נתונים ומחקר8 דקות קריאה

לרוב העסקים אין DMARC אכיף

השאלה "כמה עסקים בלי DMARC" מסתירה בעיה יותר עמוקה: גם עסקים שכן הגדירו רשומה, ברוב המקרים לא הגדירו אותה כך שהיא באמת עוצרת זיוף. הנה מה שהנתונים מראים.

מי שמחפש "כמה עסקים בלי DMARC נתונים" בדרך כלל מנסה להבין דבר אחד: האם הבעיה שלו נפוצה, או שהוא היחיד שפספס משהו בהגדרת הדומיין. התשובה הקצרה: הוא לא לבד. סריקות עדכניות של דומיינים פעילים ברשת מראות שוב ושוב את אותה תמונה — חלק גדול מהעסקים עדיין שולחים דואר בלי רשומת DMARC כלל, וחלק לא פחות משמעותי כן הגדיר רשומה, אבל ברמה שלא עוצרת בפועל שום ניסיון זיוף. זה בדיוק הפער שגורם למותגים להתפלא כשמייל מזויף בשמם מגיע לתיבות של הלקוחות שלהם, בעוד הם היו בטוחים ש"יש להם DMARC".

מה הנתונים העדכניים באמת מראים

התמונה המלאה והמעודכנת ביותר נמצאת בסריקה השבועית שלנו על דומיינים מובילים בעולם, זמינה בעמוד נתוני אימות דומיינים. הסריקה בודקת דומיינים אמיתיים מתוך רשימת Tranco (מיליון הדומיינים המובילים בתעבורה), ולא מסתמכת על סקר או שאלון עצמי — כלומר היא מודדת מה קורה בפועל ברשומות ה-DNS, לא מה עסקים חושבים שהם הגדירו. אנחנו נמנעים מלצטט כאן אחוז מדויק כי הנתון משתנה משבוע לשבוע ומתעדכן באופן שוטף; הדרך הנכונה לבדוק את המצב העדכני ביותר היא לפתוח את הדף ולראות את המספרים החיים, ולא להסתמך על נתון קפוא מכתבה.

מה שכן אפשר לומר בביטחון, ועקבי לאורך זמן: פחות מהעסקים מגיעים לרמת אכיפה מלאה (p=reject או p=quarantine) לעומת מי שרק פרסם רשומת DMARC כלשהי. במילים אחרות — "יש DMARC" ו"DMARC מגן" הם שני דברים שונים לגמרי, וזו בדיוק הסיבה שהמספרים מבלבלים כשמצטטים אותם בלי הקשר.

הפער בין "יש רשומה" לבין הגנה בפועל

רשומת DMARC בנויה משדות אחדים, וכל אחד מהם קובע כמה הגנה היא נותנת בפועל. הרוב המכריע של הרשומות שמתפרסמות לראשונה משתמשות ב-p=none — כלומר "רק תגיד לי מה קורה, אל תעשה כלום". זה שלב לגיטימי והכרחי בתחילת הדרך, אבל דומיין שנשאר שם לצמיתות בעצם לא חוסם אף התחזות.

v=DMARC1; p=quarantine; rua=mailto:reports@example.co.il; pct=100גרסת הפרוטוקול — קבועהמדיניות בפועל: כאן = לסמן כחשוד, לא רק לדווחעל כמה אחוז מהתעבורה חלה המדיניות
פירוק רשומת DMARC לפי הפרמטרים שקובעים את רמת ההגנה בפועל

דומיין עם p=none ו-pct=100 עדיין נחשב "מוגן על הנייר" בהרבה סטטיסטיקות עולמיות, כי הוא מפרסם רשומה חוקית. אבל אם מישהו יתחזה למותג הזה וישלח דואר זדוני, הרשומה הזאת לא תעצור כלום — היא רק תדווח על זה בדיעבד, בהנחה שמישהו בכלל קורא את הדוחות.

למה כל כך הרבה עסקים ישראליים נשארים חשופים

כמה סיבות חוזרות על עצמן שוב ושוב אצל עסקים בישראל:

  • פלטפורמות סחר ורשימות תפוצה מקומיות (חנויות שמריצות דיוור עצמאי, מערכות חיוב שמעבירות אישורי הזמנה) שולחות לעיתים קרובות מתשתית של הספק, בלי שהעסק בכלל הגדיר SPF/DKIM על הדומיין שלו — כך שלגבי DMARC אין בכלל מה לדבר.
  • אתרי WordPress שמסתמכים על wp_mail() ברירת מחדל שולחים מהשרת של חברת האחסון, ולא מהדומיין העסקי — קלאסיקה שגורמת גם לבעיות ספאם וגם להיעדר DMARC אמיתי.
  • חברות שכן פרסמו רשומת DMARC עצרו בשלב p=none כי המעבר לאכיפה מלאה מרגיש מסוכן — ובצדק, אם לא בודקים קודם שכל מקורות השליחה הלגיטימיים (ESP, CRM, מערכת חיוב) עברו את SPF/DKIM בהצלחה.
  • עסקים קטנים בכלל לא יודעים שהדרישה כבר לא תיאורטית — היא תנאי מעשי להגעה לתיבה מאז שגוגל ויאהו הידקו את כללי השולחים בהיקף גדול.
אל תקפצו ישר לאכיפה מלאה
אם עדיין אין לכם רשומת DMARC בכלל — התחילו מ-p=none עם כתובת rua פעילה, קראו את הדוחות שבועיים-שלושה כדי לוודא שכל המקורות הלגיטימיים (ESP, מערכת חיוב, פלטפורמת המסחר) עוברים SPF או DKIM בהצלחה, ורק אז העלו בהדרגה ל-p=quarantine ולבסוף p=reject. מעבר ישיר לאכיפה בלי בדיקה עלול לחסום דואר אמיתי של העסק שלכם.

