Live Direct Marketing
HemBloggLeveransbarhet

Så skyddar SPF, DKIM och DMARC ert varumärke i cold email

12 juli 2026 · 8 min läsning · Guide: Leveransbarhet

En cold email-kampanj kan vara perfekt skriven och ändå aldrig nå fram om domänens autentisering brister. Utan rätt SPF, DKIM och en genomtänkt dmarc policy riskerar B2B-mail att klassas som skräppost - eller, i värsta fall, att företagets domän kapas för e post bedrägerier riktade mot era egna kunder. Den här artikeln går igenom hur ni bygger en domänkonfiguration som skyddar både leveransgraden och varumärkets rykte.

I korthet
  • En trasig eller obefintlig dmarc policy är den vanligaste orsaken till att legitim B2B-mail hamnar i skräppost.
  • SPF och DKIM räcker inte ensamma - DMARC är det som knyter ihop dem och talar om för mottagarservern vad som ska hända vid fel.
  • Höj policyn stegvis: p=none för övervakning, sedan p=quarantine, till sist p=reject - aldrig tvärtom.
  • En dedikerad subdomän för cold email isolerar risken från huvuddomänens rykte.
  • DMARC-rapporter avslöjar om er domän missbrukas för nätfiske innan kunder hinner klaga.

Problemet: när domänens rykte blir kampanjens svaga länk

Mottagande e-postservrar - Gmail, Outlook, företagens egna Exchange-filter - litar allt mindre på avsändarens ord och allt mer på vad domänens DNS-poster faktiskt säger. Saknas SPF eller DKIM, eller är dmarc policy satt fel eller helt frånvarande, tolkas det som en varningssignal, och risken ökar kraftigt för att mail hamnar i skräppost redan innan mottagaren läst en enda rad.

För riktad B2B-outreach är detta dubbelt kostsamt. Mottagaren är ofta en inköpschef eller VD-assistent vars IT-avdelning aktivt filtrerar på autentiseringsstatus, och en trasig konfiguration smittar inte bara en kampanj - den smittar allt som skickas från domänen, inklusive fakturor och kundsupport.

Det finns även ett allvarligare scenario: en domän utan dmarc policy kan fritt spoofas av bedragare som skickar e post bedrägerier i företagets namn - falska fakturor, phishing mot kunder. Upptäcks det sent är skadan på varumärket ofta större än en tillfälligt sänkt leveransgrad.

SPF, DKIM och DMARC - vad de faktiskt kontrollerar

SPF (Sender Policy Framework) listar vilka servrar som får skicka mail för domänen. DKIM (DomainKeys Identified Mail) lägger en kryptografisk signatur på varje mail som bevisar att innehållet inte manipulerats efter avsändning. DMARC (Domain-based Message Authentication, Reporting and Conformance) är limmet: den talar om för mottagarservern vad som ska hända om SPF eller DKIM inte matchar from-domänen - och skickar dagliga rapporter tillbaka till avsändaren om vem som skickar mail i domänens namn.

Innan en cold email-kampanj startar bör man alltid göra en spf dkim dmarc check mot avsändardomänen. Verktyg som MXToolbox eller dmarcian visar direkt om posterna är korrekt publicerade, om SPF överskrider gränsen på 10 DNS-uppslag (vilket ger ett tyst permanent fel), eller om DKIM-signaturen faktiskt är aktiv för det verktyg som skickar kampanjen.

Så sätter ni en dmarc policy steg för steg

Börja aldrig med p=reject. Publicera i stället en DMARC-post med p=none och en rua-adress för aggregatrapporter, och låt den samla in data i 2-4 veckor. Det visar exakt vilka system - CRM, cold email-verktyg, faktureringstjänst, nyhetsbrev - som skickar i domänens namn och om de klarar alignment.

Analysera rapporterna och åtgärda varje legitim källa som failar: lägg till dess IP i SPF, eller aktivera DKIM-signering i verktyget. När pass-raten legat stabilt över gränsen några veckor, höj policyn till p=quarantine - mail som failar hamnar då i mottagarens skräppost i stället för att avvisas helt, vilket ger en säkerhetsmarginal.

