SPF, DKIM și DMARC: Ghidul complet de autentificare a e-mailului

Autentificarea e-mailului este fundația livrării fiabile a e-mailurilor. Fără o configurare corectă a SPF, DKIM și DMARC, e-mailurile tale elaborate cu grijă s-ar putea să nu ajungă niciodată în inboxul clienților tăi. În schimb, ajung în dosarul spam sau sunt respinse complet.

Acest ghid cuprinzător explică ce face fiecare protocol de autentificare a e-mailului, oferă instrucțiuni pas cu pas pentru configurarea DNS, acoperă depanarea problemelor comune și îți arată cum să verifici că configurația funcționează corect.

De ce contează autentificarea e-mailului

E-mailul a fost conceput într-o eră în care securitatea nu era o preocupare primară. Protocolul SMTP original nu are niciun mecanism de verificare integrat pentru a confirma că un e-mail vine cu adevărat de la cel care pretinde că îl trimite. Această slăbiciune fundamentală permite spoofing-ul de e-mail, atacurile de phishing și spam-ul.

Protocoalele de autentificare a e-mailului rezolvă această problemă permițând proprietarilor de domenii să specifice:

• Ce servere pot trimite e-mail în numele lor (SPF)
• Dovada criptografică că mesajele sunt autentice și nemodificate (DKIM)
• Ce să se facă cu mesajele care nu trec autentificarea (DMARC)

Impactul business al autentificării slabe

Fără o autentificare corectă a e-mailului:

• Livrabilitate scăzută: Furnizorii majori precum Gmail, Microsoft și Yahoo filtrează mai agresiv e-mailurile neautentificate
• Rate mai mari de spam: E-mailurile tale legitime concurează cu mesaje falsificate care folosesc domeniul tău
• Deteriorarea brandului: Atacurile de phishing care imită brandul tău erodează încrederea clienților
• Pierderi de venituri: Campaniile de marketing nu ajung la abonații care s-au înscris să le primească
• Riscuri de conformitate: Multe reglementări cer acum autentificarea corectă a e-mailului

Triada de autentificare

SPF, DKIM și DMARC funcționează împreună ca un sistem complet de autentificare:

Fiecare protocol abordează vectori diferiți de atac. SPF împiedică serverele neautorizate să trimită ca tine. DKIM previne modificarea mesajelor după trimitere. DMARC le leagă împreună și oferă vizibilitate asupra rezultatelor autentificării.

Înțelegerea SPF (Sender Policy Framework)

SPF (Sender Policy Framework) este o metodă de autentificare a e-mailului bazată pe DNS care specifică ce servere de e-mail sunt autorizate să trimită e-mail în numele domeniului tău.

Cum funcționează SPF

Când un e-mail ajunge la un server destinatar, acel server caută înregistrarea SPF a domeniului expeditorului. Apoi verifică dacă adresa IP care a trimis e-mailul este listată ca autorizată. Dacă IP-ul se potrivește, SPF trece. Dacă nu, SPF eșuează.

Procesul de verificare SPF:

1. Trimiți un e-mail de pe platforma ta de marketing
2. Serverul destinatar extrage domeniul tău din Return-Path (expeditor plic)
3. Serverul interoghează DNS-ul pentru înregistrarea SPF a domeniului tău
4. Compară IP-ul de trimitere cu lista autorizată din înregistrarea SPF
5. Serverul înregistrează rezultatul: pass, fail, softfail sau neutral

Sintaxa înregistrării SPF

Înregistrările SPF sunt publicate ca înregistrări TXT în DNS-ul domeniului tău. Iată structura de bază:

v=spf1 [mechanisms] [qualifier]all

Eticheta de versiune: Începe întotdeauna cu v=spf1

Mecanisme: Definesc cine poate trimite

Calificatori: Definesc cum să se gestioneze potrivirile

Mecanismul all: Aplicat la orice nu se potrivește mecanismelor anterioare

Exemple de înregistrări SPF

Configurare de bază cu un furnizor de e-mail:

v=spf1 include:spf.brevo.com -all

Aceasta autorizează Brevo să trimită e-mail pentru domeniul tău și respinge toți ceilalți expeditori.

Mai multe servicii de e-mail:

v=spf1 include:spf.brevo.com include:_spf.google.com include:spf.protection.outlook.com -all

Aceasta autorizează Brevo, Google Workspace și Microsoft 365.

Incluzând propriul server de e-mail:

v=spf1 ip4:203.0.113.10 include:spf.brevo.com -all

Aceasta autorizează o adresă IP specifică (serverul tău) plus Brevo.

