יסודות דיוור8 דקות קריאה

איך להגדיר DMARC בלי לחסום מיילים לגיטימיים

מדריך מעשי שלב אחר שלב: מרשומת TXT ראשונה במצב תצפית (p=none), דרך קריאת דוחות RUA, ועד הסלמה זהירה ל-p=reject.

אם הגעת לכאן כי חיפשת "איך להגדיר DMARC" — כנראה כבר הגדרת SPF ו-DKIM, וגוגל או אאוטלוק ביקשו ממך גם רשומת DMARC, או שפשוט שמת לב שמיילים שלך נופלים לספאם בג'ימייל. DMARC הוא לא עוד שכבת אבטחה נפרדת — הוא המנגנון שמחבר בין SPF ו-DKIM לבין הדומיין שהנמען רואה בפועל בשדה From, וקובע מה שרת הקבלה עושה כשמשהו לא מסתדר. ההגדרה עצמה היא רשומת TXT אחת, אבל הסדר שבו בונים אותה קובע אם תגמור עם דיווח שקט או עם מיילים אמיתיים שנחסמים.

איך DMARC עובד יחד עם SPF ו-DKIM

SPF בודק אם כתובת ה-IP ששלחה את המייל מורשית לפי הדומיין ב-Envelope From (השדה הטכני שהשרתים מדברים בו ביניהם). DKIM בודק חתימה קריפטוגרפית שמוכיחה שהתוכן לא שונה בדרך. DMARC בא ומוסיף תנאי שלישי: הדומיין שמופיע לנמען בשדה From חייב להיות "מיושר" (aligned) עם הדומיין שעבר את בדיקת ה-SPF או ה-DKIM. בלי ההתאמה הזו, תוקף יכול לשלוח מייל עם SPF תקין מדומיין אחר לגמרי, אבל להציג לנמען כתובת From מזויפת של המותג שלך.

SPFבודק IP מול הדומיין הטכניDKIMבודק חתימה דיגיטלית של התוכןDMARCבודק יישור מול שדה From וקובע מדיניות
שלושת המנגנונים שמרכיבים אימות שולח מלא

לפני DMARC: לוודא ש-SPF ו-DKIM באמת עוברים

DMARC לא "מתקן" SPF או DKIM שבורים — הוא רק מדווח או חוסם כשהם נכשלים. אם עדיין לא בדקת שהם עובדים בפועל, זו הבדיקה הראשונה, לפני שנוגעים ברשומת DMARC בכלל. הדרך המהירה ביותר היא לשלוח מייל אמיתי לכתובות בדיקה ולראות בדיוק מה השרת המקבל רואה — אפשר לעשות את זה בחינם דרך בדיקת מיקום תיבת דואר חינמית, שמראה גם את תוצאת SPF/DKIM/DMARC בפועל וגם לאיזו תיקייה המייל נחת.

בניית רשומת ה-TXT של DMARC שלב אחר שלב

רשומת DMARC יושבת תמיד תחת _dmarc.yourdomain.com, לא בדומיין הראשי, מסוג רשומת TXT. הרשומה הראשונה שכדאי לפרסם היא רשומת תצפית — היא לא חוסמת כלום, רק אוספת דוחות:

v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; pct=100גרסת הפרוטוקול — תמיד קבועמדיניות: רק תצפית, בלי לחסום או להעביר לספאםאחוז המיילים שהמדיניות חלה עליהם
פירוק רשומת DMARC ראשונית במצב תצפית

כתובת ה-rua חייבת להיות תיבה שאתה בודק בפועל, או שירות ניתוח DMARC — בלעדיה אתה עיוור לגמרי למה שקורה. תגיות נוספות שכדאי להכיר: adkim ו-aspf קובעות יישור קשיח (s) או רפוי (r), ו-sp קובעת מדיניות נפרדת לתתי-דומיינים.

קריאת דוחות RUA בלי להסתבך

הדוחות מגיעים כקובצי XML מרוכזים (בדרך כלל פעם ביום מכל שרת מקבל גדול), ובעצמם הם לא נוחים לקריאה ידנית. מה שחשוב לחפש בהם: כל מקור שליחה (IP או שירות) שמופיע כ-fail ב-SPF או ב-DKIM. במקרים רבים זה לא ניסיון זיוף אלא פלטפורמה לגיטימית — פלטפורמת e-commerce ששולחת אישורי הזמנה בשם הדומיין שלך בלי שהוגדרה כראוי ב-SPF, או תוסף וורדפרס ששולח דרך wp_mail() ישירות משרת האחסון. הדוחות הם בדיוק הכלי שחושף את אלה לפני שעוברים למדיניות חוסמת.

