Suverenitetsbarometeret er et observasjonsverktøy: det viser hvilke e-postleverandører det offentlige Norge bruker, og logger endringer over tid. Målet er å gi et faktagrunnlag for den pågående debatten om digital suverenitet — ikke å foreskrive et bestemt svar.
Fargen på hver enhet viser jurisdiksjonen leverandøren hører hjemme under — ikke hvor serverne fysisk står, og ikke hvilke databehandleravtaler som er inngått. En rød kommune kan ha en god avtale og data fysisk lagret i Irland; klassifiseringen handler om hvem som i siste instans har juridisk kontroll over informasjonen.
Kartet er en inngangsport til spørsmålet om digital suverenitet i offentlig sektor, ikke en fasit. Hvorfor en kommune har valgt en bestemt leverandør, og hvilke tiltak som er iverksatt rundt valget, krever dialog med kommunen selv.
Datagrunnlaget er bygget utelukkende på åpne, offentlig tilgjengelige DNS-oppslag. Ingen systemer ble forsøkt aksessert, og ingen innlogging eller autentisering ble benyttet.
For hver virksomhet slås domenet opp via MX-poster (Mail Exchange) for å finne hvilken tjeneste som mottar e-post. MX-posten avslører ofte bare et sikkerhetsfilter eller en relay – ikke nødvendigvis hvor e-posten faktisk lagres. For å avdekke den underliggende e-postleverandøren gjøres derfor ytterligere oppslag:
SPF-oppslag (Sender Policy Framework) sjekker TXT-poster i DNS for å se om domenet autoriserer kjente e-postplattformer som Microsoft 365 eller Google Workspace til å sende e-post på vegne av virksomheten. include:-direktiver følges rekursivt slik at også flate SPF-oppsett (f.eks. PowerSPF) fanges opp. Dersom SPF ikke gir svar, gjøres DKIM-oppslag (DomainKeys Identified Mail) for kjente selektorer – for eksempel selector1._domainkey for Microsoft og google._domainkey for Google. Til slutt sjekkes Autodiscover-CNAME-poster, som ofte peker til autodiscover.outlook.com for Microsoft 365-kunder.
DNS-oppslag kjøres daglig kl. 04:00 UTC, og resultatet oppdateres samme dag. Datoen for siste kjøring vises i panelet på forsiden.
Suverenitetsendringer logges først etter 12 timer, slik at forbigående DNS-feil ikke fremstår som reelle leverandørbytter. En enhet som plutselig skifter farge har altså stått stabilt i minst én ekstra kjøring før endringen ble tellende.
Hver leverandør klassifiseres etter jurisdiksjonen til det kontrollerende selskapet – ikke etter hvor de fysiske serverne står.
Dersom det er spamfilter foran et skybasert postsystem, er det postsystemet som bestemmer kategorien. En norsk relay foran Microsoft 365 klassifiseres altså som amerikansk.
Etter Schrems II-dommen og med USAs CLOUD Act kan data hos amerikanske leverandører kreves utlevert uavhengig av hvor serverne fysisk står — også når dataene ligger i europeiske datasentre. For offentlige virksomheter er valg av leverandør derfor et spørsmål om digital suverenitet, og det er denne distinksjonen kartet forsøker å synliggjøre.
Bildet er ikke entydig. Microsoft og Google peker på tiltak som EU Data Boundary og EU–US Data Privacy Framework som skal adressere disse bekymringene. Datatilsynet, EDPB og juridiske fagmiljøer har ulike vurderinger av hvor tilstrekkelige tiltakene er. Kartet tar ikke stilling i denne debatten; det viser hvilke leverandører som er i bruk slik at diskusjonen kan føres på et mer informert grunnlag.
Svalbard er ikke en del av fastlands-Norges kommunestruktur, og Longyearbyen lokalstyre er ikke en kommune etter kommuneloven. I kartet vises Longyearbyen likevel som en «kommune-lik» enhet for at helheten skal bli tydelig.
