Live Direct Marketing
ForsideBlogLeveringsevne

Sådan konfigurerer du SPF, DKIM og DMARC i Office 365 og Google Workspace

12. juli 2026 · 9 min. læsning · Guide: Leveringsevne

Mange danske B2B-virksomheder sender deres første cold email-kampagne fra det almindelige firmadomæne uden at have styr på SPF, DKIM og DMARC — og undrer sig så over, at svarprocenten er lav, selvom teksten er god. Uden korrekt autentificering ser en ellers legitim mail teknisk set ud som noget, der kan forfalskes, og både Microsoft og Google behandler den derefter. Denne guide viser trin for trin, hvordan du sætter alle tre records op i Office 365 og Google Workspace, så din udgående B2B-post bliver behandlet som det, den er: rigtig forretningskommunikation.

Kort fortalt
  • SPF, DKIM og DMARC er tre uafhængige DNS-records, der tilsammen beviser, at en mail rent faktisk kommer fra dit domæne
  • Opsætningen i Office 365 og Google Workspace ligner hinanden, men detaljerne i DNS-værdierne er forskellige
  • DMARC skal indfases gradvist — start med p=none og overvåg, før du hæver til quarantine eller reject
  • Bruger du et separat værktøj eller en subdomæne-strategi til cold email, skal det tilføjes til SPF og have sin egen DKIM-nøgle
  • De fleste leveringsproblemer skyldes ikke manglende records, men fejl i dem: dobbelt SPF, forkert selector eller for tidlig håndhævelse

Hvorfor autentificering afgør, om din B2B-mail bliver leveret

SPF, DKIM og DMARC er ikke længere noget, kun store nyhedsbreve-afsendere skal tænke på. Google og Microsoft filtrerer i stigende grad domæner, der sender udgående post uden korrekt autentificering — uanset om det er ti eller ti tusind mails om dagen. For en B2B-afsender, der sender målrettet cold email til navngivne kontaktpersoner hos konkrete virksomheder, er konsekvensen dobbelt: mailen risikerer at havne i spam, og domænets omdømme (afsenderens 'sender reputation') svækkes for al fremtidig post fra samme domæne.

Uden SPF, DKIM og DMARC kan en modtagende server ikke bekræfte, at det faktisk er dit domæne, der har sendt mailen — teknisk set kan enhver forfalske 'fra'-adressen. Det er præcis den type usikkerhed, spamfiltre er trænet til at straffe hårdt. Sætter du derimod alle tre records korrekt op i Office 365 eller Google Workspace, signalerer du entydigt: dette er en autoriseret, sporbar afsender — ikke et forsøg på at gemme sig bag et andet domænes navn.

SPF: opsætning af SPF-records i Office 365 og Google Workspace

SPF (Sender Policy Framework) er en TXT-record på dit domæne, der lister, hvilke servere der må sende mail på dine vegne. Uanset om I bruger Office 365 eller Google Workspace, foregår opsætningen i DNS-administrationen hos jeres domæneudbyder — for danske virksomheder ofte Simply, DanDomain, one.com eller GoDaddy — ikke inde i selve mailplatformen.

For Office 365 tilføjer du en TXT-record på roddomænet med værdien 'v=spf1 include:spf.protection.outlook.com -all'. For Google Workspace er værdien 'v=spf1 include:_spf.google.com ~all'. Sender I også via et separat cold email-værktøj eller en outreach-platform, skal dennes SPF-include tilføjes i samme record — I må kun have én SPF-record pr. domæne, så alle includes samles i én linje adskilt af mellemrum.

DKIM: sådan aktiverer og verificerer du DKIM-signering

DKIM (DomainKeys Identified Mail) tilføjer en kryptografisk signatur til hver udgående mail, som modtagerens server kan verificere mod en offentlig nøgle i jeres DNS. I Office 365 aktiverer I DKIM i Microsoft Defender-portalen under 'E-mail & samarbejde → Politikker & regler → DKIM' — vælg domænet, og systemet genererer to CNAME-records, som skal tilføjes hos jeres DNS-udbyder, før I slår signeringen 'til'.

I Google Workspace ligger funktionen under Admin-konsollen → Apps → Google Workspace → Gmail → Autentificer e-mail. Her genererer I en DKIM-nøgle for domænet og indsætter den som en TXT-record, typisk med navnet 'google._domainkey'. Bruger I en outreach-platform ved siden af Office 365 eller Workspace til selve cold email-udsendelsen, skal den have sin egen DKIM-selector og nøgle — ellers vil mails sendt derfra ikke kunne DKIM-verificeres overhovedet.

Eksempel

Et typisk CNAME-par fra Office 365 kan se sådan ud: selector1._domainkey.virksomhed.dk peger på selector1-virksomhed-dk._domainkey.virksomhed.onmicrosoft.com, og tilsvarende for selector2 — begge skal være aktive, før DKIM-status i portalen viser 'aktiveret'.

