Live Direct Marketing
EtusivuBlogiToimitettavuus

Miten SPF, DKIM ja DMARC otetaan käyttöön Google Workspacessa – opas B2B-kylmäsähköpostin lähettäjälle

12. heinäkuuta 2026 · 7 min lukuaika · Opas: Toimitettavuus

Jos yrityksesi aikoo lähettää kohdennettua B2B-kylmäsähköpostia, Gmail ja muut suuret vastaanottajapalvelimet vaativat, että lähettävä domain on todennettu SPF-, DKIM- ja DMARC-tietueilla – muuten viestit päätyvät roskapostiin tai hylätään kokonaan. Tämä opas käy läpi, miten SPF, DKIM ja DMARC otetaan käyttöön Google Workspacessa vaihe vaiheelta, kun tavoitteena on erillinen lähetysdomain kylmäsähköpostikampanjoille – ei pääasiallinen yritysposti. Lopussa on lista yleisimmistä virheistä, joita näemme asiakkaiden verkkotunnuksissa.

Yhteenveto
  • SPF, DKIM ja DMARC on määritettävä ennen ensimmäistä kylmäsähköpostierää, ei jälkikäteen.
  • Käytä kylmäsähköposteihin erillistä alidomainia, jotta pääverkkotunnuksen maine pysyy suojassa.
  • DMARC kannattaa viedä p=none-tilasta p=reject-tilaan asteittain, ei suoraan.
  • SPF-tietueessa saa olla korkeintaan 10 DNS-lookupia – rajan ylitys mitätöi koko tietueen.
  • Google Workspacen admin-konsoli generoi DKIM-avaimen, mutta TXT-tietue pitää silti viedä DNS:ään itse.

Miksi Gmail ja Workspace vaativat SPF-, DKIM- ja DMARC-tietueet

Google ja muut suuret sähköpostipalvelut arvioivat jokaisen saapuvan viestin lähettäjän mainetta ennen kuin päättävät, meneekö viesti saapuneisiin vai roskapostiin. SPF, DKIM ja DMARC ovat kolme DNS-tietuetta, jotka todistavat vastaanottajalle, että viesti todella tulee siltä domainilta, jolta se väittää tulevansa, eikä ole väärennetty. Ilman näitä tietueita Gmail kohtelee jokaista viestiä epäluotettavana lähteenä riippumatta siitä, kuinka hyvin viesti on kirjoitettu tai kuinka pieni lähetysmäärä on.

Kohdennetussa B2B-kylmäsähköpostissa lähetysmäärät ovat tyypillisesti pieniä – kymmeniä viestejä päivässä lähettäjää kohden – mutta se ei vapauta todennusvelvoitteesta. Päinvastoin: uusi tai vasta aktivoitu lähettäjätunnus ilman SPF-, DKIM- ja DMARC-tietueita on juuri se profiili, jota Gmailin suodattimet seuraavat tarkimmin. Siksi SPF, DKIM ja DMARC Google Workspacessa kuuluvat ensimmäisiin teknisiin askeliin ennen kuin yksikään kylmäviesti lähtee ulos.

Käytännön suositus on, ettei kylmäsähköpostia lähetetä pääverkkotunnuksesta (esim. yritys.fi), vaan erillisestä lähetysalidomainista, kuten outreach.yritys.fi tai contact.yritys.fi. Näin mahdolliset maineongelmat – tai varotoimena tehty jäähdytysjakso – eivät koske laskutus- tai asiakaspalveluviestejä, jotka kulkevat pääverkkotunnuksen kautta.

SPF-tietueen määritys Google Workspacessa vaihe vaiheelta

SPF (Sender Policy Framework) kertoo vastaanottavalle palvelimelle, mitkä palvelimet saavat lähettää sähköpostia domainisi nimissä. Google Workspacessa SPF-tietue lisätään DNS:ään TXT-tietueena – ei Workspacen admin-konsolissa, vaan verkkotunnuksen omassa DNS-hallinnassa.

DKIM-avaimen käyttöönotto Gmailissa

DKIM (DomainKeys Identified Mail) allekirjoittaa jokaisen lähtevän viestin kryptografisesti, jolloin vastaanottaja voi varmistaa, ettei viestiä ole muutettu matkalla. Google Workspacessa DKIM-avaimen generointi tapahtuu admin-konsolissa, mutta julkinen avain pitää silti viedä DNS:ään itse.

DMARC-tietueen luominen ja käytännön kiristäminen

DMARC (Domain-based Message Authentication, Reporting and Conformance) kertoo vastaanottajalle, mitä tehdä viestille, joka ei läpäise SPF- tai DKIM-tarkistusta, ja lähettää raportteja siitä, kuka domainisi nimissä lähettää postia. DMARC-tietue lisätään DNS:ään osoitteeseen _dmarc.yritys.fi TXT-tietueena, esimerkiksi: v=DMARC1; p=none; rua=mailto:dmarc-raportit@yritys.fi.

