Sådan konfigurerer du SPF, DKIM og DMARC i Office 365 og Google Workspace
Mange danske B2B-virksomheder sender deres første cold email-kampagne fra det almindelige firmadomæne uden at have styr på SPF, DKIM og DMARC — og undrer sig så over, at svarprocenten er lav, selvom teksten er god. Uden korrekt autentificering ser en ellers legitim mail teknisk set ud som noget, der kan forfalskes, og både Microsoft og Google behandler den derefter. Denne guide viser trin for trin, hvordan du sætter alle tre records op i Office 365 og Google Workspace, så din udgående B2B-post bliver behandlet som det, den er: rigtig forretningskommunikation.
- SPF, DKIM og DMARC er tre uafhængige DNS-records, der tilsammen beviser, at en mail rent faktisk kommer fra dit domæne
- Opsætningen i Office 365 og Google Workspace ligner hinanden, men detaljerne i DNS-værdierne er forskellige
- DMARC skal indfases gradvist — start med p=none og overvåg, før du hæver til quarantine eller reject
- Bruger du et separat værktøj eller en subdomæne-strategi til cold email, skal det tilføjes til SPF og have sin egen DKIM-nøgle
- De fleste leveringsproblemer skyldes ikke manglende records, men fejl i dem: dobbelt SPF, forkert selector eller for tidlig håndhævelse
Hvorfor autentificering afgør, om din B2B-mail bliver leveret
SPF, DKIM og DMARC er ikke længere noget, kun store nyhedsbreve-afsendere skal tænke på. Google og Microsoft filtrerer i stigende grad domæner, der sender udgående post uden korrekt autentificering — uanset om det er ti eller ti tusind mails om dagen. For en B2B-afsender, der sender målrettet cold email til navngivne kontaktpersoner hos konkrete virksomheder, er konsekvensen dobbelt: mailen risikerer at havne i spam, og domænets omdømme (afsenderens 'sender reputation') svækkes for al fremtidig post fra samme domæne.
Uden SPF, DKIM og DMARC kan en modtagende server ikke bekræfte, at det faktisk er dit domæne, der har sendt mailen — teknisk set kan enhver forfalske 'fra'-adressen. Det er præcis den type usikkerhed, spamfiltre er trænet til at straffe hårdt. Sætter du derimod alle tre records korrekt op i Office 365 eller Google Workspace, signalerer du entydigt: dette er en autoriseret, sporbar afsender — ikke et forsøg på at gemme sig bag et andet domænes navn.
SPF: opsætning af SPF-records i Office 365 og Google Workspace
SPF (Sender Policy Framework) er en TXT-record på dit domæne, der lister, hvilke servere der må sende mail på dine vegne. Uanset om I bruger Office 365 eller Google Workspace, foregår opsætningen i DNS-administrationen hos jeres domæneudbyder — for danske virksomheder ofte Simply, DanDomain, one.com eller GoDaddy — ikke inde i selve mailplatformen.
For Office 365 tilføjer du en TXT-record på roddomænet med værdien 'v=spf1 include:spf.protection.outlook.com -all'. For Google Workspace er værdien 'v=spf1 include:_spf.google.com ~all'. Sender I også via et separat cold email-værktøj eller en outreach-platform, skal dennes SPF-include tilføjes i samme record — I må kun have én SPF-record pr. domæne, så alle includes samles i én linje adskilt af mellemrum.
- Log ind hos jeres DNS-udbyder, ikke hos Microsoft eller Google
- Opret eller ret TXT-recorden på @ (roddomænet)
- Tilføj include for Office 365 eller Google Workspace afhængig af platform
- Tilføj include for evt. cold email-værktøj i samme record
- Hold jer under 10 DNS-lookups i alt, ellers fejler SPF-valideringen
- Bekræft med et gratis værktøj som MXToolbox eller kommandoen 'dig TXT dit-domæne.dk'
DKIM: sådan aktiverer og verificerer du DKIM-signering
DKIM (DomainKeys Identified Mail) tilføjer en kryptografisk signatur til hver udgående mail, som modtagerens server kan verificere mod en offentlig nøgle i jeres DNS. I Office 365 aktiverer I DKIM i Microsoft Defender-portalen under 'E-mail & samarbejde → Politikker & regler → DKIM' — vælg domænet, og systemet genererer to CNAME-records, som skal tilføjes hos jeres DNS-udbyder, før I slår signeringen 'til'.
I Google Workspace ligger funktionen under Admin-konsollen → Apps → Google Workspace → Gmail → Autentificer e-mail. Her genererer I en DKIM-nøgle for domænet og indsætter den som en TXT-record, typisk med navnet 'google._domainkey'. Bruger I en outreach-platform ved siden af Office 365 eller Workspace til selve cold email-udsendelsen, skal den have sin egen DKIM-selector og nøgle — ellers vil mails sendt derfra ikke kunne DKIM-verificeres overhovedet.
Et typisk CNAME-par fra Office 365 kan se sådan ud: selector1._domainkey.virksomhed.dk peger på selector1-virksomhed-dk._domainkey.virksomhed.onmicrosoft.com, og tilsvarende for selector2 — begge skal være aktive, før DKIM-status i portalen viser 'aktiveret'.
