מי שמחפש "כמה עסקים בלי DMARC נתונים" בדרך כלל מנסה להבין דבר אחד: האם הבעיה שלו נפוצה, או שהוא היחיד שפספס משהו בהגדרת הדומיין. התשובה הקצרה: הוא לא לבד. סריקות עדכניות של דומיינים פעילים ברשת מראות שוב ושוב את אותה תמונה — חלק גדול מהעסקים עדיין שולחים דואר בלי רשומת DMARC כלל, וחלק לא פחות משמעותי כן הגדיר רשומה, אבל ברמה שלא עוצרת בפועל שום ניסיון זיוף. זה בדיוק הפער שגורם למותגים להתפלא כשמייל מזויף בשמם מגיע לתיבות של הלקוחות שלהם, בעוד הם היו בטוחים ש"יש להם DMARC".
מה הנתונים העדכניים באמת מראים
התמונה המלאה והמעודכנת ביותר נמצאת בסריקה השבועית שלנו על דומיינים מובילים בעולם, זמינה בעמוד נתוני אימות דומיינים. הסריקה בודקת דומיינים אמיתיים מתוך רשימת Tranco (מיליון הדומיינים המובילים בתעבורה), ולא מסתמכת על סקר או שאלון עצמי — כלומר היא מודדת מה קורה בפועל ברשומות ה-DNS, לא מה עסקים חושבים שהם הגדירו. אנחנו נמנעים מלצטט כאן אחוז מדויק כי הנתון משתנה משבוע לשבוע ומתעדכן באופן שוטף; הדרך הנכונה לבדוק את המצב העדכני ביותר היא לפתוח את הדף ולראות את המספרים החיים, ולא להסתמך על נתון קפוא מכתבה.
מה שכן אפשר לומר בביטחון, ועקבי לאורך זמן: פחות מהעסקים מגיעים לרמת אכיפה מלאה (p=reject או p=quarantine) לעומת מי שרק פרסם רשומת DMARC כלשהי. במילים אחרות — "יש DMARC" ו"DMARC מגן" הם שני דברים שונים לגמרי, וזו בדיוק הסיבה שהמספרים מבלבלים כשמצטטים אותם בלי הקשר.
הפער בין "יש רשומה" לבין הגנה בפועל
רשומת DMARC בנויה משדות אחדים, וכל אחד מהם קובע כמה הגנה היא נותנת בפועל. הרוב המכריע של הרשומות שמתפרסמות לראשונה משתמשות ב-p=none — כלומר "רק תגיד לי מה קורה, אל תעשה כלום". זה שלב לגיטימי והכרחי בתחילת הדרך, אבל דומיין שנשאר שם לצמיתות בעצם לא חוסם אף התחזות.
דומיין עם p=none ו-pct=100 עדיין נחשב "מוגן על הנייר" בהרבה סטטיסטיקות עולמיות, כי הוא מפרסם רשומה חוקית. אבל אם מישהו יתחזה למותג הזה וישלח דואר זדוני, הרשומה הזאת לא תעצור כלום — היא רק תדווח על זה בדיעבד, בהנחה שמישהו בכלל קורא את הדוחות.
למה כל כך הרבה עסקים ישראליים נשארים חשופים
כמה סיבות חוזרות על עצמן שוב ושוב אצל עסקים בישראל:
- פלטפורמות סחר ורשימות תפוצה מקומיות (חנויות שמריצות דיוור עצמאי, מערכות חיוב שמעבירות אישורי הזמנה) שולחות לעיתים קרובות מתשתית של הספק, בלי שהעסק בכלל הגדיר SPF/DKIM על הדומיין שלו — כך שלגבי DMARC אין בכלל מה לדבר.
