Vad är DKIM och varför behöver jag det?

DKIM (DomainKeys Identified Mail) är en kryptografisk signatur som din mailserver lägger på utgående mail. Mottagarens server verifierar signaturen mot en publik nyckel i din DNS — om den stämmer vet de att mailet faktiskt kommer från dig och inte är förfalskat. Utan DKIM kan mottagares spamfilter (särskilt Microsoft compauth) flagga ditt mail som misstänkt även när det är 100% legitimt.

Aktiveras DKIM automatiskt när jag köper Microsoft 365?

Nej. Microsoft 365 signerar utgående mail med onmicrosoft.com-DKIM by default — men inte med din egen domän. För att din anpassade domän (t.ex. ditt-foretag.se) ska få DKIM-signering måste en admin manuellt aktivera det i Defender + publicera två CNAME-poster i DNS. Mycket vanligt fel hos svenska SMB.

Vad händer om jag INTE har DKIM aktiverat?

Mottagares mailsystem (särskilt Microsoft Exchange Online) ser att din domän inte har DKIM-signering — och om du också saknar DMARC kan deras compauth-check markera ditt mail som fail. Resultat: ditt mail kan hamna i karantän, junk, eller varnas för som misstänkt i mottagarens säkerhetsverktyg (t.ex. Outlook-tillägg som RememberIT Mailgranskning).

Vad är skillnaden mellan SPF, DKIM och DMARC?

SPF säger vilka IP-adresser som får skicka mail från din domän. DKIM lägger en kryptografisk signatur på varje mail. DMARC är en policy som säger 'kräv att SPF eller DKIM aligna med min From-domän, annars gör X med mailet'. Alla tre behövs för full skyddseffekt. SPF + DKIM utan DMARC ger viss skydd; alla tre tillsammans = standard 2026.

Hur testar jag om DKIM är aktiverat på min domän?

Två sätt. (1) MxToolbox DKIM Lookup: skriv 'selector1' som selector och din domän — om CNAME-posten finns och är giltig visas den. (2) Skicka ett mail till en extern adress (Gmail/Outlook), öppna mailet, visa headers, leta efter 'Authentication-Results: dkim=pass header.d=ditt-foretag.se'. Om d=onmicrosoft.com istället för din domän → DKIM signerar inte med din anpassade domän än.

Behöver jag DKIM om jag bara har ett litet företag på 5 personer?

Ja. Storlek spelar ingen roll — det handlar om att mottagarna ska kunna lita på att mail från er kommer från er. Utan DKIM kan era kunders och leverantörers säkerhetsverktyg flagga era mail som misstänkta. Det är dessutom gratis att aktivera (ingår i alla M365-planer) och tar 30 minuter.

Kan jag bryta något genom att aktivera DKIM?

Risken är låg om du publicerar CNAME-posterna korrekt INNAN du slår på DKIM-signering i Defender. Då signerar Microsoft direkt med rätt nyckel. Om du slår på signering FÖRE CNAME har propagerat kan utgående mail få DKIM-fail under några timmar tills DNS uppdaterats. Best practice: publicera CNAME först, vänta 1 timme, kontrollera med MxToolbox, sedan aktivera.

Guide · Mailautentisering

DKIM i Microsoft 365 för svenska företag — så aktiverar du det

DKIM är en av tre piedlar i modern mailsäkerhet (vid sidan av SPF och DMARC) — men hos majoriteten av svenska små- och medelstora M365-tenanter är det inte aktiverat. Resultatet: era egna mail kan flaggas som misstänkta hos mottagarna, även när de är 100% legitima. Guiden visar vad DKIM är, varför det saknas så ofta, och hur du fixar det på 30 minuter.

Publicerad 2026-06-09 · Lästid ~8 min · Av Mattias Åslund

Vad är DKIM — kort förklarat

DKIM står för DomainKeys Identified Mail. När er mailserver skickar ett mail från ert-foretag.se lägger den på en kryptografisk signatur baserad på en privat nyckel som bara ni har. Mottagaren slår upp er publika nyckel i DNS:en och verifierar signaturen. Om den stämmer = mailet kommer faktiskt från er domän, oförändrat sedan ni skickade det.

