Defaults.Exposed

Defaults.ExposedFikserGuides

En klients sikkerhetsspørreskjema spør om e-postautentisering — Svar på det (og fiks gapene) på én ettermiddag (2026)

Publisert 2026-07-08

Tall per 2026-06-29 · metodikk v7. Samlet sensusdata for 261 millioner graderte domener — vi publiserer aldri et enkelt domenes resultater. Se hvordan vi graderer.

Klienten din spør fordi europeiske forsyningskjedesikkerhetsregler nå krever at de sjekker leverandørene sine. Spørsmålene har et to-minutters startpunkt: en gratis skanning graderer nøyaktig det de undersøker. Bare 7.4% av domener har e-postautentisering fullt justert og håndhevet, ifølge Defaults.Exposed-sensus av 261,086,232 domener (per 2026-06-29) — de fleste leverandører kan heller ikke svare «ja» ennå.

Her er planen for ettermiddagen: kjør den gratis skanningen, les den énsides graderte rapporten, svar ærlig på det som allerede er sant, og fiks de gratis raske gevinstene samme dag. For noe dypere er en datert rapport pluss et kort utbedringsnotat et akseptabelt mellomliggende svar — og et bedre enn et ustøttet «ja».

Hvorfor spør vår største klient plutselig om e-postsikkerheten vår?

Det er ikke personlig. Hvis klienten din er i omfanget av NIS2 — EUs nettverks- og informasjonssikkerhetsdirektiv — forplikter artikkel 21(2)(d) dem til å håndtere sikkerheten til forsyningskjeden sin, og Commission Implementing Regulation (EU) 2024/2690 staver ut tiltakene, og nevner e-postsikkerhet spesifikt. Så innkjøp sender hvert leverandørspørreskjema; du er kanskje ikke dekket av NIS2 selv, men slik kaskaderer forpliktelsen ned til deg. Fristen og konsekvensen — å forbli på listen over godkjente leverandører — eksisterer fordi klienten din må vise en regulator at de gjorde sjekkingen. (Vi har skrevet opp hva NIS2 faktisk sier om e-postautentisering.) Forsikringsselskaper stiller nå de samme spørsmålene — hvis fornyelsesformularet ditt har startet også, er det forsikringsversjonen av denne ettermiddagen.

Hva betyr spørsmålene egentlig?

E-postsikkerhetsdelen av et typisk leverandørspørreskjema er fire spørsmål som bærer akronymer. Oversatt én gang, deretter slipper vi dem.

Hva spørreskjemaet spørHva det betyr på klart norskHvordan skannrapporten svarer på det
«Håndhever du en DMARC-policy?» (DMARC — Domain-based Message Authentication, Reporting and Conformance)Har du fortalt verdens e-postservere om å nekte e-post som forfalsker domenet ditt? Raden de fleste leverandørene feiler: bare 7.4% av 261,086,232 graderte domener har dette justert og håndhevet (sensus per 2026-06-29).Angir og graderer policyen din. «Håndhevet» betyr avvis eller karantene; «kun overvåking» blokkerer ingenting ennå — si hvilken, ærlig.
«Er SPF konfigurert med en restriktiv policy?» (SPF — Sender Policy Framework)Har du publisert listen over servere som er tillatt å sende e-post som selskapet ditt — og slutter den fast («ingen andre») eller med en skuldertrekning («og kanskje andre»)?Viser om listen eksisterer, er gyldig, og slutter fast eller mykt.
«Er utgående e-poster digitalt signert (DKIM)?» (DKIM — DomainKeys Identified Mail)Bærer e-posten din en manipuleringsevident signatur som beviser at den kom fra domenet ditt — i ditt navn, ikke leverandørens standard?Viser om en signatur eksisterer i domenets navn — leverandørstandardfellen er det vanligste gapet skanningen finner.
«Overvåker du for domeneforfalskning?»Hvis noen sendte falsk e-post som deg, ville du funne ut — eller ville det første tegnet være en sint telefon?Viser om rapporteringsadressen er slått på, slik at forfalskningsforsøk når deg.

Hvert av disse svares fra domenets offentlige innstillinger — ingen revisjon, ingen byrå, ingen tilgang til systemene dine. Det er grunnen til at ettermiddagsplanen fungerer. Disse fire er også bare e-postradene i en lengre liste: hva cyberforsikring og leverandørspørreskjemaer sjekker på domenet ditt tabulerer hver kontroll de undersøker, med den internett-dekkende beståttraten for hver. Denne siden holder seg med ettermiddagen din — hva du skal svare, og hva du skal fikse først.

