Slik setter du opp SPF, DKIM og DMARC i Google Workspace for cold email
Uten riktig konfigurert SPF, DKIM og DMARC havner cold email fra Google Workspace stadig oftere i søppelpost, uansett hvor godt den er personalisert. Denne guiden viser hvordan du setter opp autentiseringen riktig fra bunnen, med de fallgruvene norske B2B-team oftest går i.
- SPF, DKIM og DMARC må settes opp sammen – de utfyller hverandre og ingen av dem holder alene
- Innfør DMARC gradvis fra p=none til reject, ellers risikerer du å blokkere egen legitim e-post
- Domener uten autentisering når typisk under halvparten av mottakere frem til innboks
- Et eget underdomene for cold email isolerer reputasjonsrisiko fra hoveddomenets e-post
- Kun én SPF-post per domene er gyldig – dupliserte poster ødelegger hele oppsettet
Derfor stopper cold email i spamfilteret uten riktig autentisering
Norske B2B-team som sender cold email fra Google Workspace, opplever stadig oftere at meldinger enten havner rett i søppelpost eller aldri kommer frem i det hele tatt. Årsaken er sjelden innholdet i selve e-posten – det handler nesten alltid om at avsenderdomenet mangler riktig autentisering. Gmail, Outlook og andre store mottakersystemer bruker SPF, DKIM og DMARC til å avgjøre om domenet ditt faktisk står bak meldingen, eller om noen prøver å forfalske det.
For et lite B2B-team som sender 30–80 personlige e-poster om dagen til navngitte beslutningstakere, er konsekvensen av manglende autentisering doblet: du mister leveranser, og du bygger opp en dårlig avsenderreputasjon som også rammer den vanlige forretningskorrespondansen på samme domene. Derfor bør det å sette opp SPF, DKIM og DMARC i Google Workspace være noe av det første som kommer på plass før en cold email-kampanje starter, ikke noe man fikser etterpå når svarene uteblir.
Sett opp SPF i Google Workspace
SPF (Sender Policy Framework) forteller mottakerens server hvilke servere som har lov til å sende e-post på vegne av domenet ditt. Uten SPF kan i praksis hvem som helst forfalske "fra"-adressen din, og mottakersystemer straffer domener der SPF mangler eller er feil konfigurert.
- Logg inn hos domeneregistraren der DNS-postene for domenet administreres.
- Legg til en TXT-post på rot-domenet med verdien "v=spf1 include:_spf.google.com ~all".
- Sender du også via et tredjepartsverktøy for cold email, som LDM, må avsenderens SPF-inkludering legges inn i den samme posten – domener kan bare ha én gyldig SPF-post, aldri flere.
- Vent 24–48 timer på DNS-propagering, og verifiser med et SPF-sjekkverktøy at posten leses korrekt av utenforstående.
- Bruk "~all" (softfail) i starten, og gå over til "-all" (hardfail) først når du er sikker på at alle sendekilder faktisk er inkludert i posten.
Aktiver DKIM for Gmail-avsendere
DKIM (DomainKeys Identified Mail) signerer hver utgående e-post kryptografisk, slik at mottakeren kan bekrefte at meldingen faktisk ble sendt fra ditt domene og ikke er endret underveis. Google Workspace genererer nøkkelen for deg automatisk, men den er ikke aktivert som standard – det er et steg mange team rett og slett glemmer.
- Gå til Admin-konsollen → Apper → Google Workspace → Gmail → Autentiser e-post.
- Velg riktig domene og generer en ny DKIM-nøkkel; velg 2048-bit fremfor 1024-bit for bedre sikkerhet.
- Kopier den genererte TXT-posten (vertsnavn og verdi) nøyaktig inn i DNS hos domeneregistraren – ekstra mellomrom eller anførselstegn ødelegger posten.
- Vent på DNS-propagering, gå tilbake til Admin-konsollen og klikk "Start autentisering".
- Sender du cold email via et eksternt verktøy med eget avsenderdomene eller underdomene, må det verktøyet ha sin egen DKIM-signatur konfigurert separat.
Bygg opp DMARC gradvis – fra p=none til reject
DMARC (Domain-based Message Authentication, Reporting and Conformance) bygger på SPF og DKIM, men legger til to viktige ting: en policy som forteller mottakeren hva som skal skje med e-post som feiler autentisering, og en rapporteringsmekanisme som viser hvem som faktisk sender på vegne av domenet ditt. Mange norske team hopper rett til en streng policy og opplever at legitim e-post plutselig forsvinner – derfor bør innføringen alltid være gradvis.
Start med "p=none" i minst to til fire uker mens du samler rapporter og bekrefter at alle legitime sendekilder – Google Workspace, cold email-verktøy, fakturasystem, nyhetsbrev – passerer SPF eller DKIM med riktig alignment mot avsenderdomenet. Gå deretter til "p=quarantine" med lav prosentandel, og øk gradvis mot "p=reject" når rapportene er rene og forutsigbare.
En typisk startpost i DNS ser slik ut: "v=DMARC1; p=none; rua=mailto:dmarc-rapport@dittfirma.no; pct=100" – her ber du om at alle rapporter samles på én overvåket e-postadresse uten at noe blir avvist ennå, slik at du kan analysere i fred før policyen strammes inn.
