Vad är SPF, DKIM och DMARC?

E-postautentisering som verifierar att e-post verkligen kommer från din domän. Viktigt mot spam och phishing.

Tre protokoll som bevisar att din e-post är äkta

SPF, DKIM och DMARC är tekniska standarder som verifierar att e-post verkligen kommer från den avsändare som anges. De skyddar både dig och dina mottagare mot förfalskade mejl, så kallad spoofing, och är idag nödvändiga för god leveransbarhet.

Sedan 2024 kräver Gmail och Yahoo att alla avsändare som skickar större volymer mejl måste ha dessa protokoll korrekt konfigurerade. Utan dem riskerar dina e-postmeddelanden att hamna i skräpposten eller blockeras helt.

SPF: Vilka servrar får skicka e-post från din domän?

SPF står för Sender Policy Framework och fungerar som en lista över godkända IP-adresser som har rätt att skicka e-post från din domän. När en e-postserver tar emot ett mejl från info@dittforetag.se kollar den SPF-posten i ditt DNS för att verifiera att avsändarens IP-adress finns med på listan.

Hur en SPF-post ser ut

En SPF-post är en TXT-post i ditt DNS som kan se ut så här:

v=spf1 include:_spf.google.com ~all

Detta exempel tillåter Googles servrar (om du använder Google Workspace) att skicka e-post från din domän. Symbolen ~all betyder att mejl från andra servrar ska markeras som misstänkta men inte direkt avvisas.

Vanliga misstag med SPF

Många missar att uppdatera sin SPF-post när de börjar använda nya tjänster. Om du exempelvis lägger till ett nyhetsbrevssystem som Mailchimp eller en CRM som skickar mejl åt dig måste du inkludera även deras servrar i SPF-posten. Glömmer du detta kommer deras mejl att flaggas som oäkta.

DKIM: Digital signatur för e-post

DKIM står för DomainKeys Identified Mail och fungerar som en digital signatur. När din e-postserver skickar ett mejl lägger den till en krypterad signatur i meddelandets header. Mottagande server hämtar sedan din publika DKIM-nyckel från DNS och verifierar att signaturen matchar.

Detta bevisar två saker: att mejlet verkligen kommer från din domän och att innehållet inte har ändrats under transporten. Om någon försöker manipulera meddelandet i efterhand bryts signaturen och mottagaren ser att något är fel.

Så sätter du upp DKIM

DKIM kräver att din e-postleverantör genererar ett nyckelpar (en privat och en publik nyckel). Den privata nyckeln används för att signera utgående mejl. Den publika nyckeln publiceras som en TXT-post i ditt DNS så att mottagare kan verifiera signaturen.

De flesta moderna webbhotell och e-posttjänster som Google Workspace eller Microsoft 365 hanterar detta automatiskt. Du behöver bara lägga till den DKIM-post de ger dig i ditt DNS.

DMARC: Vad händer om SPF eller DKIM misslyckas?

DMARC står för Domain-based Message Authentication, Reporting and Conformance och fungerar som en övergripande policy. Den talar om för mottagande servrar vad de ska göra när antingen SPF eller DKIM-kontrollen misslyckas.

En DMARC-post kan se ut så här:

v=DMARC1; p=quarantine; rua=mailto:dmarc@dittforetag.se

Här betyder p=quarantine att mejl som inte klarar kontrollerna ska hamna i mottagarens skräppostkorg. Alternativ är p=none (leverera ändå, endast övervaka) eller p=reject (blockera helt).

DMARC-rapporter ger värdefull insikt

Delen rua=mailto:dmarc@dittforetag.se anger att du vill få rapporter om vilka servrar som försöker skicka e-post från din domän. Dessa rapporter skickas dagligen i XML-format och visar vilka mejl som godkänts och vilka som flaggats som misstänkta.

Genom att analysera DMARC-rapporter kan du upptäcka legitima tjänster du glömt lägga till i SPF, eller identifiera aktörer som försöker förfalska din domän. Det är ett kraftfullt verktyg för att skydda ditt varumärke mot phishing.

Varför du behöver alla tre

SPF, DKIM och DMARC fungerar tillsammans och förstärker varandra. SPF kontrollerar vilken server som skickar, DKIM verifierar att innehållet är oförändrat, och DMARC bestämmer vad som händer om något går fel.

Utan dessa protokoll kommer dina mejl att betraktas som mindre trovärdiga. Gmail, Outlook och andra stora e-posttjänster prioriterar meddelanden från domäner med korrekt konfigurerad autentisering. Mejl utan SPF, DKIM och DMARC har betydligt högre sannolikhet att hamna i skräpposten.

Från och med 2026 är detta branschstandard. Alla seriösa företag bör ha dessa protokoll på plats. De bästa webbhotellen och e-postleverantörerna hjälper dig att sätta upp dem, och många erbjuder automatisk konfiguration.

Topp 3 webbhotell enligt våra tester

  1. 1 Oderland 4.80 från 215 kr/mån
  2. 2 Kinsta 4.60 från 35 kr/mån
  3. 3 Inleed 4.60 från 39 kr/mån
Jämför webbhotell →
← Tillbaka till Konfiguration & inställningar