מי שמנהל רשימת תפוצה, חנות אונליין או מערכת CRM בישראל, מגיע בשלב מסוים לאותה שאלה בדיוק: איך בודקים אם רשומות ה-SPF, ה-DKIM וה-DMARC של הדומיין שלי בכלל מוגדרות נכון, ובלי לשלם על כלי בדיקה חיצוני. התשובה הקצרה — זה אפשרי, וזה לוקח כמה דקות. אבל חשוב להבין: בדיקת DNS גרידא היא רק חצי מהתמונה. Gmail, Outlook, Walla! Mail ו-iCloud לא מסתפקים ברשומת DNS תקינה — הם גם בודקים מוניטין דומיין, אחוז תלונות ספאם והתנהגות שולחים לאורך זמן. אבל בלי שלושת הפרוטוקולים האלה מוגדרים נכון מלכתחילה, שום דבר אחר לא באמת משנה — המייל נופל כבר בשלב האימות, עוד לפני שמישהו קרא מילה מהתוכן.
למה SPF, DKIM ו-DMARC הם קו ההגנה הראשון
שלושת הפרוטוקולים האלה עונים על שאלה אחת בסיסית: האם המייל שהגיע באמת נשלח על ידכם, או שמישהו מתחזה לדומיין שלכם. SPF (Sender Policy Framework) מפרסם ברשומת DNS אילו שרתים מורשים לשלוח בשם הדומיין. DKIM (DomainKeys Identified Mail) מוסיף חתימה קריפטוגרפית לכל מייל, כך שספק היעד יכול לוודא שהתוכן לא שונה בדרך. DMARC בונה על שניהם ומגדיר מדיניות — מה לעשות אם SPF או DKIM נכשלים, ולאן לשלוח דוחות על כשלים. מאז פברואר 2024, גם Google וגם Yahoo מחייבים שולחים בהיקף גדול לעמוד בשלושתם, כולל DMARC ברמה של לפחות p=none, ביטול הרשמה בלחיצה אחת ואחוז תלונות ספאם נמוך מאוד. הכלל הזה רלוונטי גם לעסקים ישראלים בדיוק באותה מידה — כי רוב תעבורת המייל, גם משולחים מקומיים, בסופו של דבר נוחתת בתיבות Gmail או Outlook.
איך בודקים בפועל — התהליך בשלוש דקות
הדרך הפשוטה ביותר לבדוק את שלושת הפרוטוקולים במקביל היא לשלוח מייל אמיתי לכתובות seed שכלי בדיקה חינמי מייצר עבורכם. במקום לבדוק כל רשומה בנפרד עם כלים טכניים שונים, אתם שולחים פעם אחת, והדוח מחזיר תמונה מלאה: האם SPF עבר או נכשל, האם החתימה של DKIM תקינה, מה מדיניות ה-DMARC שהתגלתה, ולאיזו תיקייה המייל בפועל נחת אצל כל ספק — תיבה נכנסת, ספאם או Promotions. אפשר לעשות את זה בכלי בדיקת ההגעה לתיבה החינמי שלנו בלי הרשמה: מקבלים כתובות seed, שולחים אליהן מייל אחד, ותוך דקות רואים גם את הרשומות וגם את התוצאה בפועל אצל Gmail, Outlook, Walla! ו-iCloud.
מה הרשומות עצמן אמורות להכיל
גם אם אתם מעדיפים לבדוק ידנית קודם, כדאי להכיר את המבנה הבסיסי. רשומת SPF טיפוסית נראית כך:
רשומת DKIM מתפרסמת תחת סלקטור ספציפי (למשל selector1._domainkey) ומכילה מפתח ציבורי ארוך. רשומת DMARC מתפרסמת תחת _dmarc ומכילה מדיניות כמו p=quarantine וכתובת לדיווחי RUA. הכי חשוב לזכור: כל שלוש הרשומות חייבות להתפרסם תחת אותו דומיין שממנו נשלח המייל בפועל — לא דומיין המשנה של ה-ESP.
טעויות נפוצות אצל שולחים ישראליים
חלק גדול מהכשלים בבדיקה לא נובעים מטעות בהקלדת רשומה, אלא מפער בין הפלטפורמה לשליחה ובין הדומיין הרשמי:
- חנויות ב-WooCommerce ששולחות דרך
wp_mail()בלי תוסף SMTP — המייל יוצא בפועל משרת האחסון, לא מהדומיין של החנות, ונופל על SPF כמעט תמיד. - פלטפורמות כמו Grow ששולחות מיילים טרנזקציוניים (אישורי הזמנה, חשבוניות) מתשתית משותפת בלי הגדרת SPF/DKIM עצמאית לדומיין הלקוח.
- חנויות Shopify שלא השלימו את תהליך אימות הדומיין בפאנל — עדיין שולחות מהדומיין הטכני הכללי של שופיפיי.
- עסקים שעברו ל-ActiveTrail, smoove או InforUMobile ולא עדכנו את רשומות ה-DNS שהפלטפורמה מספקת בקבינט, ונשארו עם רשומה ישנה מה-ESP הקודם.
dig TXT yourdomain.com (או שירות בדיקת DNS מקוון) מראה את הרשומה החיה. הרבה פעמים מגלים רשומות SPF כפולות משני ESP-ים שונים — וזה כשל בפני עצמו, כי SPF תומך ברשומה אחת בלבד לדומיין.מעבר לרשומות DNS — מה עוד כדאי לבדוק לפני שליחה המונית
רשומות תקינות הן תנאי הכרחי אבל לא מספיק. תיבה שמוגדרת נכון עדיין יכולה לנחות בספאם אם תוכן המייל נראה חשוד, אם קצב השליחה קופץ פתאום, או אם הווריאציה של הרינדור לא נראית טוב. במיוחד בעברית, שהיא שפת RTL — יש חשיבות לבדוק גם איך המייל נראה בפועל בתיבה אמיתית, כי ערבוב טקסט RTL עם מספרים ולינקים באנגלית לפעמים שובר יישור או מציג תוכן הפוך. כלי בדיקה טוב מציג גם צילומי מסך של הרינדור בפועל (מצב בהיר וכהה), לצד וורדיקטים של מנועי ספאם. למי שרוצה גם תמונת מצב רחבה יותר על מגמות אימות דומיינים — יש נתונים חיים בעמוד /email-stats/, המבוסס על סריקה שבועית של דומיינים מובילים.