Defaults.Exposed › Åtgärder › Guides
Konfigurera e-post på en ny domän: 20-minuters checklistan för SPF, DKIM och DMARC (2026)
Publicerad 2026-07-08
Siffror från 2026-06-29 · metodik v7. Aggregerade censusdata över 261 miljoner graderade domäner. Se hur vi graderar.
En ny domän behöver fyra saker innan sin första e-post: en baslinjesökning, en SPF-post som namnger din riktiga leverantör, anpassad domän-DKIM-signering och en DMARC-post med rapportering från dag ett. De flesta domäner kommer aldrig dit — 46.4% (121,145,609 av 261,086,232 graderade domäner) har ingen SPF alls, enligt Defaults.Exposed-censuset (per 2026-06-29).
Att publicera allt tar ungefär 20 minuter: scanna för en baslinje, lägg till en SPF-post, slå på din leverantörs anpassade domän-DKIM, publicera DMARC p=none med en rapportadress, lägg eventuellt till MTA-STS, scanna sedan om och spara rapporten. Det som tar längre tid är vad ingen checklista kan skynda på — DNS-spridning och sändningsrykte — och den här guiden är ärlig om båda.
Räcker verkligen 20 minuter?
För att publicera posterna, ja — varje steg nedan är en DNS-post plus ett par klick i din leverantörs administrationskonsol. Två saker tar längre tid, och att låtsas annat är hur nya domäner hamnar i skräppost:
- Spridning. Nya poster löses vanligtvis upp inom minuter, men resolvers cachar per TTL och en nydelegererad domän kan ta timmar att svara konsekvent. Verifiera med
dig; panikredigera inte medan cacher hinner ikapp. - Uppvärmning. En ny domän har noll sändningsrykte, och autentisering är förutsättningen för rykte, inte ett substitut. Börja med låg, mänsklig volym och trappa upp gradvis över veckor.
Det ärliga påståendet: 20 minuter köper korrekt publicerad autentisering. De nästa veckorna av förnuftig sändning köper leveransbarhet.
20-minuterchecklistan
- Kör den kostnadsfria sökningen på defaults.exposed först. Scanna den nya domänen innan du rör DNS. Den graderade “ingenting konfigurerat”-baslinjen tar sekunder att fånga och gör efterrapporten meningsfull — du vill ha före-och-efter-paret (steg 6).
- Publicera en SPF-post för din faktiska leverantör. Exakt en TXT-post som börjar med
v=spf1, innehållande din leverantörs include — till exempelv=spf1 include:_spf.google.com ~allför Google Workspace, ellerinclude:spf.protection.outlook.comför Microsoft 365; om din DNS finns i en registrarpanel täcker GoDaddy-genomgången gränssnittets egenheter. Bara en post: tvåv=spf1-poster är ett permanent fel som ogiltigförklarar SPF helt — det tillstånd 1,013,416 domäner sitter fast i, ungefär en av 138 av domänerna som försöker med SPF (censuset per 2026-06-29), vanligtvis en migrations-kvarleva. Lägg inte till includes “för säkerhets skull”: SPF begränsar DNS-uppslag till 10, och minst 797,263 domäner har ogiltigförklarat sin post genom att blåsa upp den gränsen. Och känn till vad SPF faktiskt kontrollerar: mottagare utvärderar det mot Return-Path (RFC5321.MailFrom)-domänen — studsadressen — inte From-rubriken som dina mottagare ser. - Slå på anpassad domän-DKIM-signering. Din leverantör signerar e-post hur som helst; frågan är vilken domän signaturen namnger. Tills du slutför detta steg signerar Google Workspace med sin
gappssmtp.com-standard och Microsoft 365 medonmicrosoft.com— signaturer som godkänns med DKIM men inte anpassas till din domän, så DMARC misslyckas fortfarande. Generera nyckeln i administrationskonsolen och publicera vad leverantören ger dig: en 2048-bits TXT-post för Google, två CNAMEs (selector1/selector2) för Microsoft 365. Om en post inte får plats i din DNS-panel, se åtgärda DKIM — långa nycklar förvanskas av gränssnitt, ett klassiskt problem. - Publicera DMARC från dag ett —
p=nonemed en rapportadress. En TXT-post vid_dmarc.yourdomain.com:v=DMARC1; p=none; rua=mailto:[email protected]. Var tydlig med vad detta gör:p=noneskyddar ingenting ännu — det är övervakningsläge. Men det kostar ingenting, och aggregerade rapporter täcker sedan din domäns sändningshistorik från det allra första meddelandet. Etablerade domäner spenderar veckor av rapportering bara med att upptäcka avsändare de glömt att de hade; du köper den synligheten gratis, från dag noll. Se åtgärda DMARC för postens anatomi. - Valfritt men billigt på en ny domän: MTA-STS och TLS-RPT. MTA-STS talar om för sändande servrar att din domän kräver TLS för inkommande e-post (en DNS-post plus en liten hostad policyfil); TLS-RPT rapporterar leveransens krypteringsfel. På en etablerad domän behöver dessa försiktighet; på en ny domän med en e-postleverantör finns ingenting att bryta, och
mode: testingär i princip riskfritt. Konfigurera dem nu eller hoppa över dem — men bestäm aktivt, driv inte iväg. - Scanna om och spara rapporten. Kör sökningen igen — SPF, DKIM och DMARC bör alla visas gröna. Spara den graderade rapporten: daterat bevis på domänens tillstånd vid lansering, och exakt vad en försäkringsgivare eller klientfrågeformulär kommer att efterfråga.