- אתרי WordPress שמסתמכים על
wp_mail()ברירת מחדל שולחים מהשרת של חברת האחסון, ולא מהדומיין העסקי — קלאסיקה שגורמת גם לבעיות ספאם וגם להיעדר DMARC אמיתי. - חברות שכן פרסמו רשומת DMARC עצרו בשלב
p=noneכי המעבר לאכיפה מלאה מרגיש מסוכן — ובצדק, אם לא בודקים קודם שכל מקורות השליחה הלגיטימיים (ESP, CRM, מערכת חיוב) עברו את SPF/DKIM בהצלחה. - עסקים קטנים בכלל לא יודעים שהדרישה כבר לא תיאורטית — היא תנאי מעשי להגעה לתיבה מאז שגוגל ויאהו הידקו את כללי השולחים בהיקף גדול.
p=none עם כתובת rua פעילה, קראו את הדוחות שבועיים-שלושה כדי לוודא שכל המקורות הלגיטימיים (ESP, מערכת חיוב, פלטפורמת המסחר) עוברים SPF או DKIM בהצלחה, ורק אז העלו בהדרגה ל-p=quarantine ולבסוף p=reject. מעבר ישיר לאכיפה בלי בדיקה עלול לחסום דואר אמיתי של העסק שלכם.מה זה אומר לגבי הגעה לתיבה ב-2026
SPF, DKIM ו-DMARC פועלים כשלישייה — כל אחד מהם בודק היבט אחר של אותה שאלה: "האם מותר לשולח הזה לשלוח בשם הדומיין הזה". גוגל ויאהו כבר לא מסתפקים בבדיקה אחת בלבד; אצל שולחים בהיקף גדול נדרשים שלושתם יחד, כולל אפשרות ביטול הרשמה בלחיצה אחת ושמירה על אחוז תלונות ספאם נמוך. זה נכון גם לעסקים ישראלים שרוב תעבורת הדואר שלהם מסתיימת בסופו של דבר ב-Gmail או Outlook, גם אם הלקוח הישראלי הממוצע משתמש גם ב-Walla! Mail או ב-iCloud.
iCloud Mail בפרט נחשב לקפדני יחסית לגבי מוניטין דומיין, ותכונת ה-Private Relay שלו מטשטשת נתוני פתיחות — כך שעסק שרוצה תמונה אמיתית של איפה הדואר שלו נוחת לא יכול להסתמך רק על נתוני פתיחה, אלא צריך לבדוק ישירות איפה ההודעה מגיעה.
איך לבדוק את המצב האמיתי של הדומיין שלכם
הדרך המהירה ביותר לגלות אם אתם באחוזים ה"חשופים" או ב"מוגנים באמת" היא לא לנחש — אלא לבדוק. עם בדיקת הגעה לתיבה חינמית אפשר לשלוח הודעת בדיקה לכתובות seed אצל יותר מ-20 ספקים, ולראות בבירור:
- לאיזו תיקייה ההודעה נוחתת בפועל — Inbox, Promotions או Spam — אצל Gmail, Outlook, iCloud ואחרים.
- האם SPF, DKIM ו-DMARC אכן עוברים אימות מהמקור ששלח את ההודעה, לא רק אם רשומה קיימת ב-DNS.
- מה מנועי הספאם המרכזיים פוסקים לגבי ההודעה, ואיך היא נראית בתצוגה אמיתית של תיבת דואר (כולל מצב כהה).
הבדיקה לא דורשת הרשמה, ונותנת תמונה מדויקת בהרבה מכל השערה על סמך אחוזים גלובליים — כי היא בודקת את הדומיין הספציפי שלכם, לא ממוצע שוק.
מה ההבדל בין DMARC ב-p=none לבין אכיפה מלאה?
p=none אומר שהרשומה רק אוספת דוחות ולא חוסמת כלום — כל הודעה, גם כזו שנכשלת באימות, עדיין תעבור. p=quarantine ו-p=reject הם השלבים שבהם ה-DMARC בפועל עוצר או מסמן כחשודה הודעה מזויפת. עסק שמצטט "יש לו DMARC" בלי לציין את המדיניות, כנראה עדיין נמצא בשלב הראשון.