Hvad er spam? Den tekniske guide til filtrering, jura og AI-spam (2026)

Spam er uopfordret, masseudsendt indhold – typisk e-mail, men i praksis alt fra formularindsendelser og kommentarspam til robocalls og falske profiler på sociale medier. Det, der binder det hele sammen, er ikke kanalen, men mønstret: budskabet er sendt til mange på én gang, uden samtykke, og som regel med et kommercielt eller decideret svigagtigt formål bag. Det lyder simpelt, men bag den simple definition gemmer der sig en hel infrastruktur af filtre, protokoller og – efterhånden – lovgivning, som det er værd at forstå, hvis du selv sender mail eller driver en hjemmeside.

Synonymer for spam: Spammer, spamming, Spam-bot, email spam, AI spam, spam email, hjemmeside spam, gæstebogsspam, phishing spam, malwarespam, Reklame spam

Historien bag ordet “spam”

Selve ordet stammer ikke fra internettet. SPAM er et amerikansk dåsekødsprodukt fra Hormel Foods, som Monty Python i 1970 lavede en sketch om, hvor ordet “spam” gentages så mange gange i baggrunden, at det overdøver alt andet i samtalen. Da internetbrugere i 1980’erne og 90’erne skulle beskrive massebeskeder, der druknede alt andet i en nyhedsgruppe eller indbakke, hængte referencen ved. Den første egentlige kommercielle spam-mail regnes ofte for at være en besked sendt i 1978 til flere hundrede brugere på det tidlige Arpanet – en reklame for en computerdemonstration, sendt uopfordret til alle i systemet på én gang.

De forskellige typer spam, du reelt støder på

  • E-mail-spam:  Den klassiske: uopfordrede reklamer, ofte for tvivlsomme produkter (kosttilskud, lån, kryptovaluta), sendt i store, automatiserede bølger.
  • Phishing:  Forsøger at franarre modtageren følsomme oplysninger – login, kortnumre, CPR – ved at efterligne en troværdig afsender (banken, det offentlige, en pakkeleverandør).
  • Smishing:  Samme princip som phishing, men over SMS. Sværere at filtrere, fordi der ikke findes SPF/DKIM-lignende standarder for tekstbeskeder.
  • Robocalls:  Automatiserede eller menneskestyrede opkald med samme formål – ofte “dit CPR-nummer er kompromitteret”-typen.
  • Formular- og kommentarspam:  Bots, der udfylder kontaktformularer eller kommentarfelter på hjemmesider, typisk for at plante links til andre sites (link-spam) eller sprede malware-links.
  • Social media-spam:  Falske profiler, automatiserede følgere/likes og masseudsendte DM’er med links – den nyeste og hastigst voksende kategori.

Fælles for dem alle: de er billige at sende i store mængder og kræver kun en lille svarprocent for at være rentable for afsenderen. Det er selve den økonomiske logik, der gør spam til et vedvarende problem, uanset hvor gode filtrene bliver.

Sådan fungerer spamfiltre teknisk

De fleste tror, spamfiltre bare leder efter bestemte ord (“gratis”, “vind nu”). Sådan fungerede de tidlige filtre, men moderne filtrering er markant mere lagdelt:

  1. En Bayesiansk klassifikator lærer statistisk, hvilke ord og mønstre der historisk har optrådt i spam versus legitim mail, og beregner en sandsynlighed for hver ny besked – ikke en fast regel, men en løbende, selvlærende vurdering.
  2. Afsenderens IP-adresse og domæne tjekkes mod reputation-databaser (DNSBL/Spamhaus): har denne IP tidligere sendt spam, straffes den nye besked automatisk.
  3. Beskeden tjekkes mod SPF, DKIM og DMARC (uddybet nedenfor) – fejler den autentificeringen, stiger spam-scoren markant.
  4. Header-analyse: uoverensstemmelser mellem “Reply-To” og “From”, mistænkelige afsenderkæder eller manglende felter, som en normal mailserver aldrig ville udelade.
  5. Maskinlæringsmodeller (hos Google, Microsoft m.fl.) analyserer millioner af signaler på tværs af hele deres brugerbase i realtid – herunder hvor mange modtagere der markerer en given afsender som spam inden for de første minutter.

Pointen er, at et enkelt “forbudt ord” sjældent afgør noget længere – det er summen af signaler, der afgør, om en besked lander i indbakken eller ej.

