Defaults.Exposed

Defaults.ExposedFikserGuides

Sette opp e-post på et nytt domene: 20-minutters-sjekklisten for SPF, DKIM og DMARC (2026)

Publisert 2026-07-08

Tall per 2026-06-29 · metodikk v7. Samlet sensusdata for 261 millioner graderte domener. Se hvordan vi graderer.

Et nytt domene trenger fire ting før den første e-posten: en grunnlagsskanning, én SPF-post som navngir din reelle leverandør, egendefinert-domene-DKIM-signering og en DMARC-post med rapportering på fra dag én. De fleste domener kommer aldri dit — 46.4% (121,145,609 av 261,086,232 graderte domener) har ingen SPF overhodet, ifølge Defaults.Exposed-sensus (per 2026-06-29).

Å publisere alt tar omtrent 20 minutter: skann for et grunnlag, legg til én SPF-post, slå på leverandørens egendefinerte-domene-DKIM, publiser DMARC p=none med en rapporteringsadresse, legg eventuelt til MTA-STS, skann deretter på nytt og behold rapporten. Det som tar lengre tid er det ingen sjekkliste kan framskynde — DNS-propagering og sendingsomdømme — og denne veiledningen er ærlig om begge.

Er 20 minutter virkelig nok?

For å publisere postene, ja — hvert trinn nedenfor er en DNS-oppføring pluss et par klikk i leverandørens adminkonsoll. To ting tar lengre tid, og å late som noe annet er slik nye domener havner i søppel:

Den ærlige påstanden: 20 minutter kjøper korrekt publisert autentisering. De neste ukene med fornuftig sending kjøper leverbarhet.

20-minutters-sjekklisten

  1. Kjør den gratis skanningen på defaults.exposed først. Skann det nye domenet før du rører DNS. Det graderte «ingenting konfigurert»-grunnlaget tar sekunder å fange og gjør etter-rapporten meningsfull — du vil ha par-med-og-etter (trinn 6).
  2. Publiser én SPF-post for din faktiske leverandør. Nøyaktig én TXT-post som starter v=spf1, som inneholder leverandørens include — for eksempel v=spf1 include:_spf.google.com ~all for Google Workspace, eller include:spf.protection.outlook.com for Microsoft 365; hvis DNS-en din er på et registrarpanel, dekker GoDaddy-gjennomgangen UI-quirksene. Én post bare: to v=spf1-poster er en permanent feil som ugyldiggjør SPF helt — tilstanden 1,013,416 domener sitter fast i, omtrent ett av 138 av domenene som forsøker SPF (sensus per 2026-06-29), vanligvis en migrasjonsgjenglemt. Ikke legg til includes «for sikkerhets skyld»: SPF begrenser DNS-oppslag til 10, og minst 797,263 domener har ugyldiggjort posten sin ved å sprenge det taket. Og vet hva SPF faktisk sjekker: mottakere evaluerer det mot Return-Path (RFC5321.MailFrom)-domenet — sprette-adressen — ikke Fra-overskriften mottakerne dine ser.
  3. Slå på egendefinert-domene-DKIM-signering. Leverandøren din signerer e-post uansett; spørsmålet er hvilket domene signaturen navngir. Inntil du fullfører dette trinnet, signerer Google Workspace med gappssmtp.com-standarden og Microsoft 365 med onmicrosoft.com — signaturer som består DKIM men ikke justerer med domenet ditt, slik at DMARC fortsatt feiler. Generer nøkkelen i adminkonsollen og publiser det leverandøren gir deg: en 2048-bit TXT-post for Google, to CNAME-er (selector1/selector2) for Microsoft 365. Hvis en post ikke passer i DNS-panelet ditt, se fiks DKIM — lange nøkler fordervet av brukergrensesnitt er en klassiker.
  4. Publiser DMARC fra dag én — p=none med en rapporteringsadresse. Én TXT-post på _dmarc.dittdomene.com: v=DMARC1; p=none; rua=mailto:[email protected]. Vær tydelig på hva dette gjør: p=none beskytter ingenting ennå — det er overvåkingsmodus. Men det koster ingenting, og aggregerte rapporter dekker deretter domenets sendingshistorikk fra den aller første meldingen. Etablerte domener bruker uker på rapportering bare for å oppdage avsendere de hadde glemt de hadde; du kjøper den synligheten gratis, fra dag null. Se fiks DMARC for postens anatomi.
  5. Valgfritt men billig på et nytt domene: MTA-STS og TLS-RPT. MTA-STS forteller sendende servere at domenet ditt krever TLS for innkommende e-post (en DNS-post pluss en liten hostet policy-fil); TLS-RPT rapporterer leveringskrypteringsfeil. På et etablert domene trenger disse forsiktighet; på et nytt domene med én e-postleverandør er det ingenting å bryte, og mode: testing er i utgangspunktet risikofri. Sett dem opp nå eller hopp over dem — men bestem deg, ikke driv.
  6. Skann på nytt og behold rapporten. Kjør skanningen igjen — SPF, DKIM og DMARC skal alle vise grønt. Lagre den graderte rapporten: datert bevis på domenets tilstand ved lansering, og nøyaktig det et forsikringsselskap eller kund-spørreskjema vil be om.

