Defaults.Exposed › Fikser › Guides
Sette opp e-post på et nytt domene: 20-minutters-sjekklisten for SPF, DKIM og DMARC (2026)
Publisert 2026-07-08
Tall per 2026-06-29 · metodikk v7. Samlet sensusdata for 261 millioner graderte domener. Se hvordan vi graderer.
Et nytt domene trenger fire ting før den første e-posten: en grunnlagsskanning, én SPF-post som navngir din reelle leverandør, egendefinert-domene-DKIM-signering og en DMARC-post med rapportering på fra dag én. De fleste domener kommer aldri dit — 46.4% (121,145,609 av 261,086,232 graderte domener) har ingen SPF overhodet, ifølge Defaults.Exposed-sensus (per 2026-06-29).
Å publisere alt tar omtrent 20 minutter: skann for et grunnlag, legg til én SPF-post, slå på leverandørens egendefinerte-domene-DKIM, publiser DMARC p=none med en rapporteringsadresse, legg eventuelt til MTA-STS, skann deretter på nytt og behold rapporten. Det som tar lengre tid er det ingen sjekkliste kan framskynde — DNS-propagering og sendingsomdømme — og denne veiledningen er ærlig om begge.
Er 20 minutter virkelig nok?
For å publisere postene, ja — hvert trinn nedenfor er en DNS-oppføring pluss et par klikk i leverandørens adminkonsoll. To ting tar lengre tid, og å late som noe annet er slik nye domener havner i søppel:
- Propagering. Nye poster løses vanligvis innen minutter, men resolvere cacher per TTL og et nylig delegert domene kan ta timer å svare konsekvent. Verifiser med
dig; ikke panikkrediger mens cacher ikker etter. - Oppvarming. Et nytt domene har null sendingsomdømme, og autentisering er forutsetningen for omdømme, ikke en erstatning. Start med lavt, menneskelig-skala volum og skaler gradvis over uker.
Den ærlige påstanden: 20 minutter kjøper korrekt publisert autentisering. De neste ukene med fornuftig sending kjøper leverbarhet.
20-minutters-sjekklisten
- Kjør den gratis skanningen på defaults.exposed først. Skann det nye domenet før du rører DNS. Det graderte «ingenting konfigurert»-grunnlaget tar sekunder å fange og gjør etter-rapporten meningsfull — du vil ha par-med-og-etter (trinn 6).
- Publiser én SPF-post for din faktiske leverandør. Nøyaktig én TXT-post som starter
v=spf1, som inneholder leverandørens include — for eksempelv=spf1 include:_spf.google.com ~allfor Google Workspace, ellerinclude:spf.protection.outlook.comfor Microsoft 365; hvis DNS-en din er på et registrarpanel, dekker GoDaddy-gjennomgangen UI-quirksene. Én post bare: tov=spf1-poster er en permanent feil som ugyldiggjør SPF helt — tilstanden 1,013,416 domener sitter fast i, omtrent ett av 138 av domenene som forsøker SPF (sensus per 2026-06-29), vanligvis en migrasjonsgjenglemt. Ikke legg til includes «for sikkerhets skyld»: SPF begrenser DNS-oppslag til 10, og minst 797,263 domener har ugyldiggjort posten sin ved å sprenge det taket. Og vet hva SPF faktisk sjekker: mottakere evaluerer det mot Return-Path (RFC5321.MailFrom)-domenet — sprette-adressen — ikke Fra-overskriften mottakerne dine ser. - Slå på egendefinert-domene-DKIM-signering. Leverandøren din signerer e-post uansett; spørsmålet er hvilket domene signaturen navngir. Inntil du fullfører dette trinnet, signerer Google Workspace med
gappssmtp.com-standarden og Microsoft 365 medonmicrosoft.com— signaturer som består DKIM men ikke justerer med domenet ditt, slik at DMARC fortsatt feiler. Generer nøkkelen i adminkonsollen og publiser det leverandøren gir deg: en 2048-bit TXT-post for Google, to CNAME-er (selector1/selector2) for Microsoft 365. Hvis en post ikke passer i DNS-panelet ditt, se fiks DKIM — lange nøkler fordervet av brukergrensesnitt er en klassiker. - Publiser DMARC fra dag én —
p=nonemed en rapporteringsadresse. Én TXT-post på_dmarc.dittdomene.com:v=DMARC1; p=none; rua=mailto:[email protected]. Vær tydelig på hva dette gjør:p=nonebeskytter ingenting ennå — det er overvåkingsmodus. Men det koster ingenting, og aggregerte rapporter dekker deretter domenets sendingshistorikk fra den aller første meldingen. Etablerte domener bruker uker på rapportering bare for å oppdage avsendere de hadde glemt de hadde; du kjøper den synligheten gratis, fra dag null. Se fiks DMARC for postens anatomi. - Valgfritt men billig på et nytt domene: MTA-STS og TLS-RPT. MTA-STS forteller sendende servere at domenet ditt krever TLS for innkommende e-post (en DNS-post pluss en liten hostet policy-fil); TLS-RPT rapporterer leveringskrypteringsfeil. På et etablert domene trenger disse forsiktighet; på et nytt domene med én e-postleverandør er det ingenting å bryte, og
mode: testinger i utgangspunktet risikofri. Sett dem opp nå eller hopp over dem — men bestem deg, ikke driv. - Skann på nytt og behold rapporten. Kjør skanningen igjen — SPF, DKIM og DMARC skal alle vise grønt. Lagre den graderte rapporten: datert bevis på domenets tilstand ved lansering, og nøyaktig det et forsikringsselskap eller kund-spørreskjema vil be om.
