SPF, DKIM og DMARC til cold email: den fulde opsætnings- og testguide
Får dine cold emails ikke svar, selvom teksten er god? I langt de fleste tilfælde er årsagen forkert eller manglende spf dkim dmarc-opsætning, ikke indholdet. Denne guide viser trin for trin, hvordan du sætter alle tre records op korrekt, tester dem med en online spf/dkim/dmarc checker, og undgår de fejl, der sender B2B-outreach direkte i spammappen.
- SPF, DKIM og DMARC er tre separate DNS-records, der tilsammen beviser over for Gmail og Outlook, at det er dig, der sender — ikke en spoofer.
- Uden alle tre stiger risikoen for at havne i spam markant, især ved cold outreach til nye B2B-kontakter uden afsenderhistorik.
- Brug altid et dedikeret sending-subdomain til cold email, aldrig hoveddomænet til den daglige virksomhedsmail.
- Test opsætningen med en spf dkim dmarc checker før første kampagne, og igen efter enhver DNS-ændring.
- DMARC bør indfases gradvist: p=none → p=quarantine → p=reject, aldrig springe direkte til reject.
Hvorfor spf dkim dmarc afgør, om din cold email lander i indbakken
I målrettet B2B cold email sender du lave daglige volumener til konkrete, navngivne personer hos konkrete virksomheder — men mailboxudbyderen ved ikke det, før de har tillid til dig. Gmail og Microsoft vurderer autentificeringssignaler, før de overhovedet ser på indholdet; uautentificeret mail fra et ukendt domæne behandles som udgangspunkt med mistænksomhed, uanset hvor godt teksten er skrevet.
SPF, DKIM og DMARC er tre separate DNS-records, der tilsammen besvarer ét spørgsmål for den modtagende server: er afsenderen den, de udgiver sig for at være? SPF angiver, hvilke servere der må sende for dit domæne. DKIM signerer beskeden kryptografisk, så indholdet ikke kan ændres undervejs. DMARC fortæller modtageren, hvad der skal ske, hvis SPF eller DKIM fejler, og sender dig rapporter om resultatet.
For cold email er der ekstra meget på spil, fordi modtageren ikke har nogen relation til dit domæne i forvejen — der er ingen positiv afsenderhistorik at læne sig op ad. Det er netop her, autentificering vejer tungest i modtagerens beslutning om indbakke eller spam.
Tallene er vejledende, baseret på erfaring fra målrettede B2B-kampagner, ikke en formel garanti fra Google eller Microsoft.
Sådan sætter du SPF korrekt op til cold email
SPF (Sender Policy Framework) er en enkelt TXT-record i dit domænes DNS, der lister de servere og tjenester, der har lov til at sende mail på vegne af domænet. Modtagerserveren tjekker den afsendende IP mod listen — matcher den ikke, kan SPF fejle.
- Tilføj én TXT-record pr. afsenderdomæne — aldrig flere SPF-records på samme domæne, det ugyldiggør hele opsætningen.
- Inkludér kun de services, der reelt sender på dine vegne (fx din cold email-platform, Google Workspace, eventuelt et CRM med mailudsendelse).
- Hold dig under grænsen på 10 DNS-lookups i din SPF-kæde — hver 'include:' tæller, og for mange giver en permerror, som mailservere ofte tolker som fail.
- Afslut med '-all' (hard fail) frem for '~all' (soft fail), når listen er komplet — det signalerer højere tillid til Gmail og Outlook.
- Brug et separat sending-subdomain (fx outreach.dinvirksomhed.dk) til cold email, så SPF-fejl eller lav rygte aldrig rammer dit hoveddomænes mail.
DKIM: signér hver besked, så den ikke kan forfalskes undervejs
DKIM (DomainKeys Identified Mail) tilføjer en kryptografisk signatur til hver udgående besked. En privat nøgle på afsenderserveren signerer mailen, og en offentlig nøgle i DNS lader modtageren verificere signaturen. Er blot ét tegn ændret undervejs, fejler DKIM-checket.
De fleste cold email-platforme genererer nøglen automatisk og beder dig blot om at indsætte en TXT-record med den offentlige del. Brug 2048-bit nøgler, roter dem med jævne mellemrum, og brug en separat DKIM-selector pr. platform, hvis du bruger flere sending-værktøjer på samme subdomain.
En typisk DKIM-record for selectoren 'ldm1' ser sådan ud i DNS: ldm1._domainkey.outreach.dinvirksomhed.dk TXT 'v=DKIM1; k=rsa; p=MIGfMA0GCSq...' — nøglen genereres af din sending-platform, du indsætter blot den offentlige del som TXT-record.
DMARC: fra overvågning til håndhævelse uden at miste leverance
DMARC (Domain-based Message Authentication, Reporting and Conformance) bygger ovenpå SPF og DKIM. Recorden angiver en policy (p=none, p=quarantine eller p=reject), krav til alignment mellem det synlige afsenderdomæne og SPF/DKIM-domænet (adkim/aspf, strict eller relaxed), samt en adresse til rapporter (rua) om, hvor mange beskeder der passerer eller fejler.
Start altid med p=none i 2-4 uger. Det ændrer intet for modtagerne, men giver dig daglige rapporter, du kan bruge til at bekræfte, at al legitim mail rent faktisk er aligned. Flyt først til p=quarantine, når rapporterne er rene, og gå til p=reject, når du har set stabile resultater over tid — ikke før.
