Ce sunt SPF, DKIM și DMARC?
Cele trei standarde lucrează împreună pentru a autentifica emailurile trimise din numele domeniului tău:
SPF (Sender Policy Framework) — o înregistrare DNS care specifică ce servere de mail au voie să trimită emailuri din partea domeniului tău. Dacă un server neautorizat încearcă, destinatarul poate respinge mesajul.
DKIM (DomainKeys Identified Mail) — adaugă o semnătură digitală criptografică fiecărui email. Destinatarul verifică semnătura față de o cheie publică din DNS-ul tău. Dacă emailul a fost modificat în tranzit, semnătura devine invalidă.
DMARC (Domain-based Message Authentication, Reporting & Conformance) — „orchestratorul" care specifică ce se întâmplă cu emailurile ce pică verificările SPF sau DKIM: none (doar raportează), quarantine (trimite la spam) sau reject (blochează complet).
De ce contează?
- Spoofing și phishing — fără aceste mecanisme, atacatorii pot trimite emailuri „de la @firmatau.ro" pentru a înșela clienții, partenerii sau angajații.
- Reputația brandului — un atac de phishing în numele companiei tale distruge încrederea, chiar dacă tu nu ești vinovat.
- Deliverability — furnizorii mari (Gmail, Outlook) filtrează agresiv emailurile fără autentificare corectă. Newsletterele și facturile pot ajunge la spam.
- NIS2 & GDPR — controlul canalelor de comunicare ale companiei este o cerință implicită a conformității cu directivele de securitate cibernetică.
Cum verifici?
SecureCheck analizează DNS-ul domeniului tău și verifică:
- Existența înregistrării SPF (
TXT v=spf1 ...) și dacă politica este permisivă (+all= pericol) sau strictă (-all) - Prezența cel puțin a unui selector DKIM
- Existența și strictețea politicii DMARC (
p=none/quarantine/reject)
Poți verifica și manual cu tool-uri gratuite precum MXToolbox sau DMARC Inspector by dmarcian.
Cum remediezi?
SPF — Adaugă o înregistrare TXT în zona DNS a domeniului. Exemplu pentru Google Workspace:
v=spf1 include:_spf.google.com ~allFolosește -all (hard fail) în loc de ~all (soft fail) dacă știi toți expeditorii autorizați. Evită +all — permite oricui să trimită în numele tău.
DKIM — Activează-l din panoul furnizorului de email (Google Workspace, Microsoft 365, etc.). Fiecare furnizor generează o pereche de chei și îți oferă înregistrarea DNS de adăugat.
DMARC — Adaugă o înregistrare TXT la _dmarc.domeniu.ro. Începe permisiv și înăsprește gradual:
# Etapa 1 — monitorizare (nicio acțiune, doar rapoarte)
v=DMARC1; p=none; rua=mailto:dmarc@firmatau.ro
# Etapa 2 — carantină (emailurile suspecte → spam)
v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc@firmatau.ro
# Etapa 3 — respingere completă
v=DMARC1; p=reject; rua=mailto:dmarc@firmatau.roDNS nu a putut fi verificat
SecureCheck nu a putut rezolva înregistrările DNS ale domeniului tău. Domeniul poate să nu fie înregistrat, zona DNS poate fi incorect configurată sau propagarea DNS este în curs.
Un DNS nefuncțional înseamnă că emailul, site-ul și toate serviciile legate de domeniu sunt inaccesibile.
Cum remediezi:
- Verifică starea domeniului la registrar (registrul .ro: rotld.ro)
- Testează rezoluția DNS:
dig NS domeniu.rosaunslookup domeniu.ro 8.8.8.8 - Verifică în panoul registrarului că NS-urile pointează corect spre hosting
Verificare: dig domeniu.ro +short — trebuie să returneze una sau mai multe adrese IP
Înregistrare SPF lipsă
Domeniul tău nu are o înregistrare SPF (Sender Policy Framework) în DNS. Orice server din lume poate trimite emailuri care par să vină de la @domeniu.ro, fără ca destinatarii să le poată deosebi de cele legitime.
Fără SPF, clienții și partenerii pot primi emailuri de phishing aparent din partea ta, dăunând reputației și relațiilor de afaceri.
Cum remediezi:
- Adaugă o înregistrare TXT în zona DNS. Exemplu pentru Google Workspace:
v=spf1 include:_spf.google.com ~all - Pentru Microsoft 365:
v=spf1 include:spf.protection.outlook.com ~all - Dacă folosești mai mulți provideri, combină-i:
v=spf1 include:A include:B -all
Verificare: dig TXT domeniu.ro | grep spf — trebuie să returneze înregistrarea SPF
Înregistrare DMARC lipsă
Nu există o politică DMARC pentru domeniul tău. Chiar dacă SPF și DKIM sunt configurate, fără DMARC nu există nicio politică care să impună ce se întâmplă cu emailurile care pică autentificarea.
DMARC este ultimul strat de protecție — fără el, emailurile frauduloase din numele tău pot ajunge în inbox-ul destinatarilor.
Cum remediezi:
- Adaugă o înregistrare TXT pe
_dmarc.domeniu.ro. Începe cu monitorizare:v=DMARC1; p=none; rua=mailto:dmarc@domeniu.ro - După analiza rapoartelor (1-2 săptămâni), treci la
p=quarantine, apoi lap=reject - Folosește dmarcian.com pentru vizualizarea rapoartelor
Verificare: dig TXT _dmarc.domeniu.ro — trebuie să returneze înregistrarea DMARC
DKIM nedetectat
SecureCheck nu a găsit nicio cheie publică DKIM pentru domeniul tău. Fără DKIM, emailurile nu sunt semnate digital și pot fi modificate în tranzit fără ca destinatarul să știe.
Provideri ca Gmail și Outlook penalizează emailurile fără DKIM, crescând șansele de a ajunge la spam.
Cum remediezi:
- Activează DKIM în panoul furnizorului de email (Google Admin Console → Apps → Gmail → Authenticate Email; Microsoft 365 Admin → Protection → DomainKeys)
- Furnizorul îți va da o înregistrare TXT sau CNAME de adăugat în DNS — adaug-o exact cum este indicată
- Testează cu: mail-tester.com — trimite un email și verifică scorul DKIM
Verificare: dig TXT selector._domainkey.domeniu.ro (înlocuiește selector cu cel indicat de provider)
DNSSEC inactiv
Zona DNS a domeniului tău nu este semnată cu DNSSEC. Fără DNSSEC, răspunsurile DNS pot fi falsificate de atacatori (DNS cache poisoning / DNS spoofing), redirecționând utilizatorii spre servere malițioase.
Deși mai puțin urgent decât SPF/DMARC, DNSSEC este o cerință crescândă în contextul NIS2 pentru operatori de servicii esențiale.
Cum remediezi:
- Activează DNSSEC în panoul de control al registrarului (ROTLD, GoDaddy, Namecheap — majoritatea au opțiune directă)
- Dacă folosești Cloudflare: Dashboard → DNS → DNSSEC → Enable (câteva clicuri)
- Activarea poate dura 24-48h pentru propagare completă
Verificare: dig DS domeniu.ro +short — trebuie să returneze înregistrarea DS; sau DNSSEC Analyzer