Ghiduri practice

Cum securizezi emailul firmei în 2026: SPF, DKIM, DMARC și MFA explicate simplu

Autor: Stefan IT

48 vizualizări

  • Laptop cu scut digital pentru securizarea emailului firmei prin SPF, DKIM, DMARC și MFA.

Publicat la: 27 mai 2026

Timp estimat de citire: 15,2 minute

Emailul este una dintre cele mai importante zone de protejat într-o firmă. Prin email trimiți facturi, primești contracte, resetezi parole, comunici cu furnizorii și păstrezi discuții care pot conține date sensibile. De aceea, o strategie corectă de securizare email firmă nu mai este un moft tehnic, ci o măsură de bază pentru orice antreprenor, freelancer, ONG sau firmă mică.

Problema este că emailul a fost gândit inițial pentru comunicare, nu pentru verificarea strictă a identității expeditorului. Din acest motiv, atacatorii pot încerca să trimită mesaje care par să vină de la domeniul tău, pot fura parole prin phishing sau pot intra într-un cont real dacă parola a fost compromisă. Rezultatul poate fi o factură falsă plătită de client, un cont de business preluat sau pierderea încrederii în domeniul firmei.

Acest ghid explică simplu ce sunt SPF, DKIM, DMARC și MFA, cum se leagă între ele și ce trebuie să verifici ca să reduci riscul. Nu este un manual pentru administratori enterprise și nu promite protecție 100%. Este un ghid practic pentru firme mici și utilizatori care vor să înțeleagă ce trebuie făcut și de ce contează.

Pe scurt: ce trebuie să faci

Dacă nu ai timp să citești tot articolul acum, începe cu aceste acțiuni:

  • Activează MFA pe toate conturile de email, mai ales pe conturile de administrator.
  • Configurează SPF ca să declari ce servere au voie să trimită emailuri în numele domeniului tău.
  • Activează DKIM ca mesajele trimise să fie semnate digital și mai ușor de verificat.
  • Configurează DMARC ca serverele destinatarilor să știe ce să facă atunci când un mesaj suspect pică verificările.
  • Verifică toate conturile active și dezactivează conturile vechi sau nefolosite.
  • Verifică redirecționările și regulile automate din inbox, pentru că acestea sunt folosite des după compromiterea unui cont.
  • Monitorizează rapoartele DMARC și alertele de securitate, nu doar seta înregistrările DNS și uita de ele.

De ce este emailul firmei o țintă atât de importantă?

Pentru un atacator, emailul firmei este mai mult decât o adresă de contact. Este punctul prin care poate ajunge la bani, conturi, documente și clienți. Dacă un cont de email este compromis, atacatorul poate citi conversații, poate urmări facturi, poate reseta parole și poate trimite mesaje credibile în numele firmei.

Un exemplu simplu: firma ta trimite o factură către un client. Dacă atacatorul are acces la cont sau poate imita domeniul tău, poate trimite un mesaj în care spune că IBAN-ul s-a schimbat. Clientul vede un email aparent legitim și plătește în contul greșit. Acesta este un scenariu tipic de fraudă prin email de business, iar firmele mici sunt vulnerabile tocmai pentru că nu au întotdeauna procese clare de verificare.

Mai există și problema reputației domeniului. Dacă domeniul tău este folosit pentru spam sau phishing, emailurile legitime pot începe să ajungă în Spam sau să fie respinse. În practică, asta înseamnă facturi nelivrate, clienți care nu primesc răspunsuri și pierderi de timp pentru a repara încrederea în domeniu.

Pentru cititorii care vor să înțeleagă cum arată mesajele periculoase, articolul despre cum recunoști un email de phishing completează foarte bine acest ghid.

Ce este SPF și de ce contează?

SPF vine de la Sender Policy Framework. Pe scurt, SPF spune lumii ce servere au voie să trimită emailuri în numele domeniului tău. Este o înregistrare TXT adăugată în DNS, adică în zona unde sunt administrate setările domeniului tău.

Imaginează-ți că domeniul tău este o firmă cu mai mulți curieri autorizați. SPF este lista oficială cu acești curieri. Când un server primește un email care pare să vină de la firma ta, verifică lista SPF. Dacă mesajul vine de la un server autorizat, are mai multe șanse să fie acceptat. Dacă vine din altă parte, devine suspect.

