Domänspoofing i B2B: så skyddar SPF, DKIM och DMARC er avsändardomän
En vecka utan DMARC räcker för att någon ska skicka en falsk faktura i ert namn till en kund ni faktiskt har. E-postbedrägerier via domänspoofing är billiga att utföra och kostnaden hamnar alltid hos den som äger domänen, inte hos den som förfalskar den. Den här artikeln går igenom hur spoofing fungerar tekniskt, hur SPF, DKIM och DMARC låser dörren, och hur ni inför skyddet stegvis utan att skada er egen leveransbarhet i pågående B2B-outreach.
- Domänspoofing utnyttjar avsaknad av SPF, DKIM och DMARC — inte en säkerhetslucka hos mottagaren utan hos avsändardomänen
- En DMARC-post utan enforcement (p=none) övervakar men skyddar inte; endast quarantine eller reject stoppar förfalskade mejl
- Rulla ut DMARC stegvis: none → quarantine → reject, annars riskerar ni att blockera egna legitima system
- Autentiserade domäner får konsekvent bättre inbox-placering och svarsfrekvens än oautentiserade i riktad B2B-outreach
- En dedikerad sub-domän för cold email isolerar avsändarens rykte från huvuddomänens fakturor och interna e-post
Vad är domänspoofing och varför riktas e post bedrägerier mot B2B-avsändare
Domänspoofing innebär att någon förfalskar From-fältet i ett mejl så att det ser ut att komma från er domän, till exempel info@nordiskventilation.se, utan att faktiskt skicka via era servrar. Mottagarens klient visar avsändaren som om den vore legitim, eftersom SMTP-protokollet i grunden inte verifierar vem som faktiskt satte in adressen.
I B2B-sammanhang är detta särskilt lönsamt för bedragare. Ett företag med etablerade leverantörsrelationer och synliga kontaktpersoner på LinkedIn är ett enkelt mål för fakturabedrägerier: en förfalskad påminnelse om ändrat bankkontonummer, skickad till ekonomiavdelningen hos en verklig kund, i ert namn. Nationellt cybersäkerhetscenter har återkommande varnat svenska företag för just denna typ av så kallad BEC-bedrägeri (Business Email Compromise), där förtroendet mellan kända parter är själva vapnet.
Skadan drabbar er även om ni själva aldrig skickat mejlet. Kunden som blir lurad kopplar bedrägeriet till er domän, inte till avsändarens verkliga IP-adress som ingen läser. Det är precis det gapet SPF, DKIM och DMARC stänger.
Spf dkim dmarc meaning: så fungerar de tre lagren ihop
De tre standarderna löser olika delar av samma problem och måste kombineras — ingen av dem räcker ensam mot domänspoofing.
SPF (Sender Policy Framework) är en DNS-post som listar vilka servrar som får skicka mejl för er domän. Mottagarservern slår upp posten och jämför med den IP som faktiskt levererade mejlet. Problemet är att SPF bara verifierar kuvertadressen (Return-Path), inte det synliga From-fältet — en bedragare kan alltså fortfarande visa er domän i From medan SPF-kontrollen tekniskt går mot en annan adress.
DKIM (DomainKeys Identified Mail) signerar varje utgående mejl kryptografiskt med en privat nyckel; mottagaren verifierar signaturen mot en publik nyckel i er DNS. Det bevisar att innehållet inte manipulerats på vägen och att det faktiskt kommer från en server som har er privata nyckel.
DMARC (Domain-based Message Authentication, Reporting and Conformance) knyter ihop SPF och DKIM med ett alignment-krav: domänen i From-fältet måste matcha den domän som SPF eller DKIM godkänt. DMARC-posten talar även om för mottagaren vad som ska hända om alignment misslyckas — none, quarantine eller reject — och skickar dagliga rapporter (rua) tillbaka till er om vem som skickar mejl i ert namn.
- SPF: v=spf1 include:_spf.leverantör.com ~all — max 10 DNS-uppslag, annars permerror
- DKIM: unik nyckel per skickande system (ESP, CRM, faktureringsplattform)
- DMARC: v=DMARC1; p=none; rua=mailto:dmarc-rapporter@företag.se — startläge för insamling
- Alignment: From-domänen måste matcha SPF- eller DKIM-domänen, inte bara vara "godkänd" var för sig
Dmarc policy not enabled: därför räcker inte en post i DNS
Det vanligaste felet är att tro att en publicerad DMARC-post automatiskt ger skydd. Med p=none loggar DMARC bara vem som skickar i ert namn — förfalskade mejl går ändå igenom till mottagarens inkorg precis som innan. Skyddet uppstår först vid p=quarantine (mejlet hamnar i skräppost) eller p=reject (mejlet avvisas helt).
Anledningen till att de flesta ändå börjar på none är att alla legitima avsändarsystem sällan är kända från start: fakturaplattformen, HR-systemet, marknadsföringsverktyget och CRM:et skickar ofta via egna servrar som saknar korrekt SPF/DKIM. Rapporterna från none-fasen visar exakt vilka källor som behöver läggas till innan enforcement slås på, så att ni inte råkar blockera er egen ekonomiavdelnings fakturamejl.
Siffrorna är indikativa, baserade på LDM:s onboarding-granskningar av kunddomäner inför riktad B2B-outreach.
Vanliga misstag som lämnar domänen öppen för spoofing
De flesta domäner som drabbas av spoofing har inte struntat i autentisering — de har infört den ofullständigt. Samma återkommande fel dyker upp om och om igen vid granskningar.
