Sådan sætter du DKIM op i Gmail for dit domæne

Har du nogensinde undret dig over, hvorfor dine ellers helt uskyldige nyhedsbreve pludselig havner i modtagerens spammappe? Eller måske har du oplevet det modsatte mareridt: at dit domæne bliver misbrugt af spammere til at sende falske e-mails i dit navn

Heldigvis findes der en relativt simpel, men ekstremt effektiv, løsning: DomainKeys Identified Mail - bedre kendt som DKIM.

I denne guide på IT Forum Danmark viser vi dig, trin for trin, hvordan du aktiverer DKIM i Gmail for dit eget domæne via Google Workspace. Du får ikke kun bedre leveringsrate og et stærkere brand, du beskytter også både dig selv og dine kunder mod spoofing-angreb.

Lyder det teknisk? Bare rolig. Vi starter helt fra bunden med, hvad DKIM egentlig er, hvad du skal have klar, og hvordan det spiller sammen med SPF og DMARC. Derefter guider vi dig gennem Google Admin-konsollen og dit DNS-panel, før vi runder af med test, fejlfinding og de bedste praksisser.

Klar til at få dine mails sikkert igennem og holde svindlere ude? Lad os komme i gang!

Sådan sætter du DKIM op i Gmail for dit domæne

Hvad er DKIM, og hvad skal du have klar?

DKIM står for DomainKeys Identified Mail og er en åben standard, der krypterer en digital signatur ind i headeren på hver afgående e-mail. Når modtagerens server validerer signaturen mod den offentlige nøgle, du offentliggør i din DNS, ved den to ting:

E-mailen kommer virkelig fra dit domæne og er ikke blevet ændret undervejs.
Afsenderen har tilladelse til at sende på domænets vegne.

Det betyder færre beskeder i spamfilteret, højere leveringsrate og markant bedre beskyttelse mod spoofing og phishing. Samtidig scorer du point i de store mailudbyderes algoritmer, der måler på domænets omdømme.

Gmail (privat) vs. Google workspace

Hvis du sender fra en gratis @gmail.com-adresse, håndterer Google allerede DKIM for dig - du kan ikke ændre eller forbedre det. Kører du derimod Google Workspace med dit eget domæne (@ditfirma.dk), er bolden på din banehalvdel: Du skal selv publicere den offentlige nøgle i DNS og aktivere DKIM i admin.google.com.

Hvad skal du have klar, før du går i gang?

Adgang til domænets DNS-zone
Du skal kunne oprette eller redigere TXT-records hos din DNS-udbyder (One.com, Simply, Cloudflare, osv.). Har du et domæne via en webhost, foregår det ofte i et kontrolpanel som cPanel eller Plesk.
Google Workspace administratorrettigheder
Kun en super-admin kan generere, aktivere eller rotere DKIM-nøgler i Google Admin-konsollen.
Beslutning om nøglestørrelse
Google tilbyder 1024- og 2048-bit. Vælg 2048-bit - det er for længst best practice, og alle moderne DNS-udbydere understøtter længden. Har du ældre infrastruktur, bør du tjekke, at TXT-records på op til 255 tegn pr. segment (Google opdeler automatisk) er tilladt.
Overblik over øvrige mailsendere
Bruger du Mailchimp, SendGrid eller lignende på samme domæne, skal de hver især have deres egen DKIM-record (ofte anden selector). Lav et hurtigt servicetjek, så du undgår konflikt.
Samspil med SPF og DMARC
DKIM står sjældent alene. SPF fortæller, hvilke servere der må sende på domænets vegne, mens DMARC definerer, hvad der skal ske, hvis SPF eller DKIM fejler, og sender rapporter, så du kan overvåge misbrug. En komplet opsætning betyder:
- SPF-record (v=spf1 include:_spf.google.com -all)
- DKIM-record (den, du genererer om lidt)
- DMARC-policy (v=DMARC1; p=quarantine; rua=mailto:dmarc@ditdomæne.dk;)
Når alle tre spiller sammen, opnår du både høj leveringsrate og en stærk beskyttelse mod domænemisbrug.

Har du styr på punkterne ovenfor, er du klar til selve opsætningen - og den tager som regel under 15 minutter.

Trin-for-trin: Opsæt DKIM for dit domæne i Google Admin og DNS

Følg nedenstående trin, så er du i mål med DKIM i løbet af få minutter.

Log ind i Google Admin-konsollen
Gå til admin.google.com og log ind som super-administrator.
Find DKIM-opsætningen
Navigér til:
Apps › Google Workspace › Gmail › Godkend e-mail (Authenticate email)
Vælg det domæne, du ønsker at beskytte, i dropdown-listen.
Generér din offentlige DKIM-nøgle
1. Klik “GENERÉR NY REGISTRERING”.
2. Vælg nøglestørrelse: 2048-bit er Googles anbefaling.
3. Vælg en selector - fx google (skriv kun selve navnet).
4. Klik “GENERÉR” og kopiér den lange TXT-værdi, der starter med v=DKIM1; k=rsa; p=.

