Live Direct Marketing
ForsideBlogLeveringsevne

Sådan beskytter SPF, DKIM og DMARC din cold email mod spamfilteret

12. juli 2026 · 8 min. læsning · Guide: Leveringsevne

Hvis dine cold emails til danske B2B-beslutningstagere ryger i spam, er årsagen sjældent teksten - det er ofte manglende eller forkert opsat SPF, DKIM og DMARC. Denne guide forklarer de tre DNS-records i almindeligt sprog: hvad de gør, hvordan du sætter dem op, og hvordan du tester at de virker, før du sender en eneste kampagne.

Kort fortalt
  • SPF, DKIM og DMARC er tre separate DNS-records, der tilsammen beviser at din mail er ægte og uændret.
  • Uden alle tre ser en legitim cold email identisk ud med spam for modtagerserveren.
  • DMARC er den record, der binder SPF og DKIM sammen og fortæller modtageren, hvad der skal ske ved fejl.
  • Test altid opsætningen med et rigtigt afsendt testmail, før du starter en kampagne - ikke kun med et DNS-opslag.
  • Korrekt autentificering løfter typisk indbakke-placeringen markant sammenlignet med domæner uden nogen records.

Hvorfor din afsenderadresse alene ikke er nok

Når du sender en personlig, målrettet cold email til en indkøbschef hos en dansk mellemstor virksomhed, ser modtagerens mailserver ikke din gode hensigt - den ser kun tekniske signaler. Google Workspace, Microsoft 365 og danske hostingudbydere som Simply.com eller One.com tjekker automatisk, om afsenderdomænet kan bevise sin identitet, før mailen overhovedet vises i indbakken.

De tre signaler, der afgør dette, er SPF, DKIM og DMARC - tre separate DNS-records, der tilsammen svarer på spørgsmålet: er denne mail virkelig sendt af den, den udgiver sig for at være, og er den blevet ændret undervejs? Uden dem kan selv den mest velskrevne og relevante cold email til en reel beslutningstager ende i spamfilteret, fordi domænet aldrig har bevist sin ægthed.

SPF: en liste over hvem der må sende for dit domæne

SPF (Sender Policy Framework) er en DNS TXT-record på dit domæne, der lister de servere og tjenester, som har lov til at sende mail på dine vegne. Når en modtagerserver får en mail fra f.eks. post@byggemontage.dk, slår den SPF-recorden op og tjekker, om den afsendende IP-adresse står på den godkendte liste.

Forskellen mellem ~all og -all er vigtig: ~all beder modtageren om at være mistænksom over for uautoriserede afsendere (soft fail), mens -all beder om hård afvisning. De fleste B2B-afsendere bør starte med ~all under opsætning og skifte til -all, når alle legitime afsendere er bekræftet i recorden.

Eksempel

v=spf1 include:_spf.google.com include:sendgrid.net -all - denne record fortæller modtageren, at både Google Workspace og SendGrid må sende mail for domænet, og at alt andet skal afvises som ikke-godkendt.

DKIM: en digital signatur, der beviser at mailen er uændret

DKIM (DomainKeys Identified Mail) tilføjer en kryptografisk signatur til hver udgående mail. Din mailudbyder eller dit cold email-værktøj signerer mailen med en privat nøgle, og modtagerserveren tjekker signaturen mod den offentlige nøgle, som ligger i en DNS-record under et selector - typisk noget i stil med selector1._domainkey.dinvirksomhed.dk.

Hvis blot ét tegn i mailen ændres undervejs - hvilket kan ske via visse relæ-servere eller mellemled - fejler signaturen, og mailen mister sin DKIM-godkendelse. Det er derfor vigtigt at bruge det DKIM-selector, som netop den tjeneste du sender igennem, stiller til rådighed, og ikke blande flere afsendertjenester på samme selector.

DMARC: politikken der binder SPF og DKIM sammen

DMARC (Domain-based Message Authentication, Reporting and Conformance) er den tredje og ofte glemte record. Den fortæller modtagerserveren, hvad den skal gøre, hvis en mail fejler SPF eller DKIM - og lige så vigtigt: den kræver alignment, altså at domænet i SPF eller DKIM matcher det synlige afsenderdomæne i From-feltet.