SPF, DKIM og DMARC – sådan autentificerer du din egen mail

Uanset hvor godt skrevet en mail er, ryger den let i spam-mappen, hvis den tekniske autentificering ikke er i orden. Tre DNS-records afgør det meste:

RecordGørEksempel (DNS TXT-record)
SPFFortæller hvilke servere der må sende mail for dit domænev=spf1 include:_spf.google.com ~all
DKIMDigital signatur der beviser mailen ikke er ændret undervejsv=DKIM1; k=rsa; p=MIGfMA0GCSq…
DMARCFortæller modtageren hvad den skal gøre ved fejlede tjek + giver dig rapporterv=DMARC1; p=quarantine; rua=mailto:dmarc@dit-domæne.dk

Uden disse tre poster i din DNS-zone kan selv en helt legitim mail fra dit eget domæne blive opfattet som mistænkelig. Se artiklen om DNS-servere for hvordan TXT-records generelt sættes op i praksis. Et par konkrete faldgruber: en SPF-record med for mange “include”-opslag (over 10 DNS-opslag) fejler automatisk, og en DMARC-politik sat direkte til “reject” uden først at have kørt “none” i en testperiode kan i værste fald blokere din egen legitime mail.

Hvad siger loven i Danmark?

Markedsføringslovens §10 regulerer uopfordret elektronisk markedsføring i Danmark og kræver som udgangspunkt forudgående samtykke, før en virksomhed må sende markedsføring via e-mail, SMS eller automatiske opkaldssystemer. Der findes undtagelser – blandt andet den såkaldte “kunderelation-undtagelse”, hvor en virksomhed må maile eksisterende kunder om lignende produkter, hvis modtageren tydeligt får mulighed for at framelde sig hver gang. Forbrugerombudsmanden fører tilsyn og kan gribe ind mod virksomheder, der overtræder reglerne – med bøder, der kan blive betragtelige ved gentagne eller grove overtrædelser. Praktisk konsekvens for dig, hvis du sender nyhedsbreve: brug altid double opt-in (bekræftet tilmelding), og sørg for, at hver eneste mail har et synligt og fungerende afmeldingslink — gerne understøttet teknisk af en List-Unsubscribe-header (RFC 8058), som lader moderne mailklienter vise en et-klik-afmelding direkte i grænsefladen.

AI-genereret spam og phishing – den nye trussel i 2025/2026

Den seneste udvikling i spam-landskabet er ikke en ny kanal, men en ny produktionsmetode. Sprogmodeller gør det billigt at generere tusindvis af unikke, grammatisk korrekte phishing-mails på perfekt dansk – noget der tidligere var et af de bedste kendetegn ved spam (dårlig grammatik, akavet sprog). Det betyder, at “dårligt skrevet = spam” ikke længere er en pålidelig tommelfingerregel. Til gengæld er filtrene også blevet bedre til at kigge på adfærd frem for sprog: afsenderens historik, hvor hurtigt en kampagne skaleres til tusindvis af modtagere, og om linkene i beskeden peger på nyoprettede eller mistænkelige domæner. Praktisk råd i 2026: stol mindre på “det er skrevet flydende dansk, så det må være ægte” og mere på at verificere afsenderens faktiske domæne og eventuelle links, før du klikker eller svarer.

Spam på din egen hjemmeside: sådan stopper du bots

Klassisk CAPTCHA (“vælg alle billeder med en bus”) virker, men skader brugeroplevelsen og kan koste dig konverteringer. En honeypot-teknik er ofte lige så effektiv og fuldstændig usynlig for et menneske:

<!– Skjult felt, som kun bots udfylder –>
<div style=”position:absolute; left:-9999px;”>
  <label for=”website”>Lad dette felt være tomt</label>
  <input type=”text” name=”website” id=”website” tabindex=”-1″ autocomplete=”off”>
</div>

På serversiden afviser du blot enhver indsendelse, hvor dette felt ikke er tomt. Rigtige besøgende ser det aldrig (det er skjult med CSS og fjernet fra tabulator-rækkefølgen), men simple bots udfylder automatisk alle felter, de finder, og afslører sig selv med det samme.

LøsningStyrkeUlempe
AkismetMeget effektiv, lærer af millioner af sites, gratis til privateKræver API-nøgle, betalt for kommercielt brug
Honeypot (eget felt)Usynlig for brugere, ingen ekstern afhængighed, gratisStopper kun simple bots, ikke avancerede
Rate limiting på serverniveauBlokerer massive automatiserede angreb før de når WordPressKræver adgang til serverkonfiguration
Google reCAPTCHA v3Usynlig scoring i baggrunden, ingen brugerinteraktion krævetSender data til Google, kan give GDPR-overvejelser
Cloudflare TurnstilePrivatlivsvenligt alternativ til reCAPTCHA, gratisKræver Cloudflare-konto

Min egen anbefaling til de fleste WordPress-sites: kombinér en honeypot (gratis, usynlig, stopper det meste automatiserede spam) med Cloudflare foran sitet. Det stopper langt størstedelen af useriøs trafik, før den overhovedet når hjemmesiden – og du undgår at genere de rigtige besøgende med bus-billeder.

