Live Direct Marketing
HjemBloggLeveringsevne

Slik konfigurerer du SPF, DKIM og DMARC for Office 365-postkassen

12. juli 2026 · 10 min lesetid · Guide: Leveringsevne

Mange norske B2B-selskaper sender fortsatt cold email fra en vanlig Office 365-postkasse uten riktig autentisering på plass, og lurer så på hvorfor svarprosenten stuper etter noen uker. Denne guiden går gjennom nøyaktig hvordan du setter opp SPF, DKIM og DMARC i Office 365/Microsoft 365, slik at Google, Microsoft og andre mottakere stoler på avsenderdomenet ditt. Riktig oppsett tar under en time, men det er forskjellen på god innboksplassering og en konto som blir flagget som spam.

Kort oppsummert
  • SPF, DKIM og DMARC må konfigureres sammen i Office 365 — ett alene gir liten effekt på leveringsevnen.
  • SPF-oppføringen kan bare ha én TXT-post per domene; flere sendeverktøy må samles i samme record.
  • DKIM aktiveres i Microsoft Defender-portalen, ikke i DNS alene — CNAME-postene må også publiseres.
  • Start DMARC med p=none i 2-4 uker for å lese rapportene før du strammer til med quarantine eller reject.
  • Cold email-domener bør helst kjøre på et eget underdomene, atskilt fra hoveddomenets vanlige e-post.

Hvorfor autentisering avgjør om cold email-en din når frem

Office 365 (Microsoft 365) er standard e-postplattform for de fleste norske B2B-selskaper, fra konsulentfirmaer i Oslo til produksjonsbedrifter på Vestlandet. Det gjør plattformen praktisk for cold email — men det betyr også at Microsofts eget spamfilter, Exchange Online Protection, og mottakerens filter (ofte også Microsoft eller Google) ser nøye på om avsenderen faktisk har rett til å sende fra domenet.

Uten SPF, DKIM og DMARC ser en cold email teknisk sett ut som den kan være forfalsket, selv om innholdet er helt legitimt og personlig tilpasset. Mottakerserveren har ingen måte å bekrefte at meldingen faktisk kom fra Office 365-infrastrukturen til selskapet ditt, og da blir den enten lagt i spam eller filtrert bort helt stille — uten at du får noen feilmelding å reagere på.

Å konfigurere spf dkim dmarc office 365 riktig handler ikke om å 'omgå' spamfilter — det handler om å bevise at du er den du sier du er, slik at et legitimt salgsforsøk ikke straffes for å ligne useriøs masseutsendelse.

Steg for steg: SPF, DKIM og DMARC i Microsoft 365

Start i Microsoft 365 admin center under Innstillinger > Domener, og velg domenet du sender fra. Microsoft foreslår automatisk en MX- og SPF-post når du legger til et domene, men denne må ofte redigeres manuelt hos DNS-leverandøren din (for eksempel Domeneshop, One.com eller Cloudflare, avhengig av hvem som håndterer DNS for det norske domenet).

SPF-posten er en TXT-record med maksimalt én oppføring per domene. Grunnoppsettet for Office 365 er 'v=spf1 include:spf.protection.outlook.com -all'. Sender du også via et tredjepartsverktøy for cold email, må dette inkluderes i samme record — for eksempel 'v=spf1 include:spf.protection.outlook.com include:sendgrid.net -all'. To separate SPF-poster på samme domene blir ignorert av mottakerservere og gir deg reelt sett ingen SPF-beskyttelse.

DKIM aktiveres i Microsoft Defender-portalen under E-post og samarbeid > Retningslinjer og regler > DKIM. Der får du to CNAME-poster (selector1 og selector2) som må legges inn hos DNS-leverandøren før du slår på DKIM-bryteren i Defender. Uten disse CNAME-postene på plass vil aktiveringen feile eller signere med Microsofts standarddomene i stedet for ditt eget.

DMARC legges til som en egen TXT-post på _dmarc.dittdomene.no. Et forsiktig startoppsett er 'v=DMARC1; p=none; rua=mailto:dmarc-rapport@dittdomene.no; pct=100'. Trenger du hjelp med syntaksen, finnes det flere gratis dmarc generator office 365-verktøy og Microsofts egen dokumentasjon som bygger riktig streng basert på domenet ditt.

Eksempel

Et komplett minimumsoppsett for et domene som selger.no kan se slik ut: SPF — v=spf1 include:spf.protection.outlook.com -all; DKIM — to CNAME-poster generert i Defender-portalen; DMARC — v=DMARC1; p=none; rua=mailto:dmarc-rapport@selger.no.

Hvor mye betyr riktig autentisering for innboksplasseringen

Effekten av SPF, DKIM og DMARC er ikke lineær — det er kombinasjonen som teller. Et domene med bare SPF på plass havner fortsatt ofte i spam eller i 'annet'-fanen i Outlook, mens et domene med alle tre riktig konfigurert og alignert typisk leverer til innboksen i de aller fleste tilfeller.