Începând cu soft fail în timp ce testezi:

v=spf1 include:spf.brevo.com ~all

Folosirea ~all în loc de -all marchează eșecurile dar nu le respinge. Util în timpul configurării inițiale.

Configurarea înregistrărilor SPF

Pasul 1: Identifică sursele tale de trimitere

Listează fiecare serviciu care trimite e-mail de pe domeniul tău:

• Platforme de e-mail marketing (Brevo, Mailchimp etc.)
• Servicii de e-mail tranzacțional
• Sisteme CRM
• Software de help desk
• E-mail companiei (Google Workspace, Microsoft 365)
• Propriile servere de e-mail

Pasul 2: Adună instrucțiunile SPF include

Fiecare furnizor de servicii de e-mail documentează instrucțiunea SPF include necesară. Exemple comune:

Pasul 3: Creează înregistrarea SPF

Combină toate instrucțiunile include într-o singură înregistrare:

v=spf1 include:spf.brevo.com include:_spf.google.com -all

Pasul 4: Adaugă înregistrarea DNS

În interfața ta de administrare DNS:

• Tip: TXT
• Host/Nume: @ (sau lasă gol pentru domeniul rădăcină)
• Valoare: Înregistrarea SPF completă
• TTL: 3600 (sau implicit)

Pasul 5: Verifică înregistrarea

Folosește instrumente de căutare DNS pentru a confirma:

dig TXT yourdomain.com

Sau folosește instrumente online precum MXToolbox SPF Lookup.

Limitări și bune practici SPF

Limita de 10 interogări DNS:

SPF are un maximum de 10 interogări DNS. Fiecare include: contează ca o interogare, iar înregistrările incluse pot conține propriile includes, numărând spre limita ta. Depășirea acesteia cauzează SPF permerror (eroare permanentă), eșuând toate verificările.

Strategii pentru a rămâne sub limită:

• Folosește adrese IP direct când este posibil (ip4: nu contează ca interogare)
• Consolidează serviciile la același furnizor
• Folosește servicii de aplatizare SPF care convertesc includes în adrese IP
• Elimină includes neutilizate de la servicii vechi

Alte bune practici SPF:

• Doar o singură înregistrare SPF per domeniu (înregistrări multiple cauzează eșecuri)
• Începe cu ~all (softfail) în timpul configurării, treci la -all odată confirmat
• Actualizează SPF când schimbi furnizorii de e-mail
• Nu folosi mecanismul deprecat ptr
• Menține înregistrările cât mai simple posibil

Greșeli frecvente cu SPF

Înregistrări SPF multiple:

Greșit:
v=spf1 include:spf.brevo.com -all
v=spf1 include:_spf.google.com -all

Corect:
v=spf1 include:spf.brevo.com include:_spf.google.com -all

Depășirea limitei de interogări DNS:

Dacă ai multe includes, verifică numărul total de interogări. Folosește analizoare SPF pentru a verifica că ești sub 10.

Uitarea actualizării după schimbarea furnizorilor:

Când treci de la un serviciu de e-mail la altul, elimină include-ul vechi și adaugă cel nou.

Folosirea +all:

Nu folosi niciodată +all deoarece autorizează pe oricine să trimită ca domeniul tău.

Înțelegerea DKIM (DomainKeys Identified Mail)

DKIM (DomainKeys Identified Mail) adaugă o semnătură criptografică e-mailurilor tale, dovedind că mesajul a provenit de pe domeniul tău și nu a fost modificat în tranzit.

Cum funcționează DKIM

DKIM folosește criptografia cu cheie publică:

1. Furnizorul tău de e-mail generează o pereche de chei publică/privată
2. Publici cheia publică în DNS
3. Furnizorul semnează e-mailurile trimise cu cheia privată
4. Serverele destinatare recuperează cheia ta publică din DNS
5. Folosesc cheia publică pentru a verifica semnătura
6. O semnătură validă dovedește autenticitatea și integritatea

Ce semnează DKIM:

Semnăturile DKIM acoperă de obicei anteturi specifice și corpul mesajului:

• Antetul From (obligatoriu)
• Antetul Subject
• Antetul Date
• Corpul mesajului
• Alte antete conform configurației

Aceasta împiedică atacatorii să modifice aceste elemente după trimitere.

Structura înregistrării DKIM

Înregistrările DKIM sunt publicate ca înregistrări TXT cu un format de denumire specific:

selector._domainkey.yourdomain.com

Selectorul este un identificator unic care îți permite să ai mai multe chei DKIM. Diferite servicii de e-mail folosesc selectori diferiți (ex.: brevo, google, s1, s2).