Hvor mange domener fullfører faktisk denne sjekklisten?
Svært få — og de fleste faller ved den første hindringen. Av de 261,086,232 domenene gradert i Defaults.Exposed-sensus (per 2026-06-29):
| Sjekkliste-milepæl | Sensus-virkelighet (av 261,086,232 graderte domener, per 2026-06-29) |
|---|---|
| Trinn 2 — publiser en SPF-post | 46.4% gjør det aldri: 121,145,609 domener har ingen SPF overhodet |
| Trinn 4+ — DMARC ved en håndhevende policy | 10.59% (27,640,987 domener); 89.41% har ingen håndhevet policy |
| Den fulle trien — SPF + DKIM + håndhevet DMARC | 3.87% (10,092,481 domener) |
De 20 minuttene denne siden beskriver setter et splitter nytt domene foran omtrent 96% av internett på den fulle trien. SPF-adopsjons-modenhetsmodellen bryter ned hvert trinn på den stigen.
Hvor raskt kan et nytt domene nå p=reject?
Uker, ikke måneder — den genuint fordelen med å starte friskt. Det som gjør DMARC-håndhevelse sakte på etablerte domener er arv: den glemte CRM-koblingen, fakturaverktøyet noen koblet til i 2019, nyhetsbrevplattformen ingen dokumenterte. Hver må finnes i rapportene og fikses før policyen kan strammes — derav den standard måneder-lange utrullingen.
Et nytt domene har ingen arvede avsendere: du konfigurerte hver sendingskilde selv, denne uken, og trinn 4s rapporter vil bekrefte det. Kjør p=none i to til fire uker med ekte sending, sjekk at rapportene dekker alt du faktisk bruker (postkasser, fakturaer, kvitteringer, nettstedets kontaktskjema), flytt deretter til p=quarantine og videre til p=reject når de kjører rent. De trinnvise mekanikkene — pct-oppskaleringer, underdomene-policy, hva du skal se på — er i fra p=none til p=reject; på et nytt domene vil du bevege deg gjennom dem raskt, til et sted bare 10.59% av graderte domener har nådd.
Hva med det gamle domenet du erstatter?
Hvis dette nye domenet er en del av en rebranding, er domenet du forlater nå den største e-postrisikoen din: fortsatt ditt, fortsatt betrodd av motparter, ikke lenger overvåket. Ikke abandoner det — lås det ned eksplisitt. Det er sin egen korte jobb: det gamle domenet fra rebrandingen din er en dør du har latt stå åpen.
Ofte stilte spørsmål
Kan jeg publisere disse postene før jeg velger en e-postleverandør?
DMARC, ja — p=none med rua er leverandøruavhengig, så publiser det den dagen du registrerer. SPF trenger leverandørens include; inntil du har valgt en, publiser v=spf1 -all (ingenting er autorisert til å sende) og erstatt det i trinn 2. Det er strengt bedre enn ingen-post-tilstanden 121,145,609 domener sitter i (46.4% av 261,086,232 graderte, per 2026-06-29).
Trenger jeg DKIM hvis SPF allerede består? Ja. SPF bryter ved videresending by design, og det validerer Return-Path-domenet, som for mange verktøy ikke er ditt — justert DKIM er beinet som overlever begge. Bare 3.87% av graderte domener fullfører den fulle SPF+DKIM+håndhevet-DMARC-trien (sensus per 2026-06-29); DKIM er trinnet de fleste som gir opp hopper over. Start på fiks DKIM hvis skanningen flagger det.
Bør et nytt domene bruke ~all eller -all?
På et etablert domene er ~all det forsiktige valget mens du finner glemte avsendere. Et nytt domene har ingen å finne: når leverandørens include er inne og DKIM signerer, er -all trygt mye raskere. Vil du ha belte og bukseseler? Bekreft med to rene uker med DMARC-rapporter først.
Alle tre poster består — hvorfor havner e-posten min fortsatt i søppel? Fordi autentisering og omdømme er forskjellige ting: bestående poster betyr at mottakere kan verifisere at e-posten er din, ikke at de stoler på deg ennå. Nye domener tjener tillit ved å sende konsistent, ønsket, lav-volum e-post og skalere gradvis. Hvis e-post feiler sjekker i stedet for bare å havne i søppel, start på fiks SPF og arbeid deg ned i skannresultatene.
Send eieren rapporten
Hvis du setter opp dette domenet for en klient, avslutt jobben med bevis. Kjør den gratis skanningen på nytt etter trinn 6 og videresend den graderte rapporten til bedriftseieren: SPF, DKIM og DMARC bestått, på klart norsk, datert ved lansering. Det er artefakten de trenger for fornyelse av cyberforsikring og neste leverandørsikkerhetsspørreskjema — og det beviser at domenet startet livet på den måten 96% av internett aldri klarer.
Sjekk domenet ditt → · Fra p=none til p=reject uten å miste legitim e-post → · Kun aggregerte data. Data lagret og behandlet i EU.