Tidsrammerne er vejledende og afhænger af mailvolumen og antal afsendersystemer i din SPF/DKIM-kæde.
Sådan tester og verificerer du dine spf dkim dmarc-records
Kør altid en spf dkim dmarc check, før du sender første kampagne — og gentag testen efter enhver ændring. DNS-ændringer kan tage op til 24-48 timer om at propagere fuldt ud globalt.
- Brug en gratis online spf/dkim/dmarc checker (fx mail-tester.com eller MXToolbox) og send en testmail til den adresse, værktøjet oplyser.
- Læs 'Authentication-Results'-headeren i en modtaget testmail manuelt — den viser spf=pass, dkim=pass og dmarc=pass eller fail direkte fra Gmail/Outlooks perspektiv.
- Kør en spf dkim dmarc test efter enhver ændring i DNS, nyt subdomain eller ny afsenderplatform.
- Bed din cold email-platform om at bekræfte DKIM-alignment specifikt, ikke kun at SPF/DKIM 'findes' — alignment mellem afsenderdomænet og signaturen er det, DMARC reelt vurderer.
Typiske fejl, der sender cold email direkte i spam
De fleste deliverability-problemer i B2B cold outreach skyldes ikke indholdet, men en håndfuld tilbagevendende opsætningsfejl.
- At sende cold email fra hoveddomænet i stedet for et dedikeret sending-subdomain, så et enkelt problem skader hele virksomhedens mailrygte.
- Flere SPF-records på samme domæne, hvilket ugyldiggør hele SPF-tjekket.
- For mange 'include'-statements, så SPF rammer 10-lookup-grænsen og fejler stille uden nogen fejlmeddelelse i afsenderens indbakke.
- At sætte DMARC til p=reject fra dag ét uden først at have kørt p=none og læst rapporterne.
- At glemme DKIM-alignment ved skift af cold email-værktøj — den gamle selector bliver stående, den nye mangler helt.
- At tro, at én enkelt spf dkim dmarc checker-test er nok, uden løbende overvågning via DMARC-rapporter.
Tjekliste: sådan holder LDM autentificering på plads for kunders cold outreach
Autentificering er en forudsætning for leverance, ikke en genvej til at omgå spamfiltre — en legitim B2B-mail skal se og opføre sig som legitim mail, ikke narre filteret. Sådan strukturerer vi det i praksis for kunder, der kører målrettet cold outreach.
- Separat sending-subdomain pr. kunde eller kampagne, aldrig delt med den daglige virksomhedsmail.
- SPF, DKIM og DMARC verificeres automatisk, før første kampagne-mail sendes.
- Gradvis opvarmning af nye domæner/subdomains over flere uger, parallelt med DMARC i p=none.
- Ugentlig gennemgang af DMARC-rapporter, så alignment-fejl fanges, før de påvirker svarrater.
- Skift til p=quarantine og siden p=reject først, når rapporterne viser stabilt pass over tid.
Ofte stillede spørgsmål
Skal jeg bruge et andet domæne eller subdomæne til cold email?
Ja, brug et dedikeret sending-subdomain (fx outreach.dinvirksomhed.dk) frem for hoveddomænet. Så beskytter du virksomhedens primære mailrygte, hvis en cold email-kampagne skulle give høj bounce- eller spamrate, mens korrekt SPF/DKIM/DMARC stadig kan sættes op fuldt på subdomænet.
Hvor lang tid tager det, før SPF, DKIM og DMARC virker fuldt ud?
DNS-ændringer propagerer typisk inden for minutter til nogle timer, men regn med op til 24-48 timer, før du stoler fuldt på resultatet globalt. Selve sender-rygtet bygges derudover op over uger med gradvis opvarmning, ikke øjeblikkeligt efter records er sat korrekt op.
Hvad er forskellen på DMARC p=none, p=quarantine og p=reject?
p=none overvåger og sender kun rapporter uden at påvirke leverancen. p=quarantine sender mail, der fejler alignment, til spam. p=reject blokerer den helt. Gå altid gennem trinnene i rækkefølge, så du kan rette fejl, før de rammer legitim mail.
Kan jeg stole på en gratis online spf/dkim/dmarc checker?
Ja, til et hurtigt sundhedstjek er en gratis online spf/dkim/dmarc checker fint. Kombinér den dog med at læse den faktiske Authentication-Results-header i en modtaget testmail og med løbende DMARC-rapporter for fuld sikkerhed over tid.
Hvad sker der, hvis en legitim cold email fejler DMARC?
Afhængigt af policy lander mailen i spam (quarantine) eller afvises helt (reject). Det er præcis derfor, gradvis indfasning med p=none og løbende rapportgennemgang er vigtig — så du opdager fejlkonfigurerede afsendersystemer, før de rammer rigtige kampagner.
Er spf dkim dmarc nok til at undgå spamfiltre alene?
Nej. Autentificering er en nødvendig forudsætning, men ikke tilstrækkelig alene. Sendevolumen, listekvalitet, personalisering og modtagerengagement tæller også med. Målet er ikke at snyde filteret, men at sende mail, der reelt opfører sig som legitim B2B-kommunikation.
Vil du bruge det her i din outreach?
Vi viser, hvordan det virker for dit segment og produkt — inden arbejdet går i gang.
Tal med os