{"id":871,"date":"2025-09-09T09:58:37","date_gmt":"2025-09-09T07:58:37","guid":{"rendered":"https:\/\/www.maghost.ro\/blog\/?p=871"},"modified":"2025-09-09T10:33:20","modified_gmt":"2025-09-09T08:33:20","slug":"cum-sa-configurezi-serverul-de-email-pentru-livrare-directa-in-inbox","status":"publish","type":"post","link":"https:\/\/www.maghost.ro\/blog\/cum-sa-configurezi-serverul-de-email-pentru-livrare-directa-in-inbox\/","title":{"rendered":"Cum s\u0103 configurezi serverul de email pentru livrare direct\u0103 \u00een Inbox"},"content":{"rendered":"\n

Configurarea corect\u0103 a serverului de email este esen\u021bial\u0103 pentru ca mesajele trimise s\u0103 ajung\u0103 \u00een c\u0103su\u021ba de Inbox<\/strong>, nu \u00een folderele de spam. Marile servicii de email, precum Gmail \u0219i Yahoo, au \u00eenceput chiar s\u0103 impun\u0103 expeditorilor de volum mare s\u0103 implementeze protocoale de autentificare SPF \u0219i DKIM<\/a>. \u00cen absen\u021ba acestor m\u0103suri, emailurile neautentificate pot fi marcate drept nesigure, ba chiar pot fi folosite de spameri pentru a se da drept dvs., ceea ce duce la blacklisting<\/em> (domeniul ajunge pe liste negre)<\/a>. Pe de alt\u0103 parte, un domeniu care are configurate corect standardele SPF, DKIM \u0219i DMARC inspir\u0103 \u00eencredere furnizorilor de email \u2013 mesajele sale sunt recunoscute ca legitime \u0219i au \u0219anse mult mai mari s\u0103 fie livrate direct \u00een Inbox<\/a>. \u00cen continuare vom explica principalele elemente (SPF, DKIM, DMARC, rDNS) \u0219i bune practici pentru a asigura o livrare optim\u0103 a emailurilor.<\/p>\n\n\n\n

SPF (Sender Policy Framework)<\/h2>\n\n\n\n

SPF<\/strong> este un protocol de autentificare care permite de\u021bin\u0103torilor unui domeniu s\u0103 specifice ce servere au voie s\u0103 trimit\u0103 emailuri \u00een numele acelui domeniu<\/a>. Practic, configura\u021bia SPF se face prin ad\u0103ugarea unei \u00eenregistr\u0103ri de tip TXT \u00een DNS-ul domeniului, care enumer\u0103 adresele IP sau numele serverelor de mail autorizate. C\u00e2nd un mail ajunge la destina\u021bie, serverul de primire verific\u0103 \u00eenregistrarea SPF din DNS-ul expeditorului pentru a vedea dac\u0103 IP-ul de origine al mesajului este \u00een lista de IP-uri autorizate<\/a>. Dac\u0103 mesajul provine de la un server ne\u00eenscris \u00een SPF, el va e\u0219ua verificarea \u2013 multe servicii \u00eel vor marca drept suspicios sau \u00eel vor trimite \u00een spam<\/strong><\/a>.<\/p>\n\n\n\n

Configurarea SPF implic\u0103 identificarea tuturor serverelor care pot expedia emailuri pentru domeniul t\u0103u \u0219i listarea lor \u00eentr-un singur record<\/em> TXT. De exemplu, o \u00eenregistrare SPF simpl\u0103 poate ar\u0103ta astfel:<\/p>\n\n\n\n

v=spf1 include:_spf.google.com -all<\/code><\/pre>\n\n\n\n
\u00cen exemplul de mai sus, include:_spf.google.com<\/em> autorizeaz\u0103 serverele Google (de ex. dac\u0103 folosi\u021bi Google Workspace pentru email), iar -all indic\u0103 faptul c\u0103 orice alt server nespecificat nu este permis (trebuie tratat ca neautorizat). <\/p>\n\n\n\n
