Sådan Opsætter du SPF, DKIM og DMARC Korrekt

31 januar 2026 Administrator Azure, Microsoft 365, Sikkerhed, DNS, SPF, DKIM, DMARC

Den Ultimative Guide: Sådan Opsætter du SPF, DKIM og DMARC Korrekt

En teknisk step‑by‑step vejledning til moderne e‑mail‑sikkerhed

Introduktion

I 2026 er SPF, DKIM og DMARC blevet kritiske for både sikkerhed og leveringssikkerhed. Stigende AI‑genererede phishingangreb og skærpede krav fra store mailudbydere betyder, at e‑mail uden korrekt autentifikation kan ende i spam eller helt blive afvist. 

De tre teknologier arbejder sammen:

  • SPF – angiver hvilke servere der må sende mail
  • DKIM – sikrer mailens integritet via signatur
  • DMARC – afgør hvad der skal ske, hvis SPF/DKIM fejler

SPF — Sender Policy Framework

Hvad SPF gør

SPF definerer hvilke mailservere der er autoriseret til at sende mails på vegne af dit domæne. Modtageren sammenligner afsenderens IP med domænets SPF‑record. 

SPF Best Practices (2026)

  • Kun én SPF‑record pr. domæne
  • Maksimalt 10 DNS lookups i SPF
    (ellers fejler SPF) 
  • Brug ~all under opsætning (softfail)
    — stopper ikke mailflow men markerer fejl til videre analyse 
  • Undgå brede CIDR ranges eller unødvendige afsendere
  • Sørg for alignment mellem MAIL FROM og From‑domæne

Eksempel‑records

  • Microsoft 365: v=spf1 include:spf.protection.outlook.com ~all

  • Google Workspace: v=spf1 include:_spf.google.com ~all

DKIM — DomainKeys Identified Mail

Hvad DKIM gør

DKIM tilføjer en digital signatur til dine mails, så modtageren kan verificere, at indholdet ikke er ændret, og at mailen faktisk kommer fra dit domæne. 

DKIM Best Practices (2026)

  • Brug 2048‑bit nøgler for sikkerhed og kompatibilitet

  • Aktivér DKIM på alle tjenester, der sender på vegne af domænet
  • Roter DKIM‑nøgler med faste intervaller
  • Sørg for domain alignment (d=domæne.dk)

DMARC — Domain-based Message Authentication, Reporting & Conformance

Hvad DMARC gør

DMARC kontrollerer om SPF eller DKIM består — og afgør herefter, om mailen skal leveres, quarantines eller afvises. DMARC genererer desuden rapporter til overvågning af misbrug. 

DMARC Best Practices (2026)

  • Start med p=none (monitorering)

  • Skift herefter til quarantine
  • Afslut med reject, når alt er valideret
    → anbefalet i 2026 for maksimal beskyttelse 
  • Aktivér rapportering med rua= og ruf=
  • Overvåg DMARC‑rapporter løbende

Eksempel‑records

Monitorering:

v=DMARC1; p=none; rua=mailto:[email protected]; aspf=r;

Quarantine:

v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected];

Reject (endelig):

v=DMARC1; p=reject; pct=100; rua=mailto:[email protected];

Komplet opsætningsworkflow (DNS)

1. Kortlæg eksisterende opsætning

  • Tjek om domænet allerede har SPF, DKIM eller DMARC
  • Identificér ALLE systemer der sender mail:
    M365, Google, CRM, marketing, faktura‑systemer osv.
    (Glemt afsender = SPF/DKIM fejl) 

2. Opret / opdater SPF

  • Tilføj alle afsendere via include:
  • Fjern gamle eller ubrugte afsendere
  • Tjek lookup‑antal (max 10)

3. Aktivér DKIM

  • Microsoft 365: Aktivér DKIM i admin panelet
  • Google Workspace: Generér nøgle & publicér i DNS
  • Tredjepartstjenester: DKIM selector + TXT‑nøgle
  • Bekræft 2048‑bit brug

4. Implementér DMARC

  • Start med p=none
  • Analyser de indkomne rapporter (RUA)
  • Identificér forkerte eller uautoriserede kilder
  • Skru gradvist op til quarantinereject

5. Validering og overvågning

  • Gennemgå fejl i SPF alignment
  • Overvåg DKIM signaturfejl
  • Brug DMARC‑rapporter til løbende forbedring

Typiske fejl – og hvordan du undgår dem

❌ Fejl: To SPF‑records

→ SPF må KUN eksistere én gang (ellers ugyldig).

