Email

SPF, DKIM, DMARC — autentificare email corectă

Cele 3 înregistrări DNS care decid dacă mesajele tale ajung în Inbox sau Spam la Gmail, Outlook și Yahoo. Configurare pas-cu-pas în cPanel.

227 vizualizări · actualizat 10 iulie 2026 · 5 min lectură

În 2026, dacă nu ai SPF, DKIM și DMARC configurate corect, Gmail, Outlook și Yahoo pun automat emailurile tale în Spam — sau le resping complet. Aceste 3 înregistrări DNS sunt obligatorii pentru orice domeniu serios.

Ce face fiecare

SPF (Sender Policy Framework)

O înregistrare TXT în DNS care declară explicit ce servere au voie să trimită email în numele domeniului tău. Când Gmail primește un email de la contact@firma-mea.ro, verifică SPF-ul. Dacă IP-ul serverului de unde a venit nu apare în lista SPF, mesajul e suspect.

DKIM (DomainKeys Identified Mail)

O semnătură criptografică adăugată la fiecare email trimis de pe domeniul tău. Receiver-ul verifică semnătura cu cheia publică din DNS-ul tău. Dacă semnătura e validă, înseamnă că mesajul (a) chiar vine de la tine și (b) nu a fost modificat în tranzit.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

Politica ta despre ce să facă receiver-ul când SPF SAU DKIM nu trec verificarea. Trei opțiuni:

  • p=none — doar monitorizare, livrare normală
  • p=quarantine — suspect → Spam
  • p=reject — drop direct, nici Spam

Configurare SPF — cu cPanel (cea mai simplă cale)

  1. cPanel → Email → Email Deliverability.
  2. Vei vedea lista domeniilor active. Pentru fiecare, click Manage.
  3. Secțiunea SPF arată dacă e instalat sau nu. Dacă scrie "Not Installed", click Install the Suggested Record.
  4. cPanel adaugă automat un record TXT pe domeniul tău:
    "v=spf1 +a +mx +ip4:IP_SERVER ~all"
Screenshot: ecran cPanel Email Deliverability cu butonul "Install"
Print-screen va fi adăugat în următoarea actualizare

SPF cu servicii externe (Mailchimp, Brevo, Google Workspace)

Dacă trimiți email și prin alte servicii (newsletter, ATS, CRM), trebuie să le adaugi explicit în SPF. cPanel default-ul include doar serverul nostru. Modifică manual:

cPanel → Zone Editor → Manage domeniu → caută record-ul TXT cu v=spf1... → click Edit.

Exemple comune:

# SPF cu Google Workspace (Gmail business)
"v=spf1 +a +mx +include:_spf.google.com ~all"

# SPF cu Mailchimp
"v=spf1 +a +mx +include:servers.mcsv.net ~all"

# SPF cu Brevo (fost Sendinblue)
"v=spf1 +a +mx +include:spf.brevo.com ~all"

# Combinație: server FutureHost + Mailchimp + Google
"v=spf1 +a +mx +include:_spf.google.com +include:servers.mcsv.net ~all"

Limita 10 lookup-uri SPF. Standardul SPF permite max 10 DNS lookup-uri într-un record. Fiecare include:, a:, mx: contează. Dacă combini 5+ servicii, vei depăși limita și SPF va eșua silențios. Soluție: SPF flattening (rezolvarea include-urilor în IP-uri statice) cu un tool ca DMARC Analyzer SPF Checker.

Configurare DKIM

  1. cPanel → Email → Email Deliverability → Manage domeniul.
  2. Secțiunea DKIM. Click Install the Suggested Record.
  3. Se creează automat un record TXT lung pe sub-domeniul default._domainkey.domeniul-tau.ro.

Pentru servicii externe (Google Workspace, Mailchimp), DKIM trebuie configurat separat în panoul lor — fiecare semnează cu cheia proprie. Adaugă cheile lor ca record-uri TXT în DNS-ul tău, pe sub-domeniile pe care le indică ei.

Configurare DMARC (manual, dar important)

DMARC NU se setează automat de cPanel. Trebuie să-l adaugi manual:

  1. cPanel → Domains → Zone Editor → Manage domeniul tău.
  2. Click + Add Record → Add "TXT" Record.
  3. Name: _dmarc.domeniul-tau.ro
  4. TTL: 14400
  5. Record: începe cu politica de monitorizare (faza 1):
    "v=DMARC1; p=none; rua=mailto:dmarc-reports@domeniul-tau.ro; pct=100"
  6. Click Save Record.

Faza 1 — Monitorizare (primele 2 săptămâni)

Cu p=none, DMARC nu blochează nimic — doar îți trimite rapoarte zilnic prin email cu ce mesaje au fost autentificate corect și ce nu. Verifică rapoartele primele 2 săptămâni și asigură-te că:

  • Toate sursele legitime (cPanel server, Mailchimp etc.) trec SPF + DKIM
  • Vezi tentative de spoofing (cineva care încearcă să trimită fake în numele tău)

Faza 2 — Quarantine (după ce ești sigur că totul e OK)

Modifică record-ul la p=quarantine; pct=25 — DMARC va pune în Spam 25% din mesajele care nu trec autentificarea. Dacă nu apar plângeri de la utilizatori legitimi după o săptămână, crește gradual: pct=5075100.

Faza 3 — Reject (politica strictă, recomandată final)

După 1-2 luni cu p=quarantine; pct=100 fără probleme:

"v=DMARC1; p=reject; rua=mailto:dmarc-reports@domeniul-tau.ro; pct=100; adkim=s; aspf=s"

p=reject + adkim=s + aspf=s = orice mesaj nelegitim e respins instant. E cea mai puternică protecție anti-spoofing.

Testare configurare

Cel mai simplu mod: trimite un email gol la test@mail-tester.com. Vei primi un link cu raport detaliat care îți spune:

  • Scor general (obiectiv: 10/10)
  • SPF: PASS / FAIL + explicație
  • DKIM: PASS / FAIL + cheia semnată
  • DMARC: PASS / FAIL + politica detectată
  • Conținut "spammy" în mesaj (link-uri suspecte, multe imagini, etc.)
  • Reputație IP/domeniu pe blacklist-uri majore

Obiectiv: scor 10/10 pe mail-tester. Cu SPF + DKIM + DMARC corecte și domeniu cu vechime, ar trebui să-l atingi. Dacă scorul rămâne 7-8/10, problema e de obicei reputația IP-ului serverului (vezi blacklist check) sau conținut suspect în mesaj.

Tool-uri externe de verificare

De ce să nu sari peste DMARC

Fără DMARC, oricine poate trimite emailuri pretinzând că e de la contact@firma-mea.ro. Atacatori folosesc asta pentru:

  • Phishing către clienții tăi (cer plăți în alt cont)
  • Spear-phishing către angajații tăi (factură fake)
  • Distrugerea reputației domeniului — odată ce IP-ul tău e folosit pentru spam, ajungi pe blacklist și emailurile legitime ajung în Spam la TOȚI receiverii

30 de minute de configurare îți protejează domeniul ani de zile.


Mai ai nevoie de ajutor cu acest subiect?

Echipa noastră răspunde direct, în limba română, L–V 9–18. Pentru urgențe (site down, hack) avem canal WhatsApp.

Întreabă suportul →

Cookies & confidențialitate

Folosim cookies pentru funcționalitate, analytics și personalizare. Esențialele sunt obligatorii, restul le poți controla.

Preferințe cookies

Detalii complete în politica de confidențialitate.