Un exemplu simplu pentru un domeniu care trimite email prin Google Workspace ar putea arăta așa:

v=spf1 include:_spf.google.com ~all

Pentru Microsoft 365, un exemplu des întâlnit este:

v=spf1 include:spf.protection.outlook.com -all

Important: nu copia mecanic aceste exemple. Înregistrarea corectă depinde de serviciile reale care trimit emailuri pentru domeniul tău: Google Workspace, Microsoft 365, hosting, CRM, platformă de facturare, newsletter sau alte aplicații. Dacă uiți un serviciu legitim, emailurile trimise prin acel serviciu pot ajunge în Spam sau pot fi respinse. Dacă adaugi prea multe servicii necunoscute, slăbești controlul asupra domeniului.

Recomandarea practică: păstrează o singură înregistrare SPF pentru domeniu, include doar serviciile folosite real și revizuiește lista atunci când schimbi furnizorul de email sau adaugi o platformă nouă de trimitere email.

Ce este DKIM și cum ajută la protejarea emailului?

DKIM vine de la DomainKeys Identified Mail. Dacă SPF verifică sursa de trimitere, DKIM verifică integritatea mesajului. Cu DKIM activ, emailul este semnat digital de serverul tău, iar serverul destinatar poate verifica dacă mesajul a fost modificat pe drum.

O explicație simplă: DKIM funcționează ca un sigiliu digital. Serverul tău de email pune o semnătură invizibilă în antetul mesajului. Cheia publică pentru verificarea semnăturii este publicată în DNS. Când mesajul ajunge la destinatar, serverul acestuia verifică semnătura. Dacă verificarea reușește, mesajul este mai ușor de considerat legitim.

DKIM este important și pentru livrabilitate. Furnizorii mari de email verifică tot mai atent autentificarea mesajelor. Un domeniu care trimite email fără DKIM poate avea mai multe probleme de livrare, mai ales dacă trimite mesaje către Gmail, Outlook, Yahoo sau alte servicii cu filtre stricte.

În Google Workspace, Microsoft 365, Zoho Mail sau cPanel, cheia DKIM este generată de obicei din panoul de administrare. Tu trebuie să copiezi valoarea în DNS, ca TXT sau CNAME, în funcție de instrucțiunile furnizorului. După publicare, așteaptă propagarea DNS și folosește un instrument de verificare ca să confirmi că semnătura este activă.

Ce este DMARC și de ce este important pentru firma ta?

DMARC vine de la Domain-based Message Authentication, Reporting and Conformance. El folosește SPF și DKIM pentru a decide ce se întâmplă cu mesajele care pretind că vin de la domeniul tău, dar nu trec verificările.

Fără DMARC, serverele destinatarilor pot interpreta diferit un mesaj suspect. Unele îl livrează, altele îl pun în Spam, altele îl resping. Cu DMARC, tu publici o politică clară în DNS: monitorizează, trimite în carantină sau respinge mesajele care nu trec autentificarea.

Cele trei politici DMARC principale sunt:

  • p=none: monitorizare. Mesajele sunt livrate în mod normal, dar primești rapoarte despre autentificare. Este etapa potrivită pentru început.
  • p=quarantine: carantină. Mesajele suspecte pot fi trimise în Spam/Junk. Este o etapă intermediară, utilă după ce ai verificat sursele legitime de trimitere.
  • p=reject: respingere. Mesajele care pică verificarea pot fi refuzate de serverele destinatare. Este ținta recomandată pentru domenii mature, dar trebuie aplicată după testare.

O înregistrare DMARC de monitorizare poate arăta așa:

v=DMARC1; p=none; rua=mailto:dmarc@exemplu.ro; adkim=s; aspf=s

După ce verifici rapoartele și ești sigur că toate serviciile legitime trimit corect, poți trece treptat la:

v=DMARC1; p=quarantine; rua=mailto:dmarc@exemplu.ro; pct=100; adkim=s; aspf=s
v=DMARC1; p=reject; rua=mailto:dmarc@exemplu.ro; pct=100; adkim=s; aspf=s

Atenție: DMARC nu blochează toate formele de phishing. De exemplu, nu oprește automat un atacator care folosește un domeniu asemănător, cum ar fi firma-rnea.ro în loc de firma-mea.ro, sau un email cu nume afișat înșelător. DMARC reduce mult riscul de spoofing pe domeniul tău real, dar trebuie combinat cu MFA, educarea utilizatorilor și verificarea atentă a mesajelor.

