Så skyddar SPF, DKIM och DMARC ert varumärke i cold email
En cold email-kampanj kan vara perfekt skriven och ändå aldrig nå fram om domänens autentisering brister. Utan rätt SPF, DKIM och en genomtänkt dmarc policy riskerar B2B-mail att klassas som skräppost - eller, i värsta fall, att företagets domän kapas för e post bedrägerier riktade mot era egna kunder. Den här artikeln går igenom hur ni bygger en domänkonfiguration som skyddar både leveransgraden och varumärkets rykte.
- En trasig eller obefintlig dmarc policy är den vanligaste orsaken till att legitim B2B-mail hamnar i skräppost.
- SPF och DKIM räcker inte ensamma - DMARC är det som knyter ihop dem och talar om för mottagarservern vad som ska hända vid fel.
- Höj policyn stegvis: p=none för övervakning, sedan p=quarantine, till sist p=reject - aldrig tvärtom.
- En dedikerad subdomän för cold email isolerar risken från huvuddomänens rykte.
- DMARC-rapporter avslöjar om er domän missbrukas för nätfiske innan kunder hinner klaga.
Problemet: när domänens rykte blir kampanjens svaga länk
Mottagande e-postservrar - Gmail, Outlook, företagens egna Exchange-filter - litar allt mindre på avsändarens ord och allt mer på vad domänens DNS-poster faktiskt säger. Saknas SPF eller DKIM, eller är dmarc policy satt fel eller helt frånvarande, tolkas det som en varningssignal, och risken ökar kraftigt för att mail hamnar i skräppost redan innan mottagaren läst en enda rad.
För riktad B2B-outreach är detta dubbelt kostsamt. Mottagaren är ofta en inköpschef eller VD-assistent vars IT-avdelning aktivt filtrerar på autentiseringsstatus, och en trasig konfiguration smittar inte bara en kampanj - den smittar allt som skickas från domänen, inklusive fakturor och kundsupport.
Det finns även ett allvarligare scenario: en domän utan dmarc policy kan fritt spoofas av bedragare som skickar e post bedrägerier i företagets namn - falska fakturor, phishing mot kunder. Upptäcks det sent är skadan på varumärket ofta större än en tillfälligt sänkt leveransgrad.
SPF, DKIM och DMARC - vad de faktiskt kontrollerar
SPF (Sender Policy Framework) listar vilka servrar som får skicka mail för domänen. DKIM (DomainKeys Identified Mail) lägger en kryptografisk signatur på varje mail som bevisar att innehållet inte manipulerats efter avsändning. DMARC (Domain-based Message Authentication, Reporting and Conformance) är limmet: den talar om för mottagarservern vad som ska hända om SPF eller DKIM inte matchar from-domänen - och skickar dagliga rapporter tillbaka till avsändaren om vem som skickar mail i domänens namn.
Innan en cold email-kampanj startar bör man alltid göra en spf dkim dmarc check mot avsändardomänen. Verktyg som MXToolbox eller dmarcian visar direkt om posterna är korrekt publicerade, om SPF överskrider gränsen på 10 DNS-uppslag (vilket ger ett tyst permanent fel), eller om DKIM-signaturen faktiskt är aktiv för det verktyg som skickar kampanjen.
- SPF: vilka IP-adresser/tjänster som får skicka mail för domänen
- DKIM: kryptografisk signatur som bevisar äkthet och integritet
- DMARC: policy för vad som händer vid fel, plus rapportering (RUA/RUF)
- Alignment: att from-domänen faktiskt matchar den domän SPF/DKIM godkänner
Så sätter ni en dmarc policy steg för steg
Börja aldrig med p=reject. Publicera i stället en DMARC-post med p=none och en rua-adress för aggregatrapporter, och låt den samla in data i 2-4 veckor. Det visar exakt vilka system - CRM, cold email-verktyg, faktureringstjänst, nyhetsbrev - som skickar i domänens namn och om de klarar alignment.
Analysera rapporterna och åtgärda varje legitim källa som failar: lägg till dess IP i SPF, eller aktivera DKIM-signering i verktyget. När pass-raten legat stabilt över gränsen några veckor, höj policyn till p=quarantine - mail som failar hamnar då i mottagarens skräppost i stället för att avvisas helt, vilket ger en säkerhetsmarginal.
Sista steget, p=reject, bör bara sättas när ni är säkra på att ingen legitim avsändare missas. Använd gärna en separat subdomän (till exempel outreach.foretag.se) för cold email, med egen sp=-policy i DMARC-posten - då kan huvuddomänens rykte aldrig skadas av en enskild kampanjs misstag.