DNS-poster er ikke alltid oppdaterte. Virksomheter som har migrert e-postleverandør kan ha etterlatt gamle SPF-, DKIM- eller Autodiscover-poster som fortsatt peker til en tidligere løsning. I slike tilfeller kan kartet vise feil leverandør. Resultatene bør derfor tolkes som et øyeblikksbilde av hva DNS-postene sier – ikke nødvendigvis hva virksomheten faktisk bruker i dag.
Hybridoppsett – der en virksomhet bruker flere e-postleverandører samtidig, for eksempel en lokal Exchange-server for noen postbokser og Microsoft 365 for andre – vil bare delvis fanges opp. Metoden identifiserer den leverandøren som er mest synlig i DNS (typisk den som MX-, SPF- og DKIM-postene peker til), og kan dermed overse den lokale komponenten. Slike virksomheter vil som regel klassifiseres etter skytjenesten.
Kildekoden er åpen og tilgjengelig i prosjektets Git-repo, slik at metoden kan etterprøves.
"Vi har databehandleravtale og EU Data Boundary — hvorfor er vi markert rødt?"
Kartet klassifiserer etter leverandørens jurisdiksjon og eierskap, ikke etter avtaleverket eller hvor dataene fysisk lagres. En databehandleravtale reduserer risikoen innenfor en gitt jurisdiksjon, men endrer ikke hvilke lands myndigheter som i siste instans kan kreve utlevering.
"Leverandøren er jo britisk / japansk, ikke amerikansk."
Klassifiseringen følger jurisdiksjonen til det kontrollerende selskapet. Sophos er for eksempel britisk-grunnlagt, men eid av det amerikanske PE-selskapet Thoma Bravo siden 2020 og klassifiseres derfor amerikansk. Tilsvarende gjelder leverandører med hovedkontor utenfor USA og et amerikansk datterselskap som drifter det aktuelle produktet.
"Vi bruker bare e-post hos denne leverandøren, alt annet ligger i Norge."
Det kan godt stemme. Kartet tar utgangspunkt i e-post fordi det er synlig fra DNS, og fordi e-post ofte er et signal om resten av IT-stacken. Men det er ikke en uttømmende vurdering — journalsystemer, skylagring og fagsystemer kan ligge hos helt andre leverandører, og bør vurderes separat.
"DNS-postene våre er utdaterte, vi har egentlig byttet leverandør."
Da vil kartet vise den forrige leverandøren inntil DNS er oppdatert. Dette er en kjent begrensning; varig fiks krever som regel å oppdatere SPF-, DKIM- og Autodiscover-postene i eget DNS.
Med over 350 enheter er enkelte feilklassifiseringer nesten uunngåelige — typisk på grunn av utdaterte DNS-poster, hybridoppsett, eller leverandører som ikke fanges opp av metoden. Rapporter gjerne via en issue i prosjektets Git-repo.
Ta gjerne med domenenavn, hvilken leverandør som faktisk brukes, og eventuelt DNS-oppslag som bekrefter det. Korrigeringer kommer med i neste dag-kjøring.
Forfatteren, Torbjørn Bang, er ansatt hos en Microsoft-partner og holder Microsoft-sertifiseringer. Denne siden er et uavhengig, personlig prosjekt uten tilknytning til arbeidsgiver. Metoden og kildekoden er åpen slik at resultatene kan etterprøves.
Kildekoden er lisensiert under MIT-lisensen og kan gjenbrukes og tilpasses fritt, så lenge opphavsnotis og lisens følger med. Selve klassifikasjonsresultatene er basert på offentlig tilgjengelige DNS-oppslag og har ingen egen opphavsrett.
Prosjektet er inspirert av MXmap.ch, som kartlegger e-postleverandørene til sveitsiske kommuner på tilsvarende måte.
Spørsmål, innspill og tilbakemeldinger: hei@torbjorn.dev.
← Tilbake til kartet