Hur många domäner slutför faktiskt denna checklista?
Mycket få — och de flesta faller vid det första hindret. Av de 261,086,232 domänerna graderade i Defaults.Exposed-censuset (per 2026-06-29):
| Checklistmilstolpe | Censusverklighet (av 261,086,232 graderade domäner, per 2026-06-29) |
|---|---|
| Steg 2 — publicera någon SPF-post | 46.4% gör det aldrig: 121,145,609 domäner har ingen SPF alls |
| Steg 4+ — DMARC med en tillämpande policy | 10.59% (27,640,987 domäner); 89.41% har ingen tillämpad policy |
| Den fullständiga trian — SPF + DKIM + tillämpat DMARC | 3.87% (10,092,481 domäner) |
De 20 minuterna den här sidan beskriver sätter en helt ny domän före ungefär 96% av internet på den fullständiga trian. SPF-antagningens mognadsmodell bryter ner varje steg på den stegen.
Hur snabbt kan en ny domän nå p=reject?
Veckor, inte månader — den genuina fördelen med att börja från scratch. Det som gör DMARC-tillämpning långsam på etablerade domäner är arv: den bortglömda CRM-kopplingen, faktureringsverktyget som någon kopplade 2019, nyhetsbrevplattformen som ingen dokumenterade. Var och en måste hittas i rapporterna och åtgärdas innan policyn kan skärpas — därav den vanliga månader-långa utrullningen.
En ny domän har inga arv-avsändare: du konfigurerade varje sändningskälla själv, den här veckan, och steg 4:s rapporter bekräftar det. Kör p=none under två till fyra veckor av verklig sändning, kontrollera att rapporterna täcker allt du faktiskt använder (postlådor, fakturor, kvitton, webbplatsens kontaktformulär), flytta sedan till p=quarantine och vidare till p=reject när de kör rent. Den stegvisa mekaniken — pct-rampning, underdomänspolicy, vad man tittar på — finns i från p=none till p=reject; på en ny domän rör du dig igenom dem i hög hastighet, till en plats som bara 10.59% av graderade domäner nått.
Vad gäller den gamla domänen du ersätter?
Om den här nya domänen är en del av ett namnbyte är den domän du lämnar nu din största e-postrisk: fortfarande din, fortfarande betrodd av motparter, inte längre bevakad. Överge den inte — lås ner den uttryckligen. Det är ett eget kort jobb: den gamla domänen från ditt namnbyte är en dörr du lämnat öppen.
Vanliga frågor
Kan jag publicera dessa poster innan jag väljer en e-postleverantör?
DMARC, ja — p=none med rua är leverantörsoberoende, så publicera det den dag du registrerar. SPF behöver din leverantörs include; tills du valt en, publicera v=spf1 -all (ingenting är auktoriserat att skicka) och ersätt det i steg 2. Det är strikt bättre än det postlösa tillståndet 121,145,609 domäner sitter i (46.4% av 261,086,232 graderade, per 2026-06-29).
Behöver jag DKIM om SPF redan godkänns? Ja. SPF slutar fungera under vidarebefordring av design, och det validerar Return-Path-domänen, som för många verktyg inte är din — anpassad DKIM är det ben som överlever båda. Bara 3.87% av graderade domäner slutför den fullständiga SPF+DKIM+tillämpat-DMARC-trian (censuset per 2026-06-29); DKIM är steget de flesta som ger upp hoppar över. Börja på åtgärda DKIM om sökningen flaggar det.
Ska en ny domän använda ~all eller -all?
På en etablerad domän är ~all det försiktiga valet medan du hittar bortglömda avsändare. En ny domän har inga att hitta: när din leverantörs include är inne och DKIM signerar är -all säkert mycket snabbare. Vill du ha bälte och hängslen? Bekräfta med två rena veckors DMARC-rapporter först.
Alla tre poster godkänns — varför hamnar min e-post fortfarande i skräppost? Eftersom autentisering och rykte är olika saker: godkända poster innebär att mottagare kan verifiera att e-posten är din, inte att de litar på dig ännu. Nya domäner förtjänar förtroende genom att skicka konsekvent, önskad e-post i låg volym och trappa upp gradvis. Om e-post misslyckas med kontroller snarare än bara hamnar i skräppost, börja på åtgärda SPF och arbeta ner sökinresultaten.
Skicka ägaren rapporten
Om du konfigurerar den här domänen för en kund, avsluta jobbet med bevis. Kör om den kostnadsfria sökningen efter steg 6 och vidarebefordra den graderade rapporten till företagsägaren: SPF, DKIM och DMARC godkänt, på klarspråk, daterat vid lansering. Det är artefakten de behöver för cyberförsäkringsförnyelsen och nästa leverantörssäkerhetsenkät — och det bevisar att domänen startade livet på ett sätt som 96% av internet aldrig lyckas med.
Kontrollera din domän → · Från p=none till p=reject utan att förlora legitim e-post → · Enbart aggregerade data. Data lagras och behandlas inom EU.