Hvor mye betyr riktig autentisering i praksis
Forskjellen mellom et domene med fullt SPF/DKIM/DMARC-oppsett og et domene uten, er ofte tydelig allerede i første kampanjeuke. Meldinger som feiler autentisering blir enten avvist direkte eller sendt til søppelpost av Gmail og andre store mottakere – og det påvirker ikke bare cold email, men all e-post fra domenet, inkludert svar fra kunder og interne varsler.
Tallene er indikative erfaringstall fra målrettet B2B-kampanjepraksis, ikke en formell studie.
Vanlige feil som ødelegger leveringsraten
De fleste problemene med SPF, DKIM og DMARC i Google Workspace kommer ikke fra selve oppsettet, men fra det som skjer etterpå – nye verktøy legges til uten at DNS oppdateres, eller policyen strammes inn for fort før alle sendekilder er kartlagt.
- To SPF-poster på samme domene i stedet for én samlet post – mottakersystemer godtar da ingen av dem.
- DKIM aktivert i Google Admin, men aldri fullført fordi DNS-posten ble limt inn med feil vertsnavn eller ekstra tegn.
- Cold email sendt fra et underdomene som aldri fikk sin egen DKIM- og SPF-konfigurasjon.
- DMARC satt rett til "p=reject" uten en periode med "p=none" først, slik at legitim varsel-e-post og nyhetsbrev plutselig blokkeres.
- Ingen som faktisk leser DMARC-rapportene – man vet ikke om andre tjenester utgir seg for å sende på vegne av domenet.
- Avsenderadresse og reply-to som ikke samsvarer med det autentiserte domenet, noe som svekker DMARC-alignment selv om SPF og DKIM isolert sett er riktige.
Sjekkliste – slik gjør vi det for kundene i LDM
Når vi setter opp en ny B2B-avsender i LDM, går vi aldri i gang med utsendelser før autentiseringen er verifisert – det er billigere å bruke en time på DNS enn å bygge opp en ny avsenderreputasjon etter at domenet er svartelistet.
- Egen SPF-post kontrollert med sjekkverktøy, ingen duplikater på domenet.
- DKIM aktivert og verifisert i Google Admin-konsollen med 2048-bit nøkkel.
- DMARC startet på "p=none" med rapportering til en overvåket e-postadresse.
- Rapporter gjennomgått i minst to uker før policyen strammes inn mot quarantine eller reject.
- Eget sending-underdomene for cold email-volum, adskilt fra hoveddomenets transaksjonelle e-post.
- Gradvis oppvarming av nytt domene eller underdomene før full kampanjevolum settes i gang.
Ofte stilte spørsmål
Må jeg ha både SPF, DKIM og DMARC, eller holder det med én av dem?
Nei, de tre utfyller hverandre. SPF og DKIM bekrefter avsenderen på hver sin måte, mens DMARC forteller mottakeren hva som skal skje når autentiseringen feiler, og gir deg rapportering. Uten DMARC har SPF og DKIM ingen reell håndhevelse.
Hvor lang tid tar det før endringer i DNS trer i kraft?
De fleste DNS-endringer propagerer i løpet av noen timer, men Google og andre mottakere kan cache gamle oppslag i opptil 48 timer. Vent alltid minst et døgn før du konkluderer med at en post ikke fungerer.
Kan jeg sende cold email direkte fra Google Workspace, eller trenger jeg et eget verktøy?
Google Workspace har lave daglige sendegrenser og er bygget for vanlig forretningskorrespondanse, ikke strukturerte kampanjer. Et dedikert cold email-verktøy med egen autentisering og oppvarming, som LDM, gir bedre kontroll på volum og leveringsrate uten å belaste hoveddomenets reputasjon.
Er cold email lovlig i Norge?
Markedsføringsloven krever som hovedregel samtykke for elektronisk markedsføring, men det finnes et snevert unntak for relevant B2B-henvendelse til en persons arbeidsrolle når det er naturlig sammenheng med mottakerens stilling. Sørg uansett for en tydelig avmeldingsmulighet og hold volumet lavt og målrettet.
Hva skjer hvis jeg setter DMARC til "p=reject" for tidlig?
Da risikerer du at legitim e-post fra kilder du ikke har husket på – som nyhetsbrevverktøy, fakturasystem eller interne varsler – blir avvist av mottakerens server uten forvarsel. Bruk alltid en gradvis opptrapping via "p=none" og "p=quarantine".
Bør cold email sendes fra hoveddomenet eller et eget underdomene?
Et eget underdomene, for eksempel outreach.dittfirma.no, er ofte tryggere fordi det isolerer eventuell reputasjonsskade fra kampanjer bort fra hoveddomenets e-post. Underdomenet må ha sin egen SPF- og DKIM-konfigurasjon, og DMARC-policyen kan settes strengere for det enn for hoveddomenet.
Vil du bruke dette i din outreach?
Vi viser hvordan det fungerer for ditt segment og produkt — før arbeidet starter.
Snakk med oss