Spring til indhold
Ordliste

SPF, DKIM & DMARC forklaret: de tre DNS-records der bestemmer om dine emails havner i inboxen

SPF, DKIM og DMARC er email-autentificering der beviser at du er den du siger du er. Uden dem ender dine emails i spam. Her er hvad de gør og hvordan du sætter dem op.

HT
Hermod Team · AI-powered email marketing

Når du sender en email, har modtagerens server et problem: hvordan ved den at emailen virkelig kommer fra dig — og ikke fra en svindler der udgiver sig for at være dig?

Det er dét SPF, DKIM og DMARC løser. De er tre DNS-records der tilsammen beviser din identitet som afsender. Uden dem er du anonym, og anonyme afsendere havner i spam.

SPF — hvem må sende fra dit domæne?

Sender Policy Framework er en DNS-record der fortæller verden: “Disse servere har lov til at sende emails fra @ditdomæne.dk”.

Når Gmail modtager en email fra dit domæne, slår de dit SPF-record op. Hvis afsender-serveren står på listen, passerer emailen. Hvis ikke, er det et rødt flag.

Sådan ser et SPF-record ud:

v=spf1 include:_spf.google.com include:sendgrid.net ~all

Det siger: “Google og SendGrid må sende fra mit domæne. Alle andre er sandsynligvis falske (~all).”

Opsætning:

  1. Find din DNS-udbyder (GoDaddy, Cloudflare, Simply.com, etc.)
  2. Tilføj en TXT-record på dit domæne
  3. Inkludér de servere din email-platform bruger (de giver dig den præcise record)
  4. Tilføj ~all (softfail) eller -all (hardfail) til sidst

Vigtigt: Du kan kun have ét SPF-record per domæne. Hvis du bruger flere afsendere (Google Workspace + Resend + Mailchimp), skal de alle stå i samme record med separate include:-statements.

DKIM — er emailen uændret?

DomainKeys Identified Mail er en digital signatur der beviser at emailen ikke er blevet ændret undervejs.

Din email-platform signerer hver email med en privat nøgle. Modtagerens server verificerer signaturen med en offentlig nøgle der ligger i din DNS. Matcher det, er emailen autentisk og uændret.

Sådan ser et DKIM-record ud:

selector._domainkey.ditdomæne.dk  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhki..."

selector er et navn din email-platform vælger (fx resend, google, k1). Den offentlige nøgle (p=) er en lang streng din platform genererer.

Opsætning:

  1. Din email-platform genererer et DKIM nøglepar
  2. De giver dig en DNS-record at tilføje (med den offentlige nøgle)
  3. Du tilføjer CNAME eller TXT-record i din DNS
  4. Platformen signerer automatisk alle emails med den private nøgle

Vigtigt: Hvert afsendersystem har sin egen DKIM-selector. Du kan have flere DKIM-records — ét per platform der sender fra dit domæne.

DMARC — hvad sker der med falske emails?

Domain-based Message Authentication, Reporting & Conformance binder SPF og DKIM sammen og fortæller modtagere hvad de skal gøre med emails der fejler autentificering.

Uden DMARC kan en server se at en email fejler SPF — men hvad skal den gøre? Levere den alligevel? Blokere den? DMARC giver svaret.

Sådan ser et DMARC-record ud:

_dmarc.ditdomæne.dk  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@ditdomæne.dk"

De tre policies:

  • p=none — Monitorér kun. Levér alt, men send rapporter. Start altid her.
  • p=quarantine — Send fejlede emails til spam. God mellemvej.
  • p=reject — Blokér fejlede emails helt. Stærkeste beskyttelse, men sæt den ikke op før du er sikker på at al legitim email passerer.

rua=mailto: fortæller servere hvor de skal sende rapporter om fejlede emails. Det giver dig indsigt i hvem der (forsøger at) sende fra dit domæne.

Opsætning i tre faser:

Fase 1 (dag 1): Tilføj DMARC med p=none og en rapport-email. Monitorér i 2-4 uger. Tjek rapporterne — er der legitime emails der fejler?

Fase 2 (uge 3-4): Skift til p=quarantine. Emails der fejler ryger i spam i stedet for inbox. Monitorér fortsat.

Fase 3 (uge 6+): Skift til p=reject når du er sikker på at al legitim email passerer SPF og DKIM korrekt.

Hvordan hænger de sammen?

SPF tjekker afsender-serveren. DKIM tjekker emailens integritet. DMARC binder dem sammen og definerer politikken.

En email der passerer alle tre er autentificeret. Gmail viser et grønt checkmark, Apple Mail stoler på den, og din deliverability stiger. Det er især vigtigt for email automations der kører kontinuerligt og rammer mange kontakter over tid.

En email der fejler alle tre er uautentificeret. Den ender i spam — eller bliver blokeret helt.

Tjek dit domæne

Du kan tjekke din nuværende opsætning gratis:

  1. Send en test-email til mail-tester.com — scorer 0-10 på alt inkl. SPF/DKIM/DMARC
  2. Brug MXToolbox til at slå dine DNS-records op direkte
  3. Tjek DMARC-rapporter via DMARC Analyzer eller lignende

Ofte stillede spørgsmål

Har jeg brug for alle tre (SPF, DKIM og DMARC)?
Ja. Gmail og Yahoo kræver fra 2024 at alle afsendere med mere end 5.000 emails/dag har alle tre konfigureret. Selv under den grænse forbedrer de tre records markant din deliverability. Opsæt altid alle tre.
Hvor lang tid tager det at sætte SPF, DKIM og DMARC op?
Selve opsætningen tager 15-30 minutter i din DNS-udbyder. Men DNS-ændringer kan tage op til 48 timer at propagere. Start med SPF og DKIM, vent til de virker, og tilføj derefter DMARC med p=none for at monitorere.
Kan SPF/DKIM/DMARC skade min deliverability?
Korrekt konfigureret: nej, de forbedrer den altid. Men forkert konfigureret kan en DMARC p=reject policy blokere dine egne emails. Start altid med p=none (monitor), gå til p=quarantine efter 2-4 uger, og først til p=reject når du er sikker.