Verificare SPF, DKIM & DMARC
Analizăm configurarea email a domeniului: SPF, DKIM, DMARC, MTA-STS, BIMI și MX records. Aflați de ce email-urile ajung în spam și cum să remediați.
Ce verificăm
6 protocoale de securitate email esențiale pentru deliverability și protecția contra phishing-ului.
SPF (Sender Policy Framework)
Verificăm dacă domeniul are o înregistrare SPF validă care specifică ce servere au voie să trimită email-uri în numele tău. Fără SPF, oricine poate trimite email-uri false de pe domeniul tău.
DKIM (DomainKeys Identified Mail)
Verificăm semnătura DKIM care autentifică email-urile prin criptografie. DKIM dovedește că email-ul nu a fost modificat în tranzit și că provine de la domeniul declarat.
DMARC (Domain-based Message Auth.)
Verificăm politica DMARC care instruiește serverele de email ce să facă cu mesajele care nu trec verificările SPF/DKIM: acceptare, carantină sau respingere. Esențial pentru protecția brandului.
MTA-STS și TLS-RPT
Verificăm MTA-STS (Mail Transfer Agent Strict Transport Security) care forțează criptarea TLS pentru email-urile primite, și TLS-RPT pentru rapoarte de securitate ale transportului email.
BIMI (Brand Indicators for Message Id.)
Verificăm dacă domeniul are BIMI configurat — afișează logo-ul brandului tău lângă email-urile trimise în inbox-ul destinatarilor (Gmail, Yahoo). Crește vizibilitatea și încrederea.
MX Records și Provider
Verificăm înregistrările MX ale domeniului, identificăm provider-ul de email (Google Workspace, Microsoft 365, cPanel etc.) și verificăm configurarea corectă a STARTTLS.
De ce contează autentificarea email
Fără SPF, DKIM și DMARC, oricine poate trimite email-uri false în numele domeniului tău.
Protecția contra phishing-ului
Atacurile de phishing folosesc email-uri care par că vin de pe domeniul tău pentru a păcăli clienții sau angajații. Fără SPF și DKIM, serverele destinatarilor nu pot verifica dacă email-ul este autentic. DMARC cu politica „reject" blochează complet email-urile false, protejând reputația brandului tău.
Email-uri care ajung în Inbox, nu în Spam
Gmail, Outlook și Yahoo verifică automat SPF, DKIM și DMARC. Fără aceste protocoale, email-urile tale au o probabilitate mult mai mare de a ajunge în spam — chiar dacă sunt legitime. Din februarie 2024, Gmail și Yahoo cer SPF sau DKIM obligatoriu pentru expeditorii care trimit peste 5.000 email-uri/zi.
Protecția reputației domeniului
Dacă spammerii trimit email-uri de pe domeniul tău (spoofing), reputația domeniului scade în timp. Odată ce domeniul ajunge pe blacklist-uri, toate email-urile tale — inclusiv cele legitime — vor fi blocate. Reconstruirea reputației poate dura săptămâni sau luni. DMARC cu rapoarte (rua/ruf) permite monitorizarea în timp real a cine trimite email-uri în numele domeniului tău.
Conformitate legală
GDPR impune măsuri tehnice pentru protecția comunicațiilor. Criptarea email-urilor prin TLS (asigurată de MTA-STS) și autentificarea expeditorului (SPF/DKIM/DMARC) sunt considerate măsuri de bază. Pentru sectorul financiar și medical, standardele sunt și mai stricte.
Ghid rapid de configurare
Pași esențiali pentru configurarea SPF, DKIM și DMARC pe cele mai populare platforme.
Google Workspace / Gmail+
Configurare SPF: v=spf1 include:_spf.google.com ~all
DKIM: activare din Admin Console → Apps → Gmail → Authenticate Email
DMARC: adăugare record TXT _dmarc cu politica dorită
Microsoft 365 / Outlook+
SPF: v=spf1 include:spf.protection.outlook.com ~all
DKIM: activare din Microsoft 365 Admin → Settings → DKIM
DMARC: adăugare record TXT _dmarc.domeniu.ro
cPanel / Hosting clasic+
SPF: generat automat de cPanel, verifică în Zone Editor → TXT
DKIM: activare din cPanel → Email Deliverability → Manage
DMARC: adăugare manuală record TXT _dmarc
Modificările DNS pot dura până la 48 ore
După ce modifici record-urile SPF, DKIM sau DMARC, propagarea DNS poate dura între câteva minute și 48 de ore. Revino și rulează din nou testul pentru a verifica configurarea.
