Den Ultimative Guide: Sådan Opsætter du SPF, DKIM og DMARC Korrekt
En teknisk step‑by‑step vejledning til moderne e‑mail‑sikkerhed
Introduktion
I 2026 er SPF, DKIM og DMARC blevet kritiske for både sikkerhed og leveringssikkerhed. Stigende AI‑genererede phishingangreb og skærpede krav fra store mailudbydere betyder, at e‑mail uden korrekt autentifikation kan ende i spam eller helt blive afvist.
De tre teknologier arbejder sammen:
- SPF – angiver hvilke servere der må sende mail
- DKIM – sikrer mailens integritet via signatur
- DMARC – afgør hvad der skal ske, hvis SPF/DKIM fejler
SPF — Sender Policy Framework
Hvad SPF gør
SPF definerer hvilke mailservere der er autoriseret til at sende mails på vegne af dit domæne. Modtageren sammenligner afsenderens IP med domænets SPF‑record.
SPF Best Practices (2026)
- Kun én SPF‑record pr. domæne
- Maksimalt 10 DNS lookups i SPF
(ellers fejler SPF)
- Brug
~all under opsætning (softfail)
— stopper ikke mailflow men markerer fejl til videre analyse
- Undgå brede CIDR ranges eller unødvendige afsendere
- Sørg for alignment mellem MAIL FROM og From‑domæne
Eksempel‑records
- Microsoft 365:
v=spf1 include:spf.protection.outlook.com ~all
- Google Workspace:
v=spf1 include:_spf.google.com ~all
DKIM — DomainKeys Identified Mail
Hvad DKIM gør
DKIM tilføjer en digital signatur til dine mails, så modtageren kan verificere, at indholdet ikke er ændret, og at mailen faktisk kommer fra dit domæne.
DKIM Best Practices (2026)
- Brug 2048‑bit nøgler for sikkerhed og kompatibilitet
- Aktivér DKIM på alle tjenester, der sender på vegne af domænet
- Roter DKIM‑nøgler med faste intervaller
- Sørg for domain alignment (d=domæne.dk)
DMARC — Domain-based Message Authentication, Reporting & Conformance
Hvad DMARC gør
DMARC kontrollerer om SPF eller DKIM består — og afgør herefter, om mailen skal leveres, quarantines eller afvises. DMARC genererer desuden rapporter til overvågning af misbrug.
DMARC Best Practices (2026)
- Start med p=none (monitorering)
- Skift herefter til quarantine
- Afslut med reject, når alt er valideret
→ anbefalet i 2026 for maksimal beskyttelse
- Aktivér rapportering med
rua= og ruf=
- Overvåg DMARC‑rapporter løbende
Eksempel‑records
Monitorering:
v=DMARC1; p=none; rua=mailto:[email protected]; aspf=r;
Quarantine:
v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected];
Reject (endelig):
v=DMARC1; p=reject; pct=100; rua=mailto:[email protected];
Komplet opsætningsworkflow (DNS)
1. Kortlæg eksisterende opsætning
- Tjek om domænet allerede har SPF, DKIM eller DMARC
- Identificér ALLE systemer der sender mail:
M365, Google, CRM, marketing, faktura‑systemer osv.
(Glemt afsender = SPF/DKIM fejl)
2. Opret / opdater SPF
- Tilføj alle afsendere via
include:
- Fjern gamle eller ubrugte afsendere
- Tjek lookup‑antal (max 10)
3. Aktivér DKIM
- Microsoft 365: Aktivér DKIM i admin panelet
- Google Workspace: Generér nøgle & publicér i DNS
- Tredjepartstjenester: DKIM selector + TXT‑nøgle
- Bekræft 2048‑bit brug
4. Implementér DMARC
- Start med
p=none
- Analyser de indkomne rapporter (RUA)
- Identificér forkerte eller uautoriserede kilder
- Skru gradvist op til
quarantine → reject
5. Validering og overvågning
- Gennemgå fejl i SPF alignment
- Overvåg DKIM signaturfejl
- Brug DMARC‑rapporter til løbende forbedring
Typiske fejl – og hvordan du undgår dem
❌ Fejl: To SPF‑records
→ SPF må KUN eksistere én gang (ellers ugyldig).
❌ Fejl: SPF overskrider 10 DNS‑lookups
→ Konsolider includes og fjern gamle services.
❌ Fejl: DKIM kun aktiveret på primær mailtjeneste
→ Alle systemer, der sender mail, skal signere.
❌ Fejl: Start med p=reject
→ Giver leveringsfejl og tabte mails. Start altid med p=none.
Konklusion
I 2026 er SPF, DKIM og DMARC fundamentale krav for moderne mail‑sikkerhed.
En korrekt opsætning beskytter dit domæne, reducerer spoofing og sikrer, at dine mails faktisk når indbakken.
TODO‑IT kan hjælpe med:
- Komplet DNS‑opsætning
- Fejlfinding og DMARC‑rapportanalyse
- Sikring på tværs af flere mailplatforme
- Drift og optimering af e‑mail leveringssikkerhed