Infrastructură9 min citire

SPF, DKIM, DMARC: Ghid Complet pentru Email Deliverability

Cum să configurezi corect autentificarea email-ului pentru a evita folderul de spam și a proteja reputația domeniului tău în 2026.

Echipa Fadi

10 martie 2026

De Ce Contează Email Deliverability?

Trimiți email-uri de marketing sau tranzacționale și ajung în spam? Sau mai rău — nu ajung deloc? Problema este aproape întotdeauna legată de autentificarea email-ului: SPF, DKIM și DMARC.

Email deliverability înseamnă procentul email-urilor trimise care ajung efectiv în inbox-ul destinatarilor. Un domeniu fără autentificare corectă va vedea email-uri blocate de Gmail, Outlook și Yahoo — mai ales din 2024, când aceste platforme au înăsprit considerabil cerințele.

Cerințele Gmail și Yahoo (din 2024):

SPF sau DKIM obligatoriu pentru toți expeditorii
DMARC obligatoriu pentru expeditorii în volum mare (peste 5000 email/zi)
Rată de spam sub 0.3%
Opțiune de dezabonare simplă în email-urile de marketing

Ce Este SPF?

SPF (Sender Policy Framework) este un record DNS care specifică ce servere de email sunt autorizate să trimită email în numele domeniului tău.

Când un server de email primește un mesaj de la @domeniultau.ro, verifică în DNS-ul domeniului lista serverelor autorizate. Dacă serverul expeditor nu este pe listă, email-ul poate fi marcat ca spam sau respins.

Cum Funcționează SPF

Trimiți un email de la serverul A cu adresa contact@domeniultau.ro
Serverul destinatarului face un lookup DNS pentru domeniultau.ro
Găsește recordul SPF și verifică dacă serverul A este listat
Dacă da: email-ul trece verificarea SPF (PASS)
Dacă nu: SPF FAIL sau SOFTFAIL

Exemplu Record SPF

domeniultau.ro.  TXT  "v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.10 -all"

Explicație:

v=spf1 — versiunea SPF
include:_spf.google.com — autorizează serverele Gmail
include:sendgrid.net — autorizează SendGrid pentru email marketing
ip4:203.0.113.10 — autorizează un IP specific
-all — toate celelalte surse sunt REJECTED (recomandat) vs ~all (soft fail)

Reguli Importante pentru SPF

Un domeniu poate avea un singur record SPF (nu adăuga două recorduri TXT cu v=spf1)
Limita de lookup DNS este 10 — fiecare include: consumă un lookup; depășirea limitei cauzează erori
Folosește ~all dacă nu ești sigur de toate sursele, -all când ai lista completă

Ce Este DKIM?

DKIM (DomainKeys Identified Mail) adaugă o semnătură digitală criptografică fiecărui email trimis. Destinatarul poate verifica că email-ul chiar a fost trimis de domeniul respectiv și nu a fost modificat în tranzit.

Cum Funcționează DKIM

Serverul tău de email semnează email-ul cu o cheie privată
Cheia publică corespunzătoare este publicată în DNS-ul tău
Serverul destinatarului descarcă cheia publică din DNS
Verifică semnătura: dacă se potrivește, DKIM PASS

Exemplu Record DKIM

selector1._domainkey.domeniultau.ro.  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A..."

Explicație:

selector1 — selectorul (poți avea mai mulți pentru servicii diferite)
_domainkey — subdomenul standard pentru DKIM
v=DKIM1 — versiunea
k=rsa — algoritmul (RSA sau ed25519)
p=... — cheia publică în format Base64

Unde Configurezi DKIM

Cheia DKIM este generată de serviciul tău de email. Fiecare serviciu are instrucțiuni proprii:

Gmail Workspace: Admin Console > Apps > Gmail > Authenticate email
SendGrid: Settings > Sender Authentication
Mailchimp: Account > Domains
Server propriu: Configurare în Postfix sau Exim cu opendkim

Ce Este DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) construiește peste SPF și DKIM și adaugă:

O politică ce să facă serverele destinatare cu email-urile care eșuează SPF/DKIM
Un mecanism de raportare — primești rapoarte despre cine trimite email în numele domeniului tău

Cum Funcționează DMARC

Un email trece DMARC dacă trece SPF sau DKIM și domeniul din header-ul From se aliniază cu domeniul care a trecut verificarea.

Exemplu Record DMARC

_dmarc.domeniultau.ro.  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@domeniultau.ro; ruf=mailto:dmarc@domeniultau.ro; pct=100; adkim=s; aspf=s"

Explicație:

v=DMARC1 — versiunea
p=quarantine — politica (none / quarantine / reject)
rua=mailto:... — adresa pentru rapoarte agregate (primești zilnic)
ruf=mailto:... — adresa pentru rapoarte forensice (per email eșuat)
pct=100 — aplică politica pentru 100% din email-uri
adkim=s — aliniere DKIM strictă (s) sau relaxată (r)
aspf=s — aliniere SPF strictă (s) sau relaxată (r)

Politicile DMARC

p=none — monitorizare doar, fără acțiune (ideal pentru debut)
p=quarantine — email-urile eșuate merg în spam
p=reject — email-urile eșuate sunt respinse complet

Recomandare: începe cu p=none timp de 2-4 săptămâni, analizează rapoartele, asigură-te că sursele legitime trec, apoi upgradează la p=quarantine și în final la p=reject.