- SPF-posten har fler än 10 DNS-uppslag (nested include) och ger permerror, vilket gör hela SPF-kontrollen ogiltig
- Ett skickande system (t.ex. en tredjeparts marknadsplattform) glöms bort i SPF/DKIM och underkänns permanent
- DMARC-posten stannar på p=none i flera år eftersom ingen läser eller agerar på rua-rapporterna
- sp=-taggen för subdomäner saknas, så en glömd subdomän (test.företag.se) förblir helt oskyddad
- Delad IP-pool hos en billig massutskickstjänst används utan dedikerad DKIM-signering per avsändare
- SPF och DKIM är korrekta men From-domänen skiljer sig från den godkända domänen, så alignment misslyckas ändå
Vad domänspoofing kostar i förtroende och svarsfrekvens
Effekten av bristande autentisering syns inte bara vid ett faktiskt bedrägeri — den syns i vardagen, i hur mottagande e-postservrar bedömer varje mejl er domän skickar. Gmail, Outlook och svenska företags egna filter väger autentiseringsstatus tungt i sin spamklassificering, oberoende av innehållet i mejlet.
I riktad B2B-outreach med små dagliga volymer och personlig ton märks skillnaden direkt: en fullt autentiserad domän hamnar konsekvent i inkorgen, medan en oautentiserad domän tappar en betydande andel till skräppost redan innan mottagaren hunnit läsa ämnesraden.
Indikativa intervall från praxis inom riktad B2B-outreach med små dagliga volymer, inte en formell studie.
Ett typiskt bedrägerimejl mot en svensk ekonomiavdelning: "Hej, vi har bytt bank i samband med en revision. Nytt kontonummer för kommande fakturor: SE45 XXXX XXXX XXXX XXXX XXXX. Vänligen bekräfta mottagandet. Mvh, Ekonomiavdelningen, Nordisk Ventilation AB." Avsändaradressen ser ut som en riktig kollegas, men går via en helt annan server — precis det en aktiv DMARC-policy hade avvisat innan mejlet nådde inkorgen.
Så skyddar LDM avsändardomänen i riktade B2B-kampanjer
I riktad B2B-outreach med låga dagliga volymer och verkliga SDR-svar i CRM är avsändarens rykte hela affären — därför byggs skyddet in från start i stället för att lappas på efteråt.
En dedikerad sub-domän för utskick (till exempel utskick.foretag.se) isolerar cold email-trafiken från huvuddomänens fakturor, kundsupport och interna kommunikation. Går något fel med rykte eller leveransbarhet påverkas aldrig huvuddomänen, och tvärtom.
- Egen SPF- och DKIM-konfiguration per sub-domän, verifierad innan första utskicket går ut
- DMARC med rua-rapportering aktiv från dag ett, med planerad upptrappning till quarantine och reject
- Gradvis uppvärmning av avsändaradressen med låga dagliga volymer innan full kapacitet nås
- Personliga avsändaradresser kopplade till verkliga SDR:er, inte anonyma no-reply-adresser
- Svar landar direkt i CRM så att mottagarens förtroende byggs mot en spårbar, verklig kontaktperson
Vanliga frågor
Vad är skillnaden mellan domänspoofing och vanlig phishing?
Phishing är den bredare kategorin bedrägerimejl som lurar mottagaren att klicka eller betala. Domänspoofing är den specifika tekniken där bedragaren förfalskar From-fältet så att mejlet ser ut att komma från en riktig, betrodd domän — vilket gör just detta phishing-försök betydligt svårare att upptäcka.
Räcker SPF ensamt för att stoppa e post bedrägerier mot vår domän?
Nej. SPF kontrollerar bara kuvertadressen, inte det synliga From-fältet som mottagaren faktiskt ser. Utan DKIM och en DMARC-policy med alignment kan en bedragare fortfarande visa er domän i From trots att SPF-kontrollen tekniskt gäller en annan adress.
Vad händer om vi sätter DMARC till p=reject direkt, utan att gå via none?
Alla legitima system som ännu inte är korrekt konfigurerade i SPF och DKIM — vanligtvis fakturaplattformar, CRM och marknadsföringsverktyg — riskerar att få sina mejl avvisade helt. Gå alltid via p=none med aktiv rapportövervakning innan ni skärper policyn.
Hur ofta bör vi granska DMARC-rapporterna (rua)?
Minst en gång i månaden under uppbyggnadsfasen, oftare om ni nyligen lagt till nya skickande system. Rapporterna visar tydligt vilka källor som fortfarande misslyckas med alignment innan ni höjer policyn till quarantine eller reject.
Kan domänspoofing skada vårt varumärke även om vi själva aldrig skickat det förfalskade mejlet?
Ja, och det är hela poängen med bedrägeriet. Mottagaren kopplar avsändaradressen till er domän och ert varumärke, oavsett vilken server som faktiskt levererade mejlet. Skadan på förtroendet uppstår hos er, inte hos den tekniska avsändaren.
Behöver ett mindre B2B-företag verkligen investera i DMARC?
Ja, oavsett storlek. Mindre företag är ofta enklare mål eftersom de sällan har någon som aktivt övervakar e-postsäkerhet, och en förfalskad faktura mot en av era kunder kostar betydligt mer i förlorat förtroende än de timmar det tar att konfigurera SPF, DKIM och DMARC korrekt.
Vill du använda det här i din outreach?
Vi visar hur det fungerar för ditt segment och din produkt — innan arbetet börjar.
Prata med oss