איך למנוע מנוכלים לשלוח מיילים בשם העסק שלכם: מדריך פשוט להגדרת SPF, DKIM ו-DMARC בדומיין
דמיינו את התרחיש הבא: לקוח ותיק מקבל מכם חשבונית במייל ומשלם אותה מיד. כמה ימים לאחר מכן, אתם מתקשרים לשאול מה קורה עם התשלום, והוא עונה בתדהמה: "אבל שילמתי!". בדיקה קצרה מגלה שהחשבונית נשלחה מכתובת מייל שרק נראית כמו שלכם, והכסף הועבר לחשבון של נוכלים. זה לא תסריט בדיוני, זו מציאות יומיומית עבור עסקים רבים.
התחזות באמצעות דוא"ל (Email Spoofing) היא אחת ההונאות הנפוצות והמזיקות ביותר. למרבה המזל, יש דרך פשוטה ויעילה לחסום אותה. במדריך זה נסביר, שלב אחר שלב, איך להגדיר שלושה מנגנוני אבטחה קריטיים לדומיין שלכם: SPF, DKIM ו-DMARC.
מהם SPF, DKIM ו-DMARC, ואיך הם עובדים יחד?
כדי להבין את הפתרון, צריך להבין את הבעיה. פרוטוקול הדוא"ל הבסיסי (SMTP) לא כולל מנגנון אימות מובנה. זה מאפשר לכל אחד, טכנית, לשלוח מייל שנראה כאילו הגיע מהדומיין שלכם (למשל, [email protected]). כאן נכנסים לתמונה שלושת מנגנוני האימות:
| מנגנון | תפקיד עיקרי | איך זה עובד? |
|---|---|---|
| SPF (Sender Policy Framework) | אימות שרת: מגדיר אילו כתובות IP ושרתים מורשים לשלוח מיילים בשם הדומיין שלך. | שרת הדואר המקבל בודק ברשומת ה-DNS של הדומיין השולח האם כתובת ה-IP של השרת השולח מופיעה ברשימה המורשית. |
| DKIM (DomainKeys Identified Mail) | אימות תוכן ומקור: מוסיף חתימה דיגיטלית למייל שמוכיחה שההודעה אכן נשלחה מהדומיין ושחלקים מרכזיים בה (כמו התוכן והכותרות) לא שונו בדרך. | השרת השולח חותם על המייל עם מפתח פרטי. השרת המקבל משתמש במפתח ציבורי שפורסם ב-DNS כדי לוודא את תקינות החתימה. |
| DMARC (Domain-based Message Authentication, Reporting and Conformance) | מדיניות ודיווח: מאחד את SPF ו-DKIM, קובע מה לעשות עם מיילים שנכשלים באימות, ומספק דוחות על פעילות המייל בדומיין. | לאחר בדיקת SPF ו-DKIM, השרת המקבל בודק את מדיניות ה-DMARC ב-DNS כדי להחליט אם לקבל, להעביר לספאם (quarantine) או לדחות (reject) את המייל. |
במילים פשוטות: SPF בודק מי שלח, DKIM מוודא שלא שינו את התוכן בדרך, ו-DMARC קובע מה לעשות עם מיילים חשודים ומספק לכם תמונה מלאה על הנעשה בשמכם.
למה כל עסק חייב להגדיר DMARC באופן מיידי?
התעלמות מאימות דוא"ל היא לא רק רשלנות טכנית, אלא סיכון עסקי ממשי עם תג מחיר כבד. הונאות התחזות עסקית במייל (BEC) הפכו למכרה זהב עבור פושעי סייבר. לפי נתוני ה-FBI, ההפסדים המדווחים מהונאות אלו בארה"ב לבדה הגיעו לסך של 3.05 מיליארד דולר במהלך שנת 2025. באותה שנה, הנזקים הפיננסיים המדווחים מהונאות פישינג זינקו ב-274%, מ-18.7 מיליון דולר ב-2023 ל-70 מיליון דולר ב-2024, מה שמדגיש את התחכום הגובר של התקפות אלו.
מעבר לנזק הכספי הישיר, מיילים מזויפים הנשלחים בשמכם פוגעים במוניטין המותג, מערערים את אמון הלקוחות ועלולים לגרום למיילים הלגיטימיים שלכם (הצעות מחיר, חשבוניות, ניוזלטרים) להיכנס ישירות לתיקיית הספאם של הנמענים. הגדרת DMARC היא הדרך היעילה ביותר להגן על הנכס הדיגיטלי החשוב הזה.