Anatomi af en spam-mail: sådan læser du headers

Enhver mail bærer en usynlig “rejseplan” med sig i sine headers, som de fleste aldrig ser. Slå “vis original” eller “vis kilde” frem i din mailklient, og kig efter:

  • Received:  Viser den faktiske afsenderserver, ikke navnet i “Fra”-feltet. Passer den ikke med det domæne, afsenderen hævder at være, er det et rødt flag.
  • Return-Path / Reply-To:  Hvis den peger et helt andet sted hen end selve afsenderadressen, er det typisk et forsøg på at omdirigere dit svar til en anden konto.
  • SPF/DKIM/DMARC-status:  Sammenhold med SPF/DKIM/DMARC-resultatet, som de fleste mailtjenester tilføjer som en “Authentication-Results”-header – står der “fail” her, er det stærkt mistænkeligt.

At kunne læse headers er den mest håndgribelige måde at afsløre spoofing på, fordi selve brødteksten i dag kan se helt legitim ud.

Sådan tjekker du, om dit eget domæne er blacklistet

Hvis din legitime mail pludselig begynder at lande i modtageres spam-mapper, er det værd at tjekke, om dit domæne eller din server-IP er havnet på en af de kendte spam-blacklister (DNSBL). Værktøjer som MXToolbox eller et direkte DNSBL-opslag kan afsløre det på få sekunder, og Google Postmaster Tools giver et indblik i, hvordan Gmail specifikt vurderer dit afsenderomdømme over tid – inklusive spam-rate, som Gmail selv måler den.

Sådan opbygger du et godt afsenderomdømme over tid

SPF, DKIM og DMARC er billetten til overhovedet at blive taget seriøst, men de garanterer ikke levering. Mailudbydere som Gmail og Outlook fører løbende regnskab med, hvordan modtagere reagerer på din mail – og det regnskab kaldes i branchen for “sender reputation”. Det bygges op (og brydes ned) af en håndfuld målbare ting:

  • Engagementsrate:  Sender du konsekvent til de samme, engagerede modtagere, eller sender du sjældent til en stor liste, hvor mange aldrig åbner mailen? Det sidste ligner spam-adfærd i mailudbydernes øjne.
  • Klager:  Selv få klik på “dette er spam”-knappen fra modtagere kan sende din afsender-IP i karantæne i dagevis hos store udbydere som Gmail.
  • Bounce-rate:  Sender du til mailadresser, der ikke længere findes (hard bounces), straffes du hurtigt – ryd derfor din liste jævnligt for døde adresser.
  • Volumen-historik:  En ny IP-adresse eller et nyt afsenderdomæne bør “varmes op” med gradvist stigende mængder over et par uger, i stedet for at sende 50.000 mails fra dag ét.

Bruger du en tredjepartsudbyder til udsendelse (Mailchimp, SendGrid, Mailgun, Klaviyo), arver du delvist deres samlede omdømme – men egne dedikerede IP-adresser og et korrekt konfigureret afsenderdomæne (i stedet for udbyderens standarddomæne) giver dig langt bedre kontrol over egen leveringsevne i det lange løb.

Spam i søgemaskiner: link-spam og content-spam

Som SEO-praktiker er der en vinkel på spam, de fleste forbrugerorienterede artikler slet ikke berører: Google har sine egne “spam policies”, der minder overraskende meget om mail-verdenens logik. Link-spam (kunstigt opbyggede linknetværk udelukkende for at manipulere ranking) og content-spam (masseproduceret, værdiløst indhold) rammes af samme grundlæggende mekanisme som e-mail-spam: automatiseret detektion af mønstre, der ikke matcher naturlig, menneskelig adfærd. Forskellen er konsekvensen – hvor en spam-mail lander i en mappe, kan spam-adfærd på en hjemmeside koste hele sitets synlighed i Google. Se artiklen om Black Hat SEO for en fuld gennemgang af, hvordan det udspiller sig i praksis.e, bruge CAPTCHA-bekræftelser og overvåge trafik og aktiviteter løbende for at identificere og blokere uønsket indhold.

FAQ om spam

Ja, som udgangspunkt – uopfordret markedsføring via e-mail til privatpersoner uden forudgående samtykke er i strid med markedsføringslovens §10, og Forbrugerombudsmanden kan gribe ind med bøder ved overtrædelser.

