Hvad er DKIM og SPF? Og hvordan man sætter det op?

Dette er alvorligt. Det handler om din e-mail-leveringsevne. Jeg ved fra min egen erfaring, at disse akronymer kan lyde ukendte, skræmmende og måske virke helt uinteressante. Eller måske lyder de bekendt, men du har aldrig interesseret dig nok til at tjekke, hvad de egentlig er.

Hver som helst er det på tide at lære lidt om, hvad SPF & DKIM er, og hvordan du sætter dem op i dine DNS-poster for din mailserver, hvis du vil have bedre kontrol over din e-mail-leveringsdygtighed.

Dette indlæg blev første gang offentliggjort den 1. september 2016, og opdateret den 14. juli 2020.

Jeg vil gøre mit bedste for at forklare det med enkle ord, som ikke kun programmører vil forstå.

Hvad er SPF? Hvordan virker SPF?

Simpelt sagt er Sender Policy Framework (SPF) en sikkerhedsmekanisme, der er oprettet for at forhindre de onde fyre i at sende e-mails på dine vegne. Mekanismen handler om kommunikation mellem DNS-servere … og det er her, at det hele begynder at lyde skræmmende! Men du skal ikke gå i panik. Jeg vil forsøge at holde det så simpelt som muligt.

Lad os sige, at du har sendt en e-mail til Bob. Men hvordan ved Bobs DNS-server, at e-mailen rent faktisk blev sendt af dig? Problemet er, at det gør den ikke rigtig. Medmindre du har SPF indstillet på din DNS-server.

SPF definerer, hvilke IP-adresser der kan bruges til at sende e-mails fra dit domæne. Så lad os forestille os to mulige server-“samtaler”. For at gøre det hele lettere antager vi, at dit navn er Mike.

Scenarie 1 – Du har ikke sat SPF op.

Mikes server: Hey, Bob’s server. Jeg har fået en ny besked fra Mike.
Bob’s server: Hej, Mike’s server. Hvad er din SPF?
Mike’s server: Ja, med hensyn til SPF… Det er egentlig ligegyldigt. Jeg har ikke en. Stol på mig, det er fra Mike.
Bob’s server: Hvis du ikke har SPF, kan jeg ikke være sikker på, at det var Mike, der sendte dette. Giv mig Mikes tilladte IP’er, så jeg kan sammenligne den med din.
Mikes server: Jeg har ikke listen over Mikes tilladte IP’er.
Bob’s server: Jeg har ikke listen over Mikes tilladte IP’er: Så vil jeg ikke have din besked. Delivery denied. Beklager, kammerat…

Scenarie 2 – Du har SPF opsat.

Mikes server: Hey, Bob’s server. Jeg har fået en ny besked fra Mike.
Bob’s server: Hej, Mike’s server. Hvad er din SPF?
Mike’s server: Sådan, her er min SPF. Der er en hel liste over IP’er, som Mike selv har erklæret som dem, der kan bruges på hans vegne.
Bob’s server: Ok, lad mig se… Og den besked, du har til mig, er sendt fra IP 64.233.160.19. Ok, den er på listen. Alt ser fint ud. Giv mig beskeden, så viser jeg den til Bob. Tak!

Jeg undskylder over for alle teknisk kyndige læsere af denne blog for denne uvidende oversimplificering. Tilgiv os dummere, og husk på, at vi misunder jer jeres superanalytiske sind.

Moralen i disse to korte dialoger er: indstil din SPF. Hvis du ikke gør det, kan du komme til at ligne en skurk, og ikke alle dine e-mails vil blive leveret.

Hvilke programmer skal du inkludere i din SPF?

Den generelle idé er at sørge for, at alle programmer, der sender e-mails på dine vegne (og som bruger deres egen SMTP, ikke din), er inkluderet i din SPF. Hvis du f.eks. bruger Google Apps til at sende e-mails fra dit domæne, skal du angive Google i din SPF. Her er Googles vejledning i, hvordan du gør dette.

Men det er vigtigt at sikre sig, hvis Google er den eneste app, som du skal “tillade” i din SPF. Vi bruger f.eks. HelpScout til at administrere vores supportmails og MailChimp til at sende vores nyhedsbreve. Vi inkluderer dem begge i vores SPF.

