Defaults.Exposed

Defaults.ExposedFikserGuides

«DMARC-policy ikke aktivert»: Hva sjekketjenester mener, og det ærlige 5-minutters første steget (2026)

Publisert 2026-07-08

Tall per 2026-06-29 · metodikk v7. Samlet sensusdata for 261 millioner graderte domener. Se hvordan vi graderer.

«DMARC-policy ikke aktivert» betyr én av to ting: domenet ditt har ingen DMARC-post i det hele tatt, eller det har en satt til p=none. Bare 10.59% av domener — 27,640,987 av 261,086,232 — håndhever en DMARC-policy, ifølge Defaults.Exposed-sensus. Å publisere en overvåkingspost tar fem minutter; håndhevelse er et prosjekt.

Denne veiledningen dekoder advarselen, gir deg den eksakte TXT-posten å publisere og nøyaktig hvor du skal legge den, går gjennom syntaksfellene som gjør første forsøk mislykket, og setter æredige forventninger til hva den første uken med DMARC-rapporter ser ut som. Det er bevisst ikke en «fiks DMARC på 5 minutter»-veiledning — fem minutter gir deg synlighet, ikke beskyttelse.

Hva betyr «DMARC-policy ikke aktivert» egentlig?

Sjekketjenester som MXToolbox slår to ulike funn sammen til én oransje advarsel, og fikseveien avhenger av hvilken du har:

Hva sjekketjenesten viserHva det faktisk betyrDomener berørt (av 261,086,232 graderte)
«Ingen DMARC-post funnet»Ingenting er publisert på _dmarc.dittdomene. Mottakere bruker ingen policy og sender deg ingen rapporter. Du er usynlig for dine egne e-postproblemer.196,105,162 (75.11%)
«DMARC-policy ikke aktivert» / «policy er none»En post finnes, men sier p=none: rapportering er på, beskyttelse er av. Mottakere leverer forfalsket e-post nøyaktig som før.37,312,637 (14.29%)
«Policy: quarantine» eller «reject»En håndhevet policy. Mottakere handler på feil.27,640,987 (10.59%)

Data per 2026-06-29.

Den første raden er der mesteparten av internett befinner seg: 75.11% av graderte domener publiserer ingen DMARC-post i det hele tatt, og ytterligere 14.29% sitter på p=none. Motsetningen til siste rad er det tallet som betyr noe: 89.41% av domener har ingen håndhevet DMARC-policy — av 261,086,232 graderte domener i sensus. Hvis sjekketjenesten din viser advarselen, er du i det overveldende flertallet. Det er ikke beroligende; det er grunnen til at forfalskning fortsatt er billig.

En avklaring som sparer forvirring senere: DMARC er policy-laget på toppen av SPF og DKIM, sjekket mot Fra-overskriften mottakeren faktisk ser. «Ikke aktivert» betyr at du ikke har fortalt mottakere å gjøre noe ennå. Hvis de tre policy-verdiene er nye for deg, er forklaringen på enkelt norsk hva er DMARC: none, quarantine, reject.

Hva kan du ærlig fikse på fem minutter?

Å publisere en post. Det er hele det ærlige kravet.

v=DMARC1; p=none; rua=mailto:[email protected]

Fem minutter etter at denne TXT-posten er live, vil mottakere som sjekker DMARC begynne å kompilere daglige rapporter om hvem som sender e-post som domenet ditt — legitime servere og etterlignere alike. Den synligheten er genuint verdifull og genuint umiddelbar.

Hva den ikke gjør: p=none beskytter ingenting. Forfalsket e-post leveres nøyaktig som den ble levert i går, og en sjekketjeneste som skanner på nytt i morgen kan fortsatt si «policy ikke aktivert» — riktig, fordi det grønne merket er reservert for quarantine eller reject. Vi har skrevet om hvorfor i p=none er ikke beskyttelse; den trinnvise veien til en policy som faktisk blokkerer forfalskning er fra p=none til p=reject. Det fem-minutters steget nedenfor er hvordan du starter; den veiledningen er hvordan du fullfører.

Hvordan publiserer du din første DMARC-post?

