Kontakta oss
Kontakta oss

Våra kontor

  • Stockholm
    Varuvägen 9
    125 34 Älvsjö, Sverige
Karriär hos Siteflow

Följ oss

Varför hamnar dina mejl i skräppost? SPF, DKIM och DMARC förklarat | Siteflow

Du skickar ett mejl till en kund. Det kommer aldrig fram. Eller — det kommer fram, men hamnar i skräpposten där ingen tittar. Det är en av de mest frustrerande sakerna med att driva företag idag, och nästan alltid har det inget med vad du skrev att göra. Det handlar om tre tekniska poster i din DNS som heter SPF, DKIM och DMARC. Här är vad de gör, varför Gmail och Outlook plötsligt blivit så hårda från 2024 och framåt, och hur du själv testar om din domän är rätt konfigurerad.

Varför mejl-leverans plötsligt blev ett problem 2024

Fram till för några år sedan kunde du skicka mejl från i princip vilken server som helst och det kom oftast fram. Spam-filter var slappa, autentisering var en rekommendation, inte ett krav.

Det förändrades i februari 2024. Google och Yahoo gick samman och publicerade gemensamma krav för alla som skickar mejl till deras användare. SPF och DKIM blev obligatoriskt för alla avsändare. DMARC blev obligatoriskt för alla som skickar fler än 5 000 mejl per dag. Bryter du mot kraven? Då hamnar dina mejl i skräpposten — eller släpps över huvud taget inte fram.

Microsoft följde efter under 2024 och har sedan dess skärpt sina egna krav på Outlook och Microsoft 365. Apple iCloud Mail tillämpar i praktiken samma logik. I praktiken: om du inte har SPF, DKIM och DMARC konfigurerade rätt 2026, är dina mejl ett leveransproblem som väntar på att inträffa.

Vad SPF, DKIM, DMARC och BIMI faktiskt gör

Du behöver inte förstå protokollen på djupet. Men du behöver veta vad de svarar på.

SPF (Sender Policy Framework) svarar på frågan: "Vilka servrar får skicka mejl å min domäns vägnar?" Det är en lista publicerad i din DNS som säger "Google Workspace får skicka, Mailchimp får skicka, men ingen annan." När Gmail tar emot ett mejl påstått från dittforetag.se slår de upp din SPF-post och kollar att det är en godkänd avsändare.

DKIM (DomainKeys Identified Mail) svarar på frågan: "Är det här mejlet manipulerat efter att det skickades?" Varje utgående mejl signeras kryptografiskt med en nyckel som bara din mejlserver har. Mottagaren verifierar signaturen mot en publik nyckel i din DNS. Stämmer det inte är mejlet förfalskat.

DMARC (Domain-based Message Authentication, Reporting and Conformance) svarar på frågan: "Vad ska mottagaren göra om SPF eller DKIM misslyckas?" Det är reglerna ovanpå SPF och DKIM. Du säger till världen: "Om något inte stämmer, släng mejlet." Eller "lägg i skräp." Eller "släpp igenom men rapportera till mig."

BIMI (Brand Indicators for Message Identification) är grädden på moset. Om SPF, DKIM och DMARC är på plats och du publicerar din logotyp som en BIMI-post, visar Gmail och Apple Mail din logo bredvid varje mejl du skickar. Det är gratis varumärkesexponering, men det fungerar bara om de tre andra fundamenten är på plats.

De fem vanligaste skälen att mejl hamnar i skräp

Vi har hjälpt hundratals svenska företag med leveransproblem och samma fem orsaker återkommer.

1. Saknad SPF. Den klassiska. Företaget bytte mejlleverantör för fem år sedan och ingen uppdaterade DNS. SPF pekar fortfarande på den gamla servern, eller saknas helt. Resultat: Gmail vet inte vem som får skicka som dig, och lägger allt i skräp.

2. Saknad DKIM. Många små företag har aldrig satt upp DKIM. Google Workspace och Microsoft 365 erbjuder det men det måste aktiveras manuellt — det sker inte automatiskt när du köper licensen. Utan DKIM kan ingen verifiera att mejlet är från dig på riktigt.