Cum Verifici Configurarea

Instrumente Online Gratuite

MXToolbox (mxtoolbox.com) — verificare SPF, DKIM, DMARC, blacklists
Mail-tester.com — trimite un email și obții un scor complet
DMARC Analyzer — analiză rapoarte DMARC
Google Admin Toolbox — verificare DNS pentru domenii Google Workspace

Test Manual prin Email

Trimite un email la check-auth@verifier.port25.com și vei primi un reply automat cu rezultatele verificărilor SPF, DKIM și DMARC pentru email-ul trimis.

Pași de Implementare

Pasul 1: Configurează SPF

Identifică toate serviciile care trimit email pentru domeniul tău (hosting, Gmail Workspace, CRM, newsletter etc.)
Creează un singur record TXT cu toate sursele autorizate
Publică recordul în DNS-ul domeniului
Verifică cu MXToolbox

Pasul 2: Configurează DKIM

Generează perechea de chei în serviciul tău de email
Publică cheia publică în DNS (formatul te-l oferă serviciul)
Activează semnarea DKIM pe serverul de email
Testează cu un email la check-auth@verifier.port25.com

Pasul 3: Configurează DMARC

Creează un record DMARC cu p=none și adresa de rapoarte
Publică în DNS: _dmarc.domeniultau.ro
Monitorizează rapoartele 2-4 săptămâni
Asigură-te că toate sursele legitime apar cu PASS
Upgradează la p=quarantine sau p=reject

Greșeli Comune de Evitat

Dublarea recordului SPF — nu poți avea două recorduri TXT cu v=spf1; combină-le într-unul singur
Depășirea limitei de 10 lookup-uri SPF — folosește flatten SPF dacă ai prea multe surse
DMARC p=reject prematur — fără monitorizare prealabilă poți bloca email-uri legitime
Chei DKIM de 1024 biți — folosește minim 2048 biți; Gmail și-a actualizat cerințele
Ignorarea rapoartelor DMARC — rapoartele sunt valoroase pentru a detecta tentative de phishing cu domeniul tău

Concluzie

SPF, DKIM și DMARC formează "triada de autentificare email" — fiecare adaugă un strat de protecție și credibilitate. Implementarea corectă a tuturor trei îți asigură că email-urile ajung în inbox, că domeniul tău nu este folosit pentru phishing și că îndeplinești cerințele Gmail, Yahoo și Outlook.

Configurarea corectă nu durează mai mult de 1-2 ore, iar beneficiile sunt imediate și de durată.

Verifică-ți Website-ul Acum

Auditează gratuit site-ul tău pe fadiaudit.ro — rezultate în 60 de secunde.

Infrastructură9 min citire

SPF, DKIM, DMARC: Ghid Complet pentru Email Deliverability

Cum să configurezi corect autentificarea email-ului pentru a evita folderul de spam și a proteja reputația domeniului tău în 2026.

Echipa Fadi

10 martie 2026

De Ce Contează Email Deliverability?

Trimiți email-uri de marketing sau tranzacționale și ajung în spam? Sau mai rău — nu ajung deloc? Problema este aproape întotdeauna legată de autentificarea email-ului: SPF, DKIM și DMARC.

Cerințele Gmail și Yahoo (din 2024):

SPF sau DKIM obligatoriu pentru toți expeditorii
DMARC obligatoriu pentru expeditorii în volum mare (peste 5000 email/zi)
Rată de spam sub 0.3%
Opțiune de dezabonare simplă în email-urile de marketing

Ce Este SPF?

SPF (Sender Policy Framework) este un record DNS care specifică ce servere de email sunt autorizate să trimită email în numele domeniului tău.

Cum Funcționează SPF

Trimiți un email de la serverul A cu adresa contact@domeniultau.ro
Serverul destinatarului face un lookup DNS pentru domeniultau.ro
Găsește recordul SPF și verifică dacă serverul A este listat
Dacă da: email-ul trece verificarea SPF (PASS)
Dacă nu: SPF FAIL sau SOFTFAIL

Exemplu Record SPF

domeniultau.ro.  TXT  "v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.10 -all"

Explicație:

v=spf1 — versiunea SPF
include:_spf.google.com — autorizează serverele Gmail
include:sendgrid.net — autorizează SendGrid pentru email marketing
ip4:203.0.113.10 — autorizează un IP specific
-all — toate celelalte surse sunt REJECTED (recomandat) vs ~all (soft fail)

Reguli Importante pentru SPF

Un domeniu poate avea un singur record SPF (nu adăuga două recorduri TXT cu v=spf1)
Limita de lookup DNS este 10 — fiecare include: consumă un lookup; depășirea limitei cauzează erori
Folosește ~all dacă nu ești sigur de toate sursele, -all când ai lista completă

Ce Este DKIM?

