Live Direct Marketing
EtusivuBlogiToimitettavuus

Näin korjaat SPF-, DKIM- ja DMARC-virheet ennen kuin ne tappavat toimitettavuuden

12. heinäkuuta 2026 · 8 min lukuaika · Opas: Toimitettavuus

SPF-, DKIM- ja DMARC-virheet eivät yleensä näy bounce-viesteinä - ne näkyvät hiljaisena roskapostiin putoamisena, joka syö kohdistetun B2B-kylmäsähköpostikampanjan tuloksen ilman selkeää hälytystä. Tässä oppaassa käydään läpi, miten spf dkim dmarc tester -työkalulla löydät todelliset virheet ja korjaat ne ennen kuin lähetät seuraavan erän.

Yhteenveto
  • SPF, DKIM ja DMARC eivät estä spämmiksi joutumista - ne todistavat lähettäjän aitouden, mikä on eri asia.
  • Yleisin virhe on liian monta SPF-lookupia (yli 10), joka rikkoo koko tietueen hiljaisesti.
  • DKIM-avaimen selector-nimi ja domain-alignment ratkaisevat, hyväksyykö Gmail viestin läpäisyksi.
  • DMARC-policy kannattaa kiristää asteittain: p=none -> p=quarantine -> p=reject, raportteja seuraten.
  • Ennen kylmäsähköpostikampanjaa jokainen lähettävä domain testataan erikseen dmarc check tool -työkalulla, ei vain pääverkkotunnus.

Miksi autentikointivirheet tappavat kylmäsähköpostit huomaamatta

SPF-, DKIM- tai DMARC-virhe ei yleensä tuota bounce-viestiä, jonka lähettäjä näkisi heti. Sen sijaan viesti toimitetaan, mutta se ohjataan roskapostikansioon tai jää kokonaan Gmailin taustasuodattimiin - lähettäjän näkökulmasta kampanja näyttää vain menevän huonosti. Kohdistetussa B2B-kylmäsähköpostissa tämä on erityisen kallista: volyymit ovat pieniä, usein 15-40 viestiä lähettäjää kohden päivässä, ja jokainen kadonnut viesti on menetetty yhteydenotto tiettyyn päättäjään tietyssä yrityksessä, ei tilastollinen pyöristysvirhe.

Ongelma jää usein huomaamatta, koska seurataan avausprosenttia (open rate) eikä sitä, montako viestiä ylipäätään saapuu perille. Roskapostikansiossa avatut viestit eivät useinkaan laukaise seurantapikseliä, joten lähettäjä näkee vain matalan avausprosentin eikä ymmärrä syytä. Tästä syystä autentikoinnin tarkistus kuuluu jokaisen kylmäsähköpostidomainin käyttöönottoon, ei vain kerran vuodessa tehtävään auditointiin.

Miten diagnosoit virheet: DNS ja testaustyökalut

Ensimmäinen askel on aina DNS:n tarkistus komentoriviltä, ei pelkkä työkalun luottaminen: dig txt sinundomaini.fi antaa SPF-tietueen suoraan, ja dig txt selector._domainkey.sinundomaini.fi näyttää DKIM-avaimen. Tämä paljastaa nopeasti tyypilliset kirjoitusvirheet, kuten kaksi erillistä SPF-tietuetta samassa domainissa - DNS-standardi sallii vain yhden, ja kaksi tietuetta tekee koko SPF:stä pätemättömän ilman että kukaan saa siitä virheilmoitusta.

Kun DNS näyttää oikealta, kannattaa ajaa varsinainen testi jollain spf dkim dmarc tester -palvelulla, esimerkiksi MXToolboxilla, mail-tester.comilla tai Google Admin Toolboxin Check MX -työkalulla. Lähetä testiviesti työkalun antamaan osoitteeseen samasta lähetysjärjestelmästä, jota käytät oikeaan kampanjaan - ei omasta Gmail-tilistä, koska tulos ei silloin vastaa todellista tilannetta. Raportti kertoo suoraan, läpäiseekö viesti SPF:n, DKIM:n ja DMARC-alignmentin, ja usein myös sen, näkyykö domain jollain julkisella mustalla listalla.