3. DMARC saknas eller står på p=none. Det är inte tillräckligt att bara ha en DMARC-post. Står den på p=none säger den i praktiken "gör vad du vill med misslyckade mejl." Många mottagarservrar tolkar det som att avsändaren inte tar autentisering på allvar och sänker reputation-poängen.

4. Du skickar från en generisk Gmail-adress istället för egen domän. Klassisk småföretagsfälla: "hej.dittforetag@gmail.com" istället för "hej@dittforetag.se." Inte bara ser det oprofessionellt ut — det signalerar också till mottagaren att du inte har infrastruktur för din egen domän. Vissa filter kategoriserar fri-Gmail-adresser som högrisk per default i B2B-kontext.

5. Tunga marketing-bilder, dålig text-bild-ratio och spam-trigger-ord. Ett mejl som är 90 procent bild och 10 procent text triggar nästan alla spam-filter. Likadant ord som "GRATIS," "ENORM RABATT," "AGERA NU" — särskilt i kombination med versaler och utropstecken. Filtren har sett mönstret miljarder gånger.

Hur en SPF-post ser ut

SPF är en enda TXT-post i din DNS. Här är ett exempel för ett företag som använder Google Workspace för internmejl och Mailchimp för nyhetsbrev:

v=spf1 include:_spf.google.com include:servers.mcsv.net ~all

Översatt: "Detta är SPF version 1. Google Workspace får skicka. Mailchimp får skicka. Alla andra — flagga som mjukt fel (~all)."

De include:-strängar du behöver beror på vilka leverantörer du använder. Vanligast i Sverige:

  • Google Workspace: include:_spf.google.com
  • Microsoft 365: include:spf.protection.outlook.com
  • Loopia: include:_spf.loopia.se
  • One.com: include:_spf.one.com
  • Mailchimp: include:servers.mcsv.net
  • SendGrid: include:sendgrid.net
  • Postmark: include:spf.mtasv.net

Viktigt: du får bara ha en enda SPF-post per domän. Har du två stycken — vilket ofta händer när någon lagt till en ny utan att ta bort den gamla — så ogiltigförklaras båda. Allt går till skräp.

Hur du testar din egen domän

Det enklaste sättet att se om din domän är korrekt konfigurerad är att köra den genom ett verktyg som slår upp SPF, DKIM, DMARC och BIMI på en gång och rapporterar i klartext vad som fattas.

Vi har byggt ett sådant verktyg och gjort det gratis: Siteflow Epost-Check. Skriv in din domän, vänta tre sekunder, få en rapport som säger exakt vad som är rätt och vad som är fel. Inget krav på registrering eller mejladress.

Vad du ser i rapporten:

  • SPF: Finns den? Pekar den rätt? Är ~all eller -all satt? Finns dubbla poster?
  • DKIM: Hittas en nyckel för din leverantörs selektor? Är nyckeln 2048 bitar (modernt) eller 1024 bitar (åldrande)?
  • DMARC: Finns posten? Vilken policy — none, quarantine, reject? Tar du emot rapporter?
  • BIMI: Har du publicerat en logotyp? Är den korrekt SVG-formaterad?

Det tar mindre tid att köra verktyget än att läsa den här artikeln. Om något är rött — fixa det innan nästa kampanj går ut. Verktyget finns på /verktyg/epost-check.

DMARC-policy: så går du från p=none till p=reject

DMARC har tre lägen, och du ska gå igenom dem i ordning. Att hoppa direkt till strikt blockering är farligt — du riskerar att din egen legitima mejltrafik avvisas innan du upptäckt vilka avsändare som behöver vara med på listan.

Steg 1 — p=none (de första 30 dagarna). Du publicerar DMARC men säger "rapportera bara, blockera inget." Du börjar få in rua=-rapporter från Gmail, Microsoft och andra som visar vilka servrar som skickar som din domän. Här upptäcker du ofta att det finns skuggsystem — gamla CRM, fakturasystem, formulärtjänster — som skickar för din räkning utan att SPF/DKIM stödjer dem.

Steg 2 — p=quarantine (efter 30 dagar). När du fixat alla legitima skuggavsändare flyttar du upp till "lägg misslyckade mejl i skräp." Mottagaren godtar dem men flaggar dem. Du fortsätter samla rapporter i ytterligare 30 dagar.