Conținutul înregistrării DKIM:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC...

Configurarea DKIM

Pasul 1: Generează cheile DKIM

Furnizorul tău de servicii de e-mail generează de obicei cheile pentru tine. În Brevo:

1. Mergi la Setări > Expeditori, Domenii și IP-uri dedicate
2. Selectează domeniul tău
3. Navighează la secțiunea DKIM
4. Copiază înregistrarea DNS furnizată

Pentru serverele de e-mail găzduite local, generează chei folosind OpenSSL:

openssl genrsa -out private.key 2048
openssl rsa -in private.key -pubout -out public.key

Pasul 2: Adaugă înregistrarea DNS DKIM

În administrarea DNS:

• Tip: TXT
• Host/Nume: selector._domainkey (ex.: brevo._domainkey)
• Valoare: Înregistrarea DKIM de la furnizorul tău
• TTL: 3600

Pasul 3: Activează semnarea DKIM

În setările furnizorului tău de e-mail, activează semnarea DKIM pentru domeniul tău. Aceasta îi spune furnizorului să semneze mesajele trimise.

Pasul 4: Verifică configurarea

Trimite un e-mail de test și verifică anteturile pentru DKIM-Signature. Folosește instrumente precum:

• mail-tester.com
• DKIM Validator
• MXToolbox DKIM Lookup

Bune practici DKIM

Folosește chei de 2048 de biți:

Cheile mai vechi de 1024 de biți sunt considerate slabe. Standardele moderne de securitate recomandă minimum chei RSA de 2048 de biți.

Rotește cheile periodic:

Deși nu este strict necesar, rotirea cheilor DKIM anual este o bună practică de securitate. Adaugă cheia nouă înainte de a o elimina pe cea veche pentru a evita întreruperile.

Monitorizează compromiterea cheilor:

Dacă cheia ta privată este compromisă, atacatorii pot semna mesaje ca tine. Monitorizează tiparele neobișnuite de autentificare.

Folosește selectori diferiți pentru servicii diferite:

Fiecare furnizor de e-mail ar trebui să folosească un selector unic. Aceasta permite gestionarea independentă a cheilor și nu intră în conflict cu alte servicii.

Verifică propagarea DNS:

Cheile DKIM pot fi lungi. Asigură-te că furnizorul tău DNS suportă înregistrări TXT de lungime suficientă. Unii furnizori cer împărțirea cheii în mai multe șiruri.

Citirea antetelor DKIM

Când primești un e-mail, antetul DKIM-Signature arată:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=example.com; s=brevo;
  h=from:to:subject:date:message-id;
  bh=base64hashofbody;
  b=base64signature;

Înțelegerea DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC se bazează pe SPF și DKIM pentru a oferi aplicarea politicii și raportare. Le spune serverelor destinatare ce să facă când autentificarea eșuează și îți trimite rapoarte despre rezultatele autentificării.

Cum funcționează DMARC

DMARC adaugă două capabilități critice:

1. Aplicarea politicii: Definește cum ar trebui destinatarii să gestioneze eșecurile de autentificare
2. Raportare: Primești date despre cine trimite e-mail folosind domeniul tău

Procesul de verificare DMARC:

1. Un server destinatar primește un e-mail care pretinde că vine de pe domeniul tău
2. Verifică SPF (se potrivește IP-ul de trimitere?)
3. Verifică DKIM (este semnătura validă?)
4. Verifică alinierea DMARC (domeniile autentificate se potrivesc cu antetul From?)
5. Dacă alinierea eșuează, aplică politica ta DMARC
6. Îți trimite rapoarte agregate și/sau criminalistice

Alinierea DMARC

DMARC necesită aliniere între domeniul din antetul From și domeniile care trec SPF sau DKIM:

Alinierea SPF: Domeniul din Return-Path (expeditor plic) trebuie să se potrivească sau să fie un subdomeniu al domeniului din antetul From.

Alinierea DKIM: Domeniul din semnătura DKIM (eticheta d=) trebuie să se potrivească sau să fie un subdomeniu al domeniului din antetul From.

Moduri de aliniere:

Cu alinierea relaxed, dacă antetul From arată [email protected] și DKIM semnează cu brevo.example.com, alinierea trece deoarece ambele partajează domeniul organizațional example.com.

