Näin teet SPF-, DKIM- ja DMARC-tarkistuksen ennen kylmäpostikampanjaa
Moni kohdennettu B2B-kylmäpostikampanja kaatuu jo ennen ensimmäistä vastausta, koska tekninen pohja pettää: SPF, DKIM tai DMARC puuttuu tai on määritelty väärin. Tässä artikkelissa käydään läpi, miten teet spf dkim dmarc checkin yhdellä kertaa ja mitä tuloksia pidetään terveinä ennen kampanjan käynnistystä.
- SPF, DKIM ja DMARC kannattaa tarkistaa aina yhdessä, ei erikseen, koska ne täydentävät toisiaan sähköpostin todentamisessa.
- spf dkim dmarc checker online -työkalu antaa tuloksen minuutissa, mutta tulkinta vaatii ymmärrystä DNS-tietueiden syntaksista.
- DMARC-policy 'none' jättää domainin käytännössä suojaamattomaksi, vaikka SPF ja DKIM näyttäisivät kunnossa oleviksi.
- Terve lähtötilanne kylmäpostikampanjalle tarkoittaa kaikkien kolmen tietueen validointia ja alignment-tarkistusta, ei pelkkää yksittäistä 'pass'-merkintää.
- LDM tarkistaa asiakkaan domainin SPF-, DKIM- ja DMARC-tilan aina ennen kampanjan käynnistystä ja korjausehdotukset toimitetaan ennen ensimmäistä lähetystä.
Miksi spf dkim ja dmarc pitää tarkistaa yhdessä ennen lähetystä
Kohdennettu B2B-kylmäposti eroaa tavallisesta yritysviestinnästä siinä, että vastaanottavan postipalvelimen algoritmi arvioi lähettäjän uutta domainia tai vähän lähettänyttä osoitetta huomattavasti tarkemmin kuin tuttua vastapuolta. Jos SPF, DKIM tai DMARC puuttuu tai on ristiriidassa keskenään, viesti tulkitaan helposti epäluotettavaksi, vaikka sisältö olisi täysin asiallista ja henkilökohtaisesti kohdennettua.
Kolme tietuetta toimivat yhdessä eri tasoilla: SPF kertoo, mitkä palvelimet saavat lähettää domainin nimissä, DKIM allekirjoittaa viestin kryptografisesti todistaen, ettei sisältöä ole muutettu matkalla, ja DMARC määrittää, mitä vastaanottajan tulee tehdä, jos jompikumpi ei täsmää lähettäjän From-osoitteen kanssa. Yksittäinen 'pass' ei riitä, jos alignment eli tietueiden kohdistuminen From-domainiin pettää.
Siksi spf dkim dmarc check kannattaa tehdä kokonaisuutena juuri ennen kampanjan käynnistystä, ei vain kertaalleen domainin rekisteröinnin yhteydessä. DNS-tietueet muuttuvat, kun yritys vaihtaa sähköpostipalveluntarjoajaa, ottaa käyttöön uuden markkinointityökalun tai lisää alidomainin kylmäpostille — ja jokainen muutos voi rikkoa aiemmin toimineen konfiguraation huomaamatta.
Näin teet spf dkim dmarc checkin vaihe vaiheelta
Käytännön tarkistus kannattaa tehdä samassa järjestyksessä joka kerta, jotta mikään kolmesta ei jää huomaamatta ja tulokset ovat vertailukelpoisia ajan myötä.
Esimerkiksi komennolla 'dig txt yrityksesi.fi' näkee SPF-tietueen suoraan DNS:stä, ja jos rivillä lukee 'v=spf1 include:spf.protection.outlook.com -all', kyseessä on tiukka SPF ilman ylimääräisiä sallittuja lähettäjiä. Kuvitteellinen yritys Pohjolan Konepaja Oy löysi omasta domainistaan kaksi päällekkäistä SPF-tietuetta, jotka mitätöivät toisensa — DNS sallii vain yhden SPF-TXT-rivin per domain.