Yleisimmät SPF-virheet ja niiden korjaus

SPF hajoaa käytännössä lähes aina samasta kolmesta syystä: liian moni lookup, useampi tietue tai unohdettu kolmannen osapuolen lähetyspalvelu. SPF sallii enintään 10 DNS-lookupia (include-lausekkeet, a- ja mx-merkinnät), ja tämän rajan ylitys tekee koko tietueesta pätemättömän - vastaanottaja ei ilmoita tästä mitenkään, viesti vain käsitellään kuin SPF:ää ei olisi lainkaan.

Esimerkki

Tyypillinen korjattava tietue rakennuspalveluita myyvälle yritykselle: 'v=spf1 include:_spf.google.com include:sendgrid.net include:instantly.ai -all' - kolme include-lauseketta, ei ylimääräisiä a/mx-merkintöjä, ja tiukka -all lopussa.

DKIM ja Gmail: mihin useimmiten kompastutaan

DKIM-virheet liittyvät kolmeen asiaan: selector puuttuu tai on väärä, avain on liian lyhyt, tai viestiä muokataan matkalla niin, että allekirjoitus ei enää täsmää. Erityisesti spf dkim gmail -yhdistelmässä kannattaa muistaa, että Gmail on vaatinut vähintään 1024-bittisen DKIM-avaimen isommilta lähettäjiltä, ja käytännössä 2048-bittinen avain on nykyinen suositeltu vähimmäistaso kaikille - lyhyemmät avaimet saatetaan hylätä hiljaa tai leimata epäluotettaviksi.

Toinen yleinen sudenkuoppa on se, että kylmäsähköpostityökalu allekirjoittaa viestin omalla DKIM-avaimellaan, mutta lähettäjän oma sähköpostialusta, esimerkiksi Google Workspace, allekirjoittaa saman viestin uudelleen omalla avaimellaan - jos näiden domainit eivät täsmää From-kenttään, DMARC-alignment epäonnistuu vaikka molemmat DKIM-allekirjoitukset yksittäin olisivat teknisesti kunnossa.

Esimerkki

Käytännössä: jos lähetät osoitteesta myynti@rakennuspalvelu.fi kylmäsähköpostityökalun kautta, DKIM-selector-tietueen pitää löytyä juuri rakennuspalvelu.fi:n DNS:stä, ei työkalun omasta jaetusta domainista - muuten Gmail näkee allekirjoituksen olevan väärästä domainista eikä laske sitä alignediksi.

DMARC-policyn kiristäminen vaihe vaiheelta

DMARC-tietue kannattaa aina aloittaa tilassa p=none: tämä ei estä yhtään viestiä, mutta kerää raportit siitä, mitkä lähetysjärjestelmät läpäisevät SPF:n ja DKIM:n oikeassa alignmentissa ja mitkä eivät. Ilman tätä vaihetta on mahdotonta tietää etukäteen, katkaiseeko tiukempi policy vahingossa laillisen kylmäsähköpostiliikenteen.

Kun raportit näyttävät neljän-kuuden viikon ajan, että kaikki tunnetut lähetyslähteet läpäisevät sekä SPF:n että DKIM:n aligned-tilassa, policy nostetaan ensin tasolle p=quarantine ja lopulta p=reject. Sama DMARC-tietue suojaa myös brändiä spoofing-yrityksiltä - Kyberturvallisuuskeskus on suositellut suomalaisille organisaatioille DMARC:n käyttöönottoa juuri tästä syystä, ei vain toimitettavuuden takia.

