Live Direct Marketing
HemBloggLeveransbarhet

Så konfigurerar du SPF, DKIM och DMARC för Microsoft 365

12 juli 2026 · 9 min läsning · Guide: Leveransbarhet

Nästan alla svenska B2B-avsändare kör sin e-post via Microsoft 365, vilket gör SPF, DKIM och DMARC till skillnaden mellan att landa i inkorgen och att hamna i skräppost. Den här guiden går igenom exakt vilka poster du behöver, i vilken ordning du ska aktivera dem, och vilka misstag som oftast stjälper riktade cold email-kampanjer på just den här plattformen.

I korthet
  • SPF, DKIM och DMARC är inte valfritt för B2B-avsändare i Microsoft 365 – utan dem hamnar legitim cold email i skräppost.
  • En domän får bara ha en SPF-post – alla avsändartjänster måste in i samma include-rad.
  • DKIM aktiveras i Microsoft 365 Defender eller Exchange admin center med två CNAME-poster, inte i DNS-leverantörens standardgränssnitt.
  • Höj DMARC-policyn stegvis (p=none → p=quarantine → p=reject) och läs rapporterna innan varje steg.
  • LDM rekommenderar en separat subdomän för cold outreach så att huvuddomänens leveransrykte aldrig riskeras.

Varför Microsoft 365 kräver extra uppmärksamhet

Nästan alla svenska B2B-företag skickar sin e-post via Microsoft 365 (tidigare Office 365), vilket gör plattformen till en gemensam nämnare för både seriösa avsändare och de som missbrukar delad infrastruktur.

Eftersom Microsoft driver enorma delade IP-block använder Gmail, Outlook.com och andra mottagarsystem domänens egen autentisering – SPF, DKIM, DMARC – för att skilja legitim affärskommunikation från massutskick. Utan korrekt konfiguration hamnar även noggrant personaliserad B2B-outreach i skräppost, oavsett hur relevant mottagarlistan är.

Det här gäller särskilt riktade cold email-kampanjer mot specifika beslutsfattare, där varje enskilt mejl ska se ut som vanlig affärskorrespondens – inte som ett massutskick.

SPF: en enda TXT-post, men lätt att göra fel

Logga in hos er DNS-leverantör (Loopia, One.com, Binero, GoDaddy eller motsvarande) och lägg till en TXT-post på root-domänen. Grundposten för en domän som enbart skickar via Microsoft 365 är: v=spf1 include:spf.protection.outlook.com -all.

Problemet uppstår när fler tjänster skickar e-post för domänens räkning – ett CRM, ett faktureringssystem, en outreach-plattform som LDM. En domän får bara ha EN SPF-post totalt. Lösningen är att lägga alla include-satser i samma rad, inte skapa en ny post per tjänst.

Exempel

En fungerande SPF-post för nordicbygg.se, som skickar vanlig e-post via Microsoft 365 och riktade B2B-kampanjer via LDM, kan se ut så här: v=spf1 include:spf.protection.outlook.com include:spf.ldm.se -all. Hela raden ligger i en och samma TXT-post – lägg aldrig till en andra.

DKIM: aktiveras i Microsoft 365, inte hos DNS-leverantören

DKIM för en anpassad domän i Microsoft 365 sköts från Microsoft 365 Defender (Mail flow → DKIM) eller Exchange admin center, inte genom att själv skapa TXT-poster med en nyckel. Microsoft genererar två CNAME-poster som ni sedan lägger till hos er DNS-leverantör.

Utan det här steget signeras er utgående e-post fortfarande med Microsofts standarddomän i bakgrunden, vilket räcker för grundläggande leverans men försvagar domänens egen trovärdighet gentemot mottagande system – särskilt viktigt när DMARC-policyn senare ska skärpas.

DMARC: höj policyn stegvis, inte allt på en gång

DMARC-posten läggs som en TXT-post på _dmarc.dindomän.se och bygger vidare på SPF och DKIM genom att kräva att minst en av dem passerar OCH är alignad med avsändaradressens domän. Att sätta DMARC direkt till p=reject utan att ha läst rapporter i förväg är den vanligaste orsaken till att legitim e-post plötsligt slutar levereras.

Rätt ordning är att börja i observationsläge, läsa aggregatrapporterna (rua) för att se vilka avsändarkällor som faktiskt använder domänen, och först därefter skärpa policyn i takt med att allt fler källor är korrekt autentiserade.

