Defaults.Exposed › Korjaukset › Guides
Sähköpostin perustaminen uudelle verkkotunnukselle: 20 minuutin SPF-, DKIM- ja DMARC-tarkistuslista (2026)
Julkaistu 2026-07-08
Tiedot päivätty 2026-06-29 · metodologia v7. Koostettua väestönlaskentadataa 261 miljoonasta arvioidusta verkkotunnuksesta. Katso miten arvioimme.
Uusi verkkotunnus tarvitsee neljä asiaa ennen ensimmäistä sähköpostia: perusskannauksen, yhden SPF-tietueen, joka nimeää oikean palveluntarjoajan, oman verkkotunnuksen DKIM-allekirjoituksen ja DMARC-tietueen raportointineen heti alusta. Useimmat verkkotunnukset eivät koskaan pääse sinne — 46.4% (121,145,609 / 261,086,232 arvioidusta verkkotunnuksesta) ei ole lainkaan SPF:ää, Defaults.Exposed-väestönlaskennan mukaan (päivätty 2026-06-29).
Kaiken julkaiseminen vie noin 20 minuuttia: skannaa perustilanteen saamiseksi, lisää yksi SPF-tietue, ota palveluntarjoajasi oman verkkotunnuksen DKIM käyttöön, julkaise DMARC p=none raportointiosoitteella, lisää valinnainen MTA-STS, skannaa uudelleen ja säilytä raportti. Se, mikä kestää kauemmin, on se, mitä mikään tarkistuslista ei voi kiirehtiä — DNS-levitys ja lähetysmaine — ja tämä opas on rehellinen molemmista.
Onko 20 minuuttia todella riittävä?
Tietueiden julkaisemiseen, kyllä — jokainen alla oleva vaihe on DNS-merkintä sekä pari klikkausta palveluntarjoajasi hallintakonsolissa. Kaksi asiaa kestää kauemmin, ja niiden teeskentely muuksi on se, miten uudet verkkotunnukset päätyvät roskapostiin:
- Levitys. Uudet tietueet ratkaistaan yleensä minuuteissa, mutta resolverit välimuistitavat TTL:n mukaan, ja vastikään delegoitu verkkotunnus voi kestää tunteja vastatakseen johdonmukaisesti. Vahvista
dig-komennolla; älä muokkaa paniikissa välimuistien levityksen aikana. - Lämmittely. Uudella verkkotunnuksella ei ole lainkaan lähetysmainstetta, ja todennus on maineen esiehto, ei korvike. Aloita pienillä, ihmismittakaavaisilla volyymeilla ja lisää vähitellen viikkojen aikana.
Rehellinen väite: 20 minuuttia ostaa oikein julkaistun todennuksen. Seuraavat viikot järkevää lähettämistä ostavat toimitettavuuden.
20 minuutin tarkistuslista
- Suorita ilmainen skannaus osoitteessa defaults.exposed ensin. Skannaa uusi verkkotunnus ennen kuin kosket DNS:ään. Arvioitu “ei mitään konfiguroituna” -perustilanne vie sekunteja tallentaa ja tekee jälkiraportin merkitykselliseksi — haluat ennen/jälkeen-parin (vaihe 6).
- Julkaise yksi SPF-tietue todelliselle palveluntarjoajallesi. Täsmälleen yksi TXT-tietue, joka alkaa
v=spf1, sisältäen palveluntarjoajasi include — esimerkiksiv=spf1 include:_spf.google.com ~allGoogle Workspacelle, taiinclude:spf.protection.outlook.comMicrosoft 365:lle; jos DNS:si on rekisteröijän paneelissa, GoDaddy-ohje kattaa käyttöliittymän erikoisuudet. Vain yksi tietue: kaksiv=spf1-tietuetta on pysyvä virhe, joka mitätöi SPF:n kokonaan — tila, johon 1,013,416 verkkotunnusta on jumittunut, noin yksi jokaisesta 138:sta verkkotunnuksesta, jotka yrittävät SPF:ää (väestönlaskenta päivätty 2026-06-29), yleensä migraatiojäännös. Älä lisää include-viitteitä “varmuuden vuoksi”: SPF rajoittaa DNS-kyselyt 10:een, ja ainakin 797,263 verkkotunnusta on mitätöinyt tietueensa ylittämällä kyseisen rajan. Ja tiedosta, mitä SPF oikeasti tarkistaa: vastaanottajat arvioivat sen Return-Path (RFC5321.MailFrom) -verkkotunnusta vastaan — palautusosoitetta — ei From-otsikkoa, jonka vastaanottajasi näkevät. - Ota käyttöön oman verkkotunnuksen DKIM-allekirjoitus. Palveluntarjoajasi allekirjoittaa sähköpostin joka tapauksessa; kysymys on, minkä verkkotunnuksen allekirjoitus nimeää. Ennen kuin suoritat tämän vaiheen, Google Workspace allekirjoittaa oletusarvoisella