Verificări complementare
Securitatea email depinde și de configurarea DNS-ului și a serverului. Verifică și aceste aspecte:
Întrebări frecvente
Ce sunt SPF, DKIM și DMARC?+
Sunt 3 protocoale de autentificare email care previn phishing-ul și spoofing-ul: SPF definește ce servere pot trimite email din numele domeniului tău, DKIM adaugă o semnătură criptografică pe fiecare email, iar DMARC instruiește serverele destinatarilor ce să facă cu email-urile care nu trec verificările SPF/DKIM.
De ce ajung email-urile mele în spam?+
Cele mai frecvente cauze: (1) Lipsă SPF sau SPF incorect — serverele destinatarilor nu pot verifica sursa email-ului, (2) Lipsă DKIM — email-ul nu poate fi autentificat, (3) Lipsă DMARC — nicio politică de gestionare, (4) IP-ul serverului este în blacklist. Acest test verifică toate aceste aspecte.
Ce politică DMARC ar trebui să folosesc?+
Recomandare: începe cu p=none (monitorizare, fără acțiune) pentru 2-4 săptămâni ca să verifici rapoartele. Apoi trece la p=quarantine (spam) și eventual la p=reject (respingere). Politica reject oferă protecție maximă dar trebuie să fii sigur că tot email-ul legitim trece SPF/DKIM.
Cum configurez SPF pentru domeniul meu?+
SPF se configurează ca un record DNS de tip TXT pe domeniul principal. Formatul de bază este: v=spf1 include:provider.com ~all. Înlocuiește 'provider.com' cu domeniul furnizorului tău (ex: _spf.google.com pentru Gmail, spf.protection.outlook.com pentru Microsoft 365). ~all înseamnă soft fail, -all înseamnă hard fail.
Ce este BIMI și am nevoie de el?+
BIMI (Brand Indicators for Message Identification) afișează logo-ul companiei tale lângă email-urile trimise în inbox-urile destinatarilor. Funcționează în Gmail, Yahoo și Apple Mail. Necesită DMARC cu politică quarantine sau reject, plus un VMC (Verified Mark Certificate) de la o autoritate certificată. Nu este obligatoriu, dar crește încrederea și rata de deschidere.
Cât durează verificarea email?+
Verificarea durează între 5 și 15 secunde. Interogăm DNS-ul domeniului pentru înregistrările SPF, DKIM (cu enumerare automată de selectoare), DMARC, MTA-STS, BIMI, TLS-RPT și MX. Rezultatele sunt afișate instant cu recomandări specifice provider-ului tău.
Ce se întâmplă dacă am mai multe SPF records?+
Standardul RFC 7208 permite un singur record SPF per domeniu. Dacă ai două sau mai multe, ambele sunt invalide și verificarea SPF eșuează pentru toate email-urile. Soluția: combină toate sursele autorizate într-un singur record SPF (ex: v=spf1 include:_spf.google.com include:sendgrid.net ~all).
Ce este DKIM selector și cum îl găsesc?+
Selectorul DKIM este un prefix DNS care identifică cheia publică. Format: selector._domainkey.domeniu.ro. Fiecare provider folosește selectori diferiți: Google = 'google', Microsoft = 'selector1/selector2', Mailchimp = 'k1'. Testul nostru enumerează automat selectorii comuni pentru a găsi configurarea DKIM.
Ce înseamnă ~all vs -all în SPF?+
~all (soft fail) marchează email-urile neautorizate ca suspecte dar nu le respinge — majoritatea ajung în spam. -all (hard fail) instruiește serverele destinatare să respingă complet email-urile neautorizate. Recomandare: începe cu ~all până confirmi că totul funcționează, apoi treci la -all pentru protecție maximă.
Vrei o analiză completă?
Auditul complet verifică 28 de aspecte ale website-ului tău: securitate, SEO, performanță, conformitate legală, email, accesibilitate și multe altele. Primul audit este gratuit.
Audit Complet Gratuit