SPF=fail men DMARC=pass — er dette et problem?
Dette er ikke nødvendigvis et problem — det er nøyaktig hvorfor DMARC bruker både SPF og DKIM. Hvis ÉN av dem består med korrekt alignment, består DMARC.
Hvorfor skjer dette?
SPF feiler ofte ved videresending — mailing-lister, e-post-aliaser eller .forward-konfigurasjoner endrer Return-Path slik at SPF-sjekken hos mottaker ikke matcher. Dette er normalt og forventet.
Men DKIM-signaturen er kryptografisk — den følger meldingen gjennom videresending uten å bryte. Derfor består DKIM, og DMARC-kravet om at "minst én av SPF/DKIM må passere med alignment" blir oppfylt.
Hva er alignment?
DMARC krever at domenet i SPF eller DKIM samsvarer med From-domenet:
- SPF alignment: Return-Path-domenet matcher From-domenet
- DKIM alignment: DKIM-signatur-domenet (
d=) matcher From-domenet
Med aspf=r og adkim=r (relaxed, default) tillates subdomener — så DKIM-domain mail.dittfirma.no aligner med From [email protected].
Når er det faktisk et problem?
Hvis SPF=fail OG DKIM=fail: da feiler DMARC og e-posten avvises ved p=reject. Sjekk:
- SPF-record er korrekt og inkluderer alle dine avsendere
- DKIM er aktivert og signerer
- Alignment er korrekt (From-domenet matcher SPF/DKIM-domenet)
Best practice
Sørg for at DKIM alltid signerer korrekt. Da har du robust e-post-autentisering selv ved videresending. SPF-feil ved videresending er normalt og ikke noe å bekymre seg for så lenge DKIM passerer.
Sjekk om dette er fikset på domenet ditt
Gratis. Ingen registrering. Karakter A+ til F på 10 sekunder.
Sjekk eget domene →