Det är som en sigill på ett gammeldags brev — men kryptografiskt och omöjligt att fejka utan tillgång till nyckeln.

Varför saknas DKIM hos så många svenska SMB?

Microsoft 365 ger er en DKIM-signatur direkt — men med domänen onmicrosoft.com, inte er anpassade domän. För att DKIM ska signera med er egen domän (ert-foretag.se) måste en admin:

Aktivera det manuellt i Microsoft Defender.
Publicera två CNAME-poster i DNS:en.

Det är inget Microsoft slår på automatiskt vid setup. Mycket IT-leverantörer som sätter upp M365 hoppar över det här steget — och fem år senare har företaget fortfarande inte DKIM på sin domän.

Vår erfarenhet av kunder vi gör IT-säkerhetsutbildning åt: cirka 6 av 10 mindre svenska företag (5-50 anställda) saknar DKIM aktiverat när vi börjar samarbete. För större (100+) är det närmare 3 av 10.

Vad händer om DKIM saknas?

Era mail signeras inte. När mottagaren — särskilt om de också är på Microsoft 365 — får mailet körs Exchange Online's compauth-check (composite authentication). Den väger ihop SPF, DKIM och DMARC. Saknar ni DKIM och DMARC, eller har bara SPF utan alignment, kan compauth-resultatet bli compauth=fail.

Konsekvenser:

Mailet kan markeras som misstänkt i mottagarens spamfilter.
Mottagare kan se varningar i Outlook ("Detta mail kunde inte verifieras").
Säkerhetstillägg (som RememberIT Mailgranskning) varnar för avsändaren.
I värsta fall: mailet hamnar i karantän eller skräp.

Konkret exempel: vi har sett legitima mail från svenska SMB flaggas som "Hög risk" hos mottagaren just för att avsändaren saknar DKIM. Inte phishing — bara dålig setup.

Så aktiverar du DKIM — steg för steg

Steg 1: Öppna Defender DKIM-sidan

Logga in på security.microsoft.comsom global admin eller security admin. Navigera till:

Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM

Här ser ni en lista över alla anpassade domäner i er M365-tenant. Status visar "Sign messages for this domain with DKIM signatures: Off" för dem som inte är aktiverade.

Steg 2: Hämta CNAME-värdena

Klicka på er domän. Microsoft visar två CNAME-poster ni måste publicera i er DNS:

selector1._domainkey.ert-foretag.se pekar till selector1-ert-foretag-se._domainkey.er-tenant.onmicrosoft.com
selector2._domainkey.ert-foretag.se pekar till selector2-ert-foretag-se._domainkey.er-tenant.onmicrosoft.com

Logga in hos er DNS-leverantör (Loopia, Binero, GoDaddy, Cloudflare, One.com, Glesys eller liknande) och lägg in posterna. TTL 3600 är fine.

Steg 3: Vänta på propagering, slå på DKIM

DNS-ändringar tar 15-60 minuter (ibland upp till några timmar). Verifiera att CNAME:n är ute genom att köra:

nslookup -type=cname selector1._domainkey.ert-foretag.se

Alternativt: använd MxToolbox DKIM Lookupmed selector "selector1" och er domän.

När posterna syns: gå tillbaka till Defender DKIM-sidan, klicka på er domän, och slå på toggeln "Sign messages for this domain with DKIM signatures". Microsoft börjar signera utgående mail inom minuter.

Steg 4: Verifiera med ett testmail

Skicka ett mail från er domän till en extern Gmail-, Outlook- eller iCloud-adress. Öppna mailet hos mottagaren och visa headers (i Gmail: tre prickar → "Visa original"; i Outlook web: tre prickar → "Visa meddelandekälla").

