DMARC for nybegynnere: slik leser du recorden felt for felt
Mange som googler dmarc explained simply ender opp med RFC-dokumenter fulle av forkortelser i stedet for svar de kan bruke med en gang. Her får du dmarc explained for dummies på ekte norsk: hva hvert felt i recorden faktisk gjør, og hvorfor det er spesielt viktig når du sender målrettet B2B-e-post i lave, personlige volumer.
- DMARC bygger videre på SPF og DKIM – det er ikke en erstatning for dem, men en policy som bruker dem.
- Start alltid med p=none og samle rapporter før du strammer inn til quarantine eller reject.
- En for streng policy satt for tidlig kan stoppe legitime kalde kampanjer fra å nå innboksen.
- Aggregate-rapportene (rua) viser hvem som sender e-post i domenets navn – nyttig for å avdekke spoofing og glemte tjenester.
- For lavvolum B2B-avsendere er korrekt alignment viktigere enn en streng policy tidlig i prosessen.
Hva DMARC faktisk løser for en B2B-avsender
DMARC forteller mottakende posttjenere hva de skal gjøre når en e-post hevder å komme fra domenet ditt, men ikke består SPF- eller DKIM-sjekken riktig. For deg som sender målrettet e-post til navngitte beslutningstakere i andre selskaper – ikke masseutsendelser – handler dette om tillit fremfor volum. Google Workspace og Microsoft 365 ser på nøyaktig de samme signalene uansett om du sender ti eller ti tusen meldinger i uken.
Dmarc explained in plain english blir omtrent slik: det er en melding i DNS-en til domenet ditt som sier til andre posttjenere «hvis noen sender e-post som utgir seg for å være meg, men ikke består mine sjekker, gjør X (ingenting, karantene eller avvisning), og fortell meg om det». Den siste delen – rapporteringen – er ofte det mest undervurderte, fordi den gir deg data du ellers aldri ser.
DMARC-recorden forklart felt for felt
Recorden ligger som en TXT-post på _dmarc.dindomene.no, og består av nøkkel-verdi-par atskilt med semikolon. Dette er dmarc record explained uten omveier – hvert felt har én konkret jobb.
- v=DMARC1 – forteller at dette er en DMARC-post, alltid første felt
- p= – policyen for hoveddomenet: none (kun overvåk), quarantine (send til spam) eller reject (avvis)
- rua= – e-postadressen som mottar samlede rapporter (aggregate reports), som oftest en gang i døgnet
- ruf= – adresse for detaljerte feilrapporter per melding (brukes sjeldnere, kan gi personopplysninger)
- pct= – hvor stor andel av e-postene policyen skal gjelde for, nyttig ved gradvis innstramming
- sp= – egen policy for underdomener, ofte strengere enn hoveddomenet
- adkim= og aspf= – strict eller relaxed alignment for DKIM og SPF
Et enkelt oppsett for domenet nordisk-handel.no i overvåkingsfasen kan se slik ut: v=DMARC1; p=none; rua=mailto:dmarc-rapport@nordisk-handel.no; pct=100; adkim=r; aspf=r. Ingen e-post blir stoppet ennå – du samler bare data om hvem som sender i ditt navn.
Fra none til reject: tre steg for en trygg innstramming
Steg én er alltid p=none med en rua-adresse. Overvåk rapportene i to til fire uker og noter hvilke tjenester som sender e-post fra domenet ditt – CRM-systemet, nyhetsbrevverktøyet, LDM-plattformen, autosvar fra support. Dette er ofte flere enn man tror.
Steg to er å rette opp SPF og DKIM for hver eneste kilde du fant. Alle avsendertjenester må enten inkluderes i SPF-recorden eller signere med sin egen DKIM-nøkkel som er riktig alignet mot fra-domenet. Uten dette steget vil enhver innstramming av DMARC-policyen stoppe din egen legitime e-post, ikke bare svindlere.
Steg tre er en gradvis heving via pct=, for eksempel 25, 50, 100 prosent over noen uker, først til quarantine og deretter til reject. Gå aldri rett fra none til reject på hele domenet – det er den vanligste årsaken til at helt legitime kalde kampanjer plutselig slutter å levere.
Hvor strengt bør policyen være? Realistiske tall
Det finnes ingen universell riktig policy – valget avhenger av hvor godt kartlagt avsenderlandskapet ditt er. Blant norske B2B-domener vi har jobbet med i forbindelse med målrettede kaldmail-kampanjer, ser fordelingen av DMARC-policy typisk slik ut når vi kommer inn i et prosjekt.