Hvor mange domener fullfører faktisk denne sjekklisten?

Svært få — og de fleste faller ved den første hindringen. Av de 261,086,232 domenene gradert i Defaults.Exposed-sensus (per 2026-06-29):

Sjekkliste-milepælSensus-virkelighet (av 261,086,232 graderte domener, per 2026-06-29)
Trinn 2 — publiser en SPF-post46.4% gjør det aldri: 121,145,609 domener har ingen SPF overhodet
Trinn 4+ — DMARC ved en håndhevende policy10.59% (27,640,987 domener); 89.41% har ingen håndhevet policy
Den fulle trien — SPF + DKIM + håndhevet DMARC3.87% (10,092,481 domener)

De 20 minuttene denne siden beskriver setter et splitter nytt domene foran omtrent 96% av internett på den fulle trien. SPF-adopsjons-modenhetsmodellen bryter ned hvert trinn på den stigen.

Hvor raskt kan et nytt domene nå p=reject?

Uker, ikke måneder — den genuint fordelen med å starte friskt. Det som gjør DMARC-håndhevelse sakte på etablerte domener er arv: den glemte CRM-koblingen, fakturaverktøyet noen koblet til i 2019, nyhetsbrevplattformen ingen dokumenterte. Hver må finnes i rapportene og fikses før policyen kan strammes — derav den standard måneder-lange utrullingen.

Et nytt domene har ingen arvede avsendere: du konfigurerte hver sendingskilde selv, denne uken, og trinn 4s rapporter vil bekrefte det. Kjør p=none i to til fire uker med ekte sending, sjekk at rapportene dekker alt du faktisk bruker (postkasser, fakturaer, kvitteringer, nettstedets kontaktskjema), flytt deretter til p=quarantine og videre til p=reject når de kjører rent. De trinnvise mekanikkene — pct-oppskaleringer, underdomene-policy, hva du skal se på — er i fra p=none til p=reject; på et nytt domene vil du bevege deg gjennom dem raskt, til et sted bare 10.59% av graderte domener har nådd.

Hva med det gamle domenet du erstatter?

Hvis dette nye domenet er en del av en rebranding, er domenet du forlater nå den største e-postrisikoen din: fortsatt ditt, fortsatt betrodd av motparter, ikke lenger overvåket. Ikke abandoner det — lås det ned eksplisitt. Det er sin egen korte jobb: det gamle domenet fra rebrandingen din er en dør du har latt stå åpen.

Ofte stilte spørsmål

Kan jeg publisere disse postene før jeg velger en e-postleverandør? DMARC, ja — p=none med rua er leverandøruavhengig, så publiser det den dagen du registrerer. SPF trenger leverandørens include; inntil du har valgt en, publiser v=spf1 -all (ingenting er autorisert til å sende) og erstatt det i trinn 2. Det er strengt bedre enn ingen-post-tilstanden 121,145,609 domener sitter i (46.4% av 261,086,232 graderte, per 2026-06-29).

Trenger jeg DKIM hvis SPF allerede består? Ja. SPF bryter ved videresending by design, og det validerer Return-Path-domenet, som for mange verktøy ikke er ditt — justert DKIM er beinet som overlever begge. Bare 3.87% av graderte domener fullfører den fulle SPF+DKIM+håndhevet-DMARC-trien (sensus per 2026-06-29); DKIM er trinnet de fleste som gir opp hopper over. Start på fiks DKIM hvis skanningen flagger det.

Bør et nytt domene bruke ~all eller -all? På et etablert domene er ~all det forsiktige valget mens du finner glemte avsendere. Et nytt domene har ingen å finne: når leverandørens include er inne og DKIM signerer, er -all trygt mye raskere. Vil du ha belte og bukseseler? Bekreft med to rene uker med DMARC-rapporter først.

Alle tre poster består — hvorfor havner e-posten min fortsatt i søppel? Fordi autentisering og omdømme er forskjellige ting: bestående poster betyr at mottakere kan verifisere at e-posten er din, ikke at de stoler på deg ennå. Nye domener tjener tillit ved å sende konsistent, ønsket, lav-volum e-post og skalere gradvis. Hvis e-post feiler sjekker i stedet for bare å havne i søppel, start på fiks SPF og arbeid deg ned i skannresultatene.

Send eieren rapporten

Hvis du setter opp dette domenet for en klient, avslutt jobben med bevis. Kjør den gratis skanningen på nytt etter trinn 6 og videresend den graderte rapporten til bedriftseieren: SPF, DKIM og DMARC bestått, på klart norsk, datert ved lansering. Det er artefakten de trenger for fornyelse av cyberforsikring og neste leverandørsikkerhetsspørreskjema — og det beviser at domenet startet livet på den måten 96% av internett aldri klarer.

Sjekk domenet ditt → · Fra p=none til p=reject uten å miste legitim e-post → · Kun aggregerte data. Data lagret og behandlet i EU.