הדרישות החדשות של גוגל ויאהו: מה זה אומר עבור העסק שלך?
אם אתם שולחים דיוורים או מיילים בכמות גדולה, אתם כבר לא יכולים להתעלם. החל מפברואר 2024, גוגל ויאהו החלו לאכוף דרישות אימות חדשות ומחמירות עבור כל מי ששולח מעל 5,000 הודעות ביום לשרתים שלהן. במרכז הדרישות עומדת חובה להגדיר אימות SPF ו-DKIM, וחשוב מכך, רשומת DMARC תקינה.
המהלך האיץ דרמטית את אימוץ הטכנולוגיה. לפי ניתוח של EasyDMARC שפורסם בתחילת 2026, נרשם גידול של 79% באימוץ רשומות DMARC בקרב 1.8 מיליון הדומיינים המובילים בעולם בין 2023 לתחילת 2026. המשמעות ברורה: מיילים מדומיינים שאינם מאומתים יתקשו יותר ויותר להגיע ליעדם. אימות הוא כבר לא המלצה, אלא תנאי בסיסי לעבירות (deliverability) תקינה.
מדריך בסיסי: איך מגדירים רשומות אימות דוא"ל בדומיין?
ההגדרה מתבצעת באמצעות הוספת רשומות טקסט (TXT) פשוטות במערכת ניהול ה-DNS של הדומיין שלכם (אצל רשם הדומיינים או חברת האחסון). התהליך מחולק לשלושה שלבים עיקריים:
שלב 1: הגדרת רשומת SPF
רשומת ה-SPF היא רשימה של כל השרתים והשירותים המורשים לשלוח מייל בשם הדומיין שלכם. זה כולל את שרת הדואר שלכם (למשל, Google Workspace, Microsoft 365), מערכת הדיוור (למשל, Mailchimp), ה-CRM שלכם, ועוד. יש לאסוף את כל המקורות הללו וליצור רשומה אחת. לדוגמה: v=spf1 include:_spf.google.com ~all
שלב 2: הגדרת רשומת DKIM
שלא כמו SPF, הגדרת DKIM מתבצעת בנפרד עבור כל שירות שולח. כל שירות (Google, מערכת דיוור וכו') יספק לכם רשומת DKIM ייחודית (שם וערך) להעתקה והדבקה ב-DNS שלכם. יש לחזור על הפעולה עבור כל פלטפורמה ששולחת מיילים בשמכם.
שלב 3: הגדרת רשומת DMARC (במצב ניטור)
לאחר ש-SPF ו-DKIM מוגדרים, השלב האחרון הוא יצירת רשומת DMARC. תמיד מתחילים במדיניות ניטור (p=none). מדיניות זו לא חוסמת כלום, אלא רק אוספת נתונים ושולחת לכם דוחות על כל המיילים הנשלחים בשם הדומיין שלכם (הלגיטימיים והמזויפים). רשומה התחלתית תיראה כך: v=DMARC1; p=none; rua=mailto:[email protected];
מניטור לאכיפה: איך לקרוא דוחות DMARC ולהגיע למדיניות 'reject' בבטחה
השלב הקריטי ביותר הוא המעבר ממדיניות ניטור (p=none) למדיניות אכיפה. הנתונים מראים שזהו האתגר הגדול ביותר: נכון לפברואר 2026, למרות ש-30.4% מהדומיינים המובילים אימצו DMARC, רק 12.8% מכלל הדומיינים מיישמים מדיניות אכיפה (quarantine או reject) שמגנה עליהם בפועל, כך על פי מחקר של DMARCguard שסקר 5.5 מיליון דומיינים. המשמעות היא שרוב גדול מהדומיינים עם DMARC עדיין נמצאים במצב ניטור בלבד (p=none).
הדרך הבטוחה לעשות זאת היא באמצעות ניתוח דוחות ה-DMARC שמתקבלים לתיבת המייל שהגדרתם. דוחות אלו (שמגיעים בפורמט XML, ולרוב דורשים שירות צד-שלישי כדי לפענח אותם בנוחות) יראו לכם בדיוק אילו שרתים שולחים מיילים בשמכם, והאם הם עוברים את אימותי SPF ו-DKIM.