Steg 3 — p=reject (efter 60 dagar totalt). Slutsteget. Mottagare avvisar alla mejl som inte klarar SPF eller DKIM-verifiering. Nu är din domän skyddad mot förfalskning och din mejlreputation är maxad.

En enkel DMARC-post i steg 1 ser ut så här:

v=DMARC1; p=none; rua=mailto:dmarc@dittforetag.se; pct=100; adkim=s; aspf=s

I steg 3 byter du ut p=none mot p=reject. Resten kan stå kvar.

Vad du faktiskt vinner på att göra det här

Det är lätt att avfärda det här som teknisk hygien. Men för ett företag som lever på mejl — fakturor, offerter, nyhetsbrev, kundsupport — är det en av få saker som ger direkt mätbar avkastning:

  • Leveransbarhet upp 15-30 procent är typiskt efter SPF/DKIM/DMARC är på plats. Vi har sett kunder där öppningsfrekvensen på nyhetsbrev gick från 12 procent till 28 procent på två veckor — utan att en enda mejlrad ändrades.
  • Skydd mot domän-spoofing. När DMARC är på reject kan ingen utomstående skicka phishing-mejl som påstås vara från dig. Det skyddar dina kunder och ditt varumärke.
  • Krav från större kunder. Många upphandlingar i offentlig sektor och större företag kräver numera DMARC p=reject som leverantörskrav. Utan det är du diskvalificerad.

Vi gör det åt dig — på en eftermiddag

SPF, DKIM och DMARC är inte raketforskning, men det är heller inte något du vill experimentera med på en levande mejldomän. En enda felaktig DNS-rad kan stoppa all utgående mejl till alla kunder.

På Siteflow konfigurerar vi SPF, DKIM, DMARC och BIMI åt dig på en eftermiddag — analys av nuläget, korrekta DNS-poster, monitorering i 30 dagar, dokumentation för din IT-pärm. Fast pris 1 950 kr.

Skicka in din domän så börjar vi med en gratis analys redan idag. Testa själv först på /verktyg/epost-check — där ser du direkt vilket läge din domän är i.

FAQ

Hur lång tid tar det innan DNS-ändringar slår igenom? I praktiken 15 minuter till 4 timmar för de flesta leverantörer. Loopia och One.com brukar uppdatera inom en halvtimme. TTL-värdet i din DNS styr — har du 86400 sekunder kan det ta upp till ett dygn.

Kan jag ha SPF, DKIM och DMARC om jag bara använder Gmail för privat-domän? Ja, och du borde. Google Workspace har inbyggt stöd för alla tre och det tar 20 minuter att aktivera DKIM och DMARC i admin-konsolen.

Vad händer om jag glömmer DKIM helt? Med Google/Yahoos krav från 2024 räcker det inte längre med bara SPF. Du behöver båda. Saknar du DKIM kommer en växande andel av dina mejl till Gmail-användare hamna i skräp.

Måste mina nyhetsbrev från Mailchimp också signeras? Ja. Mailchimp, SendGrid, Brevo och liknande tjänster har egna DKIM-nycklar du måste publicera under din domän — inte deras. Det kallas oftast "authenticated sending domain" eller "domain authentication" i gränssnittet.

Påverkar BIMI faktiskt något, eller är det bara estetiskt? Studier visar 10-15 procent högre öppningsfrekvens när logotypen syns i inkorgen. Det är inte revolutionerande, men det är gratis när de andra tre är på plats.

Relaterade artiklar

Fler artiklar

Hemsida för restaurang 2026 — komplett guide | Siteflow

Allt restauranger behöver veta om sin hemsida 2026: meny, bokning, takeaway-integration, lokal SEO, foto, GBP. Konkreta exempel och pris-fakta.

Read more

Hemsida för frisör 2026 — så får du fler bokningar | Siteflow

Allt frisörer behöver för sin hemsida 2026: direktbokning, portfolio, Instagram-integration, prisinformation, lokal SEO + Google Business.

Read more

Berätta om ert projekt

Säg hej

Vårt kontor

  • Stockholm
    Varuvägen 9
    125 34 Älvsjö, Sverige