Defaults.Exposed

Defaults.ExposedÅtgärderGuides

Mailchimp, Brevo eller Klaviyo-e-post misslyckas med DMARC? Slå på riktig domänautentisering (2026)

Publicerad 2026-07-08

Siffror från 2026-06-29 · metodik v7. Aggregerade censusdata över 261 miljoner graderade domäner. Se hur vi graderar.

Nyhetsbrevplattformar misslyckas med DMARC när de skickar “från” din domän utan att autentisera sig som din domän. Fixen är plattformens anpassade domänautentisering — dess DKIM-CNAMEs, plus en anpassad studs­domän där det erbjuds. Gapet är normalt: av 740,321 domäner som auktoriserar SendGrid tillämpar bara 18.0% DMARC, enligt Defaults.Exposed-censuset med 261,086,232 domäner (2026-06-29).

Fixen är ett par DNS-poster och tio minuter i plattformens inställningar. Nedan: varför plattformens delade autentisering slutade räcka i februari 2024, vilken switch du ska slå i Mailchimp, Brevo, Klaviyo och SendGrid, och fixstegen i ordning — inklusive att flytta bort från en gratismejl-From-adress, som ingen DNS-post kan rädda.

Varför misslyckas nyhetsbrev-e-post med DMARC när plattformen säger att allt är verifierat?

Eftersom plattformen autentiserade sig själv, inte dig. Direkt ur lådan skickar en ESP dina kampanjer med sin egna studs­domän på Return-Path, och signerar ofta DKIM med sin egna domän också. Mottagare utvärderar SPF mot Return-Path (RFC5321.MailFrom)-domänen, inte From-rubriken, så SPF godkänns rent… för plattformens domän.

DMARC bryr sig inte om SPF eller DKIM godkändes i abstrakta termer. Den frågar om någon av dem godkändes för domänen i din From-adress — den matchningen kallas anpassning. ESP:ns SPF-godkännande är på dess studs­domän, inte din; utan anpassad domän-DKIM är dess signatur på dess domän, inte din. Ingenting anpassas, så din From-domän misslyckas med DMARC — medan plattformens instrumentpanel visar gröna bockar, eftersom autentisering fungerar från dess perspektiv. Att slå på anpassad domänautentisering (DKIM signerat som din domän) är hela fixen. För de fullständiga anpassningsmekanikerna, se DMARC misslyckas men SPF och DKIM godkänns.

Vad förändrades i februari 2024?

Google och Yahoo började tillämpa bulk-avsändarkrav: anpassad autentisering för From-domänen, en publicerad DMARC-policy, ettpklicksavprenumeration och skräppostfrekvens-gränser. Genvägen med delad infrastruktur — åk med ESP:ns autentisering, skicka från vad som helst — slutade fungera. Två konsekvenser för nyhetsbrev-avsändare:

Den fullständiga kravuppsättningen finns i vår dataartikel om Google och Yahoos avsändarkrav.

Vad heter switchen i Mailchimp, Brevo, Klaviyo och SendGrid?

Varje plattform har samma funktion under ett annat namn. Det den alltid producerar är en liten uppsättning CNAME-poster för din DNS — det är hur du känner igen den, oavsett vad menyn säger.

PlattformFunktionsnamn (ungefär)Vad du lägger till i DNSNoteringar
MailchimpDomain authenticationDKIM-CNAMEs (k2._domainkey, k3._domainkey)Enbart DKIM-anpassning — Mailchimp använder inte längre ett SPF include; lägg inte till ett
BrevoAuthenticate your domainDKIM CNAME-uppsättning + verifieringspostVerifiera den aktuella postuppsättningen i Brevos dokumentation vid konfigurering
KlaviyoDedicated sending domainDKIM-CNAMEs + studs-(Return-Path-)underdomänDen dedikerade domänen ger dig SPF-anpassning också
SendGridDomain authentication (automated security)CNAME-uppsättning (DKIM + return-path)Inget SPF include behövs — CNAME-posterna täcker det

Två mönster värda att notera. Först: ingen av dessa plattformar vill att ett include: läggs till din SPF-post — modern ESP-autentisering är CNAME-delegerad, och ett överblivet include bränner bara DNS-uppslags­budget. Andra: CNAME-delegering är en funktion — plattformen roterar sina DKIM-nycklar bakom de delegerade namnen utan att du behöver röra DNS igen.

Hur åtgärdar du DMARC-misslyckanden för nyhetsbrev, steg för steg?