Vanliga misstag hos M365-domäner

De flesta autentiseringsproblem vi ser hos svenska B2B-domäner beror inte på tekniskt komplicerade fel, utan på ett fåtal återkommande misstag som är enkla att undvika om man vet vad man letar efter.

Det vanligaste är dubbla SPF-poster – ofta en kvarglömd rad från en tidigare leverantör som ingen tog bort. Näst vanligast är att en outreach-plattform eller ett marknadsföringsverktyg börjar skicka e-post för domänens räkning utan att någon uppdaterar SPF-inkluderingen, vilket gör att just den trafiken faller på SPF-kontrollen.

Checklista – så gör LDM det för kunders cold email-domäner

När en domän ska användas för riktad B2B-outreach separerar vi ofta avsändningen från huvuddomänens vanliga affärskorrespondens genom en dedikerad subdomän, med egna SPF-, DKIM- och DMARC-poster. Det innebär att en eventuell studsfrekvens- eller klagomålsspik i en kampanj aldrig smittar av sig på domänen som används för fakturor, avtal och kundsupport.

Volymen trappas alltid upp gradvis på en ny subdomän – en varmkörningsperiod på några veckor innan full kampanjvolym körs – samtidigt som DMARC-rapporterna bevakas löpande, inte bara vid uppsättningstillfället.

Exempel

Ett vanligt upplägg för nordicbygg.se är att lägga cold email-avsändningen på outreach.nordicbygg.se med egna SPF-, DKIM- och DMARC-poster, medan bolagets vanliga kundmejl fortsätter gå via huvuddomänen. Går något fel i kampanjen – för hög studsfrekvens eller spamklagomål – påverkas aldrig huvuddomänens rykte hos Outlook eller Gmail.

Vanliga frågor

Vad händer om vi redan har en SPF-post för en annan tjänst?

Lägg aldrig till en andra SPF-post – slå ihop alla include-satser i den befintliga TXT-posten. Två separata SPF-poster gör att mottagande system inte vet vilken som gäller, vilket i praktiken kan göra hela SPF-kontrollen ogiltig.

Måste vi gå direkt till p=reject i DMARC?

Nej, och det avråds starkt. Börja med p=none i observationsläge, läs rapporterna i några veckor, och höj policyn stegvis via quarantine till reject först när ni bekräftat att alla legitima avsändarkällor passerar autentiseringen.

Hur lång tid tar det innan DNS-ändringarna slår igenom?

Det varierar med posternas TTL-värde, men räkna med allt från några minuter till några timmar. Vänta minst ett par timmar innan ni felsöker en post som verkar inaktiv, och verifiera gärna med ett externt DNS-uppslagsverktyg.

Räcker det med SPF om vi redan har DKIM, eller tvärtom?

Nej, konfigurera båda. DMARC kräver bara att en av dem passerar och är alignad, men att bara ha en av dem gör er sårbara om till exempel DKIM-nyckeln av någon anledning slutar signera korrekt.

Påverkar det här specifikt våra cold email-kampanjer?

Ja, mer än vanlig e-post. Kampanjmejl saknar ofta den etablerade avsändarhistorik som vanlig kundkorrespondens har, så mottagande system lutar sig hårdare på SPF/DKIM/DMARC för att bedöma legitimitet. Därför rekommenderar vi en egen subdomän med fullständig autentisering specifikt för outreach.

Vad är egentligen nyttan med DMARC-rapporterna (rua)?

De visar exakt vilka IP-adresser och tjänster som skickar e-post i domänens namn och om de klarar SPF/DKIM-alignment. Utan rapporterna skärper ni DMARC-policyn blint, vilket är det snabbaste sättet att av misstag blockera legitim e-post.

Viktigt: detta är inte massutskick och inte spam. Vi arbetar riktat: varje meddelande går till en specifik kontaktperson på ett specifikt företag av ett legitimt affärsskäl, i små dagliga volymer och personaliserat för mottagaren. Varje mejl anger tydligt avsändaren och har en avregistreringslänk med ett klick; avregistreringar och spärrlistor respekteras i alla framtida kampanjer utan undantag.

Vill du använda det här i din outreach?

Vi visar hur det fungerar för ditt segment och din produkt — innan arbetet börjar.

Prata med oss