Opret TXT-posten hos din DNS-udbyder

Log ind hos din domæneregistrar eller DNS-tjeneste og tilføj en ny TXT-post:

Felt	Værdi	Bemærkninger
Host / Name / Sub-domain	`google._domainkey`	Nogle udbydere kræver hele domænet: `google._domainkey.ditdomæne.dk`
Type	TXT
TTL	300 - 3600 sek.	Kort TTL gør test hurtigere.
Value / Content	`v=DKIM1; k=rsa; p=MIGfMA0G... (meget lang streng)`	Split strengen i 255-tegns blokke, hvis din DNS-udbyder kræver det.

Gem posten. Regn med 5 minutter til flere timer, før DNS er fuldt udbredt.

Aktivér DKIM i Google Admin
Gå tilbage til Google Admin-vinduet og klik “START GODKENDELSE” (Start authentication). Google slår nu op i DNS og bekræfter, at din TXT-post findes.
Bekræft status
Efter få sekunder bør statussen skifte til “DKIM i brug”. Hvis ikke, så tjek:

Har du valgt den samme selector?
Er TXT-værdien korrekt (ingen ekstra anførselstegn eller linjeskift)?
Er DNS ændringen udbredt (TXT-lookup)?

Gode dkim-tips til dns

Brug altid 2048-bit RSA med mindre en ældre udbyder kun understøtter 1024-bit.
Når TXT-værdien er > 255 tegn, skal den inddeles i anførselstegns-afgrænsede blokke, fx:
"v=DKIM1; k=rsa; p=MIGfMA0G..." "AQAB"
Nogle DNS-paneler kalder feltet “Host”, andre “Name” eller “Alias” - princippet er det samme.
Har du flere afsendende tjenester (Mailchimp, SendGrid m.fl.), så giv hver sin egen selector - de kan eksistere sideløbende.

Når ovenstående er gennemført, er din udgående Gmail-trafik signeret med DKIM, og du er klar til næste skridt: at teste og finpudse med DMARC.

Test, fejlfinding og bedste praksis

Send en test-mail
Send en e-mail fra din Google-konto til en Gmail-adresse (det kan være dig selv).
Åbn “Vis original”
I den modtagne mail vælger du de tre prikker (flere muligheder) → Vis original.
Søg efter linjen DKIM-Signature og sektionen Authentication-Results. Her skal der stå:
dkim=pass header.i=@ditdomæne.dk
Eksterne værktøjer
Kopiér meddelelsens Message-ID eller hele raw-headeren og indsæt i fx:
- MXToolbox DKIM Lookup
- dmarcian DKIM Inspector

2. Fejlfinding - De mest almindelige problemer

DNS-udbredelse
Det kan tage fra få minutter til 48 timer før en ny TXT-post er synlig globalt. Tjek med nslookup -type=TXT selector._domainkey.ditdomæne.dk.
Forkert selector
Sørg for at selector-navnet i DNS matcher præcis det du valgte i Google Admin (fx google). I headeren vil du se dkim=fail (bad signature), hvis der er mismatch.
Linjeskift og anførselstegn
Lange TXT-strenge må gerne deles op i citationstegn hver 255 tegn, men ingen utilsigtede mellemrum eller semikolonner må fjernes.
Flere e-mailtjenester
Tredjepartssendere som Mailchimp, SendGrid, Campaign Monitor m.fl. kræver deres egne DKIM-nøgler. Lad Googles selector hedde fx google og tredjepartens mc, sg osv. Konflikt viser sig ofte som dkim=neutral (no key).
Forkert domæne
Hvis du bruger aliasser eller send as, skal domænet i afsender-adressen have en gyldig nøgle - ellers fejler signaturen.

3. Bedste praksis, så du ikke behøver fejlfinde igen

Brug altid 2048-bit nøgler - ældre 1024-bit kan blive afvist af strenge mailfiltre.
Roter nøgler årligt (eller oftere) for at begrænse risikoen ved kompromitterede nøgler.
Hold separat DKIM pr. tjeneste - én selector pr. afsendende platform giver let udskiftning uden nedetid.
Kombinér med SPF og DMARC
• SPF sikrer at afsenders IP er autoriseret.
• DMARC dikterer hvad der sker ved DKIM/SPF-fejl (none, quarantine, reject) og sender rapporter, så du kan overvåge misbrug.
Start fx med v=DMARC1; p=none; rua=mailto:dmarc@ditdomæne.dk og skru senere op til reject.
Kontroller efter ændringer - hver gang du ændrer DNS, udbyder eller tilføjer nye afsendere, kør en hurtig DKIM-test.