DMARC: fra overvågning til reel håndhævelse
DMARC bygger ovenpå SPF og DKIM og fortæller modtagerens server, hvad den skal gøre, hvis en mail fejler autentificering — og giver jer samtidig rapporter tilbage, så I kan se, hvem der reelt sender mail fra jeres domæne. Recorden ligger som TXT på '_dmarc.dit-domæne.dk' og skal indfases gradvist, ikke sættes til fuld håndhævelse fra dag ét.
Start altid med p=none i 2-4 uger, mens I modtager DMARC-rapporter (rua) og bekræfter, at al legitim post — inklusive cold email-værktøjet, support-systemer og evt. fakturasystemer — består SPF eller DKIM med alignment til jeres domæne. Først derefter hæver I gradvist til p=quarantine og til sidst p=reject, når rapporterne viser 100% pass-rate for al kendt legitim post.
Tallene er vejledende erfaringstal fra målrettede B2B-udsendelser, ikke garanterede resultater.
En typisk DMARC-record efter indfasningsperioden: 'v=DMARC1; p=quarantine; rua=mailto:dmarc-rapport@virksomhed.dk; pct=100; adkim=r; aspf=r'.
Typiske fejl, der ødelægger leveringsevnen
De fleste problemer med SPF, DKIM og DMARC opstår ikke, fordi records mangler, men fordi de er sat forkert op eller sat op for hurtigt uden overvågning.
- To SPF-records på samme domæne i stedet for én samlet — modtagerserveren afviser eller ignorerer begge
- Cold email-værktøjets afsenderdomæne mangler i SPF-include eller har ingen egen DKIM-selector
- DMARC sat direkte til p=reject uden forudgående p=none-periode og gennemgang af rapporter
- From-domænet i mailen matcher ikke det domæne, DKIM'en er signeret med (manglende alignment)
- Brug af en tracking-subdomæne til links, uden at subdomænet selv har SPF/DKIM sat op
- For høj TTL på DNS-records, så ændringer først slår igennem efter flere dage under fejlsøgning
Tjekliste: sådan gør LDM det for kundernes domæner
Når LDM sætter cold email-afsendelse op for en kunde — for eksempel en dansk maskinfabrik, der outsourcer til underleverandører i hele Norden, eller et konsulenthus, der henvender sig til navngivne indkøbschefer — starter vi altid med en dedikeret subdomæne til udsendelse, adskilt fra domænet, der bruges til almindelig virksomhedsmail. Det betyder, at et eventuelt leveringsproblem i opstartsfasen aldrig rammer den daglige mailtrafik.
Herefter følger vi samme rækkefølge, uanset om kunden kører Office 365 eller Google Workspace: SPF og DKIM sættes op og verificeres først, DMARC lægges på med p=none i mindst to uger, og rapporterne gennemgås manuelt, før vi hæver til quarantine og til sidst reject. Kun når hele kæden er grøn, begynder selve opvarmningen af domænet og den egentlige udsendelse.
- Brug en dedikeret subdomæne til cold email, adskilt fra hoveddomænets mail
- Sæt SPF, DKIM og DMARC op i den rækkefølge — aldrig DMARC først
- Kør p=none og læs rapporterne, før I hæver håndhævelsesniveauet
- Verificér opsætningen med et DNS-værktøj efter hver ændring, ikke kun ved kampagnestart
- Genopvarm domænet gradvist, efter autentificeringen er bekræftet grøn
Ofte stillede spørgsmål
Hvor lang tid tager det, før SPF, DKIM og DMARC-ændringer virker?
DNS-ændringer slår typisk igennem inden for få timer, men kan tage op til 24-48 timer afhængigt af TTL-værdien og domæneudbyderen. Vent altid mindst et døgn, før I konkluderer, at en record ikke virker.
Skal vi bruge samme domæne til cold email som til almindelig virksomhedsmail?
Nej, det anbefales at bruge en separat subdomæne til udgående cold email. På den måde påvirker en eventuel leveringshændelse under opsætning eller opvarmning ikke jeres almindelige forretningsmail, mens SPF, DKIM og DMARC stadig kan arves fra hoveddomænet.
Hvad er forskellen på SPF, DKIM og DMARC kort fortalt?
SPF godkender, hvilke servere der må sende på domænets vegne. DKIM tilføjer en digital signatur, der beviser, at mailens indhold ikke er ændret undervejs. DMARC binder de to sammen og fortæller modtageren, hvad der skal ske, hvis en mail fejler begge dele.
Kan vi sætte DMARC til p=reject med det samme?
Det frarådes. Start altid med p=none, gennemgå DMARC-rapporterne i et par uger, og hæv først til quarantine og siden reject, når I er sikre på, at al legitim post — inklusive tredjepartsværktøjer — består autentificeringen.
Hvordan tjekker vi, om opsætningen af SPF, DKIM og DMARC virker?
Send en testmail til en tjeneste som mail-tester.com eller kør en dig-forespørgsel mod TXT- og CNAME-records for domænet. I Google Workspace og Office 365 viser administrationspanelerne desuden DKIM-status direkte, når signeringen er aktiv.
Gælder kravene om SPF, DKIM og DMARC kun for virksomheder, der sender store mailvolumener?
Nej. Selv små B2B-afsendere, der sender få personlige mails om dagen, får bedre levering med korrekt opsætning, fordi manglende autentificering i sig selv er et signal, spamfiltre reagerer på — uafhængigt af volumen.
Vil du bruge det her i din outreach?
Vi viser, hvordan det virker for dit segment og produkt — inden arbejdet går i gang.
Tal med os