SPF, DKIM ja DMARC kuntoon: ilmaiset tarkistustyökalut B2B-lähettäjille
Kun kylmää sähköpostia aletaan lähettää useammalta osoitteelta ja isommalla volyymilla, yksikin virheellinen tietue riittää tiputtamaan viestit roskapostikansioon. Tässä artikkelissa käydään läpi ilmaiset SPF/DKIM/DMARC-tarkistustyökalut, joilla pk-yrityksen markkinointi- tai myyntitiimi voi itse auditoida lähettäjädomainin ennen kampanjan skaalausta – ilman maksullista deliverability-työkalua. Sama pätee sekä uuteen domainiin että vanhaan, joka on ollut pitkään käytössä mutta jonka tietueita ei ole päivitetty.
- Ilmainen SPF/DKIM/DMARC-tarkistustyökalu riittää perusauditointiin – maksullista deliverability-alustaa ei tarvita vielä kampanjan käynnistysvaiheessa.
- Yleisin virhe ei ole puuttuva SPF, vaan kaksi SPF-tietuetta samassa domainissa tai DMARC-tietueen puuttuminen kokonaan.
- DKIM-allekirjoitus pitää tarkistaa oikeasta lähettävästä palvelusta (esim. Google Workspace, lähetysalusta), ei vain toimialueen MX-tietueista.
- Alignment – From-osoitteen domainin ja SPF/DKIM-domainin täsmääminen – on syy, jonka takia moni ohittaa DMARC-raportit turhaan.
- Tarkistus kannattaa tehdä ennen jokaista volyymin nostoa, ei vain kerran domainin käyttöönotossa.
Miksi tarkistus on pakollinen ennen kampanjan skaalausta
B2B-kylmäpostituksessa volyymit ovat pieniä verrattuna massapostitukseen, mutta juuri siksi jokainen yksittäinen virhe näkyy nopeasti: Gmail, Outlook ja Yahoo tulkitsevat autentikoinnin puutteet merkkinä epäluotettavasta lähettäjästä, ei teknisenä yksityiskohtana.
Suomalaisissa pk-yrityksissä domain on usein pystytetty vuosia sitten IT-kumppanin toimesta, ja sen jälkeen kukaan ei ole päivittänyt SPF-tietuetta, kun uusia palveluita (CRM, laskutus, markkinointityökalu) on otettu käyttöön. Lopputulos on domain, jolla on esimerkiksi kaksi päällekkäistä SPF-tietuetta – tekninen virhe, joka mitätöi koko autentikoinnin.
Ennen kuin nostat lähetysvolyymin esimerkiksi 20 viestistä päivässä 100:aan, kannattaa ajaa domain läpi vähintään yhdellä ilmaisella SPF/DKIM/DMARC-tarkistustyökalulla. Se on 10 minuutin työ, joka säästää viikkoja korjaustyötä, jos maine ehtii kärsiä ensin.
Miten teet tarkistuksen käytännössä
Perusprosessi on sama riippumatta siitä, mitä ilmaista domain spf dkim dmarc checker -työkalua käytät: MXToolbox, Google Admin Toolbox (Check MX), DMARC Analyzer -tyyppiset ilmaisversiot tai lähetysalustan oma sisäänrakennettu tarkistus.
Ensin katsotaan MX-tietueet, jotta nähdään, mikä palvelu vastaanottaa domainin postin – tämä on hyödyllistä myös silloin kun ajat mx spf dkim dmarc checker -tyyppistä kokonaistarkistusta yhdellä haulla. Sen jälkeen tarkistetaan SPF-tietue tekstimuodossa (TXT-tietue, joka alkaa "v=spf1"), sitten DKIM-selector-avain lähettävän palvelun ohjeiden mukaan, ja lopuksi DMARC-tietue kohdasta "_dmarc.domainisi.fi".
- Tarkista SPF: onko vain yksi "v=spf1"-tietue, ja sisältääkö se kaikki todelliset lähettäjät (oma sähköposti, CRM, laskutus, mahdollinen lähetysalusta)
- Tarkista DKIM: onko oikea selector julkaistu DNS:ssä ja allekirjoittaako lähettävä palvelu viestit sillä
- Tarkista DMARC: onko tietue olemassa edes tarkkailutilassa (p=none), jotta raportteja alkaa kertyä
- Vertaa From-domainia SPF- ja DKIM-domainiin – näiden pitää olla samat tai alidomaineja (alignment)
- Tallenna tulos talteen ennen ja jälkeen muutosten, jotta näet, korjasiko muutos ongelman
Ilmaiset työkalut ja mitä kukin näyttää
Kaikki tässä mainitut ovat ilmaisia perustarkistukseen, eikä yksikään vaadi asennusta – riittää, kun syötät domainin ja luet tuloksen.
MXToolbox on nopein yleiskatsaus: yhdellä haulla näet SPF:n, DKIM:n (jos tiedät selectorin), DMARC:n ja MX-tietueet samalla sivulla, ja se selittää virheet suoraan tekstinä (esim. "multiple SPF records found"). Google Admin Toolbox toimii samaan tapaan ja on erityisen käytännöllinen, jos domainin posti kulkee Google Workspacen kautta – silloin kannattaa käyttää suoraan google spf dkim dmarc checker -tyyppistä työkalua, koska se osaa lukea myös Googlen omat DKIM-selectorit oikein. Kolmas hyvä vaihtoehto on lähetä itsellesi testiviesti ja tarkista raakaotsikoista ("näytä alkuperäinen" Gmailissa) rivit Authentication-Results: spf=pass, dkim=pass, dmarc=pass.