Vad en komplett domänkonfiguration ger i praktiken
Effekten av rätt autentisering syns tydligast i hur stor andel av mailen som faktiskt landar i inkorgen i stället för skräppost eller att avvisas helt. Skillnaden mellan en domän utan skydd och en domän med full DMARC-alignment är sällan marginell - den är ofta avgörande för om kampanjen alls ger resultat.
Notera att DMARC ensamt inte räddar en dåligt uppvärmd domän - en ny subdomän utan sändningshistorik behöver byggas upp gradvis oavsett hur korrekt DNS-posterna är, annars triggar den ändå spamfilter baserade på volym och mottagarbeteende.
Siffrorna är riktvärden från praktisk erfarenhet av riktade B2B-kampanjer, inte en formell studie - faktiskt utfall beror även på domänens ålder, sändningsvolym och innehåll.
Vanliga misstag som skadar domänens rykte
De flesta problem med domänrykte går att spåra till ett fåtal återkommande misstag:
- Publicerar p=reject direkt, utan att först ha kartlagt alla legitima avsändarsystem - legitim mail börjar studsa.
- SPF-posten inkluderar för många tredjepartstjänster och överskrider gränsen på 10 DNS-uppslag, vilket ger ett tyst permanent fel (SPF permerror) som gör hela posten ogiltig.
- DKIM-nyckeln roteras aldrig eller signeras för fel domän efter ett verktygsbyte.
- Cold email skickas direkt från huvuddomänen i stället för en dedikerad subdomän, vilket exponerar hela företagets e-postrykte för en enskild kampanjs risker.
- DMARC-rapporterna läses aldrig, vilket gör att ingen märker om domänen används för e post bedrägerier förrän kunder eller partners hör av sig om misstänkta mail.
Checklista: så säkrar LDM domänen inför en cold email-kampanj
Innan en enda rad kampanj skickas för en klients räkning kör vi alltid igenom domänens autentiseringsstatus - det är inte valfritt, det är en förutsättning för att kampanjen ska kunna mätas rättvist.
- Full spf dkim dmarc check av avsändardomänen innan första utskick
- Dedikerad sändande subdomän per klient, separerad från huvuddomänens administrativa mail
- Gradvis policy-upptrappning: p=none -> p=quarantine -> p=reject, aldrig hoppa steg
- Kontinuerlig bevakning av DMARC-aggregatrapporter, parallellt med bounce- och klagomålsfrekvens
- Varm-upp-schema för nya subdomäner innan full kampanjvolym körs
- Tydlig eskaleringsrutin om rapporterna visar tecken på att domänen missbrukas för nätfiske
Vanliga frågor
Vad är skillnaden mellan p=none, p=quarantine och p=reject?
p=none betyder att DMARC bara samlar in rapporter utan att påverka leveransen - bra för övervakning. p=quarantine skickar mail som failar alignment till mottagarens skräppost. p=reject avvisar dem helt innan de når mottagaren. Man bör alltid gå igenom stegen i den ordningen.
Hur lång tid tar det att gå från p=none till p=reject säkert?
Räkna med minst 4-8 veckor för en domän med flera avsändarsystem: 2-4 veckor insamling av rapporter på p=none, ytterligare några veckor på p=quarantine för att bekräfta att inga legitima källor failar, innan p=reject sätts.
Kan cold email skickas från huvuddomänen om DMARC är korrekt konfigurerad?
Tekniskt går det, men det rekommenderas inte. En dedikerad subdomän isolerar risken - om en enskild kampanj eller ett verktyg orsakar klagomål eller blocklistning påverkas inte huvuddomänens fakturor, support eller övrig affärskommunikation.
Vad gör vi om DMARC-rapporterna visar att någon skickar e post bedrägerier i vår domäns namn?
Höj policyn mot p=reject så snart som möjligt för att blockera de obehöriga avsändarna, och informera kunder och partners proaktivt om ni ser tecken på att phishingmail redan skickats - tystnad skadar förtroendet mer än en tydlig varning.
Räcker SPF och DKIM utan DMARC?
Nej. Utan DMARC finns ingen instruktion till mottagarservern om vad som ska hända när SPF eller DKIM failar, och ni får inga rapporter om missbruk. DMARC är det som gör autentiseringen verkningsfull, inte bara teoretiskt korrekt.
Hur ofta bör vi granska DMARC-rapporterna?
Veckovis under uppbyggnadsfasen, därefter räcker det med en snabb genomgång varje månad så länge pass-raten är stabil - men agera omedelbart om ni ser en plötslig förändring i vilka källor som skickar i domänens namn.
Vill du använda det här i din outreach?
Vi visar hur det fungerar för ditt segment och din produkt — innan arbetet börjar.
Prata med oss