Slik forstår og setter du opp SPF, DKIM og DMARC for cold email
Når en kald e-post fra et nytt domene forsvinner i spam, er det sjelden innholdet som er problemet – det er at mottakerserveren ikke kan bekrefte hvem som faktisk sendte den. SPF, DKIM og DMARC er de tre DNS-baserte mekanismene Gmail, Outlook og andre bruker til å avgjøre dette, og for B2B-team med lave daglige volum og personaliserte utsendelser er de ikke valgfrie tekniske detaljer, men selve forutsetningen for at meldingen når frem. Denne guiden forklarer hva hver protokoll gjør, hvordan du setter dem opp, og hvilke feil som oftest saboterer et ellers godt kampanjeoppsett.
- SPF, DKIM og DMARC er tre uavhengige DNS-poster som til sammen bekrefter avsenderens identitet
- Uten dem havner selv godt personalisert cold email ofte i spam eller blir avvist
- Start DMARC på p=none for å samle rapporter, og stram gradvis til quarantine og reject
- Bruk et eget sending-subdomene for cold email, atskilt fra hoveddomenets vanlige e-post
- Selve oppsettet tar under en time, men domenet må fortsatt varmes opp gradvis over tid
Derfor stopper mangelfull autentisering cold email i spamfilteret
Når en B2B-selger sender kalde e-poster fra et nytt eller lite brukt domene, er det ikke teksten i meldingen som avgjør om den havner i innboksen først – det er om mottakerserveren kan bekrefte at avsenderen faktisk er den domenet utgir seg for å være. SPF, DKIM og DMARC er de tre standardene som gir det svaret. For team som driver targeted B2B-utsendelser med lave daglige volum og personalisert innhold, er de ikke valgfrie – de er forutsetningen for at noen i det hele tatt ser meldingen.
Mange norske B2B-team hopper over dette fordi det høres teknisk ut, og ender opp med at ellers gode, personaliserte e-poster forsvinner i spam eller kastes automatisk av mottakerserveren. Forstår man spf dkim dmarc meaning og hvordan de spiller sammen, tar selve oppsettet under en time – resten handler om tålmodighet mens domenet bygger tillit hos Gmail, Outlook og andre leverandører.
SPF, DKIM og DMARC forklart enkelt – hva gjør hver protokoll
De tre protokollene løser hvert sitt problem, men gir liten verdi alene. Sammen utgjør de det man på engelsk gjerne kaller email security – spf dkim dmarc explained i praksis handler om å bygge tre uavhengige bekreftelser mottakeren kan stole på.
- SPF (Sender Policy Framework): en DNS-post som lister hvilke servere som har lov til å sende e-post på vegne av domenet ditt. Mottakerserveren sjekker avsenderens IP mot denne listen.
- DKIM (DomainKeys Identified Mail): en digital signatur i e-postens header som bekrefter at innholdet ikke er endret underveis. Signaturen verifiseres mot en offentlig nøkkel publisert i DNS.
- DMARC (Domain-based Message Authentication, Reporting and Conformance): en policy som forteller mottakeren hva som skal skje hvis SPF eller DKIM feiler, og som sender deg rapporter om hvem som faktisk sender e-post fra domenet ditt.
- Alignment: DMARC krever at domenet i 'Fra'-feltet stemmer overens med domenet SPF eller DKIM godkjenner. Uten alignment teller ikke en SPF- eller DKIM-pass som en DMARC-pass.
Steg for steg: sett opp SPF, DKIM og DMARC på domenet
Oppsettet gjøres i DNS-panelet hos domeneregistraren, og krever ingen endring i selve nettsiden eller e-postklienten.
Kartlegg først alle systemer som faktisk sender e-post fra domenet – kampanjeverktøy, CRM, faktureringssystem, e-postklient. Alle må inn i samme SPF-post, ellers feiler autentiseringen for de systemene som mangler.
- Steg 1: List opp alle sendesystemer (LDM, Google Workspace, faktureringsverktøy, CRM) som skal ha lov til å sende for domenet
- Steg 2: Publiser én samlet SPF-post i DNS som inkluderer alle disse systemene – aldri to separate SPF-poster på samme domene
- Steg 3: Aktiver DKIM hos hver sendetjeneste og publiser den offentlige nøkkelen som en TXT-post i DNS
- Steg 4: Publiser en DMARC-post med policy satt til none, og en rua-adresse som mottar aggregerte rapporter
- Steg 5: Overvåk rapportene i to til fire uker, og stram deretter policyen gradvis fra none til quarantine og til slutt reject
- Steg 6: For cold email spesifikt – opprett et eget sending-subdomene, slik at hoveddomenets omdømme ikke påvirkes direkte av kampanjevolumet
En typisk SPF-post kan se slik ut: v=spf1 include:_spf.google.com include:ldm-mail.no ~all. En tilhørende DMARC-post starter gjerne som: v=DMARC1; p=none; rua=mailto:dmarc@firma.no; pct=100 – og strammes til p=quarantine først når rapportene viser at all legitim e-post consistently passerer.