gappssmtp.com-tunnuksella ja Microsoft 365onmicrosoft.com-tunnuksella — allekirjoitukset, jotka läpäisevät DKIM:n mutta eivät linjaudu verkkotunnuksesi kanssa, joten DMARC epäonnistuu silti. Luo avain hallintakonsolissa ja julkaise palveluntarjoajan antama: 2048-bittinen TXT-tietue Googlelle, kaksi CNAME:a (selector1/selector2) Microsoft 365:lle. Jos tietue ei mahdu DNS-paneeliin, katso DKIM:n korjaus — pitkien avainten pilaantuminen käyttöliittymissä on klassikko. - Julkaise DMARC heti alusta —
p=noneraportointiosoitteella. Yksi TXT-tietue osoitteessa_dmarc.verkkotunnuksesi.fi:v=DMARC1; p=none; rua=mailto:[email protected]. Ole selkeä siitä, mitä tämä tekee:p=noneei suojaa vielä mitään — se on valvontamoodi. Mutta se ei maksa mitään, ja koostetuissa raporteissa katetaan sen jälkeen verkkotunnuksen lähetyshistoria aivan ensimmäisestä viestistä. Vakiintuneet verkkotunnukset viettävät viikkoja raportoinnissa vain löytääkseen lähettäjät, jotka olivat unohtuneet; ostat kyseisen näkyvyyden ilmaiseksi, päivästä nolla. Katso DMARC:n korjaus tietueen anatomiaa varten. - Valinnainen mutta halpa uudella verkkotunnuksella: MTA-STS ja TLS-RPT. MTA-STS kertoo lähettäville palvelimille, että verkkotunnuksesi edellyttää TLS:ää saapuvalle postille (DNS-tietue sekä pieni isännöity käytäntötiedosto); TLS-RPT raportoi toimitussalauksen epäonnistumisista. Vakiintuneella verkkotunnuksella nämä vaativat huolellisuutta; uudella verkkotunnuksella, jolla on yksi sähköpostipalveluntarjoaja, mitään ei voi rikkoa, ja
mode: testingon käytännössä riskitön. Perusta ne nyt tai ohita ne — mutta päätä, älä ajaudu. - Skannaa uudelleen ja säilytä raportti. Aja skannaus uudelleen — SPF, DKIM ja DMARC pitäisi näyttää vihreää. Tallenna arvioitu raportti: päivätty todiste verkkotunnuksen tilasta käynnistyshetkellä, ja täsmälleen se, mitä vakuutusyhtiö tai asiakkaan kyselylomake pyytää.
Kuinka moni verkkotunnus oikeasti täyttää tämän tarkistuslistan?
Hyvin harva — ja useimmat kaatuvat ensimmäiseen esteeseen. Defaults.Exposed-väestönlaskennan 261,086,232 arvioidusta verkkotunnuksesta (päivätty 2026-06-29):
| Tarkistuslistan virstanpylväs | Väestönlaskennan todellisuus (/ 261,086,232 arvioidusta verkkotunnuksesta, päivätty 2026-06-29) |
|---|---|
| Vaihe 2 — julkaise mikä tahansa SPF-tietue | 46.4% ei koskaan tee sitä: 121,145,609 verkkotunnuksella ei ole lainkaan SPF:ää |
| Vaihe 4+ — DMARC voimassa olevalla käytännöllä | 10.59% (27,640,987 verkkotunnusta); 89.41%:lla ei ole voimassa olevaa käytäntöä |
| Täydellinen kolmikko — SPF + DKIM + voimassa oleva DMARC | 3.87% (10,092,481 verkkotunnusta) |
Tämän sivun kuvaama 20 minuuttia laittaa täysin uuden verkkotunnuksen täydellisen kolmikon osalta noin 96%:n internetin edelle. SPF:n käyttöönoton kypsyysmalli erittelee jokaisen kyseisen tikkaan portaan.
Kuinka nopeasti uusi verkkotunnus voi saavuttaa p=reject-tilan?
Viikkoja, ei kuukausia — aito etu aloittamisesta puhtaalta pöydältä. Se, mikä tekee DMARC:n täytäntöönpanon hitaaksi vakiintuneilla verkkotunnuksilla, on perintö: unohtunut CRM-liitäntä, laskutustyökalu, jonka joku viritti vuonna 2019, uutiskirjepalvelu, jota kukaan ei dokumentoinut. Jokainen pitää löytää raporteista ja korjata ennen kuin käytäntöä voidaan tiukentaa — siis tavanomainen kuukausien mittainen käyttöönotto.