Tyypilliset virheet kylmäsähköpostilähettäjillä

Suurin osa autentikointiongelmista B2B-kylmäsähköpostissa ei johdu tekniikan puutteesta vaan siitä, että tarkistus tehdään kerran käyttöönotossa eikä enää sen jälkeen, vaikka lähetysjärjestelmiä ja domaineja lisätään jatkuvasti.

Tarkistuslista ennen kampanjan käynnistystä - näin LDM tekee sen

LDM:ssä jokainen uusi lähettävä domain käy läpi saman tarkistuksen ennen kuin sille kohdistetaan yksikään B2B-kylmäsähköpostiviesti, riippumatta siitä kuinka pieni volyymi on kyseessä.

Usein kysytyt kysymykset

Mikä ero on SPF:llä, DKIM:llä ja DMARC:lla?

SPF kertoo, mitkä palvelimet saavat lähettää viestejä domainisi puolesta. DKIM lisää viestiin kryptografisen allekirjoituksen, joka todistaa ettei sisältöä ole muutettu matkalla. DMARC kertoo vastaanottajalle, mitä tehdä jos SPF tai DKIM epäonnistuu, ja kerää raportteja tuloksista.

Riittääkö pelkkä SPF kylmäsähköpostikampanjaan?

Ei riitä pitkällä aikavälillä. SPF ilman DKIM:ä ja DMARC:ta läpäisee monet perustarkistukset, mutta Gmail ja Outlook painottavat yhä enemmän DKIM-alignmentia ja DMARC-policyä osana toimitettavuuspisteytystä, joten kaikki kolme kannattaa olla kunnossa ennen volyymin nostoa.

Miksi spf dkim dmarc tester näyttää kaiken kunnossa mutta viestit menevät silti roskapostiin?

Testerityökalut tarkistavat teknisen läpäisyn, eivät lähettäjän mainetta. Uusi tai vasta lämmitetty domain, epäilyttävä lähetysvauhti tai huono vastausaste voivat pudottaa viestit roskapostiin, vaikka SPF, DKIM ja DMARC olisivat täysin oikein.

Kuinka usein autentikointi kannattaa tarkistaa?

Aina kun lisäät uuden lähetysjärjestelmän tai domainin, ja muuten karkeasti kerran per kvartaali - erityisesti jos käytät useampaa kylmäsähköpostityökalua rinnakkain, koska niiden DKIM-avaimet ja SPF-includet muuttuvat ajoittain palveluntarjoajan puolella.

Voiko DMARC-policyn nostaa suoraan p=reject-tasolle?

Teknisesti voi, mutta käytännössä se on riskialtista: ilman p=none-vaiheen raportteja et tiedä, mitkä laillisetkin lähetysjärjestelmät epäonnistuisivat alignmentissa, ja ne viestit katoavat kokonaan ilman bounce-ilmoitusta.

Mikä on realistinen SPF-lookup-raja ja miten sen tarkistaa?

Raja on tarkalleen 10 DNS-lookupia SPF-standardin mukaan. Sen ylittyessä koko SPF-tietue mitätöityy hiljaa. Tarkistus onnistuu useimmilla spf dkim dmarc tester -työkaluilla, jotka laskevat lookupien määrän automaattisesti tietuetta analysoidessaan.

Tärkeää: tämä ei ole massapostitusta eikä roskapostia. Työskentelemme kohdennetusti: jokainen viesti lähetetään tietylle henkilölle tietyssä yrityksessä oikeutetusta liiketoimintasyystä, pieninä päivittäisinä määrinä ja vastaanottajalle personoituna. Jokaisessa viestissä on lähettäjän tiedot ja yhden klikkauksen peruutus; peruutukset ja estolistat koskevat kaikkia tulevia kampanjoita poikkeuksetta.

Haluatko soveltaa tätä omaan outreach-toimintaasi?

Näytämme ennen töiden aloittamista, miten tämä toimii juuri sinun segmentissäsi ja tuotteessasi.

Keskustele kanssamme