- Tarkista SPF-tietue TXT-hakuna ja varmista, että rivejä on vain yksi ja DNS-lookupeja alle kymmenen.
- Tarkista DKIM-selectorin julkinen avain ja varmista, että se vastaa lähetyspalvelun käyttämää yksityistä avainta.
- Tarkista DMARC-tietue osoitteesta _dmarc.yritys.fi ja lue policy-arvo (none, quarantine vai reject) sekä raportointiosoite.
- Aja sama domain kahdessa eri spf dkim dmarc checker -työkalussa ristiin, koska yksittäinen työkalu voi välimuistittaa vanhan DNS-vastauksen.
- Lähetä oikea testiviesti itsellesi ja tarkista raw headers -näkymästä Authentication-Results-rivi, jossa SPF, DKIM ja DMARC näkyvät erikseen.
- Varmista alignment: From-osoitteen domain täsmää SPF:n Return-Path-domainiin ja DKIM-allekirjoituksen d=-arvoon.
Esimerkiksi komennolla 'dig txt yrityksesi.fi' näet SPF-tietueen, ja jos rivillä lukee 'v=spf1 include:spf.protection.outlook.com -all', se on validi tiukka SPF ilman ylimääräisiä sallittuja lähettäjiä.
Millaiset luvut kertovat terveestä domainista
Kun LDM tarkistaa uuden asiakkaan domainin ennen kylmäpostikampanjan käynnistystä, sama kuvio toistuu useimmiten: yksittäiset tietueet ovat lähes aina olemassa, mutta täysi kolmikko kunnossa yhtä aikaa on harvinaisempaa kuin moni odottaa.
Alla olevat luvut ovat suuntaa-antavia havaintoja siitä, missä kunnossa domainit tyypillisesti ovat, kun ne tulevat tarkistukseen ensimmäistä kertaa — eivät tavoitearvoja vaan lähtötilanteen kuvausta.
Luvut ovat suuntaa-antavia ja perustuvat kohdennettujen B2B-kampanjoiden käynnistystä edeltäviin tarkistuksiin.
Yleisimmät virheet SPF-, DKIM- ja DMARC-tietueissa
Suurin osa ongelmista ei johdu siitä, että tietue puuttuisi kokonaan, vaan siitä, että se on olemassa mutta väärin muotoiltu tai vanhentunut edellisestä palveluntarjoajasta.
- SPF-tietueessa on yli kymmenen DNS-lookupia sisältävää include-riviä, jolloin vastaanottaja hylkää koko tietueen permerror-virheenä.
- Domainilla on kaksi erillistä SPF-TXT-tietuetta vanhan ja uuden palveluntarjoajan jäljiltä — vain yksi rivi on sallittu.
- DKIM-selector on määritetty lähetyspalvelussa, mutta julkista avainta ei ole koskaan viety DNS:ään, jolloin allekirjoitus epäonnistuu hiljaisesti.
- DMARC-policy jätetään pysyvästi arvoon none, koska se ei koskaan hylkää mitään — mutta se ei myöskään suojaa domainia väärinkäytöltä.
- Alidomainia käytetään kylmäpostiin, mutta DMARC-tietueen sp=-arvo tai kattavuus ei ulotu alidomainiin ollenkaan.
- From-osoitteen domain ja DKIM-allekirjoituksen d=-arvo eroavat toisistaan, jolloin alignment epäonnistuu vaikka molemmat tietueet erikseen olisivat validit.
Tarkistuslista ja miten LDM varmistaa domainin ennen kampanjaa
Ennen kuin LDM käynnistää asiakkaan puolesta kohdennetun kylmäpostikampanjan, domainin tekninen tila käydään läpi samalla tarkistuslistalla joka kerta — riippumatta siitä, onko kyseessä uusi lähetysdomain vai vuosia käytössä ollut yrityksen pääosoite.