Bør du også inkludere Woodpecker i min SPF?

Nej. Som jeg nævnte, skal du huske at sætte de apps, der sender e-mails på dine vegne, men som bruger deres egen SMTP, ind i din SPF-record. Woodpecker bruger din SMTP til at sende dine e-mails, så det er mere en online e-mail-klient med superkræfter end en app, der sender masse-e-mails.

Det sagt, afhænger leverbarheden af de e-mails, der sendes fra Woodpecker, af dit domænes omdømme. Indstilling af SPF og DKIM vil hjælpe dig med at beskytte dit domænes gode omdømme og dermed forbedre leverbarheden af dine e-mails.

Hvordan opstiller du SPF-posten på din server trin for trin?

Det første skridt er at kontrollere, hvad din nuværende SPF-post er. Det kan du gøre ved hjælp af værktøjer som:

• MxToolbox
• Google Apps Toolbox

Når du skriver dit domæne der (jeg ville f.eks. skrive woodpecker.co), vil værktøjerne køre nogle tests og vise dig din nuværende SPF eller en meddelelse om, at den ikke er blevet indstillet endnu.

Afhængigt af din domænevært vil trinene være forskellige. I bund og grund handler det om at indsætte en korrekt struktureret tekstlinje på det rigtige sted i konsollen.

Hvis du f.eks. bruger Google Apps til at sende alle e-mails fra dit domæne, vil linjen se således ud:

“v=spf1 include:_spf.google.com ~all”

Den del af posten, der hedder “v=spf1”, kaldes versionen, og de dele, der kommer derefter, kaldes mekanismer.

Nu skal vi se, hvad hver del betyder præcist.

1. v=spf1 dette element identificerer posten som en SPF
2. include:_spf.google.com denne mekanisme omfatter mailservere, der er autoriserede servere
3. ~all denne angiver, at hvis en e-mail modtages fra en uautoriseret (ikke opført i “include:”-mekanismen) server, bliver den mærket som soft fail, hvilket betyder, at den kan blive lukket igennem, men kan blive markeret som spam eller mistænkelig.

Men hvis du bruger flere apps end det (f.eks. noget til at sende dit nyhedsbrev, noget til at sende dine supportmeddelelser osv.), bliver linjen lidt længere, fordi du bliver nødt til at inkludere alle de andre apps i den. Eller hvis du ikke bruger Google Apps, men en server fra en anden host, f.eks. GoDaddy, vil linjen se anderledes ud.

Her kan du se, hvordan du konfigurerer SPF for de mest almindelige domæneværter:

• Google
• Microsoft
• Zoho
• NameCheap
• GoDaddy
• Amazon SES

Og du kan se denne trin-for-trin-guide, hvor vores supportchef Julia forklarer, hvordan du gør:

Hvis du i øjeblikket bruger eller tester Woodpecker, og du ikke er sikker på, om din SPF er korrekt indstillet, kan du tjekke det direkte i appen: Gå til INDSTILLINGER > EMAILAKONTOER > LEVERINGSKRAFT (i venstre side) eller kontakt os på for at få individuel hjælp.

Send kraftfulde e-mails & boost svar

Hvad er DKIM?

DomainKeys Identified Mail (DKIM)-standarden er blevet oprettet af samme grund som SPF: for at forhindre de onde fyre i at udgive sig for at være dig som en e-mailafsender. Det er en måde at signere dine e-mails yderligere på en måde, der gør det muligt for modtagerens server at kontrollere, om afsenderen virkelig var dig eller ej.

Du tilføjer ved at indstille DKIM på din DNS-server en ekstra måde at fortælle dine modtagere “ja, det er virkelig mig, der sender denne besked”.

Hele idéen er baseret på kryptering og dekryptering af den ekstra signatur, der sættes i headeren af din besked. For at gøre det muligt skal du have to nøgler:

• den private nøgle (som er unik for dit domæne og kun er tilgængelig for dig. Den giver dig mulighed for at kryptere din signatur i dine meddelelsers overskrift).
• den offentlige nøgle (som du tilføjer til dine DNS-poster ved hjælp af DKIM-standarden, så din modtagers server kan hente den og dekryptere din skjulte signatur fra meddelelsernes overskrift).