Hva riktig oppsett faktisk gir – realistiske tall
Effekten av SPF, DKIM og DMARC vises tydeligst i innboks-plassering, ikke bare i om e-posten blir levert. En melding kan teknisk sett bli 'levert' og likevel havne i spam-mappen fordi autentiseringen mangler eller er ufullstendig.
Tallene under er indikative erfaringstall fra targeted B2B-kampanjer med lave daglige volum, ikke en garanti – domenealder, sendevolum og innholdskvalitet påvirker resultatet betydelig.
Figurene er indikative erfaringstall fra targeted B2B-kampanjer, ikke en garanti – domenealder, volum og innholdskvalitet påvirker resultatet.
Vanlige feil som saboterer oppsettet
De fleste problemene med spf dkim dmarc oppstår ikke fordi teamet ikke forsto protokollene, men fordi oppsettet ble gjort delvis eller aldri fulgt opp.
- To SPF-poster på samme domene – kun én er gyldig, og resten ignoreres eller gir feil
- Flere enn ti DNS-oppslag i SPF-kjeden, som overskrider grensen og gjør hele posten ugyldig
- DKIM aktivert på ett sendesystem, men glemt på de andre – én uautentisert kanal er nok til å svekke domenets omdømme
- DMARC satt rett til p=reject uten å ha lest rapportene først, som kan blokkere legitim e-post
- Videresending av e-post fra ansatte som bryter SPF, uten at DKIM-alignment redder gjennomlevering
- Cold email sendt fra samme domene som transaksjonell e-post, uten subdomene-separasjon, slik at ett dårlig sendemønster smitter over på alt annet
Sjekkliste og hvordan LDM sikrer domenet ditt
LDM setter opp dedikerte sending-subdomener for hver kunde, verifiserer SPF, DKIM og DMARC før en eneste kampanje starter, og varmer domenet gradvis opp med lavt daglig volum og reell personalisering – aldri masseutsendelser fra dag én. DMARC-rapportene overvåkes løpende gjennom kampanjeperioden, slik at policyen kan strammes til uten å risikere at legitim e-post blokkeres.
- SPF-post publisert og validert – kun én record for domenet
- DKIM aktivert og signatur bekreftet i en faktisk test-e-post
- DMARC publisert med p=none og rua-adresse for rapporter
- Eget subdomene for cold email, atskilt fra hoveddomenets transaksjonelle e-post
- Volum og innhold varmet gradvis opp før full kampanje kjøres
- DMARC-rapporter sjekket ukentlig de første månedene, policy strammet til over tid
Ofte stilte spørsmål
Er cold email til bedrifter lovlig i Norge?
Ja. Markedsføringsloven §15 tillater e-postmarkedsføring til virksomheter når henvendelsen er relevant for mottakerens rolle og inneholder tydelig avmeldingsmulighet – kravet om forhåndssamtykke gjelder i hovedsak forbrukere, ikke B2B-kontakter. Men korrekt SPF, DKIM og DMARC-oppsett avgjør fortsatt om meldingen i det hele tatt kommer frem.
Hva er forskjellen mellom SPF, DKIM og DMARC?
SPF godkjenner hvilke servere som får sende for domenet, DKIM signerer innholdet slik at det ikke kan endres underveis, og DMARC bestemmer hva som skal skje når en av delene feiler, i tillegg til å gi deg rapporter om misbruk. De tre utfyller hverandre – ingen av dem er nok alene.
Bør jeg sette DMARC til p=reject med en gang?
Nei. Start med p=none for å samle rapporter uten å påvirke leveranse, og stram deretter gradvis til quarantine og til slutt reject når rapportene viser at all legitim e-post consistently passerer.
Trenger jeg dette hvis jeg bare sender 20-30 e-poster om dagen?
Ja, kanskje enda mer enn ved høyt volum. Lavt volum fra et nytt domene uten autentisering er nettopp mønsteret spamfiltre er trent til å mistenke.
Hvordan tester jeg at oppsettet fungerer?
Send en test-e-post til en verifiseringstjeneste, eller åpne 'vis original' på en mottatt e-post i Gmail – der står det eksplisitt om SPF, DKIM og DMARC har PASS eller FAIL for den aktuelle meldingen.
Hva gjør jeg med DMARC-rapportene jeg mottar?
De kommer som XML-filer til rua-adressen og viser hvilke servere som sender e-post på vegne av domenet ditt, samt om de består SPF og DKIM. Bruk et rapporteringsverktøy for å luke ut uautoriserte avsendere og bekrefte at alle dine egne systemer er korrekt dekket.
Vil du bruke dette i din outreach?
Vi viser hvordan det fungerer for ditt segment og produkt — før arbeidet starter.
Snakk med oss