  1. Kjør den gratis skanningen før du rører DNS. Den forteller deg hvilket av de to funnene du faktisk har — ingen post mot p=none — og om SPF og DKIM er på plass i bunnen, noe som avgjør hvor raskt du kan gå til håndhevelse senere.
  2. Velg en adresse for å motta rapporter. En dedikert postkasse som dmarc-reports@dittdomene er fint å starte med. Hvis du bruker en rapportanalysestjeneste i stedet, se FAQ nedenfor — tredjepartsadresser har en stille fallgruve.
  3. Legg til en TXT-post hos verten _dmarc. I de fleste DNS-kontrollpaneler (se IONOS DMARC-oppsettsveiledningen for et gjennomarbeidet eksempel) skriver du _dmarc i vert/navn-feltet — panelet legger til domenet ditt automatisk og produserer _dmarc.dittdomene.com. Verdi: v=DMARC1; p=none; rua=mailto:[email protected]
  4. Bekreft at den ble løst opp. dig TXT _dmarc.dittdomene.com (eller en nettbasert sjekketjeneste) skal returnere nøyaktig én post som begynner med v=DMARC1. De fleste DNS-endringer er synlige innen minutter; lav TTL hjelper.
  5. Skann på nytt. Rapporten din viser DMARC til stede i overvåkingsmodus — en ærlig gjenspeiling av hvor du er: rapportering på, håndhevelse avventer.

Én post dekker subdomener dine også: mottakere som ikke finner noen post på mail.dittdomene.com faller tilbake til organisasjonsdomenet sin policy, så du trenger ikke én post per subdomene for å begynne overvåking.

Hva er de vanligste feilene ved å legge til posten?

Nesten alle mislykkede første forsøk er ett av disse — og de betyr noe, fordi en uleselig post behandles som ingen post. Sensus teller 48,648 publiserte DMARC-poster som feiler ved tolking; stavefeilene folk faktisk publiserer er katalogisert i DMARC-stavefeil-sensus.

Hva vil rua-rapportene se ut som i uke én?

Sett forventningene nå slik at du ikke konkluderer med at det er ødelagt:

Og be faktisk om rapporter: 64.3% av domener med en DMARC-post publiserer ingen rua=-adresse, så de får ingen rapporter fra den — sensusdataene om det er i DMARC publiseres blindt. Alt du lærer her mater inn i håndhevelses-utrullingen — overvåking er uke én av det prosjektet, ikke et endepunkt. Å parkere på p=none på ubestemt tid er den vanligste måten domener ender opp i de 89.41% på.

Ofte stilte spørsmål

Vil publisering av p=none skade e-postleveransen min? Nei. p=none endrer ingenting ved hvordan mottakere behandler e-posten din — det ber bare om rapporter. Det kan hjelpe: Googles og Yahoos krav til storvolum-avsendere krever minst en p=none DMARC-post fra høyvolum-avsendere, så å publisere én er et samsvarsgulv, ikke en risiko.

Jeg publiserte posten — hvorfor sier sjekketjenesten fortsatt «policy ikke aktivert»? Fordi den forteller deg sannheten: policyen din er none, og sjekketjenester reserverer godkjenning for quarantine eller reject. Du har sluttet deg til domenene som overvåker men ikke håndhever — per 2026-06-29 håndhever bare 10.59% av 261,086,232 graderte domener. Advarselen forsvinner når du fullfører utrullingen til håndhevelse.

Trenger jeg SPF og DKIM satt opp før jeg legger til DMARC? Du trenger minst én av dem, justert, for at e-posten din skal bestå DMARC — men du trenger dem ikke perfekte før du publiserer p=none. Overvåking er nettopp slik du finner ut hva som er ødelagt: 70,368,600 av 261,086,232 graderte domener (per 2026-06-29) har myk SPF og ingen DMARC-håndhevelse, og rapporter er slik de ville lært hva som stopper dem.

Kan jeg sende rapporter til en tredjeparts-analysator i stedet for min egen postkasse? Ja — men en rua-adresse på et annet domene krever at leverandøren publiserer en autoriseringspost (dittdomene._report._dmarc.leverandor.com), ellers holder mottakere stilltiende tilbake rapporter. Anerkjente tjenester gjør dette automatisk; hvis rapporter aldri ankommer, sjekk dette først.

Send eieren rapporten

Hvis du fikser dette for en klient eller arbeidsgiver, ikke la arbeidet være usynlig. Kjør den gratis skanningen etter at posten er løst opp og videresend den graderte rapporten: den viser DMARC flytte fra fraværende til overvåket, tidsstemplet og på enkelt norsk — og den viser hva som er neste steg på veien til håndhevelse. Eiere trenger i økende grad nøyaktig dette beviset for fornyelse av cyberforsikring og leverandørsikkerhets-spørreskjemaer, og en ensides gradert rapport svarer på de spørsmålene bedre enn et skjermbilde av et DNS-panel noen gang vil.

Sjekk domenet ditt gratis

Se hvilket av de to funnene du har — ingen post eller p=none — og hva som er under det, privat og kun for eieren.

Sjekk domenet ditt → · Fiks DMARC → · Fra p=none til p=reject → · Hvordan vi graderer → · Kun aggregerte data. Data lagret og behandlet i EU.