Ce este MFA și de ce nu ar trebui să lipsească de pe niciun cont de email?

SPF, DKIM și DMARC protejează domeniul și ajută la verificarea mesajelor trimise. MFA protejează conturile. MFA înseamnă Multi-Factor Authentication, adică autentificare cu mai mulți factori. Pe lângă parolă, utilizatorul trebuie să confirme conectarea printr-un al doilea factor: aplicație de autentificare, cheie fizică de securitate sau, în unele cazuri, cod prin SMS.

Parola singură nu mai este suficientă pentru emailul firmei. Parolele pot fi furate din breșe de date, reutilizate pe alte site-uri, ghicite sau introduse pe o pagină falsă de phishing. MFA nu face contul invulnerabil, dar crește semnificativ dificultatea pentru atacator.

Cele mai bune opțiuni sunt aplicațiile de autentificare și cheile fizice de securitate. Codurile prin SMS sunt mai bune decât lipsa MFA, dar sunt mai vulnerabile la atacuri de tip SIM swapping sau interceptare. Pentru conturile de administrator, folosirea unei metode puternice de MFA ar trebui să fie obligatorie.

Pentru mai multe detalii, citește ghidul despre ce este autentificarea multifactor și către ghidul despre parole sigure pentru firme mici.

Checklist practic pentru securizarea emailului firmei

Folosește lista de mai jos ca audit lunar sau ca punct de pornire atunci când preiei administrarea unui domeniu de email.

  • Inventariază toate conturile de email active.
  • Dezactivează sau șterge conturile persoanelor care nu mai lucrează cu firma.
  • Activează MFA pentru toți utilizatorii.
  • Folosește parole unice, lungi și stocate într-un manager de parole.
  • Păstrează contul de administrator separat de contul folosit zilnic.
  • Configurează SPF cu sursele reale de trimitere email.
  • Activează DKIM pentru domeniul principal și pentru domeniile sau subdomeniile care trimit email.
  • Configurează DMARC inițial cu p=none, apoi treci treptat la quarantine și reject.
  • Creează o adresă dedicată pentru rapoarte DMARC, de exemplu dmarc@domeniu.ro.
  • Verifică redirecționările automate din conturile de email.
  • Verifică regulile automate din inbox, mai ales cele care mută sau șterg mesaje.
  • Activează alertele pentru autentificări suspecte.
  • Revizuiește periodic dispozitivele conectate și sesiunile active.
  • backup la emailurile și documentele importante.
  • Documentează procesul de închidere a accesului când un angajat sau colaborator pleacă din firmă.

Greșeli frecvente pe care trebuie să le eviți

Chiar și firmele care au intenții bune pot face greșeli care slăbesc securitatea emailului. Cele mai importante sunt:

  • Lipsa MFA: dacă un atacator află parola, poate intra direct în cont.
  • Conturi vechi lăsate active: un cont nefolosit, dar încă activ, poate deveni o ușă deschisă.
  • SPF configurat cu prea multe servicii: SPF are o limită tehnică de 10 interogări DNS. Prea multe includeri pot duce la erori și probleme de livrare.
  • Mai multe înregistrări SPF pe același domeniu: domeniul trebuie să aibă o singură înregistrare SPF validă.
  • DMARC lăsat permanent pe p=none: este bun pentru monitorizare, dar nu este scopul final. După testare, avansează către quarantine și apoi reject.
  • Folosirea contului admin pentru activități zilnice: contul admin trebuie folosit doar pentru administrare, nu pentru newslettere, logări pe site-uri sau comunicare curentă.
  • Ignorarea forwarding-ului și a regulilor automate: după compromiterea unui cont, atacatorii creează des reguli care ascund conversații sau redirecționează emailuri.
  • Lipsa unui proces de verificare a plăților: pentru facturi și schimbări de IBAN, confirmă telefonic sau printr-un canal separat, nu doar prin email.

Google Workspace, Microsoft 365 sau email pe hosting: ce trebuie să verifici?

Setările diferă de la un furnizor la altul, dar obiectivul este același: conturi protejate prin MFA și domeniu autentificat prin SPF, DKIM și DMARC.

Google Workspace

  • Activează verificarea în doi pași pentru utilizatori și aplic-o obligatoriu pentru conturile importante.
  • Publică SPF pentru Google Workspace în DNS: include:_spf.google.com.
  • Activează DKIM din Google Admin Console și adaugă cheia în DNS.
  • Publică DMARC în DNS și monitorizează rapoartele.
  • Verifică alertele din Admin Console pentru conectări suspecte și modificări de securitate.