Recomandare:<\/strong> folose\u0219te \u00eentotdeauna sintaxa corect\u0103 (versiunea v=spf1 la \u00eenceput, mecanismele ip4, ip6 sau include necesare, \u0219i un qualifier final -all pentru o politic\u0103 strict\u0103). Studii recente au ar\u0103tat importan\u021ba SPF: domeniile cu SPF bine pus la punct au \u00eenregistrat \u00een medie o cre\u0219tere de 25% a ratei de livrare<\/strong> comparativ cu cele f\u0103r\u0103 SPF<\/a>. A\u0219adar, asigur\u0103-te c\u0103 \u00eenregistrarea SPF este configurat\u0103 \u0219i men\u021binut\u0103 corect. Dac\u0103 ai mai multe servicii de email (newsletter, Gmail, server propriu etc.), include-le pe toate \u00een SPF \u0219i actualizeaz\u0103 recordul ori de c\u00e2te ori se schimb\u0103 infrastructura de trimitere.<\/p>\n\n\n\n
DKIM (DomainKeys Identified Mail)<\/h2>\n\n\n\n
DKIM<\/strong> este un protocol ce adaug\u0103 un sigiliu digital<\/em> fiec\u0103rui email, garant\u00e2nd c\u0103 mesajul nu a fost modificat pe drum \u0219i c\u0103 provine realmente de la domeniul expeditor. Tehnic, DKIM func\u021bioneaz\u0103 prin ad\u0103ugarea unei semn\u0103turi criptografice \u00een header-ul mesajului, generat\u0103 cu o cheie privat\u0103 de\u021binut\u0103 doar de expeditor. Serverul de destina\u021bie va prelua cheia public\u0103 asociat\u0103 (publicat\u0103 tot ca \u00eenregistrare TXT \u00een DNS-ul domeniului expeditor) \u0219i o va folosi pentru a verifica semn\u0103tura din email<\/a>. Dac\u0103 semn\u0103tura este valid\u0103, \u00eenseamn\u0103 c\u0103 mesajul nu a fost alterat \u0219i c\u0103 provine de la de\u021bin\u0103torul de drept al domeniului.<\/p>\n\n\n\n
Pentru a configura DKIM, va trebui \u00een general s\u0103 generezi o pereche de chei criptografice (public\u0103\/privat\u0103). Cheia public\u0103 se public\u0103 \u00een DNS sub forma unui record<\/em> TXT (de obicei sub un subdomeniu special de tipul selector._domainkey.domeniul-tau.ro), iar cheia privat\u0103 se instaleaz\u0103 pe serverul de mail care trimite mesajele (sau este gestionat\u0103 automat de providerul t\u0103u de email). Multe panouri de control de g\u0103zduire (cPanel etc.) sau servicii de email ofer\u0103 op\u021biuni de generare automat\u0103 a DKIM \u2013 de exemplu, activ\u00e2nd op\u021biunea DKIM \u00een cPanel se va crea automat cheia \u0219i \u00eenregistrarea DNS necesar\u0103. Folose\u0219te chei RSA de 2048 bi\u021bi<\/strong> dac\u0103 este posibil, pentru un grad sporit de securitate. Odat\u0103 DKIM implementat, fiecare email trimis va con\u021bine \u00een header o linie DKIM-Signature care poate ar\u0103ta ca \u00een exemplu: d=exemplu.ro; s=default; bh=<hash>; b=<semnatura> etc., indic\u00e2nd c\u0103 mesajul a fost semnat. Serverele destinatar vor marca acele emailuri cu statut DKIM=PASS<\/em> dac\u0103 semn\u0103tura se verific\u0103 corect. Implementarea DKIM (al\u0103turi de SPF) construie\u0219te \u00eencredere<\/strong> \u00eentre serverul expeditor \u0219i cel destinatar, sporind reputa\u021bia de trimitere a domeniului<\/a>.<\/p>\n\n\n\n