Det som overrasker de fleste, er hvor stor andel som fortsatt står på none måneder etter at recorden ble publisert – ikke fordi det er galt, men fordi ingen fulgte opp rapportene og tok steg to og tre.
Tallene er indikative, hentet fra erfaring med målrettede B2B-kampanjer, ikke fra en vitenskapelig undersøkelse.
Vanlige feil som skader leveringsevnen
De fleste problemene med DMARC oppstår ikke i selve recorden, men i hastverket rundt den.
- Å sette p=reject umiddelbart uten å ha kartlagt alle avsendertjenester først
- Å glemme sp= for underdomener, slik at et glemt subdomain.dindomene.no forblir helt ubeskyttet
- Å bruke et fra-domene som ikke er alignet med SPF- eller DKIM-domenet (d=), selv om begge teknisk sett består
- Å ignorere aggregate-rapportene måned etter måned – de eneste dataene som forteller deg om noen misbruker domenet
- Å rotere DKIM-nøkler uten å oppdatere DNS samtidig, noe som feiler alignment for alle legitime avsendere over natten
- Å tro at DMARC alene stopper phishing rettet mot egne ansatte – den stopper kun forfalskning av eget domene utad
Sjekkliste: slik jobber vi med DMARC-oppsett hos LDM
Når vi setter opp e-postautentisering for en ny B2B-kunde hos LDM, følger vi samme rekkefølge hver gang, uavhengig av bransje eller volum.
Målet er alltid at kaldmail fra kunden skal se ut som akkurat det den er: en personlig henvendelse fra en ekte selger til en navngitt kontakt – aldri noe som ligner masseutsendelse i mottakerens innboks.
- Kartlegge alle nåværende avsendertjenester før noe endres i DNS
- Publisere p=none med rapportering til en adresse vi faktisk overvåker
- Rette SPF- og DKIM-alignment for hver kilde, inkludert LDM-plattformens egne sendemodul
- Vente på minst to til fire uker med rapportdata før neste steg
- Stramme inn gradvis med pct=, aldri i ett hopp til reject
- Dokumentere sluttoppsettet slik at kundens IT-avdeling kan vedlikeholde det videre
Ofte stilte spørsmål
Hva er egentlig forskjellen på SPF, DKIM og DMARC?
SPF sier hvilke servere som har lov til å sende e-post for domenet ditt. DKIM signerer meldingen kryptografisk slik at mottaker kan verifisere at innholdet ikke er endret. DMARC bruker resultatene fra begge og bestemmer hva som skal skje når de ikke stemmer, i tillegg til å gi deg rapporter.
Kan jeg bare sette p=reject med en gang for å være trygg?
Nei, det er den vanligste feilen. Hvis ikke absolutt alle avsendertjenester dine er korrekt alignet med SPF eller DKIM først, vil reject-policyen stoppe din egen legitime e-post sammen med eventuelle forfalskninger.
Trenger jeg DMARC hvis jeg bare sender lave volumer kaldt til noen få kontakter i uken?
Ja, kanskje mer enn en avsender med høyt volum. Lave, personlige volumer betyr at hver enkelt melding vurderes nøye av mottakerens filter, og korrekt autentisering er et av de sterkeste tillitssignalene som finnes.
Hva skjer hvis domenet mitt ikke har noen DMARC-record i det hele tatt?
Da har mottakende posttjenere ingen instruks å følge hvis noen forfalsker domenet ditt, og du får ingen rapporter om det skjer. E-posten din blir ikke automatisk avvist, men den mangler et signal som stadig flere spamfiltre vekter tungt.
Hvordan leser jeg DMARC-aggregate-rapportene i praksis?
Rapportene kommer som XML-filer og er tunge å lese manuelt, så de fleste bruker et rapporteringsverktøy som samler dem i en oversikt over sendekilder, pass- og fail-rater. Se etter kilder du ikke kjenner igjen – det er første tegn på misbruk eller en glemt tjeneste.
Påvirker DMARC svarraten i kalde B2B-kampanjer direkte?
Ikke direkte, men indirekte betydelig. Riktig DMARC-oppsett øker sannsynligheten for at meldingen lander i innboksen fremfor spam-mappen, og uten det taper du kontakter før de i det hele tatt får sjansen til å svare.
Vil du bruke dette i din outreach?
Vi viser hvordan det fungerer for ditt segment og produkt — før arbeidet starter.
Snakk med oss