Utan SPF DKIM DMARC och BIMI når dina mejl aldrig fram till inkorgen

Du har skrivit det perfekta mejlet. Ämnesraden är genial, erbjudandet är oslåbart och designen är snygg nog att få en grafiker att gråta av glädje. Och sedan händer det värsta som kan hända, mejlet landar i skräpposten. Ingen ser det. Ingen öppnar det. Det bara dör där i det digitala ingenmansland som kallas spamfiltret. Anledningen? Du har inte fixat din tekniska autentisering. Det låter tråkigt, och det är det lite grann, men det är skillnaden mellan att nå inkorgen eller försvinna för alltid. Och från 2024 är det inte längre valfritt.

Utan autentisering händer det här med dina mejl

Tänk dig e-postautentisering som ett passsystem på en flygplats. Mejlet är resenären och varje autentiseringsprotokoll är en säkerhetskontroll som verifierar att avsändaren verkligen är den de utger sig för att vara. Utan rätt papper kommer du inte igenom, enkelt som det.

Gmail, Yahoo och Microsoft har sedan 2024 gjort det obligatoriskt för bulk-avsändare att ha dessa protokoll på plats. Saknar du dem riskerar du tre saker som alla är lika obehagliga:

• Dina mejl sorteras direkt till skräppost utan att mottagaren ens ser dem
• Din domän kan svartlistas permanent och bli i princip omöjlig att rädda
• Bedragare kan skicka mejl i ditt varumärkes namn till dina kunder utan att du märker det

Det handlar om fyra lager som bygger på varandra: SPF, DKIM, DMARC och slutligen BIMI som är belöningen när allt annat är på plats.

Faktaruta: Runt 40 procent av alla e-postavsändare är antingen osäkra på eller saknar korrekt SPF och DKIM-konfiguration. Det är ungefär som att köra bil utan körkort och hoppas att ingen märker det. Förr eller senare märker någon det.

SPF din digitala gästlista som ingen kan fejka

SPF står för Sender Policy Framework och är det äldsta av de fyra protokollen. Det fungerar som en gästlista publicerad i din domäns DNS-inställningar, en lista som talar om för mottagarens e-postserver vilka IP-adresser och servrar som faktiskt har tillåtelse att skicka e-post i ditt namn.

När någon tar emot ett mejl från din domän gör deras server en snabb DNS-uppslagning och jämför avsändarens IP-adress mot din gästlista. Finns IP-adressen på listan får mejlet grönt ljus. Finns den inte där flaggas mejlet som misstänkt eller blockeras helt. Utan SPF kan vem som helst skicka mejl och låtsas vara du.

Vanliga misstag när man sätter upp SPF:

• Att ha flera SPF-poster på samma domän (det är inte tillåtet, bara en gäller och resten ignoreras)
• Att glömma att lägga till tredjepartstjänster som Mailchimp, HubSpot eller liknande
• Att använda för många inkluderingar så att man överstiger DNS-uppslagningsgränsen på tio stycken

Hur ett korrekt SPF-record ser ut beror på vilken tjänst du skickar via. Här är tre vanliga exempel.

Om du skickar via Mailchimp:

v=spf1 include:servers.mcsv.net ~all

Om du skickar via SendGrid:

v=spf1 include:sendgrid.net ~all

Om du skickar från en egen dedikerad server med en specifik IP-adress:

v=spf1 ip4:192.0.2.1 ~all

Du har alltid ett enda SPF-record per domän där alla dina godkända avsändare listas. Använder du flera tjänster kombinerar du dem i samma record, men tänk på att inte överstiga tio DNS-uppslagningar annars börjar leveransproblemen.

DKIM sigillet som bevisar att ingen petat på mejlet

Medan SPF kontrollerar vem som skickar kontrollerar DKIM om mejlets innehåll är intakt. DKIM står för DomainKeys Identified Mail och fungerar som ett kryptografiskt sigill på ditt meddelande. Saknar du DKIM kan ett mejl manipuleras på vägen från din server till mottagarens inkorg utan att någon av er märker det.