Microsoft 365

  • Activează Security Defaults sau politici de Conditional Access, dacă licența permite.
  • Publică SPF pentru Microsoft 365: include:spf.protection.outlook.com.
  • Activează DKIM pentru domeniile personalizate.
  • Configurează DMARC și verifică alinierea domeniului din From cu SPF/DKIM.
  • Verifică alertele și rapoartele din Microsoft Defender / Microsoft 365 admin center.

cPanel, aaPanel sau hosting clasic

  • Verifică zona DNS și asigură-te că MX, SPF, DKIM și DMARC sunt publicate corect.
  • Activează DKIM și SPF din panoul de hosting, dacă există opțiune dedicată.
  • Folosește parole puternice pentru webmail și nu refolosi parola de la alte servicii.
  • Activează conexiuni securizate IMAP/SMTP cu TLS, nu porturi nesecurizate.
  • Actualizează panoul de control și serviciile de mail dacă administrezi tu serverul.
  • Dacă ai email pe același server cu site-ul, acordă atenție suplimentară securității WordPress și a hostingului.

Cloudflare DNS sau alt furnizor DNS

  • Adaugă înregistrările TXT/CNAME exact așa cum le cere furnizorul de email.
  • Ai grijă ca înregistrările de email să fie adăugate în zona DNS corectă.
  • Păstrează o evidență a serviciilor autorizate să trimită email pentru domeniu.
  • După modificări, așteaptă propagarea DNS și testează din nou.

Ce nu rezolvă SPF, DKIM, DMARC și MFA

Este important să nu vinzi aceste setări ca o soluție magică. Ele sunt baza securității emailului, dar nu înlocuiesc atenția utilizatorilor și procesele interne.

  • Nu opresc toate emailurile de phishing, mai ales cele trimise de pe domenii asemănătoare cu al tău.
  • Nu garantează că fiecare mesaj legitim ajunge în Inbox; livrabilitatea depinde și de conținut, reputație și comportamentul destinatarilor.
  • Nu protejează un calculator infectat sau un browser în care utilizatorul introduce voluntar parola pe o pagină falsă.
  • Nu elimină nevoia de backup corect, politici de acces, verificarea plăților și educație de securitate pentru angajați.

Ce faci dacă suspectezi că emailul firmei a fost compromis?

Dacă observi emailuri trimise fără acordul tău, autentificări din locații neobișnuite, reguli noi în inbox sau clienți care întreabă despre mesaje ciudate primite de la firma ta, tratează situația ca un incident. Acționează rapid, dar metodic.

  1. Schimbă imediat parola contului afectat, de pe un dispozitiv curat.
  2. Deconectează toate sesiunile active din panoul contului.
  3. Activează MFA sau resetează metoda MFA dacă suspectezi că a fost compromisă.
  4. Verifică redirecționările, regulile automate, filtrele și adresele de recuperare.
  5. Verifică emailurile trimise și mesajele șterse sau arhivate recent.
  6. Anunță clienții afectați dacă s-au trimis facturi false sau instrucțiuni de plată greșite.
  7. Verifică dispozitivele utilizate pentru acces la email.
  8. Contactează furnizorul IT sau providerul de email pentru loguri și blocarea accesului neautorizat.
  9. Documentează incidentul: când a fost observat, ce conturi au fost afectate și ce măsuri ai luat.

Pentru o verificare mai detaliată, citește ghidul despre cum verifici dacă emailul tău a fost spart.

Cât de des trebuie verificată securitatea emailului?

Pentru o firmă mică, o verificare lunară este suficientă pentru majoritatea cazurilor. Totuși, există momente în care verificarea trebuie făcută imediat: după plecarea unui angajat, după schimbarea furnizorului de email, după adăugarea unei platforme de newsletter sau facturare, după o alertă de autentificare suspectă sau după orice incident de securitate. Pentru o verificare mai largă, poți folosi și checklistul de securitate IT pentru firme.

O dată pe an, merită făcut un audit mai amplu: conturi active, drepturi de administrator, SPF, DKIM, DMARC, politici MFA, backup, reguli de forwarding și procedură de răspuns la incidente. Dacă firma gestionează date sensibile sau plăți frecvente, auditul ar trebui făcut mai des.

