Defaults.Exposed

Defaults.ExposedFikserGuides

Mailchimp, Brevo eller Klaviyo-e-poster feiler DMARC? Slå på ekte domeneautentisering (2026)

Publisert 2026-07-08

Tall per 2026-06-29 · metodikk v7. Samlet sensusdata for 261 millioner graderte domener. Se hvordan vi graderer.

Nyhetsbrevplattformer feiler DMARC når de sender «fra» domenet ditt uten å autentisere som domenet ditt. Fiksen er plattformens egendefinerte domeneautentisering — dens DKIM CNAME-er, pluss et egendefinert sprette-domene der det tilbys. Gapet er normalt: av 740,321 domener som autoriserer SendGrid, håndhever bare 18.0% DMARC, ifølge Defaults.Exposed-sensus over 261,086,232 domener (2026-06-29).

Fiksen er noen DNS-poster og ti minutter i plattformens innstillinger. Nedenfor: hvorfor plattformens delte autentisering sluttet å være nok i februar 2024, hvilken bryter å slå på i Mailchimp, Brevo, Klaviyo og SendGrid, og fiksestegene i rekkefølge — inkludert å flytte bort fra en fripost-Fra-adresse, som ingen DNS-post kan redde.

Hvorfor feiler nyhetsbrev-e-post DMARC når plattformen sier at alt er bekreftet?

Fordi plattformen autentiserte seg selv, ikke deg. Ut av boksen sender en ESP kampanjene dine med sitt eget sprette-domene på Return-Path, og signerer ofte DKIM med sitt eget domene også. Mottakere evaluerer SPF mot Return-Path (RFC5321.MailFrom)-domenet, ikke Fra-overskriften, slik at SPF bestås rent… for plattformens domene.

DMARC bryr seg ikke om SPF eller DKIM bestod i det abstrakte. Den spør om enten den ene bestod for domenet i Fra-adressen din — den matchingen kalles justering. ESP-ens SPF-pass er på sprette-domenet, ikke ditt; uten egendefinert-domene-DKIM er signaturen på domenet, ikke ditt. Ingenting justerer, slik at Fra-domenet ditt feiler DMARC — mens plattformens dashbord viser grønne haker, fordi fra dens ståsted fungerer autentisering. Å slå på egendefinert domeneautentisering (DKIM signert som ditt domene) er hele fiksen. For de fullstendige justerings-mekanikkene, se DMARC feiler men SPF og DKIM er OK.

Hva endret seg i februar 2024?

Google og Yahoo begynte å håndheve masseavsenderkrav: justert autentisering for Fra-domenet, en publisert DMARC-policy, ett-klikks avmelding, og spamrategrenser. Snarvegen via delt infrastruktur — ri ESP-ens autentisering, send fra hva som helst — sluttet å fungere. To konsekvenser for nyhetsbrev-avsendere:

Det fullstendige kravsettet er i dataartikkelen vår om Google og Yahoo avsenderkravene.

Hva kalles bryteren i Mailchimp, Brevo, Klaviyo og SendGrid?

Alle plattformer har den samme funksjonen under et annet navn. Hva den alltid produserer er et lite sett CNAME-poster for DNS-en din — det er slik du gjenkjenner den, uansett hva menyen sier.

PlattformFunksjonsnavn (omtrentlig)Hva du legger til i DNSMerknader
MailchimpDomeneautentiseringDKIM CNAME-er (k2._domainkey, k3._domainkey)Bare DKIM-justering — Mailchimp bruker ikke lenger en SPF include; ikke legg til en
BrevoAutentiser domenet dittDKIM CNAME-sett + bekreftelsespostBekreft det gjeldende postsettet i Brevos dokumentasjon ved oppsett
KlaviyoDedikert sendingsdomeneDKIM CNAME-er + sprette (Return-Path)-underdomeneDet dedikerte domenet gir deg SPF-justering også
SendGridDomeneautentisering (automatisert sikkerhet)CNAME-sett (DKIM + return-path)Ingen SPF include nødvendig — CNAME-ene dekker det

To mønstre verdt å merke seg. Først, ingen av disse plattformene vil ha en include: lagt til SPF-posten din — moderne ESP-autentisering er CNAME-delegert, og en tilbakeværende include brenner bare DNS-oppslagsbudsjett. For det andre, CNAME-delegering er en funksjon: plattformen roterer DKIM-nøklene sine bak de delegerte navnene uten at du rører DNS igjen.

Hvordan fikser du DMARC-feil for nyhetsbrev, steg for steg?

