Defaults.Exposed › Remedieri › SPF (Sender Policy Framework)

Cum să remediezi SPF (Sender Policy Framework)

SPF este linia din setările domeniului tău care specifică ce servicii de email sunt autorizate să trimită mesaje în numele afacerii tale. Fără ea, oricine din lume poate trimite email-uri care par să vină de la tine — iar email-urile tale autentice au mai multe șanse să ajungă în spam-ul clienților.

Concluzia pentru afacerea ta: Oricine poate trimite email-uri pretinzând că este afacerea ta — clienților, angajaților și furnizorilor tăi — facturi, solicitări de schimbare a datelor bancare și altele. Totodată, ofertele și facturile tale reale ajung mai des la gunoi, astfel că tranzacțiile se blochează în tăcere.

Ce te poate costa

Un escroc trimite clientului tău o factură 'de la tine' cu datele lui bancare și este plătit. Afli după săptămâni, când clientul întreabă unde sunt bunurile — și acum e vorba de reputația ta, și posibil de răspunderea ta legală.
Ofertele, facturile și răspunsurile tale ajung în tăcere în folderele de spam ale clienților, deoarece furnizorii mari nu pot verifica dacă provin cu adevărat de la tine. Afacerile se răcesc și nu înțelegi niciodată de ce.
Un escroc impersonifică proprietarul sau responsabilul financiar și trimite angajaților email-uri cerând o plată urgentă sau carduri cadou — mesajul pare să vină cu adevărat din domeniul tău, astfel că cineva plătește.
Departamentul IT sau de securitate al unui client mai mare verifică domeniul tău, constată că nu există protecție pentru expeditori și fie renunță la tine, fie îți cere să remediezi înainte de semnare — pierzând tranzacția sau săptămâni de întârziere.
Crezi că ești protejat pentru că există o înregistrare SPF — dar este setată pe 'soft fail' fără nicio aplicare, sau este defectă în tăcere, astfel că email-urile false trec în continuare fără probleme.

De ce contează. Falsificarea adresei 'de la' în email este extrem de simplă și nu costă nimic un atacator. SPF este cea mai rapidă și mai ieftină metodă de a face domeniul tău mai greu de impersonificat și de a menține email-ul legitim în afara spam-ului. Google și Yahoo resping acum activ sau marchează ca spam email-urile de la domenii neautentificate — aceasta nu mai este opțională, ci reprezintă minimul necesar pentru ca email-ul tău să fie livrat.

Pe scurt

Chiar acum, dacă nu ai SPF configurat corect, oricine din lume poate trimite email care pare să vină de la afacerea ta. Pot trimite clienților tăi facturi false, angajaților tăi solicitări de plată false și furnizorilor tăi email-uri ca și cum ar fi de la tine — și mesajele vor părea autentice, pentru că nimic din domeniul tău nu spune altfel.

SPF (Sender Policy Framework) este soluția. Este o singură linie de text în setările DNS ale domeniului tău care listează ce servicii de email sunt cu adevărat autorizate să trimită email în numele tău. Furnizorii de email receptori — Gmail, Outlook, toți — verifică acea listă înainte de a decide dacă un mesaj este real. Fără o listă sau cu una slabă, nu au nimic la care să se raporteze.

Această pagină acoperă două lucruri care trebuie să fie ambele corecte: dacă există o înregistrare SPF, și dacă este setată suficient de strict pentru a-și face treaba.

Ce te poate costa

Acestea sunt modalitățile concrete, din viața reală, prin care o înregistrare SPF lipsă sau slabă transformă bani și încredere în pierderi. Nu numim niciodată o afacere reală — acestea sunt tipare pe care le vedem în date.