Käytäntöä ei kannata viedä suoraan p=reject-tilaan, vaikka kiire kylmäsähköpostikampanjan aloittamiseen olisi kova. Oikea polku on asteittainen: aloita p=none-tilasta, jossa kerätään vain raportteja ilman että mikään viesti hylätään, tarkista raporteista, ettei mikään laillinen lähde jää SPF/DKIM-tarkistuksen ulkopuolelle, ja nosta sitten pct-arvoa ja tiukkuutta vaiheittain.

Todennuksen vaikutus toimitettavuuteen käytännössä

Ero näkyy suoraan saapuvien kansiossa. Kun seuraamme asiakkaidemme lähetysdomainien saapumista ennen ja jälkeen täyden SPF-, DKIM- ja DMARC-käyttöönoton, inbox-sijoitusprosentti nousee tyypillisesti selvästi – etenkin kun domain on uusi ja lämmitysvaiheessa.

Huomionarvoista on, että pelkkä SPF ilman DKIM:iä auttaa vain osittain – DMARC-tarkistus edellyttää, että vähintään toinen SPF:stä tai DKIM:stä on kohdistettu (aligned) lähettävän domainin kanssa, ja moni lähetysalusta rikkoo SPF-kohdistuksen välittäessään viestiä oman palvelimensa kautta.

Yleisimmät virheet SPF-, DKIM- ja DMARC-käyttöönotossa

Käymme viikoittain läpi asiakkaiden DNS-asetuksia ennen kylmäsähköpostikampanjan käynnistystä, ja samat virheet toistuvat.

Checklist ennen ensimmäistä kylmäsähköpostierää

LDM:n kampanjoissa jokainen uusi lähetysdomain käy läpi saman tarkistuslistan ennen ensimmäistä viestierää, riippumatta siitä, ajaako lähetystä oma tiimi vai me.

Usein kysytyt kysymykset

Tarvitseeko jokainen lähetysalidomain oman SPF-, DKIM- ja DMARC-tietueensa?

DKIM kyllä aina omalle alidomainille erikseen; SPF voi periytyä pääverkkotunnukselta, mutta selkeintä on pitää lähetysalidomainilla omat tietueet, jotta muutokset eivät vaikuta muuhun sähköpostiliikenteeseen.

Voiko DMARC-tietueen asettaa suoraan p=reject-tilaan kiireessä?

Ei kannata – ilman raportointivaihetta et näe, mitkä lailliset lähteet jäävät SPF- tai DKIM-tarkistuksen ulkopuolelle, ja hylkäät silloin myös aitoja viestejä huomaamatta.

Mitä tapahtuu, jos SPF-tietueessa on yli kymmenen DNS-lookupia?

SPF-tietue palauttaa permerror-tilan, jonka useimmat vastaanottajat tulkitsevat epäonnistuneeksi tarkistukseksi – käytännössä koko tietue lakkaa suojaamasta domainia.

Riittääkö pelkkä SPF ilman DKIM:iä Gmail-lähetyksiin?

Ei riitä pitkällä aikavälillä. SPF ei kestä viestin välittämistä kolmannen osapuolen kautta, ja DMARC vaatii kohdistetun SPF:n tai DKIM:n – DKIM on huomattavasti kestävämpi.

Miten erillinen lähetysdomain suojaa pääverkkotunnuksen mainetta?

Kylmäsähköpostin luonteeseen kuuluu matalampi vastausprosentti ja korkeampi bounce-riski kuin transaktioviesteillä, joten mahdolliset maineheilahtelut jäävät alidomainiin eivätkä vaikuta laskutus- tai asiakaspalvelupostiin.

Kuinka usein DMARC-raportteja pitää tarkistaa käyttöönoton jälkeen?

Ensimmäisten viikkojen aikana viikoittain, sen jälkeen riittää kuukausittainen tarkistus, ellei kampanjan volyymi tai lähettäjäjoukko muutu merkittävästi.

Tärkeää: tämä ei ole massapostitusta eikä roskapostia. Työskentelemme kohdennetusti: jokainen viesti lähetetään tietylle henkilölle tietyssä yrityksessä oikeutetusta liiketoimintasyystä, pieninä päivittäisinä määrinä ja vastaanottajalle personoituna. Jokaisessa viestissä on lähettäjän tiedot ja yhden klikkauksen peruutus; peruutukset ja estolistat koskevat kaikkia tulevia kampanjoita poikkeuksetta.

Haluatko soveltaa tätä omaan outreach-toimintaasi?

Näytämme ennen töiden aloittamista, miten tämä toimii juuri sinun segmentissäsi ja tuotteessasi.

Keskustele kanssamme