SPF, DKIM & DMARC — Complete Email Configuration Guide for 2026

By Tibzi Team — 2026-03-03T14:47:19.148Z

Dacă email-urile tale ajung frecvent în spam sau dacă vrei să protejezi domeniul împotriva phishing-ului, trebuie să configurezi corect SPF, DKIM și DMARC. Aceste 3 protocoale lucrează împreună pentru a autentifica email-urile trimise din numele domeniului tău.

Acest ghid te duce pas cu pas prin configurare, cu instrucțiuni specifice pentru cele mai populare platforme din România.

Ce sunt SPF, DKIM și DMARC — explicat simplu

SPF (Sender Policy Framework)

SPF este ca o listă de invitați pentru email. Publici un record DNS care spune: „Doar aceste servere au voie să trimită email-uri de pe domeniul meu." Când cineva primește un email de la tine, serverul destinatarului verifică dacă serverul expeditor este pe lista ta.

DKIM (DomainKeys Identified Mail)

DKIM este ca o semnătură și sigiliu pe fiecare email. Serverul tău adaugă o semnătură criptografică pe fiecare email trimis. Destinatarul poate verifica semnătura folosind cheia publică din DNS-ul tău. Dacă email-ul a fost modificat pe drum, semnătura devine invalidă.

DMARC (Domain-based Message Authentication)

DMARC este politica care leagă SPF și DKIM. Spune serverelor destinatarilor: „Dacă un email de la mine nu trece nici SPF nici DKIM, fă asta cu el" (acceptă-l, pune-l în spam, sau respinge-l complet).

De ce ai nevoie de toate 3

  • Doar SPF → protecție parțială, dar forwarded emails eșuează SPF
  • SPF + DKIM → protecție bună, dar fără politică de enforcement
  • SPF + DKIM + DMARC → protecție completă + rapoarte despre tentativele de spoofing

Google și Yahoo au făcut SPF + DKIM + DMARC obligatorii din februarie 2024 pentru expeditorii care trimit peste 5.000 email-uri/zi. Fără ele, email-urile pot fi respinse complet.

Configurare SPF — pas cu pas

Pasul 1: Identifică serverele care trimit email

Înainte de a crea SPF, listează TOATE serviciile care trimit email de pe domeniul tău:

  • Serverul de email principal (Google Workspace, Microsoft 365, cPanel etc.)
  • Servicii de newsletter (Mailchimp, SendGrid, Brevo etc.)
  • CRM-uri care trimit email (HubSpot, Salesforce etc.)
  • Serverul web (dacă trimite email-uri tranzacționale)

Pasul 2: Creează recordul SPF

Adaugă un record DNS de tip TXT pe domeniul principal (nu pe subdomeniu):

# Google Workspace
v=spf1 include:_spf.google.com ~all

# Microsoft 365
v=spf1 include:spf.protection.outlook.com ~all

# cPanel (serverul de hosting)
v=spf1 +a +mx include:_spf.google.com ~all

# Multiple servicii (exemplu)
v=spf1 include:_spf.google.com include:servers.mcsv.net include:sendgrid.net ~all

Reguli importante SPF:

  • Un singur record SPF per domeniu. Dacă ai mai multe servicii, combină-le într-un singur record.
  • ~all (soft fail) este recomandat pentru început. -all (hard fail) este mai strict dar poate cauza probleme dacă ai uitat un serviciu.
  • Maximum 10 DNS lookups — fiecare include: contează. Prea multe include-uri vor cauza erori.

Configurare DKIM — pas cu pas

Google Workspace

  1. Intră în Admin Console → Apps → Google Workspace → Gmail
  2. Click pe Authenticate Email
  3. Selectează domeniul și click pe Generate new record
  4. Copiază recordul DKIM generat și adaugă-l ca record TXT în DNS
  5. Așteaptă propagarea DNS (până la 48 ore), apoi click Start Authentication

Microsoft 365

  1. Intră în Microsoft 365 Admin Center → Settings → Domains
  2. Selectează domeniul → DNS Records
  3. Adaugă cele 2 CNAME records generate de Microsoft în DNS-ul tău
  4. Intră în Exchange Admin Center → Mail Flow → DKIM
  5. Selectează domeniul și activează DKIM

cPanel

  1. Intră în cPanel → Email Deliverability
  2. Găsește domeniul și click pe Manage
  3. Dacă DKIM nu e activ, click pe Install the suggested record
  4. Dacă DNS-ul e extern (ex: Cloudflare), copiază recordul și adaugă-l manual

Configurare DMARC — pas cu pas

Pasul 1: Începe cu monitorizare (p=none)

Adaugă un record TXT pe _dmarc.domeniu.ro:

v=DMARC1; p=none; rua=mailto:dmarc-reports@domeniu.ro; ruf=mailto:dmarc-reports@domeniu.ro; fo=1

Asta spune: „Nu face nimic cu email-urile care eșuează, dar trimite-mi rapoarte." Așteaptă 2-4 săptămâni și analizează rapoartele pentru a te asigura că tot email-ul legitim trece SPF/DKIM.

Pasul 2: Treci la quarantine

După ce ai confirmat că tot email-ul legitim este autentificat:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@domeniu.ro; pct=100

Email-urile care eșuează SPF și DKIM vor ajunge în spam la destinatari.

Pasul 3: Treci la reject (protecție maximă)

v=DMARC1; p=reject; rua=mailto:dmarc-reports@domeniu.ro; pct=100

Email-urile neautentificate sunt respinse complet. Aceasta oferă protecție maximă contra phishing-ului, dar trebuie să fii sigur că tot email-ul legitim trece verificările.

Verificare și depanare

După configurare, verifică totul cu instrumentul nostru gratuit de verificare email. Acesta analizează SPF, DKIM, DMARC, MTA-STS, BIMI și MX records, cu explicații în română.

Probleme frecvente:

  • SPF: prea multe DNS lookups — soluție: folosește IP-uri directe în loc de include-uri unde e posibil, sau aplatizează recordul cu un tool SPF flattener
  • DKIM: key not found — soluție: verifică selectorul DKIM. Google folosește „google", Microsoft folosește „selector1" și „selector2"
  • DMARC: alignment failure — soluție: asigură-te că domeniul din From: se potrivește cu domeniul SPF/DKIM (alignment)
  • Propagare DNS lentă — poate dura până la 48 ore. Verifică periodic.

MTA-STS și BIMI — nivelul următor

MTA-STS (Mail Transfer Agent Strict Transport Security)

Forțează criptarea TLS pentru email-urile primite pe domeniul tău. Previne atacurile man-in-the-middle pe transportul email. Necesită: un record DNS TXT pe _mta-sts.domeniu.ro + un fișier /.well-known/mta-sts.txt pe server.

BIMI (Brand Indicators for Message Identification)

Afișează logo-ul companiei în inbox-ul destinatarilor (Gmail, Yahoo, Apple Mail). Necesită: DMARC cu p=quarantine sau p=reject, un logo SVG Tiny PS, și opțional un VMC (Verified Mark Certificate).

Instrumentul nostru verifică și MTA-STS și BIMI.

Concluzie

SPF, DKIM și DMARC nu mai sunt opționale — sunt esențiale pentru deliverability, protecție contra phishing-ului și conformitate cu cerințele Google/Yahoo. Configurarea corectă durează sub o oră și protejează domeniul tău pe termen lung.

Verifică configurarea actuală cu instrumentul nostru gratuit și dacă ai nevoie de un audit complet, rulează un audit gratuit pe 27 de module.