Redirecționarea facturii. Un criminal trimite unuia dintre clienții tăi un email care arată exact ca cel venit de la tine, atașând o factură realistă cu propriul cont bancar. Clientul o plătește. Prima dată când afli este o urmărire cu întrebarea unde este comanda. Acum există un client supărat, o plată ajunsă la un criminal și o conversație dificilă despre cine suportă pierderea.
Escrocheria CEO/finanțe. Cineva trimite contabilului tău un email ‘de la’ proprietar: “Favor rapid — poți procesa această plată înainte de sfârșitul zilei?” Deoarece mesajul pare că vine cu adevărat din domeniul tău, nu declanșează instinctele nimănui. Banii pleacă din firmă.
Taxa de livrabilitate silențioasă. Ofertele și facturile tale încep să ajungă în folderele spam ale clienților deoarece Gmail și Yahoo nu pot verifica că provin cu adevărat de la tine. Nu primești o respingere, nu primești o eroare — afacerile pur și simplu tac. Pierzi business și nici măcar nu poți vedea că se întâmplă.
Contractul pierdut. Echipa de achiziții sau securitate a unui client mai mare rulează o verificare de bază pe domeniul tău ca parte a integrării. Văd că nu există autentificare a expeditorului și te marchează ca risc. În cel mai bun caz, te grăbești să remediezi sub presiunea termenului limită; în cel mai rău caz, aleg un concurent care a trecut.
Valul de otrăvire a mărcii. Domeniul tău este folosit într-o campanie de phishing îndreptată spre public. Persoanele care au fost afectate nu mai au încredere în niciun email cu numele tău — astfel că ofertele și reînnoirile tale autentice sunt ignorate sau raportate.

Firul care leagă toate acestea: atacatorul nu cheltuiește nimic, iar afacerea ta suportă costul și învinuirea.

Ce este de fapt

Când sosește un email, serverul de email receptor vrea să știe un singur lucru: este acesta cu adevărat de la cine pretinde că este? SPF răspunde la o parte din această întrebare.

Publici o scurtă linie de text în setările DNS ale domeniului tău — o “înregistrare TXT” — care denumește serviciile de email autorizate să trimită în numele tău. Ceva de genul:

v=spf1 include:_spf.google.com include:sendgrid.net -all

În termeni simpli, aceasta se citește: “Email-ul autentic de la noi vine de pe serverele Google și serverele SendGrid — respinge orice altceva care pretinde că este de la noi.”

Cele două componente care contează pentru nota ta:

Există înregistrarea? Aceasta este cea mai importantă (are cea mai mare pondere din orice verificare individuală de email). Fără înregistrare, receptorii nu au nicio listă de verificat, deci impersonificarea este complet deschisă. Există și un mod de eșec subtil: dacă domeniul tău are două sau mai multe înregistrări SPF, regulile spun că toate sunt invalide — deci efectiv nu ai SPF deloc, chiar dacă pare că ai.
Este politica suficient de strictă? O înregistrare poate exista dar tot să fie fără efect. Finalul — mecanismul “all” — este instrucțiunea pentru receptori:
- -all (hard fail) — respinge orice ce nu este pe listă. Cel mai puternic. Punctaj maxim.
- ~all (soft fail) + DMARC setat pe reject — configurația modernă recomandată. Protecție echivalentă cu hard fail, fără riscul ca email-urile redirecționate legitim să fie respinse. Punctaj maxim.
- ~all + DMARC setat pe quarantine — acceptabil, puțin mai slab; mută DMARC pe reject pentru protecție completă.
- ~all singur (fără aplicare DMARC) — slab. Aceasta spune “probabil fals, livrează oricum.” Email-urile false trec în continuare. Aceasta este capcana în care cad multe afaceri crezând că sunt protejate.
- ?all (neutru) — nu oferă protecție.
- +all — periculos activ: spune lumii că oricine poate trimite în numele tău. Nu folosi niciodată aceasta.

Mai există o altă eșuare invizibilă: SPF poate declanșa maximum 10 căutări DNS când este evaluat. Acumulează prea multe intrări include: și înregistrarea depășește această limită, moment în care receptorii tratează totul ca defect — și ești din nou fără protecție. Aceasta este o problemă comună, silențioasă pentru afacerile care folosesc multe instrumente marketing și SaaS.