❌ Fejl: SPF overskrider 10 DNS‑lookups

→ Konsolider includes og fjern gamle services.

❌ Fejl: DKIM kun aktiveret på primær mailtjeneste

→ Alle systemer, der sender mail, skal signere.

❌ Fejl: Start med p=reject

→ Giver leveringsfejl og tabte mails. Start altid med p=none.

Konklusion

I 2026 er SPF, DKIM og DMARC fundamentale krav for moderne mail‑sikkerhed.
En korrekt opsætning beskytter dit domæne, reducerer spoofing og sikrer, at dine mails faktisk når indbakken.

TODO‑IT kan hjælpe med:

  • Komplet DNS‑opsætning
  • Fejlfinding og DMARC‑rapportanalyse
  • Sikring på tværs af flere mailplatforme
  • Drift og optimering af e‑mail leveringssikkerhed

 

Den Ultimative Guide: Sådan Opsætter du Microsoft Intune Korrekt

31 januar 2026 Administrator Azure, Microsoft 365, Sikkerhed

Den Ultimative Guide: Sådan Opsætter du Microsoft Intune Korrekt (2026)

En komplet, rå teknisk step‑by‑step vejledning til en professionel endpoint‑platform

Introduktion

Microsoft Intune (Microsoft Endpoint Manager) er den centrale platform til styring af Windows‑arbejdsstationer, compliance, sikkerhedskonfigurationer og softwareudrulning.
Denne guide gennemgår den fulde, korrekte opsætning fra start til slut — designet som en baseline for moderne Microsoft 365‑miljøer i 2026.

Hvorfor en korrekt Intune‑opsætning er kritisk

En forkert eller mangelfuld Intune‑struktur fører typisk til:

  • Forkert registrerede devices
  • Konflikt mellem policies (GPO vs. Intune)
  • Ufuldstændige sikkerhedskonfigurationer
  • Manglende compliance‑opfyldelse
  • Uforudsigelig softwaredeployment

En korrekt opsætning sikrer:

  • Stabil onboarding
  • Konsistent compliance
  • Zero Trust‑klare endpoints
  • Central styring af apps, updates og security baselines

Forberedelser: Det skal du have styr på FØR opsætning

📋 Kravafklaring

  • Licens: Microsoft 365 Business Premium / E3 + Add‑Ons / E5
  • Domæne: Verificeret i Entra ID
  • Enhedsstrategi: BYOD, CYOD, COBO, eller CORP
  • Join‑strategi: Entra Join, Hybrid‑Join, Workgroup → Entra Join

🔐 Sikkerhedsforberedelser

  • Break‑glass administratorer
  • MFA aktiv
  • Conditional Access basic policies (blok legacy auth, kræv MFA)
  • Identitetsbeskyttelse

Trin 1: Grundkonfiguration af Intune

1. Enroll‑metoder

Intune Admin Center → Devices → Enroll devices

Aktivér:

  • Windows Enrollment
  • Automatic Enrollment (MDM)
    • MDM scope: All
    • MAM scope: None (eller pilot hvis brugt)

2. Konfigurer Enrollment Restrictions

Devices → Enrollment → Enrollment device platform restrictions

Opret to policies:

  • Standard policy
    • Tillad: Windows, iOS, Android
    • Blokér: macOS (valgfrit)
  • Blocked policy
    • Blokér alle uautoriserede enheder og OS‑versioner

3. Deployment Profiles (Windows Autopilot)

Devices → Windows → Windows enrollment → Deployment Profiles

  • Opret Windows Autopilot Profile
    • Join type: Entra Joined
    • Deployment mode: User‑driven for normale brugere
    • Skip:
      • OneDrive restore → On
      • OEM registration → On
      • EULA → On
      • Language → Off
      • Privacy Settings → Skip
    • ESP aktiv: Yes