Leta efter:

Authentication-Results: ... dkim=pass header.d=ert-foretag.se

Om d= är er anpassade domän → ni är klara. Om d= fortfarande är onmicrosoft.com→ DKIM signerar inte med er domän än, vänta lite till eller kontrollera att rätt domän är aktiverad i Defender.

Vanliga problem och deras lösningar

"CNAME-posten finns redan"

Ni hade tidigare DKIM på en annan mailserver (kanske från en gammal Exchange-hybrid eller tredjepartsutskickare). Ta bort den gamla posten först, lägg in Microsoft:s, vänta på propagering.

"DKIM=fail trots aktiverat"

Tre vanliga orsaker:

CNAME pekar till fel målet. Kontrollera att tenant-ID:n i målet matchar er M365-tenant.
Mailet går via tredjepart (HubSpot, Mailchimp, Salesforce, en annan mailutskickare). De signerar med sin egen DKIM-domän. Då måste ni antingen aktivera DKIM hos dem för er domän, eller acceptera att de mailen inte alignar.
Avsändaradressen är från en annan domän än ni signerar. T.ex. om ni mailar från foo@ert-foretag.com men har DKIM på ert-foretag.se.

"DKIM aktiverat men compauth=fail ändå"

Compauth väger ihop SPF + DKIM + DMARC + alignment. Om DKIM passerar men From-domänen inte alignar med DKIM-signerings- domänen kan compauth ändå failas. Vanligast: mailet skickas via en tredjepartstjänst som signerar med sin egen domän. Lösning: aktivera DKIM hos den tjänsten för er From-domän.

Var DKIM passar in i ett komplett mail-säkerhets-setup

DKIM ensam räcker inte — komplett 2026-setup är:

SPF — säger vilka IP-adresser som får skicka i ert namn. Publicerad som TXT-post i DNS.
DKIM — kryptografisk signatur (det här inlägget handlar om).
DMARC — policy som säger "om SPF eller DKIM inte alignar, gör X". Publicerad som TXT-post på _dmarc.ert-foretag.se.

Start: börja med p=none (övervaka utan att blockera). Efter 2-4 veckors observation av rapporter: gå till p=quarantine. När ni är säkra: p=reject.

Hur RememberIT Mailgranskning ser DKIM-problem

Vi byggde RememberIT Mailgranskning så att den läser Authentication-Results-headern Exchange Online skriver på varje inkommande mail. När er mottagares Mailgranskning analyserar ett mail från er domän:

Om DKIM=pass + DMARC=pass → noll varning.
Om DKIM saknas men SPF=pass + ingen DMARC → "Lågrisk-varning" (avsändaren har ofullständig setup, men inga spoof-indikatorer).
Om DKIM=fail + DMARC=fail → "Medel-varning" (kan vara spoofing eller fel-konfig).
Om HIGH_PROTECTION-domän (banker, BankID, Skatteverket) failar → "Hög-varning".

Det är en del av varför vi rekommenderar våra kunder att aktivera DKIM tidigt — inte bara för säkerheten, utan för att era egna kunder och leverantörer inte ska se varningar på legitima mail från er.

Sammanfattning

DKIM ingår i Microsoft 365 men är AV by default för anpassade domäner.
~60% av svenska SMB med 5-50 anställda saknar DKIM-aktiverat.
Aktivering: 30 minuter via Defender + två CNAME-poster i DNS.
Effekten: era egna mail flaggas inte längre som misstänkta hos mottagarna.
För full skydds-effekt: kombinera med SPF + DMARC.

Vill ni se hur ert utgående mail bedöms idag?

Testa demo av RememberIT Mailgranskning — öppna ett mail från er egen domän och se exakt vad Microsofts compauth-check säger om er DKIM/SPF/DMARC-setup. Tar 30 sekunder.

Eller starta en trial — RememberIT Security Training inkluderar nano-kurser och Mailgranskning för hela teamet. 19-29 kr per användare per månad.