For cold email-kampanjer spesielt, hvor mottakeren ikke har noen tidligere relasjon til avsenderen, er dette forskjellen mellom en svarprosent på 3-8 prosent (typisk for en velfungerende B2B-kampanje) og en kampanje som knapt genererer synlige åpninger fordi meldingene aldri når frem.

Overvåk DMARC-rapportene før du strammer inn policyen

Hopp aldri rett til p=reject. De aggregerte rapportene (rua) som DMARC sender deg viser hvilke systemer som faktisk sender e-post på vegne av domenet ditt — ofte flere enn du tror, som fakturasystemer, CRM-integrasjoner eller markedsføringsverktøy du hadde glemt eksisterte.

En vanlig fremgangsmåte er å kjøre p=none i 2-4 uker, lese rapportene (de kommer som XML-filer, så et parseverktøy eller en enkel DMARC-dashboard-tjeneste gjør livet enklere), rette opp alt som feiler, og først deretter bevege seg til p=quarantine og til slutt p=reject.

Vanlige feil ved SPF-, DKIM- og DMARC-oppsett i Office 365

Den vanligste feilen er å opprette en ny SPF TXT-post i stedet for å redigere den eksisterende når man tar i bruk et nytt sendeverktøy. Resultatet er to konkurrerende SPF-poster, som gjør at hele SPF-sjekken feiler for begge avsendere.

Den siste og mest oversette feilen er spesielt vanlig hos selskaper som sender cold email via et eksternt verktøy men fortsatt bruker Office 365 som 'From'-adresse — hvis DKIM-signaturen ikke er alignert med From-domenet, teller ikke DKIM-en for DMARC, selv om SPF og DKIM begge teknisk sett består.

Slik jobber LDM med autentisering for B2B cold email-kunder

Hos LDM setter vi aldri opp en cold email-kampanje på et domene som mangler SPF, DKIM og DMARC — det er første punkt på sjekklisten før noen kampanje går live, uavhengig av om kunden sender fra Office 365, Google Workspace eller egen SMTP.

For kunder på Microsoft 365 anbefaler vi et dedikert underdomene for utgående salgsutsendelser (for eksempel send.selskapet.no), separert fra hoveddomenet som brukes til vanlig kundekorrespondanse og fakturaer. Det betyr at et eventuelt omdømmeproblem på cold email-siden aldri smitter over på e-post fra ledelsen eller regnskapsavdelingen.

Ofte stilte spørsmål

Må jeg ha SPF, DKIM og DMARC hvis jeg bare sender noen få e-poster i uken?

Ja. Volum spiller mindre rolle enn autentisering for hvordan Microsoft og Google vurderer avsenderens troverdighet. Selv lavvolum cold email fra et uverifisert domene kan bli filtrert bort, mens et lite volum fra et fullt autentisert domene ofte når frem uten problemer.

Hvor lang tid tar det før SPF, DKIM og DMARC virker etter at jeg har lagt inn postene?

DNS-propagering tar vanligvis noen minutter til noen timer, men kan i sjeldne tilfeller ta opptil 48 timer. Vent minst et par timer og bruk en DNS-oppslagstjeneste for å bekrefte at postene er synlige før du sender testmeldinger.

Kan jeg bruke samme domene til både cold email og vanlig kundekommunikasjon?

Teknisk sett ja, men det anbefales ikke for større kampanjer. Et eget underdomene for utgående salgsutsendelser gjør at eventuelle leveringsproblemer eller spamklager ikke påvirker den vanlige e-postkommunikasjonen fra selskapet.

Hva er forskjellen på p=none, p=quarantine og p=reject i DMARC?

p=none ber mottakeren rapportere avvik uten å blokkere noe, p=quarantine ber om at avvikende e-post legges i spam, og p=reject avviser meldingen helt. De fleste selskaper bør starte på p=none, lese rapportene i noen uker, og først deretter stramme til.

Er DMARC-rapportering relevant i forhold til GDPR/personopplysningsloven?

DMARC-rapporter inneholder tekniske data om sendende IP-adresser og domener, ikke innholdet i e-postene, så de utgjør normalt ikke en personvernrisiko i seg selv. Vær likevel bevisst på hvor rapportene lagres og hvem i organisasjonen som har tilgang, som med alle systemlogger.

Må jeg være global administrator i Microsoft 365 for å gjøre dette?

Du trenger administratortilgang til Defender-portalen for å aktivere DKIM, samt tilgang til DNS-oppsettet hos domeneleverandøren for SPF- og DMARC-postene. Dette er ofte to forskjellige personer i organisasjonen, så planlegg for at begge må involveres.

Viktig: dette er ikke masseutsendelse og ikke spam. Vi jobber målrettet: hver melding sendes til en bestemt kontaktperson i en bestemt bedrift med en legitim forretningsmessig begrunnelse, i små daglige volumer og tilpasset mottakeren. Hver e-post oppgir avsender og har avmelding med ett klikk; avmeldinger og sperrelister gjelder alle fremtidige kampanjer uten unntak.

Vil du bruke dette i din outreach?

Vi viser hvordan det fungerer for ditt segment og produkt — før arbeidet starter.

Snakk med oss