Defaults.Exposed › Rettelser › Guides
Opsætning af e-mail på et nyt domæne: 20-minutters SPF-, DKIM- og DMARC-tjeklisten (2026)
Udgivet 2026-07-08
Tal fra 2026-06-29 · metodologi v7. Aggregerede censusdata på tværs af 261 millioner graderede domæner. Se hvordan vi graderer.
Et nyt domæne har brug for fire ting inden sin første e-mail: en baseline-scanning, én SPF-post, der navngiver din rigtige udbyder, tilpasset-domæne DKIM-signering og en DMARC-post med rapportering fra dag ét. De fleste domæner når aldrig dertil — 46.4% (121,145,609 af 261,086,232 graderede domæner) har slet ingen SPF, ifølge Defaults.Exposed-census (pr. 2026-06-29).
At udgive alt tager ca. 20 minutter: scan for en baseline, tilføj én SPF-post, slå din udbyders tilpassede DKIM til, udgiv DMARC p=none med en rapporteringsadresse, tilføj eventuelt MTA-STS, scan derefter igen og behold rapporten. Det, der tager længere tid, er det, ingen tjekliste kan fremskynde — DNS-propagation og afsenderomdømme — og denne guide er ærlig om begge.
Er 20 minutter virkelig nok?
For at udgive posterne, ja — hvert trin nedenfor er en DNS-post plus et par klik i din udbyders administratorskonsol. To ting tager længere tid, og at foregive det modsatte er, hvordan nye domæner ender i spam:
- Propagation. Nye poster opløses typisk inden for minutter, men resolvere cacher per TTL, og et frisk delegeret domæne kan tage timer til konsekvent at svare. Verificer med
dig; panikrediger ikke, mens caches indhenter hinanden. - Opvarmning. Et nyt domæne har nul afsenderomdømme, og godkendelse er forudsætningen for omdømme, ikke en erstatning. Start med lavt, menneskeskala-volumen og ram gradvist op over uger.
Det ærlige krav: 20 minutter køber korrekt udgivet godkendelse. De næste par ugers fornuftige sending køber leveringsdygtighed.
20-minutters-tjeklisten
- Kør den gratis scanning på defaults.exposed først. Scan det nye domæne, inden du rører DNS. Den graderede “intet konfigureret”-baseline tager sekunder at optage og gør efterrapporten meningsfuld — du vil gerne have før-og-efter-parret (trin 6).
- Udgiv én SPF-post for din faktiske udbyder. Præcis én TXT-post, der begynder med
v=spf1, som indeholder din udbyders include — f.eks.v=spf1 include:_spf.google.com ~allfor Google Workspace, ellerinclude:spf.protection.outlook.comfor Microsoft 365; bor dit DNS i et registratorpanel, dækker GoDaddy-gennemgangen UI-egenhederne. Kun én post: tov=spf1-poster er en permanent fejl, der ugyldiggør SPF fuldstændigt — den tilstand, 1,013,416 domæner sidder fast i, ca. ét ud af 138 af de domæner, der forsøger SPF (census pr. 2026-06-29), typisk en migrationsrest. Tilføj ikke includes “for en sikkerheds skyld”: SPF begrænser DNS-opslag til 10, og mindst 797,263 domæner har ugyldiggjort deres post ved at sprænge det loft. Og kend, hvad SPF faktisk kontrollerer: modtagere evaluerer det mod Return-Path (RFC5321.MailFrom)-domænet — bounce-adressen — ikke den Fra-header, dine modtagere ser. - Slå tilpasset-domæne DKIM-signering til. Din udbyder signerer e-mail uanset hvad; spørgsmålet er, hvilket domæne signaturen angiver. Indtil du fuldfører dette trin signerer Google Workspace med sin
gappssmtp.com-standard og Microsoft 365 medonmicrosoft.com— signaturer, der godkendes med DKIM, men ikke justerer med dit domæne, så DMARC fejler stadig. Generer nøglen i administratorkonsollen og udgiv det, udbyderen giver dig: en 2048-bit TXT-post for Google, to CNAMEs (selector1/selector2) for Microsoft 365. Passer en post ikke i dit DNS-panel, se ret DKIM — lange nøgler forvrænget af UI’er er et klassisk tilfælde. - Udgiv DMARC fra dag ét —
p=nonemed en rapporteringsadresse. Én TXT-post på_dmarc.ditdomæne.com:v=DMARC1; p=none; rua=mailto:dmarc-rapporter@ditdomæne.com. Vær klar over, hvad dette gør:p=nonebeskytter endnu intet — det er overvågningstilstand. Men det koster intet, og aggregerede rapporter dækker derefter dit domænes sendingshistorik fra den allerførste besked. Etablerede domæner bruger uger på rapportering blot til at opdage afsendere, de havde glemt; du køber den synlighed gratis, fra dag nul. Se ret DMARC for postens anatomi. - Valgfrit, men billigt på et nyt domæne: MTA-STS og TLS-RPT. MTA-STS fortæller afsendende servere, at dit domæne kræver TLS til indgående e-mail (en DNS-post plus en lille hostet politikfil); TLS-RPT rapporterer leveringskrypteringsfejl. På et etableret domæne kræver disse forsigtighed; på et nyt domæne med én mailudbyder er der intet at ødelægge, og
mode: testinger i det væsentlige risikofri. Opsæt dem nu eller spring dem over — men beslut, driv ikke. - Scan igen og behold rapporten. Kør scanningen igen — SPF, DKIM og DMARC bør alle vise grønt. Gem den graderede rapport: dateret bevis for domænets tilstand ved lancering, og præcis det, en forsikringsselskab eller klientspørgeskema vil bede om.