Cum arată “bine”: exact o înregistrare SPF, care listează fiecare serviciu care trimite legitim email în numele tău, terminând cu -all (sau ~all combinat cu DMARC la p=reject), și rămânând confortabil sub limita de 10 căutări.

Cum se remediază (gratuit, ~10 minute)

Trimite această secțiune celui care gestionează domeniul sau site-ul tău — și notează că remedierea este gratuită. Este o modificare a unei setări DNS, nu un produs pe care să îl cumperi. Percepem taxe doar pentru monitorizarea că rămâne corectă în timp, nu pentru efectuarea modificării.

Pasul 1 — Listează fiecare serviciu care trimite email în numele tău. Aceasta este partea pe care oamenii o greșesc. Notează-le pe toate: furnizorul tău de căsuță poștală (Google Workspace, Microsoft 365 etc.), plus orice instrument de newsletter, CRM, helpdesk, platformă de comerț electronic, aplicație de facturare/contabilitate și sistem de rezervări. Dacă un serviciu trimite email cu numele tău și îl uiți, SPF-ul tău va bloca email-urile sale când înăsprești politica.

Pasul 2 — Publică o înregistrare TXT la domeniul tău rădăcină. Combină liniile “include” pentru toți expeditorii tăi într-o singură înregistrare. Per platformă comună:

Google Workspace: include:_spf.google.com
Microsoft 365: include:spf.protection.outlook.com
SendGrid: include:sendgrid.net
Mailchimp: include:servers.mcsv.net
Zoho: include:zoho.eu (sau domeniul corespunzător regiunii)

O înregistrare combinată arată astfel:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:sendgrid.net -all

Unde o adaugi, pe furnizor:

Cloudflare: DNS → Înregistrări → Adaugă înregistrare → Tip TXT, Nume @, Conținut = valoarea de mai sus.
Microsoft 365 / admin Google: publică șirul exact de include din vrăjitorul lor de configurare; copiază-l în înregistrarea TXT a gazdei DNS.
GoDaddy / alți furnizori de hosting: Gestionare DNS → Adaugă → TXT, Gazdă/Nume @, Valoare = înregistrarea.

Pasul 3 — Începe în siguranță, apoi aplică. În timp ce confirmi că lista expeditorului este completă, publică cu ~all (soft fail) pentru ca nimic legitim să nu fie blocat accidental. Odată ce ai confirmat că tot email-ul tău autentic continuă să circule, înăsprește la -all (hard fail) — sau, mai bine, păstrează ~all și adaugă o politică DMARC de p=reject, care este perechea modernă recomandată.

Pasul 4 — Asigură-te că ai exact O înregistrare. Dacă există deja o înregistrare SPF veche, editează-o pe aceea în loc să adaugi o a doua. Două înregistrări v=spf1 se anulează reciproc și te lasă neprotejat.

Pasul 5 — Urmărește numărul de căutări. Dacă ai mulți expeditori, poți depăși limita de 10 căutări. Dacă se întâmplă, consolidează — unii furnizori oferă “aplatizare SPF” sau elimină expeditorii pe care nu îi mai folosești.

Pasul 6 — Reverificați domeniul pentru a confirma că acum trece, cu înregistrarea prezentă și politica strictă.

Greșeli comune

Două înregistrări SPF. Cel mai frecvent eșec silențios. Adăugarea unei noi înregistrări în loc să editezi pe cea existentă le invalidează pe ambele. Trebuie să existe exact una.
Oprirea la ~all și presupunând că ai terminat. Soft fail fără DMARC în spate este mijlocul slab — pare configurat dar te protejează cu greu. Fie mergi la -all, fie combini ~all cu DMARC p=reject.
Uitarea unui expeditor. Înăsprirea la -all înainte de a lista aplicația de facturare, CRM-ul sau instrumentul de newsletter va începe să blocheze propriul tău email legitim. Listează totul mai întâi.
Depășirea limitei de 10 căutări. Fiecare include: poate lega mai multe căutări. Prea multe și înregistrarea este tratată ca defectă. Menține-o slabă.
Folosirea +all. Aceasta autorizează explicit întregul internet să trimită în numele tău. Este mai rău decât a nu avea nicio înregistrare. Nu o publica niciodată.

