SPF, DKIM ja DMARC: mitä ne ovat ja miksi tarvitset ne
SPF, DKIM ja DMARC ovat sähköpostin suojausteknologioita. SPF kertoo mitkä palvelimet saavat lähettää domainillasi. DKIM allekirjoittaa viestit digitaalisesti. DMARC yhdistää nämä ja kertoo mitä tehdä jos viesti ei läpäise tarkistuksia. Ilman näitä viestisi menevät roskapostiin ja domainillasi voidaan huijata.
Miksi nämä ovat tärkeitä?
- Viestit menevät perille: Gmail/Outlook hylkäävät viestit ilman SPF/DKIM
- Estät huijaukset: Kukaan ei voi lähettää viestejä sinun nimissäsi
- Mainehallinta: Huono sähköpostimaine vaikuttaa kaikkiin lähetyksiin
- Vaatimukset: Google ja Yahoo vaativat DMARC:n
SPF (Sender Policy Framework)
SPF on kuin ovimies joka tarkistaa: "Onko tämä palvelin listalla?" DNS-tietueessa kerrotaan mitkä palvelimet saavat lähettää @yrityksesi.fi -osoitteesta.
Esimerkki SPF-tietueesta
v=spf1 include:spf.protection.outlook.com include:_spf.google.com -allTämä sanoo: "Vain Microsoft 365:n ja Googlen palvelimet saavat lähettää. Hylkää muut."
DKIM (DomainKeys Identified Mail)
DKIM on kuin viestin sinetti. Lähettävä palvelin "allekirjoittaa" viestin salausavaimella. Vastaanottaja tarkistaa allekirjoituksen DNS:stä löytyvällä julkisella avaimella.
- Varmistaa viestin aitouden
- Varmistaa ettei viestiä ole muutettu matkalla
- M365/Google hoitaa automaattisesti, mutta tarkista asetukset
DMARC (Domain-based Message Authentication)
DMARC yhdistää SPF:n ja DKIM:in ja kertoo: "Mitä tehdä jos viesti ei läpäise tarkistuksia?"
DMARC-toiminnot
- none: Älä tee mitään, vain raportoi (aloitusvaihe)
- quarantine: Siirrä roskapostiin
- reject: Hylkää kokonaan (tiukin)
Esimerkki DMARC-tietueesta
v=DMARC1; p=quarantine; rua=mailto:dmarc-raportit@yritys.fi; pct=100Miten tarkistan nykytilanteen?
- Mene mxtoolbox.com
- Kirjoita domainisi (esim. yritys.fi)
- Valitse "SPF Record Lookup", "DKIM Lookup", "DMARC Lookup"
- Vihreä = OK, punainen = ongelma
Miten otan käyttöön?
Microsoft 365
- SPF: Lisää DNS:ään TXT-tietue:
v=spf1 include:spf.protection.outlook.com -all - DKIM: M365 Admin Center → Settings → Email authentication → DKIM → Enable
- DMARC: Lisää DNS:ään TXT-tietue:
v=DMARC1; p=none; rua=mailto:...
Google Workspace
- SPF: Lisää DNS:ään TXT-tietue:
v=spf1 include:_spf.google.com ~all - DKIM: Admin Console → Apps → Google Workspace → Gmail → Authenticate email
- DMARC: Lisää DNS:ään TXT-tietue
Suositeltu käyttöönottojärjestys
| Vaihe | Aika | Toimenpide |
|---|---|---|
| 1 | Viikko 1 | SPF käyttöön |
| 2 | Viikko 2 | DKIM käyttöön |
| 3 | Viikko 3 | DMARC p=none (seuranta) |
| 4 | 1 kk päästä | Analysoi raportit, korjaa ongelmat |
| 5 | 2 kk päästä | DMARC p=quarantine tai p=reject |
Yleiset virheet
- Ei mitään asetuksia: Viestit menevät roskapostiin, huijarit voivat käyttää domainiasi.
- Liian monta SPF-tietuetta: DNS:ssä saa olla vain yksi SPF. Yhdistä kaikki yhteen.
- DMARC heti reject-tilaan: Aloita none-tilasta ja seuraa ennen tiukentamista.
- Unohtuu kolmannet osapuolet: Uutiskirjepalvelu, CRM? Lisää ne SPF:ään.
- Ei seurata raportteja: DMARC-raportit kertovat ongelmista – lue ne.
Usein kysytyt kysymykset
Tarvitsenko kaikki kolme?
Kyllä. SPF yksin ei riitä, DKIM yksin ei riitä. DMARC yhdistää ne ja antaa vastaanottajalle selkeän ohjeen. Google/Yahoo vaativat kaikki kolme.
Mitä jos en osaa tehdä itse?
Pyydä apua IT-kumppanilta tai domain-palveluntarjoajalta. Tyypillinen työmäärä: 1–2 tuntia (70 €/h). Virhe DNS-asetuksissa voi katkaista sähköpostin kokonaan.
Miten tiedän toimiiko?
Lähetä testiviesti osoitteeseen kuten mail-tester.com. Saat arvosanan ja listan puutteista.
Lue myös
- Sähköpostin deliverability: miksi viestit menevät roskapostiin
- Microsoft 365 vs Google Workspace sähköpostiin
- Tietoturvan peruspaketti
- Sähköpostipalvelut →
Haluatko apua sähköpostin suojaukseen?
Tarkistamme SPF/DKIM/DMARC-asetukset ja korjaamme puutteet. 70 €/h.
Pyydä tarkistus