מה זה אומר לגבי הגעה לתיבה ב-2026

SPF, DKIM ו-DMARC פועלים כשלישייה — כל אחד מהם בודק היבט אחר של אותה שאלה: "האם מותר לשולח הזה לשלוח בשם הדומיין הזה". גוגל ויאהו כבר לא מסתפקים בבדיקה אחת בלבד; אצל שולחים בהיקף גדול נדרשים שלושתם יחד, כולל אפשרות ביטול הרשמה בלחיצה אחת ושמירה על אחוז תלונות ספאם נמוך. זה נכון גם לעסקים ישראלים שרוב תעבורת הדואר שלהם מסתיימת בסופו של דבר ב-Gmail או Outlook, גם אם הלקוח הישראלי הממוצע משתמש גם ב-Walla! Mail או ב-iCloud.

SPFמאמת מאיזה שרת מותר לשלוח בשם הדומייןDKIMחותם דיגיטלית על תוכן ההודעה כדי להוכיח שהיא לא שונתהDMARCקובע מה קורה כשSPF או DKIM נכשלים — ומדווח על זה לבעל הדומיין
שלושת מנגנוני האימות שיחד קובעים אם דואר נחשב לגיטימי

iCloud Mail בפרט נחשב לקפדני יחסית לגבי מוניטין דומיין, ותכונת ה-Private Relay שלו מטשטשת נתוני פתיחות — כך שעסק שרוצה תמונה אמיתית של איפה הדואר שלו נוחת לא יכול להסתמך רק על נתוני פתיחה, אלא צריך לבדוק ישירות איפה ההודעה מגיעה.

איך לבדוק את המצב האמיתי של הדומיין שלכם

הדרך המהירה ביותר לגלות אם אתם באחוזים ה"חשופים" או ב"מוגנים באמת" היא לא לנחש — אלא לבדוק. עם בדיקת הגעה לתיבה חינמית אפשר לשלוח הודעת בדיקה לכתובות seed אצל יותר מ-20 ספקים, ולראות בבירור:

  1. לאיזו תיקייה ההודעה נוחתת בפועל — Inbox, Promotions או Spam — אצל Gmail, Outlook, iCloud ואחרים.
  2. האם SPF, DKIM ו-DMARC אכן עוברים אימות מהמקור ששלח את ההודעה, לא רק אם רשומה קיימת ב-DNS.
  3. מה מנועי הספאם המרכזיים פוסקים לגבי ההודעה, ואיך היא נראית בתצוגה אמיתית של תיבת דואר (כולל מצב כהה).

הבדיקה לא דורשת הרשמה, ונותנת תמונה מדויקת בהרבה מכל השערה על סמך אחוזים גלובליים — כי היא בודקת את הדומיין הספציפי שלכם, לא ממוצע שוק.

מה ההבדל בין DMARC ב-p=none לבין אכיפה מלאה?

p=none אומר שהרשומה רק אוספת דוחות ולא חוסמת כלום — כל הודעה, גם כזו שנכשלת באימות, עדיין תעבור. p=quarantine ו-p=reject הם השלבים שבהם ה-DMARC בפועל עוצר או מסמן כחשודה הודעה מזויפת. עסק שמצטט "יש לו DMARC" בלי לציין את המדיניות, כנראה עדיין נמצא בשלב הראשון.

האם עסק קטן בישראל חייב DMARC?

מבחינה חוקית תיקון 40 לחוק התקשורת מתמקד בהסכמה מוקדמת לדיוור ובסימון "פרסומת" בשורת הנושא, לא ב-DMARC עצמו. אבל מבחינה מעשית — אם רוב התעבורה שלכם מגיעה ל-Gmail או Outlook, ודרישות השולחים הכלליות של הספקים הגדולים חלות גם עליכם, DMARC הופך לתנאי סף להגעה לתיבה, לא לחומרה אופציונלית.

איך יודעים אם הדומיין שלנו נמצא בין העסקים ה'חשופים' בנתונים?

הדרך הכי אמינה היא לא להסתמך על ממוצע שוק, אלא לבדוק ישירות: להריץ בדיקת אימות SPF/DKIM/DMARC על הדומיין שלכם ולראות איפה ההודעות שלכם באמת נוחתות אצל ספקים שונים, כולל Gmail, Outlook, iCloud ו-Walla!. אפשר לעשות זאת בחינם דרך בדיקת ההגעה לתיבה שלנו, וגם להשוות את הדומיין שלכם למגמות הרוחביות בעמוד נתוני אימות הדומיינים.
מאמרים קשורים
Found this useful? Share it
AB
על הכותב
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

בדקו את שיעור ההגעה לתיבה ביותר מ-20 ספקים

Gmail, Outlook, Walla, GMX, ProtonMail ועוד. צילומי מסך אמיתיים של תיבת הדואר, SPF/DKIM/DMARC, הכרעות מסנני ספאם. חינם, ללא הרשמה.

הרצת בדיקה חינם ←

בדיקות ללא הגבלה · 20+ תיבות · תוצאות בזמן אמת · ללא חשבון