DMARC: fra overvågning til reel håndhævelse

DMARC bygger ovenpå SPF og DKIM og fortæller modtagerens server, hvad den skal gøre, hvis en mail fejler autentificering — og giver jer samtidig rapporter tilbage, så I kan se, hvem der reelt sender mail fra jeres domæne. Recorden ligger som TXT på '_dmarc.dit-domæne.dk' og skal indfases gradvist, ikke sættes til fuld håndhævelse fra dag ét.

Start altid med p=none i 2-4 uger, mens I modtager DMARC-rapporter (rua) og bekræfter, at al legitim post — inklusive cold email-værktøjet, support-systemer og evt. fakturasystemer — består SPF eller DKIM med alignment til jeres domæne. Først derefter hæver I gradvist til p=quarantine og til sidst p=reject, når rapporterne viser 100% pass-rate for al kendt legitim post.

Eksempel

En typisk DMARC-record efter indfasningsperioden: 'v=DMARC1; p=quarantine; rua=mailto:dmarc-rapport@virksomhed.dk; pct=100; adkim=r; aspf=r'.

Typiske fejl, der ødelægger leveringsevnen

De fleste problemer med SPF, DKIM og DMARC opstår ikke, fordi records mangler, men fordi de er sat forkert op eller sat op for hurtigt uden overvågning.

Tjekliste: sådan gør LDM det for kundernes domæner

Når LDM sætter cold email-afsendelse op for en kunde — for eksempel en dansk maskinfabrik, der outsourcer til underleverandører i hele Norden, eller et konsulenthus, der henvender sig til navngivne indkøbschefer — starter vi altid med en dedikeret subdomæne til udsendelse, adskilt fra domænet, der bruges til almindelig virksomhedsmail. Det betyder, at et eventuelt leveringsproblem i opstartsfasen aldrig rammer den daglige mailtrafik.

Herefter følger vi samme rækkefølge, uanset om kunden kører Office 365 eller Google Workspace: SPF og DKIM sættes op og verificeres først, DMARC lægges på med p=none i mindst to uger, og rapporterne gennemgås manuelt, før vi hæver til quarantine og til sidst reject. Kun når hele kæden er grøn, begynder selve opvarmningen af domænet og den egentlige udsendelse.

Ofte stillede spørgsmål

Hvor lang tid tager det, før SPF, DKIM og DMARC-ændringer virker?

DNS-ændringer slår typisk igennem inden for få timer, men kan tage op til 24-48 timer afhængigt af TTL-værdien og domæneudbyderen. Vent altid mindst et døgn, før I konkluderer, at en record ikke virker.

Skal vi bruge samme domæne til cold email som til almindelig virksomhedsmail?

Nej, det anbefales at bruge en separat subdomæne til udgående cold email. På den måde påvirker en eventuel leveringshændelse under opsætning eller opvarmning ikke jeres almindelige forretningsmail, mens SPF, DKIM og DMARC stadig kan arves fra hoveddomænet.

Hvad er forskellen på SPF, DKIM og DMARC kort fortalt?

SPF godkender, hvilke servere der må sende på domænets vegne. DKIM tilføjer en digital signatur, der beviser, at mailens indhold ikke er ændret undervejs. DMARC binder de to sammen og fortæller modtageren, hvad der skal ske, hvis en mail fejler begge dele.

Kan vi sætte DMARC til p=reject med det samme?

Det frarådes. Start altid med p=none, gennemgå DMARC-rapporterne i et par uger, og hæv først til quarantine og siden reject, når I er sikre på, at al legitim post — inklusive tredjepartsværktøjer — består autentificeringen.

Hvordan tjekker vi, om opsætningen af SPF, DKIM og DMARC virker?

Send en testmail til en tjeneste som mail-tester.com eller kør en dig-forespørgsel mod TXT- og CNAME-records for domænet. I Google Workspace og Office 365 viser administrationspanelerne desuden DKIM-status direkte, når signeringen er aktiv.

Gælder kravene om SPF, DKIM og DMARC kun for virksomheder, der sender store mailvolumener?

Nej. Selv små B2B-afsendere, der sender få personlige mails om dagen, får bedre levering med korrekt opsætning, fordi manglende autentificering i sig selv er et signal, spamfiltre reagerer på — uafhængigt af volumen.

Vigtigt: dette er ikke masseudsendelse og ikke spam. Vi arbejder målrettet: hver besked sendes til en bestemt kontaktperson i en bestemt virksomhed af en legitim forretningsmæssig årsag, i små daglige mængder og personaliseret til modtageren. Hver mail angiver afsenderen og har afmelding med ét klik; afmeldinger og stoplister gælder for alle fremtidige kampagner uden undtagelse.

Vil du bruge det her i din outreach?

Vi viser, hvordan det virker for dit segment og produkt — inden arbejdet går i gang.

Tal med os