Hvorfor fejler DMARC trods SPF og DKIM?

Det skyldes ofte, at domænet i SPF eller DKIM-signaturen ikke stemmer overens med den synlige 'Fra'-adresse.

Påvirker alignment min leveringsevne?

Ja, manglende alignment er en af de hyppigste årsager til, at legitime B2B-mails ender i spamfilteret.

Hvad er DMARC alignment? Guide til SPF og DKIM match

Q: Hvad er forskellen på 'strict' og 'relaxed' alignment?

Strict alignment kræver et præcist match mellem domænerne, mens relaxed tillader brug af subdomæner.

Kort definition

DMARC alignment er den proces, hvor modtagerens mailserver verificerer, at domænet i "Fra"-adressen (den synlige afsender) stemmer overens med de domæner, der er godkendt i e-mailens SPF- og DKIM-signaturer. Uden korrekt alignment vil en e-mail fejle DMARC-tjekket, selvom både SPF og DKIM isoleret set er gyldige.

Hvad består DMARC alignment af?

Alignment handler om sammenhæng mellem tre tekniske identifikatorer. For at opnå "pass" skal mindst én af følgende være i overensstemmelse med det domæne, modtageren ser:

SPF Alignment (Return-Path): Domænet i den tekniske returadresse (Envelope From) skal matche domænet i den synlige "Fra"-adresse (Header From).
DKIM Alignment (d= tag): Domænet, der er brugt til at signere mailen digitalt, skal matche domænet i den synlige "Fra"-adresse.
Alignment Modes: Du kan vælge mellem relaxed (delvist match, f.eks. subdomæner tilladt) eller strict (1:1 præcist match).

For at sikre dette kræver det ofte en gennemgang af din SPF-opsætning, da mange tredjeparts-værktøjer sender fra deres egne domæner som standard.

Hvordan fungerer DMARC alignment?

Når en mail lander hos modtageren, udfører serveren følgende logik:

Identifikation: Serveren læser "Fra"-adressen (f.eks. salg@virksomhed.dk).
SPF-tjek: Den ser på Return-Path. Hvis det er bounce@marketing.dk, er der ikke umiddelbart alignment, medmindre man bruger "relaxed" mode og domænerne er relaterede.
DKIM-tjek: Den ser på signaturen. Hvis mailen er signeret af d=virksomhed.dk, er der perfekt alignment.
Konklusion: Hvis enten SPF- eller DKIM-domænet matcher "Fra"-domænet, er mailen "DMARC Aligned".

Dette er fundamentet for at kunne bruge avancerede funktioner som BIMI, da alignment sikrer, at brandet er den legitime afsender.

Hvorfor er DMARC alignment vigtigt?

I moderne B2B-marketing benytter vi mange værktøjer: HubSpot, Mailchimp, Salesforce og Outlook. Hvert værktøj sender teknisk set mailen på dine vegne. Hvis de ikke er konfigureret til alignment, vil modtagerens system (som Google eller Outlook) markere mailen som mistænkelig.

Korrekt alignment sikrer:

At dine outbound sales-kampagner ikke ender i "Promoveringer" eller spam.
Beskyttelse mod "spoofing", hvor hackere bruger dit domæne, men deres egen SPF/DKIM-infrastruktur.
Bedre sender reputation, da alle dine mails bliver set som en samlet, autoritativ kilde.

Hvordan bruges DMARC alignment i praksis?

I praksis betyder det, at du skal ind i dine marketingværktøjer og opsætte "Custom Mail From Domains" eller "DKIM Authentication".

Hvis du f.eks. sender fra info@firma.dk via et nyhedsbrevssystem, skal systemet konfigureres således, at det signerer med d=firma.dk i stedet for systemets eget domæne. Det er her, mange fejler i deres bounce management, fordi de glemmer at aligne returadressen med afsenderadressen.

Fordele og ulemper

Fordele:

Højere tillid: Modtagerens server er 100% sikker på afsenderens identitet.
Stærkere sikkerhed: Gør det umuligt for uvedkommende at omgå dine sikkerhedsindstillinger ved blot at bruge gyldige (men forkerte) SPF-records.

Ulemper:

Teknisk krævende: Det kræver konfiguration i hvert eneste system, din virksomhed bruger til at sende mails.
Sårbarhed over for fejl: En lille ændring i et subdomæne kan ødelægge din alignment og medføre, at mails bliver afvist under en DMARC "reject" politik.

Typiske misforståelser

"Hvis SPF er grøn, er alt godt": Nej, din SPF-record kan være teknisk korrekt, men hvis domænet i SPF ikke matcher din "Fra"-adresse, fejler DMARC pga. manglende alignment.
"Strict mode er altid bedst": Ikke nødvendigvis. Mange B2B-virksomheder bruger subdomæner (f.eks. marketing.firma.dk), og her er "relaxed" mode ofte mere praktisk for at undgå unødige afvisninger.
"Alignment sker automatisk": Sjældent. De fleste SaaS-løsninger kræver manuel opsætning af DNS-records for at opnå korrekt alignment.

FAQ

1. Hvad er forskellen på 'strict' og 'relaxed' alignment? 'Strict' kræver et 100% match (firma.dk = firma.dk). 'Relaxed' tillader, at et subdomæne (marketing.firma.dk) matcher hoveddomænet (firma.dk).

2. Hvorfor får jeg "DMARC fail", selvom jeg har SPF og DKIM? Det skyldes højst sandsynligt manglende alignment. Dine mails er teknisk godkendte, men de er ikke godkendte for det domæne, du udgiver dig for at sende fra.

3. Hvordan påvirker det mine Google Postmaster Tools tal? Hvis din alignment er dårlig, vil du se en lavere "Authentication" score i Google Postmaster Tools, hvilket direkte skader din leveringsevne til Gmail-brugere.

Med den rette dataplatform kan du bruge DMARC alignment til at identificere de mest relevante virksomheder, kvalificere leads og optimere din pipeline, så dit salg bliver mere præcist og effektivt.