Sintaxa înregistrării DMARC

Înregistrările DMARC sunt publicate ca înregistrări TXT la _dmarc.yourdomain.com:

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

Etichete obligatorii:

Etichete opționale:

Politicile DMARC explicate

p=none (Doar monitorizare):

Nu se ia nicio acțiune la eșecuri. E-mailurile sunt livrate normal. Folosește aceasta în timp ce analizezi rapoartele și rezolvi problemele de autentificare.

v=DMARC1; p=none; rua=mailto:[email protected]

p=quarantine (Dosar spam):

E-mailurile eșuate sunt trimise în dosarul spam/junk. Un bun pas intermediar înainte de respingerea completă.

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100

p=reject (Blochează):

E-mailurile eșuate sunt respinse complet. Protecție maximă, dar asigură-te că toate sursele legitime trec mai întâi.

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

Configurarea DMARC

Pasul 1: Asigură-te că SPF și DKIM funcționează

DMARC depinde de SPF și DKIM. Verifică că ambele sunt configurate corect înainte de a adăuga DMARC.

Pasul 2: Începe cu monitorizarea (p=none)

Începe cu politica cea mai permisivă pentru a colecta date fără a afecta livrarea:

v=DMARC1; p=none; rua=mailto:[email protected]

Pasul 3: Adaugă înregistrarea DNS

În administrarea DNS:

• Tip: TXT
• Host/Nume: _dmarc
• Valoare: Înregistrarea DMARC
• TTL: 3600

Pasul 4: Analizează rapoartele timp de 2-4 săptămâni

Rapoartele agregate DMARC sosesc zilnic ca fișiere XML. Arată:

• Ce IP-uri au trimis e-mail folosind domeniul tău
• Ratele de trecere/eșec SPF și DKIM
• Rezultatele alinierii DMARC
• Acțiunile serverului destinatar

Folosește analizoare de rapoarte DMARC pentru a vizualiza aceste date:

• DMARC Analyzer
• Postmark DMARC
• Valimail
• dmarcian

Pasul 5: Remediază problemele de autentificare

Probleme frecvente revelate de rapoarte:

• Servicii legitime lipsă din SPF
• DKIM neactivat pentru un serviciu de trimitere
• Servicii terțe care trimit fără autentificare corectă
• Redirecționarea care rupe alinierea SPF

Pasul 6: Aplică treptat

Odată ce sursele legitime trec în mod constant:

1. Treci la p=quarantine; pct=10 (pune în carantină 10% din eșecuri)
2. Crește pct la 25, 50, 75, 100
3. Treci la p=reject; pct=10
4. Crește la respingere completă

Pasul 7: Menține și monitorizează

Continuă să revizuiești rapoartele. Sursele noi de trimitere, schimbările de furnizor sau deriva de configurație pot cauza eșecuri de autentificare.

Înțelegerea rapoartelor DMARC

Rapoarte agregate (rua):

Rezumate XML zilnice care arată:

• Organizația raportoare
• Intervalul de date
• Politica publicată
• Rezultatele autentificării pe IP sursă
• Volumul de e-mailuri

Exemplu de extras:

<record>
  <source_ip>203.0.113.10</source_ip>
  <count>1250</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>pass</spf>
  </policy_evaluated>
</record>

Rapoarte criminalistice (ruf):

Detalii individuale ale mesajelor pentru eșecuri. Mai detaliate dar sensibile la confidențialitate. Mulți destinatari nu trimit rapoarte criminalistice.

Bune practici DMARC

Începe întotdeauna cu p=none:

Trecerea direct la reject poate bloca e-mailul legitim. Monitorizează mai întâi.

Folosește o adresă de e-mail dedicată pentru rapoarte:

Rapoartele DMARC pot fi voluminoase. Folosește o adresă dedicată sau un serviciu terț.

Setează politica pentru subdomenii (sp=):

Dacă nu trimiți e-mail de pe subdomenii, setează sp=reject pentru a le proteja de spoofing.

Folosește procentul (pct=) pentru lansarea treptată:

Eticheta pct îți permite să aplici politica pe un procent din eșecuri în timp ce monitorizezi restul.

Ia în considerare servicii DMARC dedicate:

Pentru organizații mari, servicii precum Valimail, dmarcian sau Postmark DMARC oferă o analiză mai bună a rapoartelor decât fișierele XML brute.

Configurarea înregistrărilor DNS: ghid complet

Configurarea autentificării e-mailului necesită adăugarea unor înregistrări DNS specifice. Această secțiune oferă un ghid complet pentru principalii furnizori DNS.