  1. Kör den kostnadsfria sökningen på defaults.exposed innan du rör DNS. Den visar din domäns live SPF-, DKIM- och DMARC-tillstånd, så att du kan se anpassningsgapet du är på väg att stänga.
  2. Slå på anpassad domänautentisering i plattformen (tabellen ovan). Det genererar CNAME-poster specifika för ditt konto.
  3. Lägg till CNAME-posterna i din DNS exakt som angivna. Det klassiska misstaget: DNS-paneler som automatiskt lägger till din zon, vilket gör k2._domainkey.yourdomain.com till k2._domainkey.yourdomain.com.yourdomain.com. Klistra in bara värd-delen om din panel lägger till domänen. Om plattformen senare rapporterar “no key for signature” landade inte selektor-posten — se DKIM “no key for signature”.
  4. Ange den anpassade studs­domänen (Return-Path) där plattformen erbjuder det. Det anpassar SPF-benet också, vilket ger DMARC två sätt att godkännas. Där det inte erbjuds (Mailchimp) är anpassad DKIM ensam ett fullständigt DMARC-godkännande — ett anpassat ben är allt DMARC kräver.
  5. Flytta din From-adress till din egna domän om den fortfarande är på gratismejl. [email protected], inte [email protected]. Ett krav, inte en preferens.
  6. Verifiera i plattformen, scanna sedan om. Vänta på att plattformens kontroll blir grön (DNS kan ta minuter till ett par timmar), skicka dig själv en kampanj och bekräfta att rubrikerna visar DKIM signerat av din domän. Arbeta sedan igenom allt annat som flaggas på sidan åtgärda DMARC — om din domän inte har någon DMARC-post alls är det de nästa tio minuterna.

Hur många nyhetsbrev-avsändare har detta rätt?

Censuset läser det från DNS-sidan: för varje plattform, hur många domäner auktoriserar den — och hur många av dessa skyddar den domän som skickar, enligt Defaults.Exposed-censuset med 261,086,232 domäner (2026-06-29).

Plattform (SPF-mål)Domäner som auktoriserar detDMARC-tillämpat
SendGrid (sendgrid.net)740,32118.0%
Mailgun (mailgun.org)1,306,69235.9%
Amazon SES (amazonses.com)551,44641.9%

Data från 2026-06-29-censuset. “DMARC-tillämpat” = den auktoriserande domänen publicerar p=quarantine eller p=reject.

Även i tabellens topp lämnar de flesta avsändare på professionella plattformar domänen oskyddad: 41.9% av de 551,446 domänerna som auktoriserar Amazon SES tillämpar DMARC, 35.9% av Mailguns 1,306,692 — och bara 18.0% av SendGrids 740,321. Infrastrukturen är professionell; domänskyddet är det för det mesta inte. Den fullständiga leverantörsligan — inklusive postlådevärdtjänster — finns i vilken e-postleverantör har de starkaste SPF-standarderna.

Vanliga frågor

Behöver jag lägga till Mailchimp i min SPF-post? Nej — och gör det inte. Mailchimp använder enbart DKIM-anpassning via sina k2/k3-CNAMEs och publicerar inte längre ett SPF include för kunder. Ett gammalt include:servers.mcsv.net gör ingenting för DMARC och slösar bort DNS-uppslags­budget; det anpassade benet här är DKIM.

Kommer domänautentisering att få mina nyhetsbrev ut ur skräppostmappen? Det tar bort den största orsaken — oanpassad e-post på en domän med en DMARC-policy — och det är ett hårt krav i Googles/Yahoos regler. Det åtgärdar inte listkvalitetsproblem: höga klagomålsfrekvenser och saknad ettpklicksavprenumeration håller e-post i skräppost även när autentisering är perfekt. Åtgärda autentisering först; det är den del som har ett definitivt svar.

Kan jag fortsätta skicka kampanjer från min @gmail.com-adress? Nej. Gratismejl-leverantörer publicerar strikta DMARC-policyer exakt så att ingen annan kan skicka som dem, och din ESP kan aldrig anpassas till gmail.com. Sedan februari 2024 avvisas eller skräppostas den e-posten i stor skala. En From-adress på din egna domän är den enda vägen.

Jag slog på domänautentisering — varför misslyckas DMARC fortfarande? Vanligtvis en av tre saker: CNAME-posterna förvanskas av en DNS-panel som lägger till zon (steg 3), kampanjens From-domän matchar inte den domän du autentiserade, eller en annan sändningskälla misslyckas parallellt med nyhetsbrevet. Av alla 261,086,232 domäner i 2026-06-29-censuset tillämpar bara 10.59% DMARC överhuvudtaget — om din gör det är du nära; scanna om och läs vilket ben som är oanpassat.

Gäller detta för små listor, under 5 000 e-postmeddelanden per dag? De striktaste trösklarna gäller formellt bulk-avsändare, men mottagare tillämpar autentiseringsgrunderna på alla, och ESP:er kräver nu domänautentisering oavsett volym. Behandla det som obligatoriskt: det är ett par DNS-poster, och det förhindrar att dina kampanjer slutar fungera den dag din lista växer.

Skicka ägaren rapporten

Om du åtgärdar detta för en kund — eller om du äger nyhetsbrevet men inte DNS — avsluta jobbet med bevis. Kör om den kostnadsfria sökningen efter att CNAME-posterna landat och vidarebefordra den graderade rapporten till företagsägaren: klarspråk, daterat, DMARC-anpassning åtgärdad. Det är artefakten som besvarar cyberförsäkringsförnyelsen och nästa kundsäkerhetsenkät — en dokumenterad före-och-efter, inte “jag klickade på några knappar i Mailchimp”.

Kontrollera din domän → · DMARC misslyckas men SPF och DKIM godkänns → · Åtgärda DMARC → · Åtgärda DKIM → · Hur vi graderar → · Enbart aggregerade data. Data lagras och behandlas inom EU.