Not\u0103:<\/strong> Dac\u0103 folose\u0219ti servicii externe precum Gmail\/Google Workspace, Microsoft 365, Mailchimp \u0219.a., ace\u0219ti furnizori \u00ee\u021bi pun la dispozi\u021bie cheile DKIM \u0219i instruc\u021biuni de publicare. Asigur\u0103-te c\u0103 le urm\u0103re\u0219ti documenta\u021bia pentru a activa DKIM pentru propriul t\u0103u domeniu \u00een cadrul acelor platforme.<\/pre>\n\n\n\n
DMARC (Domain-based Message Authentication, Reporting and Conformance)<\/h2>\n\n\n\n
DMARC<\/strong> este standardul de autentificare care leag\u0103 \u00eempreun\u0103 SPF \u0219i DKIM \u0219i stabile\u0219te o politic\u0103 unitar\u0103 despre cum s\u0103 fie tratate emailurile care e\u0219ueaz\u0103<\/em> verific\u0103rile. Cu DMARC, de\u021bin\u0103torul domeniului public\u0103 \u00een DNS o \u00eenregistrare TXT la subdomeniul special _dmarc (ex: _dmarc.exemplu.ro), \u00een care specific\u0103 politica dorit\u0103: de exemplu, p=none (doar monitorizare), p=quarantine (mesajele care nu trec verific\u0103rile s\u0103 fie livrate \u00een spam), sau p=reject (mesajele neautentificate s\u0103 fie respinse complet). Atunci c\u00e2nd un email ajunge la destina\u021bie, serverul de primire verific\u0103 dac\u0103 expeditorul are publicat un DMARC \u0219i, dac\u0103 da, confirm\u0103 c\u0103 mesajul a trecut verificarea SPF \u0219i DKIM (cel pu\u021bin una, dar \u0219i cu domeniul de From:<\/em> aliniat) \u0219i apoi aplic\u0103 politica indicat\u0103<\/strong><\/a>. Cu alte cuvinte, DMARC asigur\u0103 c\u0103 at\u00e2t SPF c\u00e2t \u0219i DKIM se potrivesc domeniului expeditorului<\/em>; dac\u0103 nu, serverul \u0219tie exact ce are de f\u0103cut cu mailul respectiv (de exemplu s\u0103 \u00eel resping\u0103 sau s\u0103 \u00eel bage \u00een carantin\u0103 spam). \u00cen plus, DMARC permite trimiterea de rapoarte<\/strong> c\u0103tre proprietarul domeniului, detaliind ce mesaje au trecut sau au picat testele (prin op\u021biunile rua\/ruf din recordul DMARC se pot specifica adresele de email unde vrei s\u0103 prime\u0219ti rapoarte agregate zilnice \u0219i\/sau rapoarte detaliate de incidente).<\/p>\n\n\n\n
Implementarea DMARC se face astfel: define\u0219ti o politic\u0103 (\u00eencepe cu p=none pentru o perioad\u0103 de monitorizare, ca s\u0103 nu pierzi emailuri legitime din gre\u0219eal\u0103) \u0219i adaugi recordul<\/em> DNS corespunz\u0103tor. Iat\u0103 un exemplu simplu de record DMARC care doar monitorizeaz\u0103 traficul, f\u0103r\u0103 a respinge nimic direct:<\/p>\n\n\n\n
_dmarc.exemplu.ro TXT \"v=DMARC1; p=none; rua=mailto:rapoarte@exemplu.ro; ruf=mailto:raportare@exemplu.ro; fo=1\"<\/code><\/pre>\n\n\n\n
\u00cen exemplul de mai sus, p=none indic\u0103 faptul c\u0103 nu se iau m\u0103suri punitive (se colecteaz\u0103 doar rapoarte), iar rua\/ruf specific\u0103 adresele unde s\u0103 fie trimise rapoarte agregate, respectiv forensic. Dup\u0103 ce te asiguri c\u0103 SPF \u0219i DKIM func\u021bioneaz\u0103 corect \u0219i ai analizat rapoartele DMARC (pentru a vedea dac\u0103 exist\u0103 surse neautorizate care \u00eencearc\u0103 s\u0103 trimit\u0103 \u00een numele t\u0103u), po\u021bi trece politica la quarantine sau chiar reject pentru a bloca efectiv tentativele de spoofing<\/strong>. DMARC este practic ultima