Näillä kolmella tavalla saa käytännössä saman lopputuloksen kuin yhdelläkin email spf dkim dmarc checker -sivustolla, mutta testiviestin lähettäminen paljastaa myös alignment-ongelmat, joita pelkkä DNS-tietueiden lukeminen ei aina näytä.
luvut ovat suuntaa-antavia, käytännön havaintoja kohdennettujen B2B-kampanjoiden domainauditoinneista
Yleisimmät virheet tulosten tulkinnassa
Yleisin virhe on tyytyä siihen, että SPF ja DKIM näyttävät "pass", mutta DMARC on jätetty kokonaan pois. Ilman DMARC-tietuetta vastaanottajan palvelin ei tiedä, mitä tehdä, jos joku väärentää From-osoitteesi – ja moni suomalainen toimialue on juuri tästä syystä altis domain spoofing -yrityksille.
Toinen tyypillinen virhe on lisätä DMARC suoraan tiukkaan tilaan (p=reject) testaamatta ensin tarkkailutilassa (p=none). Jos jokin laillinen lähettäjä (esim. laskutusjärjestelmä) ei ole vielä SPF-listalla, tiukka DMARC hylkää myös sen postin kokonaan.
Kolmas virhe on tarkistaa vain toimialueen pääosoite, vaikka kampanjassa käytetään useampaa alidomainia tai lähettäjäosoitetta. Jokainen From-domain pitää tarkistaa erikseen, sillä SPF ja DKIM eivät automaattisesti periydy alidomaineille ilman erillistä konfigurointia.
Tarkistuslista ennen kampanjan käynnistystä
LDM:ssä tämä tarkistus tehdään jokaiselle uudelle lähettäjädomainille ennen kuin volyymia aletaan nostaa, ja sama toistetaan aina kun domainiin lisätään uusi lähettävä palvelu.
- SPF: yksi tietue, kaikki oikeat lähettäjät mukana, ei ylitetä 10 DNS-lookupin rajaa
- DKIM: aktiivinen selector jokaiselle lähettävälle palvelulle, avaimen pituus vähintään 1024 bittiä
- DMARC: tietue olemassa, aluksi p=none ja rua-raportointiosoite asetettu
- Alignment: From-domain vastaa SPF- ja DKIM-domainia (relaxed tai strict, riippuen tarpeesta)
- Testiviesti lähetetty ja Authentication-Results-otsikko tarkistettu käsin vähintään yhdestä isosta postipalvelusta
- Tulokset dokumentoitu, jotta seuraava tarkistus voidaan verrata edelliseen
Käytännön esimerkki: kun asiakasyrityksen domainissa löytyi kaksi SPF-tietuetta (yksi vanhalta sähköpostipalvelulta, toinen uudelta CRM:ltä), ne yhdistettiin yhdeksi "v=spf1 include:_spf.google.com include:crm-palvelu.fi ~all" -riviksi, minkä jälkeen DMARC-raportissa SPF-alignment nousi lähes täyteen viikon sisällä.
Usein kysytyt kysymykset
Riittääkö ilmainen SPF/DKIM/DMARC-tarkistustyökalu, vai tarvitaanko maksullinen palvelu?
Kampanjan käynnistysvaiheessa ilmainen työkalu riittää hyvin perusauditointiin. Maksullinen deliverability-alusta kannattaa harkita vasta, kun lähetysvolyymi kasvaa ja tarvitaan jatkuvaa DMARC-raporttien seurantaa useasta domainista.
Miten tarkistan SPF:n, jos domainin posti kulkee Google Workspacen kautta?
Käytä Google Admin Toolboxia tai mitä tahansa google spf dkim dmarc checker -tyyppistä työkalua, koska se osaa lukea Googlen omat DKIM-selectorit automaattisesti. Muuten SPF- ja DMARC-tarkistus toimivat samalla tavalla kuin muissakin palveluissa.
Mikä on yleisin syy siihen, että SPF näyttää oikealta mutta viestit menevät silti roskapostiin?
Yleensä syy on puuttuva tai virheellinen DMARC-tietue tai se, ettei From-domain täsmää SPF/DKIM-domainiin (alignment-virhe). Pelkkä SPF pass ei riitä, jos DMARC-alignment ei toteudu.
Kuinka usein domain kannattaa tarkistaa uudelleen?
Aina kun lisäät uuden lähettävän palvelun (CRM, laskutus, lähetysalusta) tai nostat merkittävästi volyymia. Muuten riittää tarkistus muutaman kuukauden välein, koska tietueet eivät muutu itsestään.
Voiko DMARC-tietueen lisätä suoraan tiukkaan tilaan?
Ei suositella. Aloita tarkkailutilasta (p=none), kerää raportteja pari viikkoa, varmista että kaikki lailliset lähettäjät läpäisevät tarkistuksen, ja tiukenna vasta sen jälkeen.
Haluatko soveltaa tätä omaan outreach-toimintaasi?
Näytämme ennen töiden aloittamista, miten tämä toimii juuri sinun segmentissäsi ja tuotteessasi.
Keskustele kanssamme