När ett mejl skickas genererar din e-postserver en unik digital signatur baserad på mejlets innehåll. Signaturen krypteras med en privat nyckel som bara du har. I din DNS publiceras sedan den publika nyckeln. När mottagarens server tar emot mejlet jämför den signaturen mot den publika nyckeln i din DNS. Stämmer de inte överens flaggas mejlet direkt.

Det smarta med DKIM är att det inte bara skyddar mottagaren utan också bygger upp din domäns rykte hos e-postleverantörerna över tid. Ju mer konsekvent du autentiserar desto mer betrodd blir din domän.

DMARC livsdomaren som bestämmer vad som händer när något går fel

SPF och DKIM är bra var för sig men de har ett problem: de berättar inte för mottagarens server vad den ska göra när ett mejl misslyckas med autentiseringen. Utan DMARC kan ett fejkat mejl från din domän fortfarande ta sig igenom trots att varningssignalerna finns där. Det är DMARC som stänger den dörren.

DMARC låter dig som domänägare bestämma tre saker:

• Vad som ska hända med mejl som misslyckas med autentisering (ingenting, karantän eller avvisa helt)
• Att SPF och DKIM måste vara i linje med avsändardomänen
• Att du får rapporter skickade till dig om alla autentiseringsförsök från hela världen

DMARC har tre policynivåer som man bör implementera stegvis:

Proffstipset är att alltid börja med p=none och samla in rapporterna i minst två veckor innan du skärper policyn. Annars riskerar du att blockera legitima mejl från tredjepartstjänster du råkat glömma i din SPF.

Faktaruta: År 2024 använde 53,8 procent av alla e-postavsändare DMARC, en ökning med 11 procent från föregående år. Det låter bra men det betyder fortfarande att nästan hälften av alla domäner är oskyddade och öppna för missbruk just nu.

BIMI belöningen när allt annat är på plats

Nu kommer den roliga delen. När SPF, DKIM och DMARC är på plats och du kör med en DMARC-policy på minst quarantine eller reject öppnar sig dörren till BIMI. BIMI står för Brand Indicators for Message Identification och är det som gör att din varumärkeslogotyp dyker upp i inkorgen bredvid ditt mejl.

Det låter kanske som en liten detalj men siffrorna talar för sig själva. BIMI-logotyper rapporteras ge upp till 38 till 39 procents högre öppningsfrekvens. Det är inte en liten förbättring, det är skillnaden på en medioker kampanj och en som faktiskt levererar.

BIMI stöds idag av Gmail, Yahoo Mail och Apple Mail. Microsoft Outlook har ännu inte fullt stöd men riktningen är tydlig.

För att implementera BIMI behöver du:

• DMARC på enforcement-nivå (p=quarantine eller p=reject)
• En SVG-logotypfil i kvadratformat med solid bakgrund på max 32 kb
• Logotypen publicerad via HTTPS
• Ett BIMI TXT-record i din DNS
• För Gmail och Apple krävs dessutom ett VMC (Verified Mark Certificate) som bekräftar att logotypen är ett registrerat varumärke

Ett BIMI-record i DNS ser ut såhär:

v=bimi1; l=https://dittforetag.se/logo.svg; a=https://dittforetag.se/vmc.pem

Bara 5,7 procent av alla domäner använder BIMI idag trots att adoptionen ökade med 28 procent senaste året. Det är fortfarande ett tydligt konkurrensförsprång att implementera det nu innan alla andra hinner ikapp.

Hur du kollar att allt faktiskt sitter på plats

Det räcker inte att tro att det är konfigurerat. Det måste verifieras. Det finns flera gratis verktyg som låter dig kontrollera exakt vad din domän kommunicerar till omvärlden.

MXToolbox är det mest använda. Du går in på mxtoolbox.com, klistrar in din domän och väljer vad du vill kontrollera: SPF Lookup, DKIM Lookup eller DMARC Lookup. Verktyget returnerar direkt om recordet finns, om det är korrekt formaterat och om det finns eventuella fel att åtgärda. Google Admin Toolbox på toolbox.googleapps.com är ett annat alternativ som gör samma sak direkt i Googles egna infrastruktur.