pies\u0103 din puzzle<\/em> care \u00ee\u021bi securizeaz\u0103 complet domeniul de email: odat\u0103 SPF \u0219i DKIM implementate, configurarea DMARC finalizeaz\u0103 strategia de autentificare \u0219i comunic\u0103 lumii \u00eentregi c\u0103 domeniul t\u0103u este protejat. Drept consecin\u021b\u0103, vei vedea o sc\u0103dere a atacurilor de tip phishing ce pretind a veni de pe domeniul t\u0103u \u0219i o cre\u0219tere a \u00eencrederii furnizorilor de mail \u00een mesajele tale legitime.<\/p>\n\n\n\n
rDNS (Reverse DNS) \u0219i \u00eenregistrarea PTR<\/h2>\n\n\n\n
Conceptul de Reverse DNS (rDNS)<\/strong>: Pentru ca un server de mail expeditor s\u0103 fie de \u00eencredere, adresa sa IP ar trebui s\u0103 aib\u0103 un nume de domeniu asociat (printr-un record PTR), iar acel nume la r\u00e2ndul s\u0103u s\u0103 se rezolve \u00eenapoi la aceea\u0219i adres\u0103 IP. \u00cen exemplul ilustrat mai sus, pentru IP-ul 209.76.112.141 al serverului de mail, un lookup<\/em> rDNS dezv\u0103luie numele de host  \u2013 ceea ce \u00eenseamn\u0103 c\u0103 exist\u0103 o \u00eenregistrare PTR configurat\u0103. Invers, domeniul  are un A record<\/em> care pointeaz\u0103 c\u0103tre acela\u0219i IP, complet\u00e2nd leg\u0103tura bidirec\u021bional\u0103. Aceast\u0103 configurare confirm\u0103 c\u0103 IP-ul chiar apar\u021bine domeniului respectiv \u0219i nu este unul generic sau suspect<\/a>.<\/p>\n\n\n\n
Reverse DNS nu este un protocol de autentificare \u00een sensul clasic<\/strong>, dar este o verificare de bun-sim\u021b folosit\u0103 pe scar\u0103 larg\u0103 de serverele de email de destina\u021bie. Multe servere SMTP<\/em> refuz\u0103 conexiunile de la un IP care nu are un PTR (rDNS) valid. De asemenea, marii furnizori webmail (Gmail, Yahoo, Outlook\/Hotmail etc.) vor bloca sau penaliza emailurile venite de pe IP-uri f\u0103r\u0103 rDNS corect configurat<\/strong><\/a>. Lipsa unui rDNS valide este adesea interpretat\u0103 ca un semn c\u0103 sursa ar putea fi un calculator compromis sau un expeditor neglijent, deci mesajele respective pot fi direct respinse \u00eenainte de a ajunge m\u0103car la etapa de con\u021binut. Prin urmare, asigur\u0103-te c\u0103 adresa IP a serverului t\u0103u de mail are un record PTR care s\u0103 corespund\u0103 domeniului<\/strong> din adresa expeditorului. \u00cen practic\u0103, dac\u0103 folose\u0219ti un serviciu de hosting sau un provider de servere, contacteaz\u0103-i (sau folose\u0219te panoul lor de control) pentru a seta un PTR record<\/em> al IP-ului c\u0103tre numele host (de ex. mail.exemplu.ro). Iar \u00een DNS-ul domeniului t\u0103u, asigur\u0103-te c\u0103 numele host respectiv (mail.exemplu.ro) este definit \u0219i el ca record A c\u0103tre acela\u0219i IP. Odat\u0103 realizat acest lucru, serverul t\u0103u de mail va trece testul rDNS \u0219i va c\u00e2\u0219tiga un plus de credibilitate.<\/p>\n\n\n\n
Alte bune practici pentru livrabilitate<\/h2>\n\n\n\n
Dincolo de SPF, DKIM, DMARC \u0219i rDNS, exist\u0103 \u0219i alte m\u0103suri complementare<\/strong> pe care ar trebui s\u0103 le ai \u00een vedere pentru a maximiza \u0219ansele de livrare \u00een Inbox:<\/p>\n\n\n\n