Hvordan svarer vi på det innen fristen? Én-ettermiddags-planen

  1. Kjør den gratis skanningen på defaults.exposed — to minutter, før noen rører noe. Den leser domenets offentlige innstillinger og graderer nøyaktig de fire områdene ovenfor. Ingen registrering, ingen tilgang til e-posten din.
  2. Les den graderte rapporten. Én side, klart norsk, datert — hver karakter kartlegger til et spørreskjemaspørsmål, slik at du vet de reelle svarene dine i stedet for å gjette.
  3. Svar på det som allerede er sant. Der rapporten viser bestått, si ja og si hvorfor («verifisert av uavhengig skanning», med datoen).
  4. Fiks de gratis raske gevinstene samme dag. De vanlige gapene er innstillinger, ikke kjøp: en avsenderliste som slutter mykt (SPF-fiksen), en forfalskningsregel som mangler eller sitter fast i overvåkingsmodus (DMARC-fiksen), en signatur i leverandørens standardnavn. Alle gratis, stort sett én DNS-post hver — videresend fiks-siden til den som administrerer domenet ditt, og flere «nei»-svar blir «ja» før skjemaet sendes tilbake.
  5. For noe dypere, send den daterte rapporten med et utbedringsnotat. Å flytte til en fullt håndhevet policy på riktig måte tar uker med overvåking først — hevd aldri at det er gjort når det ikke er det. «Uavhengig skanning vedlagt; håndhevelsesutrulling pågår, mål september» er et akseptabelt mellomliggende svar for ethvert kompetent innkjøpsteam. Et falskt «ja» er ikke: innkjøpsteam sjekker på nytt, ofte med nøyaktig denne typen skanning.

Kan dette spørreskjemaet faktisk fungere i vår favør?

Ja — på grunn av hva alle andre sender tilbake. De fleste leverandørene svarer med et bart «ja» og ingenting bak det, mens bare 7.4% av 261,086,232 graderte domener faktisk har den justerte-og-håndhevede posisjonen som undersøkes (sensus per 2026-06-29). En datert, uavhengig gradert rapport — selv en som viser et gap og en utbedringsdate — slår et ustøttet «ja», fordi én er verifiserbar og den andre er håp. Du blir ikke bedt om å være perfekt; du blir bedt om å være sjekkbar. Få av konkurrentene dine på den listen vil være det.

Og hvis det som egentlig plager deg er faktura-svindel-historien fra nettverksarrangementet — samme innstillinger, samme to-minutters-sjekk.

Ofte stilte spørsmål

Hva om jeg ikke kan fikse alt innen fristen? Send det som er sant: den daterte rapporten, hva du fikset denne uken, og en datert plan for resten. NIS2-forsyningskjede-gjennomgangene vurderer om leverandørene håndterer risiko, ikke om de er feilfri — en gradert rapport med et utbedringsnotat er risikostyring, skriftlig. Det som feiler gjennomganger er stillhet, eller et krav som ikke overlever en re-sjekk.

Kan IT-konsulenten min håndtere dette? De gratis innstillingene, ja — avsenderlisten, din egen signatur, forfalskningsregelen er rutinemessig DNS-arbeid, og fiks-sidene ovenfor er skrevet for den overdragelsen. Det konsulenter med rimelighet kaller utenfor sitt mandat er vurderingslaget: hvilken policy du skal håndheve, når det er trygt å stramme til, hva du skal fortelle klienten i mellomtiden. Den graderte rapporten gjør disse beslutningene om til et dokument, slik at ingen av dere improviserer.

Vil de virkelig droppe oss som leverandør? For et tomt svar eller et avslørt falskt krav — til slutt, ja; klienten har en regulator å svare til. For et ærlig gap med en utbedringsdate — svært usannsynlig: på tvers av alle 261,086,232 graderte domener, er det bare 10.59% som håndhever forfalskningspolicyen disse spørreskjemaene spør om (sensus per 2026-06-29). Ærlig-med-en-plan holder deg på listen.

Vi er ikke dekket av NIS2 — kan vi ignorere spørreskjemaet? Forpliktelsen er klientens, og de oppfyller den ved å velge sjekkbare leverandører. Rommet for å skille seg ut er enormt: bare 7.4% av alle 261,086,232 graderte domener har e-postautentisering justert og håndhevet (sensus per 2026-06-29). Én ettermiddag setter deg foran nesten hvert annet navn på den leverandørlisten.

Videresend rapporten til IT-kontakten din

Ikke skriv om noe av dette. Kjør den gratis skanningen, videresend deretter to ting til den som tar seg av domenet ditt: den graderte rapporten og denne artikkelen. Rapporten sier nøyaktig hvilke innstillinger som skal endres; fiks-sidene gir trinnene. Når den korrigerte rapporten kommer tilbake, skriver spørreskjemaets svar seg selv — karakter for karakter. Arkiver den deretter: neste klient vil stille de samme fire spørsmålene, forsikringsfornyelsen din gjør det allerede, og en datert rapport du kan vedlegge på fem minutter er forskjellen mellom en ettermiddag og en brannøvelse.

Sjekk domenet ditt → · Hva spørreskjemaer sjekker på domenet ditt → · Den faktura-svindel-historien du hørte → · Kun aggregerte data. Data lagret og behandlet i EU.