SPF, DKIM og DMARC forklart: DNS-poster for bedre e-postlevering
En praktisk forklaring av SPF, DKIM og DMARC: DNS-postene som hjelper mottakere å stole på e-post fra domenet ditt.
Hvis du sender e-post fra eget domene, trenger du mer enn en innboks. Du trenger DNS-poster som forteller mottakere hvilke servere som får sende e-post for domenet, hvordan meldinger signeres, og hva som skal skje når noe feiler. De tre viktigste mekanismene heter SPF, DKIM og DMARC.
Riktig satt opp gir de bedre e-postlevering, mindre risiko for spoofing og et mer profesjonelt domene. Feil satt opp kan de føre til at legitim e-post havner i spam eller avvises.
Hvorfor ligger e-postsikkerhet i DNS?
DNS er det offentlige kontrollpunktet for domenet ditt. Når en e-postserver mottar en melding fra navn@dittfirma.no, kan den slå opp DNS for dittfirma.no og spørre:
- Har denne serveren lov til å sende for domenet?
- Er meldingen signert med en gyldig nøkkel?
- Hva vil domeneeieren at vi skal gjøre hvis sjekken feiler?
Svarene ligger i TXT-poster, og noen ganger CNAME-poster, i DNS-sonen.
SPF: hvem får sende e-post?
SPF står for Sender Policy Framework. En SPF-post er en TXT-post som lister hvilke servere og tjenester som har lov til å sende e-post på vegne av domenet.
Eksempel:
v=spf1 include:_spf.google.com include:sendgrid.net ~all
Denne posten sier at Google og SendGrid kan sende for domenet. ~all betyr at andre sendere bør behandles som mistenkelige, men ikke nødvendigvis avvises hardt.
Vanlige SPF-feil:
- flere SPF-poster på samme domene
- glemt nyhetsbrevleverandør
- for mange DNS-oppslag i SPF-kjeden
- bruk av
+all, som i praksis tillater alt
Et domene bør ha én SPF-post. Skal du legge til flere sendetjenester, må de inn i samme post.
DKIM: er meldingen signert?
DKIM står for DomainKeys Identified Mail. Her signerer e-postleverandøren meldingen med en privat nøkkel. Mottakeren slår opp en offentlig nøkkel i DNS og sjekker at signaturen stemmer.
DKIM-posten ligger ofte på et selektornavn:
selector1._domainkey.dittfirma.no
Verdien er en lang TXT-post med offentlig nøkkel. Noen leverandører bruker CNAME i stedet, slik at de kan rotere nøkkelen selv.
DKIM beskytter mot at meldingen endres underveis, og gir mottakeren et sterkere signal om at e-posten faktisk kommer fra en autorisert avsender.
DMARC: hva skal mottakeren gjøre?
DMARC står for Domain-based Message Authentication, Reporting and Conformance. DMARC binder SPF og DKIM sammen og publiserer en policy for domenet.
Eksempel på forsiktig start:
v=DMARC1; p=none; rua=mailto:dmarc@dittfirma.no
Eksempel på strengere policy:
v=DMARC1; p=quarantine; rua=mailto:dmarc@dittfirma.no
Eksempel på hard avvisning:
v=DMARC1; p=reject; rua=mailto:dmarc@dittfirma.no
Policyene betyr:
| Policy | Betydning |
|---|---|
| none | Overvåk og rapporter, men ikke stopp e-post |
| quarantine | Be mottakere legge mistenkelig e-post i spam |
| reject | Be mottakere avvise e-post som feiler |
DMARC-posten legges på _dmarc.dittfirma.no.
Hvordan SPF, DKIM og DMARC jobber sammen
SPF sjekker sendende server. DKIM sjekker signaturen. DMARC sjekker om SPF eller DKIM passer med domenet i From-feltet, og forteller mottakeren hva som skal skje hvis kontrollene feiler.
Du trenger ikke at både SPF og DKIM passer hver gang, men minst én av dem må normalt være korrekt og alignet med domenet for at DMARC skal passere.
Anbefalt innføringsrekkefølge
Ikke start med p=reject før du vet at all legitim e-post er korrekt konfigurert. Bruk heller denne rekkefølgen:
- Sett opp SPF for alle sendetjenester
- Aktiver DKIM hos e-postleverandøren
- Legg inn DMARC med
p=none - Les rapporter og finn legitime avsendere som mangler oppsett
- Gå til
p=quarantine - Gå til
p=rejectnår du er trygg
For små bedrifter er dette ofte nok til å stoppe mye misbruk uten å risikere at egne meldinger forsvinner.
Eksempel på komplett DNS-oppsett
| Navn | Type | Verdi |
|---|---|---|
| @ | TXT | v=spf1 include:_spf.google.com ~all |
| selector1._domainkey | TXT | DKIM-nøkkel fra leverandør |
| _dmarc | TXT | v=DMARC1; p=none; rua=mailto:dmarc@dittfirma.no |
I tillegg må domenet ha riktige MX-poster for mottak av e-post.
Påvirker dette leveringsgraden?
Ja, ofte. Store mottakere som Gmail, Outlook og Yahoo vurderer autentisering når de bestemmer om e-post skal leveres, markeres som mistenkelig eller avvises. SPF, DKIM og DMARC garanterer ikke innboks, men uten dem starter domenet med dårligere forutsetninger.
For nyhetsbrev, fakturaer, ordrebekreftelser og kundedialog er dette for viktig til å være tilfeldig. Bruker du Vymo til .no-domene og e-post , kan du få hjelp til å legge inn riktige DNS-poster før domenet tas i bruk.
Klar til å sikre domenet ditt?
Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.