Politikken p= har tre niveauer: none (kun overvågning, ingen håndhævelse), quarantine (fejlede mails sendes til spam) og reject (fejlede mails afvises helt). Til cold email-domæner anbefales p=none i de første 2-4 uger, mens du læser rapporterne og bekræfter at al legitim mail består - derefter skiftes til quarantine.

Eksempel

_dmarc.byggemontage.dk TXT v=DMARC1; p=quarantine; rua=mailto:dmarc-rapport@byggemontage.dk; pct=100 - denne record beder om at fejlede mails sættes i karantæne, og at der sendes en daglig rapport til den angivne adresse.

Hvad autentificering betyder for indbakke-placering

Forskellen mellem et domæne med korrekt SPF, DKIM og DMARC og et domæne uden er ikke kosmetisk - den er den enkeltstående faktor, der oftest afgør om en cold email-kampagne overhovedet bliver læst. Tallene nedenfor er indikative erfaringstal fra målrettede B2B-kampagner, ikke en garanti, men de viser mønsteret tydeligt.

Typiske fejl, når virksomheder sætter records op

De fleste problemer med SPF, DKIM og DMARC skyldes ikke manglende viden, men små, gentagne fejl i opsætningen.

Sådan tester og vedligeholder du opsætningen

Før du sender en eneste cold email-kampagne, bør du gennemføre en konkret spf dkim dmarc test - ikke kun kigge på DNS-opslag, men sende en rigtig testmail til en ekstern adresse og tjekke mailheaders for at se, om SPF, DKIM og DMARC alle viser pass.

Hos LDM er dette et fast trin, før en dansk B2B-kunde begynder at sende: vi verificerer SPF, DKIM og DMARC på sending-domænet, varmer det op med stigende volumen, og følger svar- og bounce-rater i CRM'et, så autentificeringen og selve kampagnen kan vurderes hver for sig, hvis noget går galt.

Ofte stillede spørgsmål

Er SPF, DKIM og DMARC lovpligtige i Danmark?

Nej, de er tekniske standarder, ikke et lovkrav. Men uden dem risikerer du, at cold email til B2B-kontakter aldrig når frem, fordi store mailudbydere som Google og Microsoft i praksis kræver DKIM og en gyldig SPF-record for at levere mail til indbakken overhovedet.

Hvor lang tid tager det at sætte SPF, DKIM og DMARC op?

Selve DNS-recordsene kan oprettes på under en time, hvis du har adgang til domænets DNS-hosting. Men ændringer kan tage op til 24-48 timer om at slå fuldt igennem globalt, så planlæg opsætningen mindst en uge før en planlagt kampagnestart.

Kan jeg bruge samme SPF-record til flere afsendertjenester?

Ja, du tilføjer flere include-mekanismer i samme record, men vær opmærksom på grænsen på 10 DNS-opslag - for mange includes gør recorden ugyldig, og du bør i stedet konsolidere eller bruge en flad SPF-record.

Hvad er forskellen på DMARC p=none og p=reject?

p=none overvåger og rapporterer uden at påvirke levering - godt til opstart. p=reject afviser aktivt alle mails, der fejler SPF/DKIM-alignment, og bør kun bruges når du er sikker på, at alle legitime afsendere er dækket, ellers mister du selv legitim mail som fakturaer og nyhedsbreve.

Bør jeg sende cold email fra mit primære domæne eller et subdomæne?

De fleste erfarne B2B-afsendere bruger et dedikeret sending-subdomæne, f.eks. mail.dinvirksomhed.dk, til cold email. Det isolerer eventuelle deliverability-problemer fra hoveddomænets vigtige mail som fakturaer og support, mens SPF, DKIM og DMARC stadig følger med til subdomænet.

Vigtigt: dette er ikke masseudsendelse og ikke spam. Vi arbejder målrettet: hver besked sendes til en bestemt kontaktperson i en bestemt virksomhed af en legitim forretningsmæssig årsag, i små daglige mængder og personaliseret til modtageren. Hver mail angiver afsenderen og har afmelding med ét klik; afmeldinger og stoplister gælder for alle fremtidige kampagner uden undtagelse.

Vil du bruge det her i din outreach?

Vi viser, hvordan det virker for dit segment og produkt — inden arbejdet går i gang.

Tal med os