Trin 2: Baselines & Configuration Profiles

1. Security Baseline (Microsoft Recommended)

Endpoint Security → Security Baselines

Aktivér:

  • Windows 11 Security Baseline
  • Microsoft Defender Baseline
  • Edge Baseline (valgfrit)

2. Device Configuration Profiles

Devices → Configuration → Create Profile

Opret følgende standardprofiler:

A. Device Restrictions

  • Disable Consumer Features
  • Disable Windows tips
  • Disable “Let apps run in background”
  • Disable News & Interests
  • Disable Widgets
  • Remove Microsoft Store auto‑install apps
  • Disable local admin for standard users

B. Identity Protection

  • Credential Guard → Enabled
  • LSASS Protection → Enabled

C. Endpoint Protection

  • Defender Antivirus (cloud‑protection, MAPS, real‑time scanning)
  • Attack Surface Reduction (ASR)
  • Controlled Folder Access (optional)

D. Update Rings for Windows 11

Devices → Windows → Update rings

Anbefalet:

  • Automatic install
  • Allow 7‑day grace
  • Auto reboot outside active hours

E. Feature Update Policy

Fastlå version (fx Windows 11 25H2) i 12 måneder.
Dette sikrer stabilitet.

Trin 3: Compliance Policies

Endpoint Security → Compliance policies

Opret → Windows compliance profile

Anbefalet baseline:

  • Require BitLocker enabled
  • Require Secure Boot
  • Require TPM 2.0
  • Require Antivirus → Microsoft Defender
  • Require Firewall → Enabled
  • Require device not jailbroken/rooted
  • Require Code Integrity turned on
  • Minimum OS version (fx 24H2 eller 25H2)

Konfigurer compliance markering:

  • Non‑compliant → Mark as non‑compliant after 2 days
  • Report non‑compliance → Entra ID → CA

Trin 4: Conditional Access Integration

Opret 3 CA policies:

1. Baseline MFA for all users

  • Require MFA
  • Exclude: Break glass accounts

2. Require compliant device

  • Users: All
  • Cloud apps: All
  • Grant → Require device marked compliant

3. Block legacy authentication

  • Client apps → Block "Other clients"
  • Grant → Block

Trin 5: App Management (Win32, MSI, Store)

Upload Win32 apps

Apps → Windows apps → Add → Win32

Pak appen:

 
 
 
 
 
PowerShell
 
 
IntuneWinAppUtil.exe -c "sourcefolder" -s "setup.exe" -o "outputfolder"
 

Upload .intunewin
Angiv:

  • Install cmd: setup.exe /silent
  • Uninstall cmd: uninstall.exe /silent
  • Detection rules: Registry/File/Custom script

MSI apps

Upload direkte → MSI detection automatisk

Store apps

Tilføj via "Microsoft Store (new)"

Trin 6: Autopilot Device Registration

Manuelt upload:

  1. Kør på enhed:
 
 
 
 
 
PowerShell
 
 
Get-WindowsAutopilotInfo.ps1 -OutputFile AutoPilotHWID.csv
 
  1. Upload i Intune: Devices → Windows → Windows enrollment → Devices → Import

OEM / Partner

Brug Deployment Service API eller OEM portal.

Trin 7: Endpoint Security

Endpoint Security → Firewall

  • Aktivér Domain/Private/Public
  • Definer inbound rules kun til nødvendige services

Endpoint Security → Attack Surface Reduction
ASR rules (Audit → Enforce):

  • Block Office macros
  • Block PSExec/WMI process creation
  • Block executable content from email/webmail
  • Block credential theft attempts

Endpoint Security → Disk Encryption

  • BitLocker with XTS‑AES256
  • Recovery key upload → Entra ID
  • Startup authentication → TPM only (normal users)

Trin 8: Monitorering og Drift

Device Actions

Remote:

  • Wipe
  • Fresh Start
  • Sync
  • Restart
  • Autopilot Reset

Monitoring

Reports → Devices → Hardware / Compliance / Configuration / Update status

Log‑indsamling

  • Use Collect Diagnostics
  • EndpointAnalytics aktiv

Almindelige fejl og løsninger

❌ Devices ikke compliant
→ ASR konflikter eller manglende BitLocker policy
→ Tjek eventlog: MDMDiagnosticReport.cab

❌ Autopilot "0x80180014"
→ MDM enrollment scope sat forkert

❌ Win32 app hænger i “Pending”
→ Detection rule forkert eller missing dependencies

❌ Policies konflikter
→ Konsolider Device Restrictions profiler
→ Brug Settings Catalog i stedet for ældre templates

 

Ny Azure AD/Office 365 Tenant

20 november 2025 Administrator Microsoft 365, Azure

Den Ultimative Guide: Sådan Opretter du en Ny Azure AD/Office 365 Tenant Korrekt

En step-by-step vejledning til at undgå almindelige faldgruber og sikre en professionel opsætning

Introduktion

Oprettelse af en ny Azure Active Directory eller Office 365-tenant er ofte det første skridt mod digital transformation for mange virksomheder. Men hvordan gør man det korrekt? I denne guide gennemgår vi den professionelle fremgangsmåde, der sikrer en stabil og sikker start.

Hvorfor er Korrekt Opsætning Vigtig?

En forkert konfigureret tenant kan føre til:

  • Sikkerhedshuller der udnyttes af ondsindede aktører

  • Kompatibilitetsproblemer med branchestandarder

  • Øget administration og omkostninger ved senere rettelser

  • Dataplaceringsproblemer ift. GDPR og andre regulativer

Forberedelser: Det, du skal have styr på FØR oprettelse

📋 Kravaflklaring

  • Domænenavn: Dit primære virksomhedsdomæne (f.eks. virksomhed.dk)

  • Geografisk placering: Vælg din primære dataregion (EU anbefales til danske virksomheder)

  • Licensstrategi: Hvilke Microsoft 365/Azure-abonnementer har du brug for?

  • Administrativ struktur: Hvem skal have hvilke administratorroller?

🔐 Sikkerhedsforberedelser

  • Administrative konti: Brug aldrig personlige Microsoft-konti

  • Multi-factor Authentication (MFA): Planlæg implementering fra starten

  • Nødprocedurer: Sikkerhedskopi af nøgledata og genopretningsplaner

Metode 1: Oprettelse via Microsoft 365 Admin Center (Anbefalet)

Trin 1: Initiering

text
1. Gå til https://admin.microsoft.com
2. Klik på "Opret en lejer" eller "Kom i gang"
3. Vælg "Opret en ny lejer"

Trin 2: Grundlæggende Information

markdown
- **Organisationsnavn**: Dit officielle virksomhedsnavn
- **Initialt domæne**: Dit primære domæne (virksomhed.onmicrosoft.com)
- **Land/region**: Vælg "Danmark" for dansk datalagring
- **Kontaktoplysninger**: Brug en generel administrativ mail (f.eks. [email protected])

Trin 3: Verifikation

  • Modtag verifikationskode på din mail

  • Bekræft din identitet

  • Acceptér servicevilkårene

Trin 4: Opsætning af Administrator

  • Opret den første globale administrator-konto

  • Sikr, at denne konto har en stærk adgangskode

  • Gem legitimationsoplysninger sikkert

Metode 2: Oprettelse via Azure Portal

For avancerede brugere og hybridscenarier

markdown
1. Log ind på https://portal.azure.com
2. Søg efter "Azure Active Directory"
3. Klik på "+ Opret"
4. Udfyld felterne:
   - Organisationsnavn
   - Initialt domænenavn  
   - Land/region
5. Gennemse og bekræft

Fordele ved Azure Portal-metoden:

  • Direkte integration med Azure-tjenester

  • Mulighed for avancerede konfigurationer

  • Bedre til hybrid-miljøer

Metode 3: Oprettelse gennem Autoriseret Partner

🏆 Professionel Opsætning gennem Todo-IT

Som autoriseret Microsoft CSP-provider tilbyder vi en professionel opsætningsservice der sikrer:

markdown
**Korrekt konfiguration fra dag ét****Sikkerhedsoptimering efter bedste praksis****Licensrådgivning baseret på erfaring****Fremtidssikring af din digitale platform****Løbende support og vejledning**