Întrebări frecvente despre securizarea emailului firmei

Ce este SPF?

SPF este o înregistrare DNS care arată ce servere au voie să trimită emailuri în numele domeniului tău.

Ce este DKIM?

DKIM este o semnătură digitală aplicată emailurilor trimise, astfel încât serverele destinatarilor să poată verifica dacă mesajul este autentic și nemodificat.

Ce este DMARC?

DMARC folosește SPF și DKIM pentru a decide ce se întâmplă cu mesajele care nu trec autentificarea: sunt monitorizate, trimise în Spam sau respinse.

Este suficientă o parolă puternică pentru email?

Nu. O parolă puternică este importantă, dar trebuie combinată cu MFA, mai ales pentru conturile de administrator și conturile care gestionează facturi sau date sensibile.

Am nevoie de SPF, DKIM și DMARC dacă folosesc Gmail sau Microsoft 365?

Da, dacă folosești email pe domeniu propriu. Furnizorul oferă infrastructura, dar tu trebuie să publici corect înregistrările DNS pentru domeniul tău.

Pot seta direct DMARC pe reject?

Tehnic se poate, dar nu este recomandat fără testare. Începe cu p=none, verifică rapoartele, corectează sursele legitime și apoi avansează treptat.

Cât durează până funcționează modificările DNS?

Depinde de furnizor și de TTL-ul înregistrărilor. Unele modificări apar în câteva minute, altele pot dura mai multe ore.

Concluzie: securizarea emailului firmei începe cu baza corectă

Emailul firmei nu trebuie tratat ca un simplu instrument de comunicare. Este una dintre cele mai importante uși de acces către datele, banii și reputația afacerii tale. O strategie bună de securizare email firmă începe cu patru măsuri de bază: MFA pentru conturi, SPF pentru sursele de trimitere, DKIM pentru semnătura mesajelor și DMARC pentru control și raportare.

Nu trebuie să faci totul perfect din prima zi. Începe cu inventarierea conturilor și activarea MFA. Apoi configurează SPF și DKIM, setează DMARC pe monitorizare și avansează treptat către o politică mai strictă. Revizuiește periodic setările și nu uita că securitatea emailului este un proces, nu o acțiune făcută o singură dată.

Dacă folosești email pe domeniu propriu, aceste setări nu sunt opționale. Ele ar trebui să facă parte din igiena digitală minimă a oricărei firme care vrea să evite phishingul, spoofingul și compromiterea conturilor de business.

Surse consultate

Pentru realizarea acestui ghid au fost consultate surse oficiale și documentații relevante despre autentificarea emailului, securitatea conturilor și protecția împotriva phishingului.

Lasă un comentariu

Vrei să primești ghiduri de securitate cibernetică?

Abonează-te la newsletterul StefanIT și primești articole și checklist-uri utile pentru protejarea firmei.

Related Posts

Cum testezi restaurarea backupului firmei: checklist practic pentru 2026
Cum testezi restaurarea backupului firmei: checklist practic pentru 2026
Gallery

Cum testezi restaurarea backupului firmei: checklist practic pentru 2026

iunie 3rd, 2026|0 Comentarii
Cum securizezi Microsoft 365 și Google Workspace pentru o firmă mică
Cum securizezi Microsoft 365 și Google Workspace pentru o firmă mică
Gallery

Cum securizezi Microsoft 365 și Google Workspace pentru o firmă mică

iunie 1st, 2026|0 Comentarii
Cum securizezi routerul firmei: setări esențiale pe care mulți le ignoră
Cum securizezi routerul firmei: setări esențiale pe care mulți le ignoră
Gallery

Cum securizezi routerul firmei: setări esențiale pe care mulți le ignoră

mai 31st, 2026|0 Comentarii
Plan de răspuns la incidente cibernetice pentru firme mici: ce faci în primele 24 de ore
Plan de răspuns la incidente cibernetice pentru firme mici: ce faci în primele 24 de ore
Gallery

Plan de răspuns la incidente cibernetice pentru firme mici: ce faci în primele 24 de ore

mai 29th, 2026|0 Comentarii
Update-uri de securitate în 2026: ghid complet pentru utilizatori
Update-uri de securitate în 2026: ghid complet pentru utilizatori
Gallery

Update-uri de securitate în 2026: ghid complet pentru utilizatori

mai 23rd, 2026|0 Comentarii