Uudella verkkotunnuksella ei ole vanhoja lähettäjiä: konfiguroimasi jokaisen lähetyslähdeen itse, tällä viikolla, ja vaiheen 4 raportit vahvistavat sen. Aja p=none-tilaa kaksi-neljä viikkoa aitoa lähettämistä, tarkista, että raportit kattavat kaiken, mitä todella käytät (postilaatikot, laskut, kuitit, verkkosivuston yhteydenottolomake), siirry sitten p=quarantine-tilaan ja edelleen p=reject-tilaan, kun ne näyttävät puhtaita. Vaiheistettu mekaniikka — pct-lisäykset, aliverkkotunnuksen käytäntö, mitä seurata — on p=none-tilasta p=reject-tilaan; uudella verkkotunnuksella etennet niissä nopeasti paikkaan, johon vain 10.59% arvioiduista verkkotunnuksista on päässyt.
Entä vanha verkkotunnus, jonka korvaat?
Jos tämä uusi verkkotunnus on osa uudelleenbrändäystä, jättämäsi verkkotunnus on nyt suurin sähköpostin riskisi: edelleen sinun, edelleen vastapuolten luottama, ei enää valvottu. Älä hylkää sitä — lukitse se nimenomaisesti. Se on oma lyhyt työ: vanha verkkotunnuksesi uudelleenbrändäyksestä on auki jätetty ovi.
Usein kysytyt kysymykset
Voinko julkaista nämä tietueet ennen sähköpostipalveluntarjoajan valintaa?
DMARC:n, kyllä — p=none ja rua ovat palveluntarjoajariippumattomia, joten julkaise se rekisteröintipäivänä. SPF tarvitsee palveluntarjoajasi include; ennen kuin olet valinnut, julkaise v=spf1 -all (mitään ei ole valtuutettu lähettämään) ja korvaa se vaiheessa 2. Se on tiukasti parempi kuin 121,145,609 verkkotunnuksen tietueeton tila (46.4% / 261,086,232 arvioidusta, päivätty 2026-06-29).
Tarvitsenko DKIM:iä jos SPF jo läpäisee? Kyllä. SPF hajoaa välityksessä suunnitelman mukaan, ja se validoi Return-Path-verkkotunnuksen, joka monilla työkaluilla ei ole sinun — linjautunut DKIM on se jalka, joka selviää molemmista. Vain 3.87% arvioiduista verkkotunnuksista suorittaa täydellisen SPF+DKIM+voimassa oleva DMARC -kolmikon (väestönlaskenta päivätty 2026-06-29); DKIM on se vaihe, jonka useimmat keskeyttäjät ohittavat. Aloita DKIM:n korjauksesta jos skannaus merkitsee sen.
Pitäisikö uuden verkkotunnuksen käyttää ~all vai -all?
Vakiintuneella verkkotunnuksella ~all on varovainen valinta unohdettujen lähettäjien löytämiseen. Uudella verkkotunnuksella ei ole sellaisia löydettävänä: kun palveluntarjoajasi include on sisällä ja DKIM allekirjoittaa, -all on turvallinen paljon aiemmin. Haluatko kaksinkertaisen varmuuden? Vahvista kahdella puhtaalla viikolla DMARC-raportteja ensin.
Kaikki kolme tietuetta läpäisevät — miksi sähköpostini menee silti roskapostiin? Koska todennus ja maine ovat eri asioita: läpäisevät tietueet tarkoittavat, että vastaanottajat voivat varmistaa sähköpostin olevan sinun, ei sitä, että he luottavat sinuun vielä. Uudet verkkotunnukset ansaitsevat luottamusta lähettämällä johdonmukaista, haluttua, pienvolyymaista sähköpostia ja lisäämällä vähitellen. Jos sähköposti epäonnistuu tarkistuksissa eikä vain päädy roskapostiin, aloita SPF:n korjauksesta ja etene skannauksen tuloksista alaspäin.
Lähetä omistajalle raportti
Jos perustat tämän verkkotunnuksen asiakkaalle, sulje työ todisteella. Aja ilmainen skannaus vaiheen 6 jälkeen ja lähetä arvioitu raportti yrityksen omistajalle: SPF, DKIM ja DMARC läpäisevät, selkokielisesti, päivättynä käynnistyshetkellä. Se on artefakti, jota he tarvitsevat kybervakuutuksen uusimiseen ja seuraavaan toimittajan turvallisuuskyselyyn — ja se todistaa, että verkkotunnus aloitti elämänsä tavalla, johon 96% internetistä ei koskaan pääse.
Tarkista verkkotunnuksesi → · P=none-tilasta p=reject-tilaan ilman laillisen sähköpostin menettämistä → · Vain koostettua dataa. Data tallennettu ja käsitelty EU:ssa.