DNS for e-post: MX, SPF, DKIM og DMARC samlet
En samlet gjennomgang av de fire DNS-postene som avgjør om e-post fra .no-domenet ditt leveres og ikke havner i spam: MX, SPF, DKIM og DMARC.
E-post og DNS er uløselig knyttet sammen. Selv om du har en flott nettside og et godt domenenavn, vil e-posten din mislykkes – eller havne i spam – dersom DNS-postene ikke er riktig konfigurert. For et .no-domene gjelder de samme tekniske kravene som for alle andre domener, og det er ingen snarveier: alle fire postene må være på plass.
Her er en samlet gjennomgang av hva MX, SPF, DKIM og DMARC gjør, hvordan de henger sammen, og hva du faktisk må skrive inn i DNS-panelet hos Vymo .
MX: hvem mottar e-posten din?
MX-posten (Mail Exchanger) forteller andre e-postservere hvilken server som skal motta e-post til domenet ditt. Uten en MX-post kan ingen sende e-post til deg.
En typisk MX-post ser slik ut:
| Navn | Type | Prioritet | Verdi |
|---|---|---|---|
@ | MX | 10 | mail.example.com |
Prioritetstallet brukes når du har flere MX-poster: lavest tall = første valg. Mange e-posttjenester (Google Workspace, Microsoft 365, Fiken Mail m.fl.) oppgir hvilke MX-verdier du skal bruke – legg dem inn nøyaktig slik de er oppgitt.
Husk at MX-posten alltid må peke på et vertsnavn, ikke en IP-adresse. Vertsnavnet trenger sin egen A- eller AAAA-post.
SPF: hvem har lov til å sende på dine vegne?
SPF (Sender Policy Framework) er en TXT-post som lister opp hvilke servere som har lov til å sende e-post fra domenet ditt. Mottakende servere sjekker denne listen og kan avvise e-post som kommer fra en server som ikke er godkjent.
En enkel SPF-post ser slik ut:
v=spf1 include:_spf.google.com ~all
v=spf1– angir at dette er en SPF-postinclude:– inkluderer godkjente avsenderservere fra en annen leverandørs liste~all– e-post fra andre servere behandles som mistenkelig (softfail)-all– e-post fra andre servere avvises (harderfail, anbefales når du er sikker på listen)
Viktig: Du kan bare ha én SPF-post per domene. Har du flere, vil SPF-sjekken feile. Kombiner heller alle include:-direktiver i én enkelt TXT-post.
DKIM: kryptografisk signering av e-post
DKIM (DomainKeys Identified Mail) legger til en digital signatur på utgående e-post. Mottakeren kan deretter bekrefte signaturen mot en offentlig nøkkel lagret i DNS – og dermed verifisere at e-posten faktisk kom fra domenet ditt og ikke er blitt tuklet med underveis.
DKIM-posten er en TXT-post under et spesifikt subdomene:
selector._domainkey.eksempel.no TXT "v=DKIM1; k=rsa; p=MIGf..."
selector– et navn du velger (f.eks.googleellermail) for å skille mellom flere nøkler_domainkey– fast del av subdomenetp=– den offentlige nøkkelen, generert av e-posttjenesten din
E-posttjenesten din (Google Workspace, Microsoft 365 osv.) genererer nøkkelparet og forteller deg nøyaktig hva du skal lime inn i DNS. Kopier verdien tegn for tegn – én feil i nøkkelen gjør hele DKIM-sjekken ugyldig.
DMARC: hva skal skje ved feil?
DMARC (Domain-based Message Authentication, Reporting and Conformance) binder SPF og DKIM sammen og definerer hva mottakerserveren skal gjøre dersom én eller begge sjekker feiler.
En typisk DMARC-post:
_dmarc.eksempel.no TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@eksempel.no"
| Parameter | Betydning |
|---|---|
p=none | Ingen handling – bare overvåkning |
p=quarantine | Legg mistenkelig e-post i spam |
p=reject | Avvis e-posten helt |
rua= | Adresse for samlerapporter (anbefalt) |
Start gjerne med p=none mens du overvåker rapportene, og gå videre til quarantine og til slutt reject når du er sikker på at all legitim e-post passerer.
Slik henger det hele sammen
DMARC krever at minst ett av SPF eller DKIM passerer og at avsenderadressen (From:-feltet) samsvarer med domenet. Det holder ikke å ha bare SPF eller bare DKIM – begge bør være på plass for robust beskyttelse.
Rekkefølgen for oppsett:
- Legg inn MX-poster fra e-posttjenesten din
- Opprett SPF-posten som TXT på
@ - Legg inn DKIM-posten på riktig selektor-subdomene
- Vent til DNS-endringene har propagert (se Hva er TTL? )
- Verifiser med et verktøy som
digeller en online MX-sjekker - Legg inn DMARC med
p=noneog en rapporteringsadresse - Overvåk rapportene og skru opp policyen gradvis
Sjekkliste for .no-domener
- MX-post lagt inn med riktig prioritet
- Én enkelt SPF TXT-post på
@ - DKIM TXT-post på riktig selektor-subdomene
- DMARC TXT-post på
_dmarc.domenet.no - Ingen duplikate SPF-poster
- TTL satt til rimelig verdi (300–3600 sekunder)
Les mer om SPF, DKIM og DMARC i detalj i artikkelen E-postsikkerhet: SPF, DKIM og DMARC , eller søk etter ditt .no-domene hvis du ikke har registrert det ennå.
Klar til å sikre domenet ditt?
Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.