E-handelsekspert - Hvad er SPF og hvordan beskytter det dine emails

Forestil dig at nogen sender emails i din virksomheds navn uden din tilladelse. Det sker hver dag og kan ødelægge din renommé og din evne til at nå dine kunders indbakke. Heldigvis findes der en løsning med SPF.

Hvad er SPF (Sender Policy Framework)

SPF (Sender Policy Framework) er en email autentificerings standard der fortæller modtagende mail servere præcis hvilke email servere der har tilladelse til at sende emails på vegne af dit domæne. SPF kan sammenlignes med en gæsteliste til en eksklusiv klub, hvor mailserveren tjekker, om afsenderen har tilladelse til at bruge dit domænenavn.

SPF fungerer via en DNS TXT-record, som er en specifik tekstpost i dit domænes DNS-opsætning, der angiver de godkendte mailservere. Processen indebærer, at du opretter en SPF-record ved at tilføje en TXT-record til din DNS, som specificerer dine autoriserede mailservere. Når din mailserver sender en e-mail, kontrollerer modtagerens server afsenderadressen og slår dit domænes SPF-record op. Serveren sammenligner derefter afsenderens IP-adresse med de tilladte IP-adresser i din SPF-record, og e-mailen godkendes, hvis IP-adressen findes på listen, ellers afvises den.

En typisk SPF-record ser således ud: v=spf1 include:_spf.google.com include:sendgrid.net ~all. Her angiver v=spf1, at der er tale om en SPF version 1-record, include:_spf.google.com betyder, at Googles mailservere må sende fra dit domæne, include:sendgrid.net tillader SendGrids servere, og ~all giver alle andre servere en soft fail.

Hvorfor er SPF vigtigt for e-handel

I 2026 er SPF ikke længere en valgmulighed, men en nødvendighed for e-handelsvirksomheder. Korrekt autentificering er afgørende for at opnå en høj åbningsrate. Efter maj 2025 begyndte Microsoft Outlook at dirigere e-mails fra domæner, der ikke overholder standarderne, direkte til junk-mappen for afsendere, der sender over 5.000 e-mails dagligt. Gmail kræver SPF for bulk-afsendere, Yahoo afviser e-mails uden korrekt autentificering, og Apple Mail prioriterer autentificerede e-mails. Uden en korrekt SPF-opsætning risikerer du, at dine e-mails havner i spam-mappen, bliver afvist fuldstændigt eller aldrig når frem til dine kunder.

Ifølge Anti-Phishing Working Group steg phishing-angreb med 1.270 % i 2024, og 91 % af alle cyberangreb begynder med phishing-e-mails. SPF beskytter dit brand ved at forhindre kriminelle i at udgive sig for at være din virksomhed, beskytter dine kunder ved at mindske risikoen for, at de modtager falske e-mails fra dig, og beskytter dit omdømme ved at sikre, at dit domæne ikke associeres med spam. E-mailudbydere belønner domæner med korrekt autentificering, hvilket resulterer i en højere trustscore, bedre placering i indbakken og et mere robust omdømme, der beskytter mod blacklisting.

Sådan opsætter du SPF for dit domæne

For at implementere SPF skal du have adgang til din DNS-opsætning. Inden du opretter din SPF-record, er det vigtigt at identificere, hvilke tjenester der sender e-mails fra dit domæne, herunder din e-mailhosting som Google Workspace eller Microsoft 365, din webshop-platform, e-mailmarketingsoftware som Mailchimp eller Klaviyo, transaktionelle e-mailtjenester som SendGrid eller Postmark, CRM-systemer og supportsystemer med e-mailintegration. Sørg for at lave en fuldstændig liste, da manglende kilder vil resultere i, at deres e-mails afvises.

Start med grundstrukturen v=spf1 efterfulgt af mekanismer og qualifiers. Tilføj dine e-mailkilder med include-statements, og vælg derefter din qualifier, som er den sidste del af SPF-recorden. Qualifieren ~all (SoftFail) indikerer, at e-mails fra andre servere sandsynligvis ikke er legitime, men de leveres alligevel. -all (Fail) afviser alle e-mails fra andre servere, ?all (Neutral) angiver ingen politik om andre servere, og +all (Pass) tillader alle, hvilket du aldrig bør anvende. Start med ~all, og skift til -all, når du er sikker på, at din opsætning er korrekt.

