Sähköposti

Oma domain sähköposti: miten yhdistät verkkotunnuksen ja postilaatikon

Käytännön opas pk-yrittäjälle: MX, A, CNAME, SPF, DKIM ja DMARC selitettynä. DNS-asetukset Cloudflaressa, Domainkeskuksessa ja Loopiassa, 15-30 minuutissa.

Olli Junes · · 7 min

Oma domain ja oma sähköposti ovat pk-yritykselle perusvarustusta. [email protected] rakentaa luottamusta tavalla, johon [email protected] ei pysty. Tekninen toteutus jää silti monella puolitiehen, koska DNS-tietueet näyttävät paperilla salakieliseltä. Tämä opas käy läpi mitä jokainen tietue tarkoittaa, miten ne asetetaan kolmessa yleisessä hallintapaneelissa ja missä järjestyksessä kannattaa edetä.

Mistä on kyse: domain, hosting ja postilaatikko ovat eri asioita

Verkkotunnus eli domain on osoite (yritys.fi). Webhotelli on paikka, jossa sivustosi tiedostot sijaitsevat. Sähköpostipalvelu on erillinen järjestelmä, joka ottaa vastaan ja lähettää viestejä. Nämä kolme voivat olla samalla toimittajalla tai eri toimittajilla, ja DNS-tietueet kertovat internetille mikä palvelu hoitaa mitäkin.

Käytännössä tilanne menee yleensä näin: domain on rekisteröity Domainkeskuksessa tai Loopiassa, sivusto pyörii Resahostissa tai omalla VPS:llä, ja sähköposti hoidetaan Google Workspacella tai Microsoft 365:llä. DNS-tietueet ovat sopimus, joka kytkee nämä toisiinsa.

Neljä tietuetta jotka pitää ymmärtää

A-tietue: mihin IP:hen verkkotunnus osoittaa

A-tietue kertoo että yritys.fi löytyy IP-osoitteesta 46.62.136.42. Tämä on tietue, joka ohjaa selaimen oikealle palvelimelle kun joku kirjoittaa osoitteen. Sähköpostin kannalta A-tietuetta tarvitaan käytännössä vain siksi, että jotkin vanhat järjestelmät käyttävät sitä varatietueena jos MX puuttuu.

MX-tietue: mihin sähköposti reititetään

MX (Mail Exchange) on sähköpostin ydin. Se kertoo mille palvelimelle yritys.fi-domainille tulevat viestit toimitetaan. Yhdellä domainilla voi olla useita MX-tietueita prioriteettijärjestyksessä — pienempi numero on tärkeämpi.

Google Workspacen tyypillinen MX-konfiguraatio näyttää tältä:

yritys.fi.  MX  1   smtp.google.com.

Microsoft 365:n vastaava on muotoa yritys-fi.mail.protection.outlook.com. Resahostin oma sähköpostiympäristö käyttää mail.resahost.net-osoitetta. Tärkeää on se, että MX-tietueet osoittavat aina palvelimen nimeen, eivät IP-osoitteeseen.

CNAME: alias toiselle nimelle

CNAME on alias. Se sanoo että www.yritys.fi on sama kuin yritys.fi, tai että mail.yritys.fi on sama kuin ghs.googlehosted.com. Sähköpostin yhteydessä CNAMEa käytetään DKIM-allekirjoituksen julkaisemiseen ja autodiscover-osoitteisiin, joiden avulla sähköpostiohjelmat löytävät asetukset automaattisesti.

TXT: tekstimuotoinen metadata (SPF, DKIM, DMARC)

TXT-tietue on vapaamuotoinen teksti. Sähköpostin tietoturva nojaa kolmeen TXT-tietueeseen:

  • SPF (Sender Policy Framework) — lista palvelimista, jotka saavat lähettää viestejä yritys.fi-domainin nimissä.
  • DKIM (DomainKeys Identified Mail) — kryptografinen allekirjoitus, joka todistaa että viesti tuli oikealta lähettäjältä eikä sitä ole muutettu matkalla.
  • DMARC (Domain-based Message Authentication) — käytäntö, joka kertoo vastaanottajalle mitä tehdä jos SPF tai DKIM epäonnistuu.

Patchstackin ja Valimailin datan mukaan 84 prosentilta maailman aktiivisista lähettävistä domaineista puuttuu DMARC-tietue kokonaan. Suomessa tilanne on vielä karumpi: vain 8,9 prosenttia .fi-domaineista on DMARC-suojattu. Se on rivi tekstiä, joka päättää väärentyykö brändisi nimi seuraavassa toimitusjohtajahuijauksessa vai ei.

DNS-asetukset hallintapaneelissa: kolme esimerkkiä

Cloudflare

Cloudflare on yleisin valinta jos haluat ilmaisen DNS:n ja CDN-tason suorituskyvyn. Kirjautumisen jälkeen valitse domain, sitten DNS → Records. Lisää tietueet:

  • Type: MX, Name: @, Mail server: smtp.google.com, Priority: 1, Proxy status: DNS only
  • Type: TXT, Name: @, Content: v=spf1 include:_spf.google.com ~all
  • Type: TXT, Name: google._domainkey, Content: pitkä julkinen avain, jonka Google Workspace antaa konsolissa
  • Type: TXT, Name: _dmarc, Content: v=DMARC1; p=quarantine; rua=mailto:[email protected]

Cloudflaren oranssi pilvi pitää olla pois päältä (DNS only) sähköpostiin liittyvissä tietueissa. Jos jätät proxyn päälle, MX-liikenne ei kulje oikein.

