Glödande vita kuvert som passerar en blå digital säkerhetskontroll medan ett kuvert stoppas och lyser rött, som symboliserar e-postautentisering och filtrering.
Nyheter
Fredrik Eriksson
Fredrik Eriksson ·

Outlook kräver DMARC 2026: så skyddar du din e-post

Skickar du nyhetsbrev, orderbekräftelser eller kundmejl från din egen domän via ett webbhotell? Då är det dags att kontrollera att din e-post faktiskt är korrekt autentiserad. Microsoft har sedan maj 2025 stegvis skärpt kraven på e-postautentisering för avsändare till Outlook.com, Hotmail.com och Live.com, och från hösten 2025 börjar mejl utan rätt inställningar studsa med ett permanent 550-fel. Det är inte längre en teknisk detalj för IT-avdelningar, utan något som direkt påverkar om dina kunder tar emot det du skickar.

Vad Microsoft kräver nu

Microsofts nya regler gäller i första hand avsändare som skickar mer än 5 000 mejl per dygn till Microsofts konsumenttjänster. Men även den som skickar betydligt mindre märker konsekvenserna: e-post från domäner utan korrekt autentisering riskerar att sorteras bort som skräppost eller avvisas helt. Felkoden 550 5.7.515 är en permanent avvisning, vilket innebär att mejlet aldrig når mottagaren, inte ens skräppostmappen.

Rörelsen är inte isolerad till Microsoft. Google och Yahoo genomdrev liknande krav redan 2024, och branschen rör sig tydligt mot att e-postautentisering är ett grundkrav snarare än en bonus. Microsoft väger dessutom IP-rykte tungt, vilket är särskilt problematiskt för den som skickar mejl från ett delat webbhotell med delade IP-adresser.

Vad SPF, DKIM och DMARC faktiskt gör

Det finns en längre genomgång av vad SPF, DKIM och DMARC är om du vill sätta dig in i detaljerna, men den korta versionen är denna: de tre protokollen fungerar tillsammans som en legitimationshandling för din e-post.

  • SPF talar om vilka servrar som får skicka mejl i ditt domännamns namn.
  • DKIM lägger till en kryptografisk signatur på mejlet som bevisar att det inte manipulerats på vägen.
  • DMARC knyter ihop SPF och DKIM och talar om för mottagarens server vad som ska hända om autentiseringen misslyckas: ignorera, skicka till skräppost eller avvisa.

För att klara Microsofts krav räcker det inte att ha en DMARC-post med p=none (som bara observerar utan att agera). Mejlet måste också passera SPF eller DKIM och den autentiserade domänen måste stämma överens med avsändaradressen. Det är det som kallas DMARC-alignment, och det är just där många delade webbhotelllösningar brister.

Så kontrollerar du om du är drabbad

Det enklaste sättet är att skicka ett testmejl till en adress på Outlook.com eller Gmail och sedan titta på mejlets originalheaders. I Outlook.com gör du det via de tre prickarna uppe till höger i mejlet och väljer "Visa meddelandekälla". I Gmail klickar du på de tre prickarna och väljer "Visa original".

Leta efter rader som börjar med Authentication-Results. Du vill se spf=pass, dkim=pass och dmarc=pass. Om någon av dem visar fail eller saknas helt har du ett problem att åtgärda.

Det finns också webbaserade verktyg som MXToolbox och mail-tester.com där du kan skicka ett testmejl och få en tydlig rapport. Det tar tre minuter och ger dig ett klart svar.

Vad du gör om autentiseringen inte är på plats

Börja med att kontakta ditt webbhotell. De flesta seriösa svenska leverantörer kan hjälpa dig att publicera korrekta SPF- och DKIM-poster i ditt domännamns DNS-inställningar. Fråga specifikt om de stödjer DKIM-signering för din domän, eftersom det inte alltid är aktiverat som standard på delade hostingplaner.

När SPF och DKIM är på plats skapar du en DMARC-post i DNS. En enkel startpost ser ut så här:

v=DMARC1; p=none; rua=mailto:din@adress.se

Det är inte en lösning i sig, men det är ett första steg som låter dig samla rapporter om hur din e-post hanteras. Från den positionen kan du sedan skärpa policyn till p=quarantine eller p=reject när du är säker på att autentiseringen fungerar. Bläddrar du i rapporterna och ser att mejl studsar eller hamnar fel finns det mer att läsa om varför e-post hamnar i skräpposten.

Affärskritiska utskick kan behöva en dedikerad tjänst

Skickar du nyhetsbrev eller automatiserade ordermail i större volymer är det värt att fundera på om du ska hantera e-postutskick via webbhotellet överhuvudtaget. Dedikerade e-posttjänster som Mailchimp, Brevo eller Postmark har autentisering inbyggd och egna IP-adresser med gott rykte. Det är en kostnad, men den vägs lätt mot risken att kundmejl aldrig levereras.

Har du redan en e-postklient uppsatt men är osäker på om mejlen faktiskt skickas från rätt server kan du också kontrollera hur e-post är inställd i klienten för att se vilken SMTP-server som används.

En branschförändring, inte ett tillfälligt krav

Det är frestande att se Microsofts skärpning som ännu en teknisk nyhet att parkera till senare. Men Google genomdrev samma krav ett år tidigare, och nu har Microsoft följt efter. E-postautentisering är på väg att bli lika grundläggande som ett fungerande kontaktformulär. Den som inte åtgärdar det riskerar att tappa leveransen till en stor del av sina mottagare utan att ens märka det, för studsade mejl syns sällan tydligt i avsändarens brevlåda.

Ta tio minuter och kör ett test redan idag. Det är den enskilt snabbaste kontrollen du kan göra för att säkra att dina kunder faktiskt tar emot det du skickar.