Oftest på grund af manglende eller forkert opsat SPF/DKIM/DMARC, et dårligt afsenderomdømme opbygget over tid, eller for mange “spam-triggende” mønstre og for billedtungt indhold i selve mailen.

Sjældent – Akismet dækker de fleste kommentar- og formularspam-tilfælde alene. CAPTCHA eller Turnstile giver mest mening som ekstra lag på kontaktformularer med høj værdi, fx tilbudsanmodninger.

Ja, men filtreringen har flyttet fokus fra sprogkvalitet til adfærdsmønstre – afsenderhistorik, hastighed i udsendelse og linkdestinationer vejer nu tungere end selve teksten.

Spam er uopfordret masseudsendt indhold generelt; phishing er en underkategori af spam, hvor det specifikke formål er at franarre modtageren følsomme oplysninger ved at udgive sig for at være nogen andre.

Ikke 100%, men en kombination af gode filtre, forsigtighed med hvor du oplyser din mailadresse, og en alternativ mailadresse til registreringer reducerer det markant.

Spam er ikke ét problem, men flere, der bare deler samme navn: dit eget afsenderomdømme, din hjemmesides forsvar mod bots, og – i stigende grad – din evne til at gennemskue indhold, der sprogligt er blevet umuligt at skelne fra det ægte. Løsningen ligger sjældent i én silverbullet, men i at få de kedelige, tekniske detaljer (SPF, DKIM, DMARC, en honeypot i formularen) på plads én gang for alle, så du kan bruge tiden på noget vigtigere end at rydde op i indbakken.

Kim Tetzlaff

Jeg har arbejdet som webudvikler siden 1995 med fokus på hastighedsoptimering og teknisk SEO - især på WordPress, WooCommerce og skræddersyede løsninger. Jeg hjælper virksomheder med at gøre deres websites teknisk stærke, hurtigere, mere stabile og mere synlige i Google. Og så laver jeg også nye hjemmesider til kunder.

Opdage Mere

Udforsk relateret indhold og nyeste samtaler

Hvad er broken links?

Hvad er broken links?

Hvad er Broken links – Døde links og siderHvad er døde links egentlig? og hvad…

Hvad er et domæne?

Hvad er et domæne?

Domæne – Hvad er et domæner og hvad bruger man et domænenavn til?Et domæne er…

Hvad er en besøgende?

Hvad er en besøgende?

Hvad er en besøgende?Et besøg eller en besøgende er det antal der angiver hvor mange…

Hvad er en DNS server

Hvad er en DNS server

Hvad er en DNS server? Domain Name Server DNS står for Domain Name Server, på…

Kim Tetzlaff
Ertugrul Gultekin

Hej Kim. Jeg er gået i gang med at seo optimere min køreskole hjemmeside. Jeg synes LS er lidt langsom hvilket jeg også kan se,…

Læs mere
Kim Tetzlaff
Kim Tetzlaff

Hej Albert, Ja, jeg har samarbejdet med Madbanditten i mere end 10 år nu, og vi samarbejder stadig den dag i dag. Dette er som…

Læs mere
Kim Tetzlaff
Alblert

Hej Kim. Spændende case at læse om. Jeg har lige et enkelt spørgsmål - der står du har samarbejdet med Madbanditten.dk i mere end 10…

Læs mere
Disse 3 Fejl Begår De Fleste Webshop Ejere Når De Skal Optimere Deres Webshop – Start-Virksomhed.dk

[…] Optimering af webshop er en kontinuerlig proces, der kræver opmærksomhed på detaljer og en forståelse for, hvad der driver kundeadfærd. Ved at undgå de…

Læs mere
Kim Tetzlaff
Kim Tetzlaff

Jeg har skam uddybet lidt mere på andre indlæg. Men man kan sige at alle tingene som google tester, reelt har indflydelse, da de alle…

Læs mere

Kommentarer (1)

  1. Emma

    Jeg har læst din artikel om spam og spamming, og jeg vil gerne sige, at den er meget informativ og velskrevet. Du forklarer grundlæggende begreber som spam og phishing på en klar og præcis måde, hvilket er meget nyttigt, især for dem der ikke er så teknisk kyndige.
    Jeg vil dog gerne have mere information om de seneste trends inden for spamming og de forskellige metoder, som spammere bruger i dag for at undgå at blive opdaget. Jeg synes også det kunne være interessant at læse om forskellige teknologier og værktøjer, som bruges til at bekæmpe spam. Er der nogen særlig lovgivning eller initiativer på dette område? Tak for din indsigt og for at dele denne artikel.