Adunarea valorilor necesare

Înainte de a începe, colectează aceste valori de la furnizorii tăi de e-mail:

Pentru SPF:

• Toate instrucțiunile include (ex.: include:spf.brevo.com)
• Orice adrese IP specifice pe care trebuie să le autorizezi

Pentru DKIM:

• Numele selectorului (ex.: brevo, google, s1)
• Valoarea completă a cheii DKIM

Pentru DMARC:

• Adresa ta de e-mail pentru raportare

Adăugarea înregistrărilor la furnizorii DNS frecvenți

Cloudflare:

1. Autentifică-te în Cloudflare Dashboard
2. Selectează domeniul tău
3. Mergi la DNS > Records
4. Dă clic pe Add Record
5. Pentru SPF: Type=TXT, Name=@, Content=înregistrarea SPF
6. Pentru DKIM: Type=TXT, Name=selector._domainkey, Content=cheia DKIM
7. Pentru DMARC: Type=TXT, Name=_dmarc, Content=înregistrarea DMARC
8. Dă clic pe Save

Google Domains/Squarespace:

1. Mergi la setările DNS pentru domeniul tău
2. Derulează la Custom Records
3. Dă clic pe Manage Custom Records
4. Adaugă fiecare înregistrare cu tipul, host-ul și datele corespunzătoare
5. Pentru SPF: Host=@, Type=TXT, Data=înregistrarea SPF
6. Pentru DKIM: Host=selector._domainkey, Type=TXT, Data=cheia DKIM
7. Pentru DMARC: Host=_dmarc, Type=TXT, Data=înregistrarea DMARC

GoDaddy:

1. Mergi la My Products > Domains
2. Dă clic pe DNS lângă domeniul tău
3. Derulează la secțiunea Records
4. Dă clic pe Add pentru fiecare înregistrare nouă
5. Selectează TXT pentru Type
6. Introdu Name (@ pentru SPF, selector._domainkey pentru DKIM, _dmarc pentru DMARC)
7. Introdu Value
8. Salvează

Namecheap:

1. Mergi la Domain List > Manage
2. Dă clic pe Advanced DNS
3. Adaugă New Record pentru fiecare
4. Selectează TXT Record
5. Host: @ pentru SPF, selector._domainkey pentru DKIM, _dmarc pentru DMARC
6. Value: Conținutul înregistrării tale
7. Save All Changes

Propagarea DNS

După adăugarea înregistrărilor, modificările necesită timp pentru a se propaga global. De obicei, aceasta durează:

• 5-30 de minute pentru vizibilitate inițială
• Până la 48 de ore pentru propagare globală completă

Folosește dig sau nslookup pentru a verifica:

dig TXT yourdomain.com
dig TXT selector._domainkey.yourdomain.com
dig TXT _dmarc.yourdomain.com

Sau folosește instrumente online precum whatsmydns.net pentru a verifica propagarea la nivel mondial.

Exemplu de configurare completă

Pentru un domeniu care folosește Brevo și Google Workspace:

Înregistrare SPF (TXT la @):

v=spf1 include:spf.brevo.com include:_spf.google.com -all

Înregistrare DKIM pentru Brevo (TXT la brevo._domainkey):

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA... [cheia din panoul Brevo]

Înregistrare DKIM pentru Google (TXT la google._domainkey):

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BA... [cheia din Google Admin]

Înregistrare DMARC (TXT la _dmarc):

v=DMARC1; p=none; rua=mailto:[email protected]

Depanarea problemelor frecvente

Chiar și cu o configurare atentă, autentificarea e-mailului poate eșua. Iată problemele frecvente și cum să le rezolvi.

Depanarea SPF

Înregistrarea SPF nu a fost găsită:

Simptome: Verificările SPF arată “none” sau “no record”

Cauze:

• Înregistrarea nu a fost adăugată în DNS
• Înregistrarea adăugată în locul greșit (subdomeniu în loc de rădăcină)
• Propagarea DNS nu este completă

Soluții:

• Verifică că înregistrarea există cu dig TXT yourdomain.com
• Verifică câmpul Name/Host (ar trebui să fie @ sau gol pentru domeniul rădăcină)
• Așteaptă propagarea DNS (până la 48 de ore)

SPF PermError (prea multe interogări):

Simptome: Rezultatele SPF arată “permerror”

Cauze:

• Mai mult de 10 interogări DNS în înregistrarea SPF
• Includes cu include-uri imbricate excesive

Soluții:

• Auditează includes și elimină-le pe cele neutilizate
• Înlocuiește includes cu intrări ip4: unde este posibil
• Folosește servicii de aplatizare SPF
• Consolidează serviciile la mai puțini furnizori

SPF SoftFail sau Fail pentru e-mail legitim:

Simptome: E-mailuri legitime eșuează la SPF

Cauze:

• Serviciul de trimitere nu este inclus în SPF
• Trimiterea de pe un IP neautorizat
• Folosirea unui releu care schimbă expeditorul plicului

Soluții:

• Adaugă include-ul lipsă pentru serviciul tău de trimitere
• Verifică ce IP a trimis efectiv e-mailul (din antete)
• Contactează furnizorul tău de e-mail pentru setările corecte SPF

Înregistrări SPF multiple:

Simptome: SPF arată permerror sau eșecuri aleatorii

Cauze:

• Două sau mai multe înregistrări TXT conținând v=spf1

Soluții:

• Combină toate mecanismele într-o singură înregistrare SPF
• Șterge înregistrările SPF duplicate

Depanarea DKIM

Semnătură DKIM lipsă:

Simptome: Niciun antet DKIM-Signature în e-mailuri

Cauze:

• Semnarea DKIM nu este activată la furnizorul de e-mail
• Verificarea domeniului nu a fost finalizată
• Trimiterea prin cale non-DKIM

Soluții:

• Activează DKIM în setările furnizorului tău
• Finalizează pașii de verificare a domeniului
• Verifică documentația furnizorului pentru configurarea DKIM

Verificarea DKIM a eșuat:

Simptome: DKIM arată “fail” în rezultatele autentificării

Cauze:

• Înregistrarea DNS nu este publicată sau este incorectă
• Selector greșit utilizat
• Nepotrivire cheie între DNS și semnare
• Mesajul modificat în tranzit

Soluții:

• Verifică că înregistrarea DNS există la selector._domainkey.domain
• Compară selectorul din antetul DKIM-Signature cu DNS
• Regenerează cheile dacă se suspectează o nepotrivire
• Verifică filtrele de e-mail sau releele care modifică mesajele

Cheia DKIM prea lungă pentru DNS:

Simptome: Nu se poate salva înregistrarea DKIM, erori de trunchiere

Cauze:

• Cheile de 2048 de biți depășesc lungimea unui singur înregistrări TXT
• Furnizorul DNS are limite de caractere

Soluții:

• Împarte cheia în mai multe șiruri între ghilimele (majoritatea furnizorilor gestionează aceasta automat)
• Verifică dacă furnizorul DNS suportă înregistrări TXT lungi
• Folosește temporar chei de 1024 de biți (mai puțin sigure)

Exemplu de înregistrare DKIM împărțită:

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."
"...continuarea cheii..."

Depanarea DMARC

Eșecuri de aliniere DMARC:

Simptome: SPF și DKIM trec dar DMARC eșuează

Cauze:

• Domeniul autentificat nu se potrivește cu domeniul antetului From
• Serviciul de trimitere terț folosind propriul domeniu
• Expeditor plic configurat greșit

Soluții:

• Asigură-te că furnizorul de e-mail semnează cu domeniul tău (DKIM personalizat)
• Configurează Return-Path/expeditor plic personalizat
• Folosește modul de aliniere relaxed (adkim=r; aspf=r)

Nu primesc rapoarte DMARC:

Simptome: Niciun raport agregat nu sosește

Cauze:

• Adresa rua incorectă
• Adresa de e-mail nu poate primi e-mail extern
• Rapoartele merg la spam
• Serverele destinatare nu trimit rapoarte

Soluții:

• Verifică sintaxa rua: rua=mailto:[email protected]
• Testează că adresa de raportare poate primi e-mail extern
• Verifică dosarul spam pentru rapoarte
• Notă: Nu toți destinatarii trimit rapoarte DMARC

Înregistrarea DMARC nu a fost găsită:

Simptome: Verificările DMARC arată “no record”

Cauze:

• Înregistrarea publicată în locul greșit
• Folosind formatul greșit (trebuie să fie TXT la subdomeniul _dmarc)

Soluții:

• Înregistrarea trebuie să fie la _dmarc.yourdomain.com
• Verifică cu dig TXT _dmarc.yourdomain.com

Instrumente generale de depanare

Validatori online:

• MXToolbox (mxtoolbox.com) - Căutări SPF, DKIM, DMARC
• Mail Tester (mail-tester.com) - Trimite e-mail de test pentru analiză completă
• DMARC Analyzer - Vizualizarea rapoartelor
• Google Admin Toolbox - Verifică MX, SPF, DKIM

Instrumente din linia de comandă:

# Verifică SPF
dig TXT yourdomain.com

# Verifică DKIM
dig TXT selector._domainkey.yourdomain.com

# Verifică DMARC
dig TXT _dmarc.yourdomain.com

# Verifică de pe un server DNS specific
dig @8.8.8.8 TXT yourdomain.com

Analiza antetelor de e-mail:

Verifică antetul Authentication-Results din e-mailurile primite:

Authentication-Results: mx.google.com;
  dkim=pass header.d=example.com header.s=brevo;
  spf=pass smtp.mailfrom=example.com;
  dmarc=pass action=none header.from=example.com

Autentificarea e-mailului și Brevo

Brevo oferă suport complet pentru autentificarea e-mailului, făcând simplu să configurezi SPF, DKIM și DMARC pentru domeniile tale de trimitere.