Unde se încadrează

SPF este fundația, dar este unul din trei niveluri. DKIM adaugă o semnătură criptografică care dovedește că un mesaj nu a fost modificat, iar DMARC este instrucțiunea care leagă SPF și DKIM împreună și spune receptorilor ce să facă cu email-ul care eșuează — inclusiv blocarea impersonificării numelui “de la” vizibil pe care îl văd clienții tăi. Corectează SPF mai întâi (este câștigul cel mai rapid și are cea mai mare pondere), apoi adaugă DKIM și DMARC pentru a închide complet ușa. Toate trei remedieri sunt gratuite.

Configurează-l la furnizorul tău

Pas cu pas pentru furnizorii populari:

Întrebări frecvente

Nu sunt tehnic — pot rezolva asta singur?

Nu trebuie să înțelegi detaliile. Modificarea constă în una sau două linii adăugate în setările domeniului tău, efectuată de cel care gestionează site-ul tău sau de furnizorul tău IT. Trimite-le secțiunea 'Cum se remediază' de mai jos — durează de obicei câteva minute și este gratuită. Percepem taxe doar pentru monitorizarea că rămâne corectă în timp.

Avem deja o înregistrare SPF — nu înseamnă că suntem protejați?

Nu neapărat. A avea o înregistrare este prima jumătate; a o seta strict este a doua. O înregistrare care se termină cu '~all' (soft fail) fără DMARC în spate spune serverelor receptoare 'acesta ar putea fi fals, dar livrează-l oricum' — ceea ce oferă protecție minimă. Două înregistrări SPF, sau una care face prea multe căutări, este tratată ca defectă și nu oferă nicio protecție deși pare că există. Ambele jumătăți trebuie să fie corecte.

Va strica remedierea email-ul meu propriu?

Poate, dacă înregistrarea omite un expeditor legitim — de exemplu aplicația de facturare sau instrumentul de newsletter care trimite email în numele tău. De aceea abordarea sigură este să listezi mai întâi fiecare serviciu care trimite email ca tine, să publici cu '~all' soft în timp ce confirmi că nimic nu este omis, apoi să înăsprești la hard fail. Făcut în această ordine, nu va strica nimic.

Care este diferența dintre '~all' și '-all' și pe care ar trebui să o folosim?

'-all' (hard fail) spune receptorilor să respingă tot ce nu este pe lista ta — cea mai puternică setare. '~all' (soft fail) spune 'probabil nelegitim, dar acceptă-l oricum.' Recomandarea modernă de bune practici este '~all' combinat cu o politică DMARC de 'reject' — această pereche oferă aceeași protecție ca '-all' fără riscul ca email-urile redirecționate legitim să fie respinse. '~all' singur, fără DMARC care să îl aplice, este configurația slabă de evitat.

Va opri SPF toate falsificările de email de unul singur?

Nu — este primul nivel esențial, nu răspunsul complet. SPF specifică ce servere pot trimite în numele tău, dar nu spune receptorilor ce să facă când un mesaj eșuează și nu acoperă numele 'de la' vizibil pe care îl vede utilizatorul. Pentru a bloca complet impersonificarea, ai nevoie și de DKIM și DMARC. SPF este primul pas cel mai rapid cu cel mai mare impact, deci începe de aici, apoi adaugă celelalte două.

Cât durează până produce efect și ar putea costa ceva?

Modificările DNS produc de obicei efect în câteva minute până la câteva ore. Remedierea în sine este întotdeauna gratuită — este doar editarea unei setări la furnizorul tău DNS. Oricine îți spune că adăugarea unei înregistrări SPF necesită un produs plătit greșește.