לאחר תקופת ניטור (שבועיים עד חודש), תוכלו לזהות מקורות שליחה לגיטימיים ששכחתם לאמת (למשל, מערכת הנהלת חשבונות). לאחר שווידאתם ש-100% מהתעבורה הלגיטימית שלכם עוברת אימות, תוכלו להתקדם בזהירות:
- שינוי מדיניות ל-
p=quarantine: מיילים חשודים יועברו לתיקיית הספאם של הנמען. זהו שלב ביניים בטוח שמאפשר לכם להמשיך לנטר מבלי לדחות מיילים לחלוטין. - שינוי מדיניות ל-
p=reject: לאחר שווידאתם שהכל תקין תחת מדיניות ה-quarantine, תוכלו לעבור לרמת ההגנה הגבוהה ביותר. מיילים שנכשלים באימות יידחו על הסף ולא יגיעו כלל לנמענים. זהו היעד הסופי.
התהליך דורש תשומת לב, אך הוא חיוני להשגת אבטחת סייבר מלאה סביב הדוא"ל שלכם.
מה חשוב לזכור
- אימות דוא"ל הוא חובה: הגדרת SPF, DKIM ו-DMARC היא כבר לא המלצה, אלא פרקטיקה עסקית בסיסית להגנה על המוניטין, הלקוחות והכסף שלכם.
- מתחילים בניטור בלבד: תמיד התחילו עם מדיניות DMARC של
p=noneכדי לאסוף נתונים מבלי לסכן את שליחת המיילים הלגיטימיים שלכם. - התקדמות הדרגתית: עברו למדיניות אכיפה (quarantine ואז reject) רק לאחר ניתוח דוחות ואימות כל מקורות השליחה הלגיטימיים שלכם.
- הגנה היא תהליך: עולם הסייבר משתנה כל הזמן. גם לאחר הגעה למדיניות reject, חשוב להמשיך ולעקוב אחר הדוחות מעת לעת.
הגדרת אימות דוא"ל עשויה להיראות מאיימת, אך התמורה – שקט נפשי והגנה אמיתית – שווה את המאמץ. אם אתם זקוקים לעזרה בתהליך, צרו איתנו קשר ונשמח לסייע.
שאלות נפוצות
האם SPF ו-DKIM לבדם לא מספיקים?
לא. SPF ו-DKIM הם מנגנוני אימות, אך הם לא אומרים לשרת המקבל מה לעשות אם האימות נכשל. DMARC הוא זה שקובע את המדיניות (לדחות, להעביר לספאם או לקבל) ומספק דוחות חיוניים המאפשרים לך לראות מי שולח מיילים בשמך.
מה ההבדל בין מדיניות DMARC של p=none, p=quarantine ו-p=reject?
p=none (ניטור): לא משפיע על מסירת המיילים, רק אוסף נתונים ושולח דוחות. זהו השלב הראשון. p=quarantine (הסגר): מיילים שנכשלים באימות יסומנו כחשודים ויועברו לרוב לתיקיית הספאם. p=reject (דחייה): מיילים שנכשלים באימות יידחו לחלוטין ולא יגיעו כלל לנמען. זוהי רמת ההגנה הגבוהה ביותר.
האם אני חייב להגדיר את זה אם אני שולח פחות מ-5,000 מיילים ביום?
כן, מומלץ בחום. למרות שהדרישות המחמירות של גוגל ויאהו חלות רשמית על שולחים גדולים, הגדרת SPF, DKIM ו-DMARC היא שיטה מומלצת (best practice) לכל בעל דומיין. היא מגנה על המוניטין שלך ומונעת התחזות, ללא קשר לכמות המיילים.
האם ההגדרה מסובכת ויכולה לשבש לי את שליחת המיילים?
ההגדרה הראשונית של רשומות DNS היא פשוטה יחסית. עם זאת, המעבר למדיניות אכיפה (quarantine/reject) דורש זהירות וניטור של דוחות DMARC כדי לוודא שמערכות לגיטימיות (כמו מערכות דיוור או CRM) מאומתות כראוי ולא נחסמות בטעות.
מקורות
רוצים לחבר אוטומציה או AI לעסק שלכם בלי כאב ראש? דברו איתנו.