Log ind på dit DNS-kontrolpanel hos din domæneregistrar eller hostingudbyder, tilføj en ny TXT-record med host @, som repræsenterer dit root-domæne, indtast din SPF-record som værdi, og sæt TTL til 3600 sekunder. Efter DNS-propagering, der typisk tager 1-24 timer, kan du verificere din SPF-record med onlineværktøjer som MXToolbox SPF Lookup, Google Admin Toolbox eller DMARCian SPF Inspector. Send derefter test-e-mails til Gmail, Outlook, Yahoo og din virksomhedsmail, og tjek e-mailheaders for at bekræfte SPF-pass.

Best practices for SPF

SPF er en del af en trio af autentificeringsstandarder, hvor SPF verificerer den afsendende server, DKIM tilføjer en kryptografisk signatur til e-mails, og DMARC angiver, hvad der skal ske, hvis SPF eller DKIM fejler. Sammen skaber de en stærk e-mailautentificering, der forbedrer leveringsdygtigheden betydeligt.

Når du tilføjer eller fjerner e-mailtjenester, skal du straks opdatere din SPF-record, fjerne gamle tjenester, du ikke længere bruger, og teste efter hver ændring. Forældede SPF-records kan få legitime e-mails til at fejle og efterlade sikkerhedshuller åbne. SPF-records er begrænset til 10 DNS-opslag, hvor hvert include tæller som et opslag. Hvis du overskrider de 10, fejler SPF automatisk, og dine e-mails afvises eller markeres som spam. Løsninger omfatter brug af ip4 og ip6 direkte, da de ikke tæller som opslag, konsolidering af tjenester, hvor det er muligt, eller overvejelse af SPF-flattening-tjenester.

Overvej at anvende separate underdomæner til forskellige e-mailtyper, såsom mail.ditdomæne.dk til din primære e-mail, newsletter.ditdomæne.dk til marketing-e-mails og noreply.ditdomæne.dk til transaktionelle e-mails. Dette letter administrationen af komplekse SPF-records, isolerer forskellige e-mailstrømme og diagnosticerer leveringsproblemer. Anvend DMARC-rapporter til at identificere, hvilke IP-adresser der fejler SPF, hvor mange e-mails der er berørt, og potentielle spoofing-forsøg.

Almindelige fejl at undgå

Du kan kun have én SPF-record pr. domæne. Flere records vil resultere i, at alle SPF-checks mislykkes, autentificering ophører, og e-mails ender i spam. Hvis du har flere e-mailkilder, skal du kombinere dem i én record med flere include-statements. Undgå at bruge +all i din SPF-record, da det signalerer til alle e-mailservere, at enhver kan sende fra dit domæne, hvilket eliminerer al den beskyttelse, SPF giver.

Hver gang du ændrer SPF, skal du vente på DNS-propagering, sende test-e-mails, tjekke e-mailheaders og verificere med onlineværktøjer, da selv en lille fejl kan stoppe alle dine e-mails. SPF er ikke tilstrækkeligt alene i 2026, da DKIM beskytter mod manipulation af e-mails, DMARC giver rapportering og håndhævelse, og e-mailudbydere forventer nu alle tre standarder.

Opsummering

Transaktionelle e-mails som ordrebekræftelser, forsendelsesnotifikationer og kvitteringer har en åbningsrate på 80-85 %. Hvis de ikke når frem, skader det dit brand alvorligt. Sørg for, at disse har en perfekt SPF-opsætning, test leveringsdygtigheden regelmæssigt, og hold nøje øje med bounce rates.

Populære platforme har vejledninger, hvor Shopify anvender deres egne servere og kræver SPF-include, WooCommerce er afhængig af din hosting, og Magento konfigureres via adminpanelet. Skærpede krav fra e-mailudbydere i 2026 har allerede resulteret i, at Microsoft Outlook sender e-mails, der ikke overholder standarderne, til junk, og at Google har strammet kravene til bulk-afsendere. Denne tendens vil fortsætte, og kravene vil kun blive strengere.

SPF (Sender Policy Framework) er en nødvendighed for e-handelsvirksomheder i 2026. Uden en korrekt SPF-opsætning risikerer du, at dine e-mails aldrig når dine kunders indbakke, at dit brand misbruges af svindlere, og at din kommunikation med kunderne lider. Brug tid på at konfigurere SPF korrekt sammen med DKIM og DMARC, da din e-mailleveringsdygtighed, dit brands sikkerhed og dine kunders tillid afhænger af det.