SPF, DKIM, DMARC — configurate automat la onboarding

Cum trimitem

La adăugarea unui domeniu nou, asistentul de onboarding generează automat înregistrările DNS necesare și le afișează pentru copy-paste sau, unde DNS-ul este delegat (Cloudflare, Route 53), le publică direct prin API. Validăm propagarea automat la fiecare 60 de secunde și marchăm domeniul drept „verificat” doar când toate cele trei rețele de încredere — SPF, DKIM și DMARC — răspund corect. Înainte de validare nu se poate trimite niciun email de pe acel domeniu.

• SPF (Sender Policy Framework, RFC 7208) — o înregistrare TXT pe domeniul rădăcină de tipul v=spf1 include:amazonses.com -all care declară că doar SES este autorizat să trimită pentru acel subdomeniu. Folosim -all (hard fail) acolo unde domeniul este dedicat trimiterii, sau ~all (soft fail) când există și un MX corporate.
• DKIM (DomainKeys Identified Mail, RFC 6376) — fiecare merchant primește 3 CNAME-uri către cheile publice gestionate de SES, separate per identitate. Cheile sunt 2048-bit și pot fi rotite fără downtime. DKIM-ul semnează antetele From, Subject, To, Date și body-ul, ceea ce permite receptorilor să detecteze orice modificare în tranzit.
• DMARC (RFC 7489) — publicăm v=DMARC1; p=none; rua=mailto:dmarc-aggregate@syncron.md; adkim=s; aspf=s ca punct de plecare. Modurile adkim=s și aspf=scer aliniere strictă: domeniul din From trebuie să se potrivească exact cu domeniul semnat DKIM și cu domeniul din Return-Path. După 2-4 săptămâni de rapoarte curate urcăm policy-ul la p=quarantine și apoi p=reject.
• Return-Path / MAIL FROM — configurăm un subdomeniu dedicat (ex. bounce.shop.exemplu.ro) cu propriile MX și TXT-uri SPF, ca SES să poată gestiona bounce-urile fără să strice alinierea SPF a domeniului principal.

Conformitate

Cerințele Gmail și Yahoo „bulk sender” (februarie 2024) impun SPF + DKIM + DMARC pentru oricine trimite peste 5.000 emailuri pe zi către adrese Gmail. Microsoft a anunțat cerințe similare. Setup-ul nostru implicit le îndeplinește pe toate trei din prima zi, indiferent de volumul efectiv al merchant-ului. Suplimentar:

• Suntem conformi cu RFC 5321/5322 pe formatarea mesajelor și a antetelor.
• List-Unsubscribe RFC 8058 este aplicat pe toate mesajele de marketing.
• Header-ele Message-ID și Date sunt generate corect și unic per mesaj.
• Nu folosim adrese „no-reply” pe care nu le monitorizăm — fiecare expeditor are o căsuță de răspuns reală.

Garanții operaționale

Procesăm rapoartele DMARC agregate (rua) zilnic și expunem în consola merchant-ului un dashboard cu sursele care încearcă să trimită în numele domeniului, procentul de aliniere DKIM și SPF, și eventualele forwarder-e legitime care strică SPF (caz în care DKIM-ul ne acoperă). Ne angajăm la un SLA de re-verificare a setup-ului în primele 24 de ore după orice schimbare DNS detectată și alertăm merchant-ul dacă o modificare riscă să rupă autentificarea — de exemplu, o cheie DKIM ștearsă accidental sau un record SPF care depășește limita de 10 DNS lookups.