Cum Funcționează DKIM

Serverul tău de email semnează email-ul cu o cheie privată
Cheia publică corespunzătoare este publicată în DNS-ul tău
Serverul destinatarului descarcă cheia publică din DNS
Verifică semnătura: dacă se potrivește, DKIM PASS

Exemplu Record DKIM

selector1._domainkey.domeniultau.ro.  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A..."

Explicație:

selector1 — selectorul (poți avea mai mulți pentru servicii diferite)
_domainkey — subdomenul standard pentru DKIM
v=DKIM1 — versiunea
k=rsa — algoritmul (RSA sau ed25519)
p=... — cheia publică în format Base64

Unde Configurezi DKIM

Cheia DKIM este generată de serviciul tău de email. Fiecare serviciu are instrucțiuni proprii:

Gmail Workspace: Admin Console > Apps > Gmail > Authenticate email
SendGrid: Settings > Sender Authentication
Mailchimp: Account > Domains
Server propriu: Configurare în Postfix sau Exim cu opendkim

Ce Este DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) construiește peste SPF și DKIM și adaugă:

O politică ce să facă serverele destinatare cu email-urile care eșuează SPF/DKIM
Un mecanism de raportare — primești rapoarte despre cine trimite email în numele domeniului tău

Cum Funcționează DMARC

Un email trece DMARC dacă trece SPF sau DKIM și domeniul din header-ul From se aliniază cu domeniul care a trecut verificarea.

Exemplu Record DMARC

_dmarc.domeniultau.ro.  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@domeniultau.ro; ruf=mailto:dmarc@domeniultau.ro; pct=100; adkim=s; aspf=s"

Explicație:

v=DMARC1 — versiunea
p=quarantine — politica (none / quarantine / reject)
rua=mailto:... — adresa pentru rapoarte agregate (primești zilnic)
ruf=mailto:... — adresa pentru rapoarte forensice (per email eșuat)
pct=100 — aplică politica pentru 100% din email-uri
adkim=s — aliniere DKIM strictă (s) sau relaxată (r)
aspf=s — aliniere SPF strictă (s) sau relaxată (r)

Politicile DMARC

p=none — monitorizare doar, fără acțiune (ideal pentru debut)
p=quarantine — email-urile eșuate merg în spam
p=reject — email-urile eșuate sunt respinse complet

Recomandare: începe cu p=none timp de 2-4 săptămâni, analizează rapoartele, asigură-te că sursele legitime trec, apoi upgradează la p=quarantine și în final la p=reject.

Cum Verifici Configurarea

Instrumente Online Gratuite

MXToolbox (mxtoolbox.com) — verificare SPF, DKIM, DMARC, blacklists
Mail-tester.com — trimite un email și obții un scor complet
DMARC Analyzer — analiză rapoarte DMARC
Google Admin Toolbox — verificare DNS pentru domenii Google Workspace

Test Manual prin Email

Trimite un email la check-auth@verifier.port25.com și vei primi un reply automat cu rezultatele verificărilor SPF, DKIM și DMARC pentru email-ul trimis.

Pași de Implementare

Pasul 1: Configurează SPF

Identifică toate serviciile care trimit email pentru domeniul tău (hosting, Gmail Workspace, CRM, newsletter etc.)
Creează un singur record TXT cu toate sursele autorizate
Publică recordul în DNS-ul domeniului
Verifică cu MXToolbox

Pasul 2: Configurează DKIM

Generează perechea de chei în serviciul tău de email
Publică cheia publică în DNS (formatul te-l oferă serviciul)
Activează semnarea DKIM pe serverul de email
Testează cu un email la check-auth@verifier.port25.com

Pasul 3: Configurează DMARC

Creează un record DMARC cu p=none și adresa de rapoarte
Publică în DNS: _dmarc.domeniultau.ro
Monitorizează rapoartele 2-4 săptămâni
Asigură-te că toate sursele legitime apar cu PASS
Upgradează la p=quarantine sau p=reject

Greșeli Comune de Evitat

Dublarea recordului SPF — nu poți avea două recorduri TXT cu v=spf1; combină-le într-unul singur
Depășirea limitei de 10 lookup-uri SPF — folosește flatten SPF dacă ai prea multe surse
DMARC p=reject prematur — fără monitorizare prealabilă poți bloca email-uri legitime
Chei DKIM de 1024 biți — folosește minim 2048 biți; Gmail și-a actualizat cerințele
Ignorarea rapoartelor DMARC — rapoartele sunt valoroase pentru a detecta tentative de phishing cu domeniul tău

Concluzie

Configurarea corectă nu durează mai mult de 1-2 ore, iar beneficiile sunt imediate și de durată.

Verifică-ți Website-ul Acum

Auditează gratuit site-ul tău pe fadiaudit.ro — rezultate în 60 de secunde.