt hjørne av nettet?
Håndhevelsen varierer mye etter domeneending. Høyere er bedre — det er andelen domener som faktisk blokkerer identitetsforfalskning. Per 2026-06-29:
| Domeneending | DMARC-håndhevende | Kan utgis for |
|---|---|---|
| .nl (Nederland) | 29.43% | 29.43% beskyttet, resten utsatt |
| .de (Tyskland) | 21.38% | — |
| .in (India) | 19.26% | — |
| .uk (Storbritannia) | 13.42% | — |
| .com | 9.50% | den mest brukte endingen ligger under det globale gjennomsnittet på 10.59% |
| .net | 10.08% | — |
| .org | 10.01% | — |
| .xyz | 5.15% | — |
| .top | 3.17% | — |
| .cn (Kina) | 1.45% | den laveste av de store endingene |
Selv den best presterende store endingen beskytter under en tredjedel av domenene sine. På .com — der de fleste bedrifter holder til — håndhever bare 9.50% DMARC.
Hva dette faktisk koster en bedrift
Identitetsforfalskning via e-post er mekanismen bak noe av den mest kostbare nettkriminaliteten som rapporteres til politimyndigheter verden over — kompromittering av forretnings-e-post. Mønsteret er alltid det samme:
- En kunde får en «faktura» fra din adresse med svindlerens bankopplysninger, betaler den og oppdager svindelen uker senere — ofte ved å behandle det som din feil.
- En ansatt får en hastende «fra sjefen»-forespørsel om å flytte penger eller kjøpe gavekort. Adressen er virkelig din, så de etterkommer.
- En leverandør får beskjed om at «bankopplysningene våre har endret seg» i en e-post som består enhver visuell sjekk.
Ingenting av dette krever at noen hacker systemene dine. Det krever bare at domenet ditt ikke håndhever DMARC — noe det, for 89.41% av domenene, ikke gjør.
Hvordan vite om du er beskyttet (og fikse det)
Du kan ikke se fra utsiden om du er blant de 10.59% — den eneste måten å vite det på er å sjekke domenet ditt. Løsningen er gratis og tar vanligvis en ettermiddag, gjort i rekkefølge: publiser SPF og DKIM, og deretter flytt DMARC til håndhevelse (p=none → quarantine → reject). Det siste trinnet er det som faktisk lukker døren.
Vanlige spørsmål
Kan noen sende en e-post og utgi seg for å være selskapet mitt? Hvis domenet ditt ikke håndhever DMARC (en policy om karantene eller avvisning), ja — din nøyaktige «Fra»-adresse kan forfalskes, og de fleste innbokser vil vise den som ekte. Per 2026-06-29 er 89.41% av de vurderte domenene i denne tilstanden.
Vi har allerede SPF — er vi ikke trygge?
Nei. SPF sjekker den tekniske sendebanen, men ikke den synlige «Fra»-adressen. 53.21% av domenene publiserer SPF, men uten DMARC satt til håndhevelse kan adressen din fortsatt forfalskes. Du trenger DMARC på quarantine eller reject.
Er ikke en DMARC-oppføring nok?
Bare hvis den håndhever. En oppføring satt til p=none (kun overvåking) — som 14.29% av domenene bruker — gjør ingenting for å stoppe forfalskning. Bare quarantine eller reject gjør det, og bare 10.59% av domenene kommer dit.
Hvordan sjekker jeg mitt eget domene? Kjør en gratis, privat sjekk (nedenfor). Vi viser kun et domenes resultat til dets verifiserte eier.
Er det dyrt å fikse dette? Nei. SPF, DKIM og DMARC er gratis DNS-innstillinger. Kostnaden er tiden det tar å sette dem i riktig rekkefølge, ikke penger.
Sjekk om domenet ditt kan utgis for
Ikke gjett hvilken side av de 10.59% du er på. Sjekk domenet ditt privat og gratis — du vil se din DMARC-, SPF- og DKIM-status og nøyaktig hva som må fikses.
Sjekk domenet ditt → · Fiks DMARC → · Fiks SPF → · Hvordan vi vurderer → · Kun aggregerte data. Data lagret og behandlet i EU.