Hvor mange domæner fuldfører rent faktisk denne tjekliste?
Meget få — og de fleste falder ved den første forhindring. Af de 261,086,232 domæner graderet i Defaults.Exposed-census (pr. 2026-06-29):
| Tjekliste-milepæl | Census-realitet (af 261,086,232 graderede domæner, pr. 2026-06-29) |
|---|---|
| Trin 2 — udgiv en SPF-post | 46.4% gør det aldrig: 121,145,609 domæner har slet ingen SPF |
| Trin 4+ — DMARC med håndhævende politik | 10.59% (27,640,987 domæner); 89.41% har ingen håndhævet politik |
| Den fulde triade — SPF + DKIM + håndhævet DMARC | 3.87% (10,092,481 domæner) |
De 20 minutter, denne side beskriver, placerer et helt nyt domæne foran ca. 96% af internettet på den fulde triade. SPF-adoptionsmodenhedsmodellen nedbryder hvert trin på den stige.
Hvor hurtigt kan et nyt domæne nå p=reject?
Uger, ikke måneder — den ægte fordel ved at starte frisk. Det, der gør DMARC-håndhævelse langsomt på etablerede domæner, er arv: den glemte CRM-forbinder, faktureringsprogrammet, nogen koblede til i 2019, nyhedsbrevplatformen ingen dokumenterede. Hvert skal findes i rapporterne og rettes, inden politikken kan strammes — deraf den standard månedslange udrulning.
Et nyt domæne har ingen arveafsendere: du konfigurerede hver afsenderkilde selv, denne uge, og trin 4’s rapporter vil bekræfte det. Kør p=none i to til fire uger med rigtig sending, tjek, at rapporterne dækker alt, du faktisk bruger (postkasser, fakturaer, kvitteringer, webstedets kontaktformular), flyt derefter til p=quarantine og videre til p=reject, så snart de kører rent. De trinvise mekanikker — pct-ramper, underdomænepolitik, hvad man skal se efter — er i fra p=none til p=reject; på et nyt domæne bevæger du dig hurtigt igennem dem til et sted, kun 10.59% af graderede domæner har nået.
Hvad med det gamle domæne, du erstatter?
Er dette nye domæne del af en rebrand, er det domæne, du forlader, nu din største e-mailrisiko: stadig dit, stadig betroet af modparter, ikke længere overvåget. Forladsk det ikke — lås det eksplicit ned. Det er sit eget korte job: det gamle domæne fra din rebrand er en dør, du efterlod åben.
Ofte stillede spørgsmål
Kan jeg udgive disse poster, inden jeg vælger en mailudbyder?
DMARC, ja — p=none med rua er udbyderuafhængig, så udgiv den den dag, du registrerer. SPF kræver din udbyders include; indtil du har valgt én, udgiv v=spf1 -all (intet er godkendt til at sende) og erstat den i trin 2. Det er strengt bedre end den ingen-post-tilstand, 121,145,609 domæner sidder i (46.4% af 261,086,232 graderede, pr. 2026-06-29).
Har jeg brug for DKIM, hvis SPF allerede godkendes? Ja. SPF knækker under videresendelse af design, og det validerer Return-Path-domænet, som for mange programmer ikke er dit — justeret DKIM er det ben, der overlever begge. Kun 3.87% af graderede domæner fuldfører den fulde SPF+DKIM+håndhævet-DMARC-triade (census pr. 2026-06-29); DKIM er det trin, de fleste dropouts springer over. Start på ret DKIM, hvis scanningen markerer det.
Bør et nyt domæne bruge ~all eller -all?
På et etableret domæne er ~all det forsigtige valg, mens du finder glemte afsendere. Et nyt domæne har ingen at finde: når din udbyders include er på plads og DKIM signerer, er -all sikkert meget hurtigere. Vil du have livrem og seler? Bekræft med to rene uger af DMARC-rapporter først.
Alle tre poster godkendes — hvorfor havner min e-mail stadig i spam? Fordi godkendelse og omdømme er to forskellige ting: godkendede poster betyder, at modtagere kan verificere, at e-mailen er din, ikke at de stoler på dig endnu. Nye domæner opnår tillid ved at sende konsekvent, ønsket, lavvolumen-e-mail og rampe gradvist. Fejler e-mail kontroller snarere end blot at havne i spam, start på ret SPF og arbejd ned gennem scanningsresultaterne.
Send ejeren rapporten
Opsætter du dette domæne for en klient, afslut jobbet med bevis. Kør den gratis scanning igen efter trin 6 og videresend den graderede rapport til virksomhedsejeren: SPF, DKIM og DMARC godkendes, på klart sprog, dateret ved lancering. Det er det artefakt, de har brug for til fornyelse af cyberforsikring og det næste leverandørsikkerhedsspørgeskema — og det beviser, at domænet startede livet på den måde, 96% af internettet aldrig formår.
Kontrollér dit domæne → · Fra p=none til p=reject uden at miste legitim e-mail → · Kun aggregerede data. Data opbevares og behandles i EU.