Configurarea autentificării în Brevo

Pasul 1: Adaugă domeniul tău

1. Autentifică-te în contul Brevo
2. Navighează la Setări > Expeditori, Domenii și IP-uri dedicate
3. Dă clic pe Adaugă un domeniu
4. Introdu numele domeniului tău

Pasul 2: Configurează SPF

Brevo furnizează instrucțiunea SPF include de adăugat în DNS:

include:spf.brevo.com

Adaugă aceasta în înregistrarea SPF existentă sau creează una nouă:

v=spf1 include:spf.brevo.com -all

Pasul 3: Configurează DKIM

Brevo generează automat cheile DKIM. Copiază înregistrarea furnizată:

1. Mergi la setările domeniului în Brevo
2. Găsește secțiunea DKIM
3. Copiază numele și valoarea înregistrării DNS
4. Adaugă înregistrarea TXT în DNS-ul tău

Pasul 4: Verifică configurația

Brevo verifică automat înregistrările DNS. Bifele verzi indică o configurare reușită.

Beneficiile autentificării corecte cu Brevo

Când configurezi corect autentificarea cu Brevo:

• Plasare mai bună în inbox: Gmail, Microsoft și alți furnizori au încredere în mesajele autentificate
• Protecția brandului: DMARC previne falsificarea domeniului tău
• Analize mai bune: Urmărire precisă a deschiderilor și click-urilor
• Construirea reputației: Autentificarea consistentă construiește reputația expeditorului

Beneficiile integrării Tajo

Folosirea Tajo pentru a conecta magazinul tău Shopify cu Brevo oferă avantaje suplimentare:

• Sincronizarea automată a clienților: Datele clienților circulă fără probleme pentru e-mailuri personalizate
• Urmărirea evenimentelor: Evenimentele de achiziție, navigare și coș declanșează e-mailuri tranzacționale autentificate
• Coordonare multi-canal: Menține autentificarea consistentă pe e-mail, SMS și WhatsApp
• Analize unificate: Urmărește performanța e-mailului alături de alte metrici de marketing

Combinația de autentificare corectă a e-mailului și sincronizare a datelor clienților în timp real asigură că e-mailurile tale nu ajung doar în inbox, ci rezonează cu fiecare destinatar.

Întrebări frecvente

Care este diferența dintre SPF, DKIM și DMARC?

SPF specifică ce servere pot trimite e-mail pentru domeniul tău. DKIM adaugă o semnătură criptografică care dovedește autenticitatea mesajului. DMARC stabilește politica despre cum ar trebui destinatarii să gestioneze eșecurile de autentificare și oferă raportare. Toate trei lucrează împreună pentru autentificarea completă a e-mailului.

Am nevoie de toate trei (SPF, DKIM și DMARC)?

Pentru livrabilitate și securitate optime, da. SPF singur este vulnerabil la spoofing. DKIM singur nu specifică politica. DMARC necesită SPF sau DKIM pentru a funcționa. Împreună, oferă protecție cuprinzătoare și cele mai bune rate de plasare în inbox.

Cât timp durează până când autentificarea e-mailului funcționează?

Modificările DNS se propagă de obicei în 30 de minute până la 48 de ore. Odată propagate, autentificarea se aplică imediat. Cu toate acestea, construirea reputației expeditorului pe baza autentificării consistente durează săptămâni sau luni.

Va bloca configurarea DMARC cu p=reject e-mailurile mele legitime?

Poate, dacă este configurată incorect. De aceea ar trebui să începi întotdeauna cu p=none (monitorizare), să analizezi rapoartele timp de 2-4 săptămâni, să remediezi problemele, apoi să treci treptat la quarantine și reject. Nu sări niciodată peste faza de monitorizare.

Ce este alinierea SPF vs alinierea DKIM?

Alinierea înseamnă că domeniul autentificat se potrivește cu domeniul vizibil din antetul From. Alinierea SPF compară domeniul Return-Path. Alinierea DKIM compară domeniul de semnare (eticheta d=). DMARC necesită ca cel puțin unul să se alinieze.