Sista steget, p=reject, bör bara sättas när ni är säkra på att ingen legitim avsändare missas. Använd gärna en separat subdomän (till exempel outreach.foretag.se) för cold email, med egen sp=-policy i DMARC-posten - då kan huvuddomänens rykte aldrig skadas av en enskild kampanjs misstag.

Vad en komplett domänkonfiguration ger i praktiken

Effekten av rätt autentisering syns tydligast i hur stor andel av mailen som faktiskt landar i inkorgen i stället för skräppost eller att avvisas helt. Skillnaden mellan en domän utan skydd och en domän med full DMARC-alignment är sällan marginell - den är ofta avgörande för om kampanjen alls ger resultat.

Notera att DMARC ensamt inte räddar en dåligt uppvärmd domän - en ny subdomän utan sändningshistorik behöver byggas upp gradvis oavsett hur korrekt DNS-posterna är, annars triggar den ändå spamfilter baserade på volym och mottagarbeteende.

Vanliga misstag som skadar domänens rykte

De flesta problem med domänrykte går att spåra till ett fåtal återkommande misstag:

Checklista: så säkrar LDM domänen inför en cold email-kampanj

Innan en enda rad kampanj skickas för en klients räkning kör vi alltid igenom domänens autentiseringsstatus - det är inte valfritt, det är en förutsättning för att kampanjen ska kunna mätas rättvist.

Vanliga frågor

Vad är skillnaden mellan p=none, p=quarantine och p=reject?

p=none betyder att DMARC bara samlar in rapporter utan att påverka leveransen - bra för övervakning. p=quarantine skickar mail som failar alignment till mottagarens skräppost. p=reject avvisar dem helt innan de når mottagaren. Man bör alltid gå igenom stegen i den ordningen.

Hur lång tid tar det att gå från p=none till p=reject säkert?

Räkna med minst 4-8 veckor för en domän med flera avsändarsystem: 2-4 veckor insamling av rapporter på p=none, ytterligare några veckor på p=quarantine för att bekräfta att inga legitima källor failar, innan p=reject sätts.

Kan cold email skickas från huvuddomänen om DMARC är korrekt konfigurerad?

Tekniskt går det, men det rekommenderas inte. En dedikerad subdomän isolerar risken - om en enskild kampanj eller ett verktyg orsakar klagomål eller blocklistning påverkas inte huvuddomänens fakturor, support eller övrig affärskommunikation.

Vad gör vi om DMARC-rapporterna visar att någon skickar e post bedrägerier i vår domäns namn?

Höj policyn mot p=reject så snart som möjligt för att blockera de obehöriga avsändarna, och informera kunder och partners proaktivt om ni ser tecken på att phishingmail redan skickats - tystnad skadar förtroendet mer än en tydlig varning.

Räcker SPF och DKIM utan DMARC?

Nej. Utan DMARC finns ingen instruktion till mottagarservern om vad som ska hända när SPF eller DKIM failar, och ni får inga rapporter om missbruk. DMARC är det som gör autentiseringen verkningsfull, inte bara teoretiskt korrekt.

Hur ofta bör vi granska DMARC-rapporterna?

Veckovis under uppbyggnadsfasen, därefter räcker det med en snabb genomgång varje månad så länge pass-raten är stabil - men agera omedelbart om ni ser en plötslig förändring i vilka källor som skickar i domänens namn.

Viktigt: detta är inte massutskick och inte spam. Vi arbetar riktat: varje meddelande går till en specifik kontaktperson på ett specifikt företag av ett legitimt affärsskäl, i små dagliga volymer och personaliserat för mottagaren. Varje mejl anger tydligt avsändaren och har en avregistreringslänk med ett klick; avregistreringar och spärrlistor respekteras i alla framtida kampanjer utan undantag.

Vill du använda det här i din outreach?

Vi visar hur det fungerar för ditt segment och din produkt — innan arbetet börjar.

Prata med oss