Domainkeskus

Domainkeskuksen hallintapaneelissa polku on Domainit → valitse domain → Nimipalvelut → DNS-tietueet. Lisäys-painike avaa lomakkeen, jossa tyyppi valitaan pudotusvalikosta. SPF- ja DMARC-tietueissa nimi-kenttään tulee joko tyhjä (juuri) tai _dmarc. Tallennus astuu voimaan tyypillisesti 10-15 minuutissa, koska Domainkeskus käyttää lyhyttä TTL-arvoa.

Loopia

Loopian asiakaspaneelissa valitaan Domainit → DNS-editori. Käyttöliittymä on samankaltainen, mutta MX-tietueessa palvelimen nimen perään pitää lisätä piste (smtp.google.com.), muuten Loopia tulkitsee sen suhteelliseksi nimeksi domainin alta. Tämä on klassinen sudenkuoppa, joka saa MX-tietueen näyttämään päältäpäin oikealta mutta estää sähköpostin saapumisen.

Yleisimmät virheet ja miten ne korjataan

NotebookLM:n analyysi pk-yritysten DNS-virheistä paljasti toistuvan kaavan. Nämä ovat ne kuusi, jotka tulevat eteen useimmin:

  1. SPF-tietue puuttuu kokonaan. Lähetetyt viestit menevät vastaanottajan roskapostiin. Korjaus: lisää v=spf1 include:_spf.google.com ~all.
  2. Useita SPF-tietueita samalla domainilla. RFC kieltää tämän, ja vastaanottaja hylkää koko todennuksen. Korjaus: yhdistä kaikki include-osat yhdeksi tietueeksi: v=spf1 include:_spf.google.com include:spf.mailgun.org ~all.
  3. DMARC asetettu p=none ja unohdettu. Patchstackin mukaan 68 prosenttia DMARC-tietueista on jätetty tähän tilaan, joka ei suojaa miltään. Korjaus: kerää raportteja 2-4 viikkoa, sitten siirry p=quarantine-tilaan.
  4. DMARC-tietueesta puuttuu v=DMARC1-versiotunniste. 94 prosenttia virheellisistä DMARC-tietueista kaatuu tähän. Tietueen pitää alkaa täsmälleen näin: v=DMARC1; p=quarantine; rua=mailto:[email protected].
  5. DKIM-avain on katkennut copy-pasten yhteydessä. Hallintapaneelit lisäävät joskus rivinvaihtoja pitkän avaimen keskelle. Korjaus: liitä avain yhtenä rivinä, ilman välilyöntejä avain-jonon sisällä.
  6. MX-tietue osoittaa IP-osoitteeseen palvelimen nimen sijasta. Tämä toimii hetkellisesti mutta hajoaa heti kun palveluntarjoaja vaihtaa palvelinta. Korjaus: aseta MX aina hostname-muotoon.

Testaus: mistä tiedät että asetukset toimivat

DNS-muutos näkyy yleensä 15-30 minuutissa, joskus tunteja. Testaa tässä järjestyksessä:

  1. Avaa terminaali ja aja dig MX yritys.fi. Jos saat takaisin oikean palvelimen nimen, MX on paikallaan.
  2. Aja dig TXT yritys.fi ja tarkista että SPF-rivi näkyy.
  3. Aja dig TXT _dmarc.yritys.fi DMARC:n tarkistamiseen.
  4. Lähetä testiviesti osoitteeseen [email protected]. Saat automaattisen vastauksen, joka erittelee SPF-, DKIM- ja DMARC-tulokset.
  5. Rekisteröidy dmarcian.com-palveluun ja syötä domainisi. Palvelu visualisoi DMARC-raportit ja näyttää mikä lähde lähettää viestejä nimissäsi — myös luvattomat.
  6. Kirjaudu uuteen postilaatikkoon palveluntarjoajan webmailissa ja lähetä testiviesti omaan henkilökohtaiseen sähköpostiisi. Suomalaisten toimijoiden webmail-osoitteet on koottu artikkeliin webmail-kirjautuminen 2026 -opas.

Aika-arvio: 15-30 minuuttia jos kaikki menee putkeen

Tyypillinen yhdistäminen kestää puoli tuntia. A-tietue valmiina (5 min), MX-rivit Google Workspacelle tai vastaavalle (5 min), SPF (2 min), DKIM-avain konsolista DNS:ään (5 min), DMARC valvontatilaan (3 min) ja testaus (10 min). DNS-propagoituminen voi venyttää lopputarkistuksen seuraavaan päivään, mutta itse työ on lyhyt.

Jos teet asennuksen ensimmäistä kertaa, varaa silti tunti. Pieni kirjoitusvirhe SPF-rivissä tai DKIM-avaimessa aiheuttaa hiljaisen virheen, jossa kaikki näyttää toimivan kunnes asiakas valittaa että viestit menevät roskapostiin.

Yhden oven malli: sama tiimi hoitaa koko ketjun

Resahostin yhden oven mallissa domain, DNS, webhotelli ja sähköposti tulevat samasta paikasta. Asennamme MX-, SPF-, DKIM- ja DMARC-tietueet puolestasi p=quarantine-tasolle, valvomme raportteja ja siirrämme tarvittaessa p=reject-tasolle. Suomalainen tiimi, Traficom-validoitu palveluntarjoaja, yksi lasku.

Lue lisää yhden oven mallista tai katso miksi pk-yritys hyötyy yhdestä palveluntarjoajasta. Liittyvä tausta-artikkeli: DDoS ja DMARC: suomalaisen pk-yrityksen aukot.

Katso paketit tai tilaa maksuton tietoturva-audit.

Lähteet: Patchstack State of WP Security 2025, Valimail Email Fraud Landscape 2025, Traficom Suomen kyberturvallisuuskeskuksen DMARC-mittaus 2025, dmarcian.com DMARC Inspector, Port25 Authentication Verifier.