Pot avea mai multe chei DKIM pentru un domeniu?

Da. Fiecare serviciu de e-mail poate folosi un selector diferit (ex.: brevo._domainkey, google._domainkey). Aceasta permite mai multor servicii să semneze cu DKIM independent. Nu există limită pentru numărul de selectori DKIM.

De ce e-mailurile mele ajung în continuare la spam după configurarea autentificării?

Autentificarea este necesară dar nu suficientă pentru plasarea în inbox. Alți factori includ reputația expeditorului, calitatea conținutului, ratele de interacțiune și igienizarea listei. Autentificarea te trece de primul filtru; bunele practici determină plasarea finală.

Cum citesc rapoartele agregate DMARC?

Rapoartele agregate DMARC sunt fișiere XML. Folosește instrumente precum dmarcian, Postmark DMARC sau DMARC Analyzer pentru a le analiza și vizualiza. Aceste instrumente arată ce IP-uri trimit e-mail ca domeniul tău și ratele de trecere/eșec ale autentificării.

Ce se întâmplă dacă depășesc limita de 10 interogări SPF?

SPF returnează o eroare permanentă (permerror), și toate verificările SPF eșuează. Pentru a remedia aceasta, elimină includes neutilizate, înlocuiește includes cu adrese IP unde este posibil, sau folosește servicii de aplatizare SPF.

Ar trebui să folosesc -all sau ~all în înregistrarea SPF?

Folosește ~all (softfail) în timp ce testezi și câștigi încredere. Odată ce confirmi că toate sursele legitime trec, treci la -all (hard fail) pentru o protecție mai puternică. Softfail marchează eșecurile dar nu le respinge; hard fail autorizează respingerea.

Cât de des ar trebui să rotesc cheile DKIM?

Nu există o cerință strictă, dar rotirea anuală este o bună practică de securitate. Când rotești, adaugă cheia nouă mai întâi, așteaptă propagarea DNS, activează semnarea cu cheia nouă, apoi elimină cheia veche după o perioadă de tranziție.

Subdomeniile au nevoie de autentificare separată?

SPF: Da, fiecare subdomeniu are nevoie de propria înregistrare SPF dacă trimite e-mail de pe el. DKIM: Cheile pot fi partajate sau separate per subdomeniu. DMARC: Subdomeniile moștenesc politica părintelui cu excepția cazului în care sp= este setat sau subdomeniul are propria înregistrare DMARC.

Concluzie

Autentificarea e-mailului prin SPF, DKIM și DMARC nu mai este opțională pentru afacerile care se bazează pe comunicarea prin e-mail. Aceste protocoale protejează brandul tău de spoofing, îmbunătățesc livrabilitatea și construiesc încrederea necesară pentru un marketing eficient prin e-mail.

Concluzii cheie:

• SPF autorizează serverele de trimitere prin DNS
• DKIM dovedește autenticitatea mesajelor cu semnături criptografice
• DMARC aplică politica și oferă vizibilitate prin rapoarte
• Începe cu monitorizarea (p=none) înainte de a aplica respingerea
• Toate sursele legitime de trimitere trebuie să fie configurate corect
• Monitorizarea regulată previne deriva de configurație

Pentru afacerile de e-commerce care folosesc Shopify, combinarea autentificării corecte a e-mailului cu integrarea datelor clienților prin Tajo și Brevo creează o fundație puternică. E-mailurile tale tranzacționale ajung la clienți în mod fiabil, campaniile tale de marketing obțin o plasare mai bună în inbox, iar brandul tău rămâne protejat de atacurile de spoofing.

Ești gata să îți îmbunătățești livrabilitatea e-mailului? Începe prin a-ți audita configurarea curentă a autentificării cu instrumentele menționate în acest ghid, apoi configurează sistematic SPF, DKIM și DMARC urmând instrucțiunile pas cu pas furnizate.

Află cum se integrează Tajo cu Brevo pentru a oferi autentificare perfectă a e-mailului alături de sincronizarea datelor clienților în timp real pentru magazinul tău Shopify.

Articole conexe

• Campanii de e-mail marketing: ghidul complet de planificare, execuție și optimizare
• Strategie de e-mail marketing: ghid complet de planificare și execuție
• E-mail marketing pentru afaceri mici: ghidul complet (2026)
• ROI în e-mail marketing: cum să calculezi, urmărești și îmbunătățești rentabilitatea
• E-mail marketing pentru începători: ghidul complet de inițiere (2026)