För att snabbt kontrollera att ett specifikt mejl passerat alla tre kontrollerna kan du dessutom öppna ett mottaget mejl i Gmail och klicka på de tre prickarna uppe till höger och sedan välja “Visa original”. Där syns direkt om SPF, DKIM och DMARC fått godkänt eller inte. Det är det snabbaste sättet att bekräfta att konfigurationen faktiskt fungerar i praktiken och inte bara på papper.

Så använder du Google Postmaster Tools för att övervaka din domän

Google Postmaster Tools är ett gratis verktyg från Google som ger dig realtidsdata om hur Gmail uppfattar din e-post. Det är den närmaste du kommer ett röntgen av din domäns hälsa och ett verktyg alldeles för få e-postmarknadsförare använder proaktivt.

Så här kommer du igång:

• Gå till postmaster.google.com och logga in med ett Google-konto
• Klicka på plusikonen nere till höger och ange den domän du vill övervaka
• Google ger dig ett TXT-record som du lägger till i din DNS hos din domänleverantör för att verifiera ägarskapet
• När domänen är verifierad börjar data att populeras, räkna med ett par dagar innan du ser något meningsfullt

När du väl är inne i verktyget hittar du flera olika dashboards som är värda att känna till:

Det allra viktigaste att hålla koll på är Spam Rate-dashboarden. Google kräver att den hålls under 0,3 procent. Passerar du den gränsen börjar dina mejl att hamna i skräppost på bred front och det kan ta lång tid att återhämta sig. Authentication-dashboarden visar hur stor andel av dina mejl som faktiskt passerar autentiseringskontrollerna. Välkonfigurerade domäner brukar ligga på 95 procent eller högre för DKIM och DMARC.

En viktig sak att känna till är att SPF-siffran i Google Postmaster Tools ibland visar noll procent trots att allt tekniskt sett fungerar. Det beror på att Google mäter SPF-alignment, alltså om Return-Path-domänen matchar From-domänen, och inte bara om SPF passerar. Många tredjepartstjänster som Mailchimp och HubSpot skickar via sina egna Return-Path-domäner vilket gör att SPF-alignmenten misslyckas i rapporteringen. Det är ingenting att oroa sig för så länge DKIM och DMARC visar grönt.

Använd Postmaster Tools proaktivt och inte bara när något gått fel. Många marknadsförare öppnar verktyget först när leveransproblemen redan är ett faktum och då är skadan ofta redan skedd.

Rätt ordning att implementera allt innan det är för sent

Det finns en logisk följd att följa:

• Börja med att audita din nuvarande konfiguration med MXToolbox eller Google Admin Toolbox
• Sätt upp SPF och se till att alla tjänster som skickar e-post i ditt namn är inkluderade
• Aktivera DKIM-signering via din e-postleverantör eller DNS-inställningar
• Vänta minst 48 timmar innan du går vidare till DMARC så att DNS-ändringarna hinner propagera
• Publicera ett DMARC-record med p=none och börja samla in rapporter
• Analysera rapporterna och åtgärda eventuella problem innan du går vidare
• Koppla upp Google Postmaster Tools och börja övervaka din domänhälsa löpande
• Skärp DMARC till quarantine och sedan reject i takt med att du får full kontroll
• Implementera BIMI när DMARC är på enforcement-nivå

Räkna med att hela processen tar mellan sex och åtta veckor om man gör det ordentligt. Det är inte ett projekt för en eftermiddag men varje vecka du väntar är en vecka där dina mejl riskerar att aldrig nå fram.

Det tekniska fundamentet som avgör om din email marknadsföring överlever 2026

E-postmarknadsföring är på papper en av de mest lönsamma kanalerna som finns. Men den förutsätter att mejlen faktiskt når fram. SPF, DKIM, DMARC och BIMI är fundamentet som allt annat vilar på. Utan dem spelar det ingen roll hur bra ämnesraden är eller hur finstämt segmenterad listan är. Mejlet når aldrig fram.

Det är lite som att laga en femrätters middag och sedan servera den i sophinken. Tekniken är inte det glamorösa i email marknadsföring men det är det som avgör om resten av arbetet har någon som helst effekt. Och i värsta fall, om du inte åtgärdar det, är det inte bara dina kampanjer som drabbas. Det är hela ditt varumärkes trovärdighet online.