  1. Kjør den gratis skanningen på defaults.exposed før du rører DNS. Den viser domenets live SPF-, DKIM- og DMARC-tilstand, slik at du kan se justeringsgapet du er i ferd med å lukke.
  2. Slå på egendefinert domeneautentisering i plattformen (tabellen over). Den genererer CNAME-poster spesifikke for kontoen din.
  3. Legg til CNAME-ene i DNS-en nøyaktig som gitt. Den klassiske feilen: DNS-paneler som auto-legger til sonen din, og gjør k2._domainkey.dittdomene.com om til k2._domainkey.dittdomene.com.dittdomene.com. Lim bare inn vertsdelen hvis panelet legger til domenet. Hvis plattformen senere rapporterer «no key for signature», landet ikke velger-posten — se DKIM «no key for signature».
  4. Sett det egendefinerte sprette-domenet (Return-Path) der plattformen tilbyr ett. Dette justerer SPF-beinet også, og gir DMARC to måter å bestå på. Der det ikke tilbys (Mailchimp), er justert DKIM alene et fullstendig DMARC-pass — ett justert ben er alt DMARC krever.
  5. Flytt Fra-adressen til ditt eget domene hvis den fortsatt er på fripost. [email protected], ikke [email protected]. Et krav, ikke en preferanse.
  6. Bekreft i plattformen, og skann deretter på nytt. Vent på at plattformens sjekk blir grønn (DNS kan ta minutter til noen timer), send deg selv en kampanje, og bekreft at overskriftene viser DKIM signert av ditt domene. Arbeid deretter gjennom alt annet flagget på siden fiks DMARC — hvis domenet ditt ikke har noen DMARC-post overhodet, er det de neste ti minuttene.

Hvor mange nyhetsbrev-avsendere har faktisk dette riktig?

Sensus leser det fra DNS-siden: for hver plattform, hvor mange domener autoriserer den — og hvor mange av de beskytter domenet som sender, ifølge Defaults.Exposed-sensus over 261,086,232 domener (2026-06-29).

Plattform (SPF-mål)Domener som autoriserer denDMARC-håndhevet
SendGrid (sendgrid.net)740,32118.0%
Mailgun (mailgun.org)1,306,69235.9%
Amazon SES (amazonses.com)551,44641.9%

Data per 2026-06-29-sensus. «DMARC-håndhevet» = det autoriserende domenet publiserer p=quarantine eller p=reject.

Selv øverst i tabellen lar de fleste avsendere på profesjonelle plattformer domenet stå ubeskyttet: 41.9% av de 551,446 domenene som autoriserer Amazon SES håndhever DMARC, 35.9% av Mailguns 1,306,692 — og bare 18.0% av SendGrids 740,321. Infrastrukturen er profesjonell; domene-beskyttelsen er det for det meste ikke. Den fulle leverandørligaen — postkassevertene inkludert — er i hvilken e-postleverandør har den sterkeste SPF.

Ofte stilte spørsmål

Trenger jeg å legge til Mailchimp i SPF-posten min? Nei — og ikke gjør det. Mailchimp bruker bare DKIM-justering via k2/k3-CNAME-ene og publiserer ikke lenger en SPF include for kunder. En gammel include:servers.mcsv.net gjør ingenting for DMARC og kaster DNS-oppslagsbudsjett; det justerte beinet her er DKIM.

Vil domeneautentisering få nyhetsbrevene ut av søppelmappen? Den fjerner den største årsaken — unjustert e-post på et domene med en DMARC-policy — og det er et hardt krav fra Google/Yahoo-reglene. Det vil ikke fikse listekvalitetsproblemer: høye klagerater og manglende ett-klikks avmelding holder e-post i søppel selv når autentisering er perfekt. Fiks autentisering først; det er delen med et bestemt svar.

Kan jeg fortsette å sende kampanjer fra @gmail.com-adressen min? Nei. Fripostleverandører publiserer strenge DMARC-policyer nettopp slik at ingen andre kan sende som dem, og ESP-en din kan aldri justere med gmail.com. Siden februar 2024 avvises eller søppelkategoriseres den e-posten i stor skala. En Fra-adresse på ditt eget domene er den eneste veien.

Jeg slo på domeneautentisering — hvorfor feiler DMARC fortsatt? Vanligvis én av tre ting: CNAME-ene ble klusset med av et sone-leggende-til DNS-panel (trinn 3), kampanjens Fra-domene samsvarer ikke med domenet du autentiserte, eller en annen sendingskilde feiler ved siden av nyhetsbrevet. Av alle 261,086,232 domener i 2026-06-29-sensus, håndhever bare 10.59% DMARC overhodet — hvis ditt gjør det, er du nær; skann på nytt og les hvilket ben som er unjustert.

Gjelder dette for små lister, under 5 000 e-poster om dagen? De strengeste tersklene gjelder formelt for masseavsendere, men mottakere anvender autentiseringsgrunnlaget for alle, og ESP-er krever nå domeneautentisering uansett volum. Behandle det som obligatorisk: det er noen DNS-poster, og det stopper kampanjene dine fra å bryte den dagen listen vokser.

Send eieren rapporten

Hvis du fikser dette for en klient — eller du eier nyhetsbrevet men ikke DNS — fullfør jobben med bevis. Kjør den gratis skanningen på nytt etter at CNAME-ene lander og videresend den graderte rapporten til bedriftseieren: enkelt norsk, datert, DMARC-justering fikset. Det er artefakten som svarer på fornyelse av cyberforsikring og neste kund-sikkerhets-spørreskjema — en dokumentert før-og-etter, ikke «Jeg klikket noen knapper i Mailchimp».

Sjekk domenet ditt → · DMARC feiler men SPF og DKIM er OK → · Fiks DMARC → · Fiks DKIM → · Hvordan vi graderer → · Kun aggregerte data. Data lagret og behandlet i EU.