Få Game of Thrones for at få det større billede af DKIM. Ned Stark sender en ravn med en besked til kong Robert. Alle kunne tage et stykke papir, skrive en besked og underskrive den Ned Stark. Men der er en måde at autentificere beskeden på – med et segl. Nu ved alle, at Ned’s segl er en direwolf (det er den offentlige nøgle). Men kun Ned har det originale segl og kan sætte det på sine meddelelser (det er den private nøgle).

Sætningen af DKIM er blot at sætte oplysningerne om den offentlige nøgle ind i din servers optegnelser. Det er også en txt-record, der skal sættes det rigtige sted.

Når du har sat det op, vil modtagerens server, hver gang nogen modtager en e-mail fra dig, forsøge at dekryptere din skjulte signatur ved hjælp af den offentlige nøgle. Hvis det lykkes, vil dette desuden autentificere din besked og dermed øge leveringsmulighederne for alle dine e-mails.

Hvordan opretter du DKIM-rekord på din server trin for trin?

Først skal du generere den offentlige nøgle. For at gøre det skal du logge ind på din e-mail-udbyders administrationskonsol. De næste trin kan variere afhængigt af din e-mail-udbyder.

Hvis du bruger Google Apps til at sende dine e-mails, er her en trin-for-trin-vejledning. Google Apps-e-mailbrugere skal vide, at DKIM-signaturerne som standard er slået fra, så du skal slå dem til manuelt i din Google Admin-konsol.

Når du har den offentlige nøgle, tager du den genererede txt-post og indsætter den det rigtige sted i dine DNS-poster.

Sluttelig skal du slå e-mail-signering til for at begynde at sende e-mails inklusive din signatur krypteret med din private nøgle. Her er hvordan du gør det, hvis du bruger Google Apps til at sende dine e-mails.

Sådan indstiller du DKIM i nogle af de andre domæneværter:

• Microsoft
• Zoho
• NameCheap

For at få flere oplysninger kan du se en videoguide, der forklarer, hvordan du gør det:

Hvis du i øjeblikket bruger Woodpecker og ikke har en it-medarbejder, som du kan bede om hjælp til SPF- og DKIM-indstillinger, kan du kontakte os på for at få noget individuel hjælp.

Hvis du gerne vil tjekke, om din SPF og DKIM er indstillet korrekt, kan du gøre det i appen: Gå til INDSTILLINGER > EMAILAKONTOER > LEVERINGSKRAFT (i venstre side).

Sæt SPF & DKIM op, og forbedr din leveringsegnethed

Hvis du sender mange e-mails, uanset om det er til markedsføring eller til indgående eller udgående salg, er dit domænes omdømme afgørende, og du bør passe rigtig godt på det. Du ønsker ikke, at dit domæne kommer på en sortliste, og at dine e-mails ender i spam. At indstille SPF- og DKIM-poster korrekt på din DNS-server er et nødvendigt skridt i retning af sikkerhed for dit domæne og høj leveringsegnethed for dine meddelelser.

Det kan virke kompliceret at opsætte det, men det er uden tvivl indsatsen værd. Hvis jeg var dig, ville jeg gå ind på min Woodpecker-konto og tjekke, om min SPF og DKIM er korrekt indstillet lige nu, eller bede mine it-folk om at gøre det (hvis du ikke er Woodpecker-bruger). Og hvis det viser sig, at svaret er “nej”, ville jeg bede dem om at hjælpe mig. Og jeg ville ikke lade dem spytte mig af. Ikke med denne her.

Kig også på disse fire indlæg om email deliverability:

• Hvad kan vi gøre for at øge vores cold email deliverability? >>
• Hvorfor opretter vi en særskilt postkasse til udgående kampagner? >>
• Svar på 8 ofte stillede spørgsmål om levering af e-mail >>>
• 14 kontroller af leveringsevne, som du skal udføre, før du sender din kolde e-mailkampagne >>>

Send stærke e-mails & boost svarene

Cathy Patalas

Chief Growth Officer hos Woodpecker.co

Cathy startede denne blog for længe siden, selvom det virker som om det var i går.