Tarkistus toistetaan myös kampanjan aikana, koska lähetysvolyymin kasvaessa postipalvelimet alkavat tulkita tietueita tiukemmin, ja pienikin muutos DNS:ssä voi näkyä vasta viikkojen kuluttua reputaatiovaikutuksena.
- SPF: yksi tietue, alle kymmenen lookupia, kattaa kaikki oikeat lähetyspalvelut.
- DKIM: julkinen avain DNS:ssä, allekirjoitus näkyy Authentication-Results-rivillä pass-tilassa.
- DMARC: tietue olemassa, policy vähintään quarantine ennen suurempaa lähetysvolyymia, rua-raportointi käytössä.
- Alignment: From-domain täsmää sekä SPF:n että DKIM:n domainiin.
- Testiviesti lähetetty ja raw headers tarkistettu manuaalisesti, ei pelkän automaattisen työkalun tuloksella.
Usein kysytyt kysymykset
Mikä on ero SPF:n, DKIM:n ja DMARC:n välillä?
SPF listaa, mitkä palvelimet saavat lähettää domainin nimissä, DKIM allekirjoittaa viestin kryptografisesti sisällön eheyden todistamiseksi, ja DMARC määrittää, mitä vastaanottajan pitää tehdä, jos From-osoite ei kohdistu kumpaankaan. Kaikki kolme tarvitaan yhdessä, koska yksikään niistä ei yksin riitä täyteen suojaan.
Riittääkö spf dkim dmarc checker online -työkalu vai tarvitaanko manuaalista tarkistusta?
Online-työkalu on hyvä ensiaskel ja nopea tapa löytää ilmeiset puutteet, mutta se ei aina tunnista alignment-ongelmia tai välimuistiin jääneitä vanhoja DNS-vastauksia. Todellinen testiviesti ja raw headers -tarkistus on ainoa tapa varmistaa, että kaikki kolme toimivat yhdessä juuri sillä hetkellä.
Kuinka usein SPF-, DKIM- ja DMARC-tietueet pitää tarkistaa kylmäpostikampanjan aikana?
Ennen käynnistystä aina, ja sen jälkeen aina kun lähetysvolyymia nostetaan, palveluntarjoajaa vaihdetaan tai uusi alidomain otetaan käyttöön. Vakiintuneessa kampanjassa riittää yleensä kuukausittainen tarkistus, ellei domainissa tapahdu muutoksia.
Mitä tapahtuu, jos DMARC-policy on 'none'?
None-policy kerää raportteja mutta ei estä väärennettyjen viestien läpimenoa eikä anna vastaanottajan postipalvelimelle selkeää ohjetta. Se on hyvä välivaihe seurantaan, mutta ennen suurempaa lähetysvolyymia policy kannattaa nostaa vähintään quarantineen.
Voiko kylmäpostia lähettää ilman DMARC-tietuetta?
Teknisesti kyllä, mutta silloin domainin todentaminen jää SPF:n ja DKIM:n varaan ilman kohdistuksen valvontaa, mikä näkyy suurilla postipalvelimilla heikompana luottamuksena. Kohdennetussa B2B-kampanjassa DMARC kannattaa aina olla käytössä edes none-tilassa raportoinnin vuoksi.
Miten LDM huomioi Suomen sääntelyn kylmäpostissa SPF-, DKIM- ja DMARC-tarkistuksen lisäksi?
Tekninen todentaminen ja lähetyksen lainmukaisuus ovat eri asioita: SPF, DKIM ja DMARC vaikuttavat perillemenoon, kun taas B2B-kylmäpostin sisältö ja opt-out-mahdollisuus arvioidaan erikseen sähköisen viestinnän palveluista annetun lain valossa. LDM tarkistaa molemmat osa-alueet ennen kampanjan käynnistystä.
Haluatko soveltaa tätä omaan outreach-toimintaasi?
Näytämme ennen töiden aloittamista, miten tämä toimii juuri sinun segmentissäsi ja tuotteessasi.
Keskustele kanssamme