Fordele ved at bruge en autoriseret partner:

  • Ekspertviden om Microsofts platform

  • Tidsbesparelse på kompleks konfiguration

  • Samlet fakturering for alle Microsoft-tjenester

  • Lokalt dansk support til dagligdagens udfordringer

  • Proaktiv vejledning til optimering af din platform

De Første Kritiske Skridt EFTER Oprettelse

🔧 Umiddelbare handlinger (første 24 timer)

1. Domæneverifikation

markdown
1. Gå til Admin Center > Indstillinger > Domæner
2. Tilføj dit virksomhedsdomæne
3. Verificer ejerskab via DNS-posts
4. Gør domænet til primært

2. Sikkerhedskonfiguration

markdown
- **Aktiver MFA** for administratorer
- **Opret nødberedskabskonti**
- **Konfigurer sikkerhedsstandarder**
- **Gennemgå logføring**

3. Administrativ Struktur

markdown
- Opret administratorroller efter princip om mindst privilege
- Opret administrative enheder
- Planlæg bruger- og gruppestruktur

4. Licenstildeling

markdown
- Tildel licenser til brugere
- Konfigurer tjenester efter behov
- Opret licensgrupper

Professionel Rådgivning fra Todo-IT

💼 Vores Ekspertiseområder

text
🔹 **Tenant Architecture Design** - Skræddersyet til din virksomhed
🔹 **Sikkerhedsimplementering** - Beskyttelse efter bedste praksis
🔹 **Licensoptimering** - Den rigtige løsning til din situation
🔹 **Hybrid Cloud løsninger** - Integration med eksisterende systemer
🔹 **Løbende management** - Proaktiv platformadministration

📞 Få Professionel Hjælp

Kontakt Todo-IT for en uforpligtende drøftelse af dine behov:

Vi tilbyder komplette løsninger fra initial opsætning til løbende optimering af din Microsoft-platform.

Almindelige Fejl og Løsninger

❌ Fejl 1: Brug af Personlig Konto

Problem: Oprettelse med @outlook.com eller @hotmail.com
Løsning: Brug altid en virksomhedsmail under oprettelse

❌ Fejl 2: Forkert Region

Problem: Valg af forkert geografisk placering
Løsning: Kontakt Microsoft Support for eventuel ændring

❌ Fejl 3: Utilstrækkelig Sikkerhed

Problem: Ingen MFA på administrative konti
Løsning: Aktiver Conditional Access politikker umiddelbart

❌ Fejl 4: Manglende Domæneverifikation

Problem: Bruger .onmicrosoft.com-domæne i stedet for eget domæne
Løsning: Verificer domæne og gør det til primært ASAP

Avancerede Overvejelser

Hybrid Identitet

  • Planlæg Azure AD Connect til lokalt synkronisering

  • Vælg den rigtige godkendelsesmetode

  • Test i pilotmiljø før fuld implementering

Governance og Compliance

  • Opret beskyttelsespolitikker

  • Konfigurer data tabsforebyggelse (DLP)

  • Implementer opbevaringspolitikker

Overvågning og Rapportering

  • Konfigurer logføring

  • Opret advarsler

  • Planlæg regelmæssige gennemsyn

Konklusion

Oprettelse af en ny Azure AD/Office 365-tenant er mere end bare at klikke "Opret". Det er et strategisk skridt, der kræver omhu og planlægning. Ved at følge denne guide - eller ved at samarbejde med en autoriseret partner som Todo-IT - sikrer du en robust, sikker og skalerbar foundation for din organisations digitale rejse.

🚀 Har du brug for professionel assistance?
Tag kontakt til Todo-IT for en uforpligtende vurdering af din Microsoft Cloud-platform. Vi kombinerer teknisk ekspertise med forretningsforståelse for at levere løsninger der virker i praksis.

Todo-IT
📞 22782720
🌐 www.todo-it.dk
✉️ [email protected]

Din autoriserede Microsoft partner i cloud-transformation