מסלול ההסלמה: מ-p=none ל-quarantine ועד reject

אחרי שתקופה של איסוף דוחות מראה שכל השולחים הלגיטימיים עוברים SPF או DKIM מיושרים, אפשר להתקדם בהדרגה:

  1. p=none — תצפית בלבד, שלב חובה שממנו מתחילים תמיד.
  2. p=quarantine; pct=25 — מתחילים להעביר חלק קטן מהתעבורה הכושלת לספאם, לא לחסום לגמרי, ובודקים שהדוחות עדיין נקיים.
  3. p=quarantine; pct=100 — כל המייל הכושל עובר לספאם אצל הנמען.
  4. p=reject — שרתי הקבלה דוחים לגמרי מיילים שלא עוברים יישור. השלב הסופי, רק אחרי שאין עוד שולחים לא-מיושרים בדוחות.
אל תקפצו ישר ל-p=reject
המעבר הישיר מ-none ל-reject הוא הטעות הנפוצה ביותר בהגדרת DMARC. אם יש ולו שולח לגיטימי אחד שלא מיושר — עדכוני מלאי מ-Grow, חשבוניות מ-Cardcom, ניוזלטר מ-ActiveTrail — הוא ייחסם לגמרי ובלי התראה. עברו דרך quarantine עם pct עולה בהדרגה, ותנו לדוחות RUA כמה שבועות להיות נקיים בכל שלב לפני שממשיכים הלאה.

טעויות Alignment שגורמות לכישלון DMARC

  • יישור קשיח מדי מוקדם מדיadkim=s ו-aspf=s דורשים התאמה מדויקת של תת-הדומיין. אם ה-ESP חותם עםmail.yourdomain.com וה-From הוא yourdomain.com, יישור קשיח ייכשל — יישור רפוי (r) בדרך כלל בטוח יותר להתחלה.
  • שכחת תתי-דומיינים — בלי sp מפורש, תתי-דומיינים יורשים את מדיניות הדומיין הראשי, מה שיכול להפתיע כשיש שרתי בדיקה או סביבות staging שממשיכים לשלוח מיילים.
  • פלטפורמות e-commerce ו-SMTP של אחסון — Shopify, WooCommerce על וורדפרס, ופלטפורמות ישראליות כמו Grow שולחות מיילים טרנזקציוניים בשם הדומיין שלכם לרוב בלי שהוגדר SPF/DKIM נכון מולן — זו הסיבה השכיחה ביותר לדוחות fail לא צפויים.

רגולציה בישראל: DMARC לא פוטר מחוק התקשורת

DMARC פותר בעיית אימות טכני, אבל לא פוטר משמירה על תיקון 40 לחוק התקשורת (בזק ושידורים) — מייל שיווקי לנמען בישראל עדיין חייב הסכמה מפורשת מראש (opt-in), את המילה "פרסומת" בתחילת שורת הנושא, פרטי יצירת קשר ברורים של השולח, ואפשרות הסרה פשוטה. הגדרת SPF/DKIM/DMARC נכונה משפרת את הסיכוי שהמייל בכלל יגיע לתיבה — אבל היא לא תחליף לעמידה בדרישות החוק.

בדיקה שוטפת אחרי כל הסלמה
אחרי כל שינוי במדיניות DMARC, שווה לשלוח מייל בדיקה חדש ולוודא שהוא עדיין נכנס לתיבה הראשית ולא לספאם, במיוחד אצל ספקים כמו iCloud עם סינון קשיח יחסית לדומיינים חדשים. אפשר לבדוק זאת בכל שלב עם כלי הבדיקה החינמי, ולעקוב אחרי מגמות אימות רחבות יותר בנתוני /email-stats/.

כמה זמן צריך לחכות בכל שלב לפני שמעלים את מדיניות ה-DMARC?

אין מספר קבוע — התלות היא בנפח התעבורה ובמספר השולחים שמזוהים בדוחות. הכלל המעשי: ממשיכים לשלב הבא רק כשכמה דוחות RUA רצופים מראים שאין עוד כשלים ממקורות לגיטימיים, לא לפי לוח זמנים קבוע מראש.

מה ההבדל בין רשומת DMARC בדומיין הראשי לבין תתי-דומיינים?

רשומת DMARC נבדקת תמיד לפי הדומיין שבשדה From. תג sp ברשומת הדומיין הראשי קובע מדיניות נפרדת לכל תתי-הדומיינים שאין להם רשומת DMARC ייעודית משלהם — שימושי כשיש שרתי בדיקה או תת-דומיינים לשליחה שלא רוצים להשפיע על הדומיין הראשי.

קיבלתי דוח RUA עם כשל SPF ממקור שאני לא מזהה — מה עושים?

קודם כל בודקים אם זה שירות לגיטימי (פלטפורמת e-commerce, כלי חשבוניות, ESP) שפשוט לא הוגדר נכון — ואז מוסיפים אותו לרשומת ה-SPF או מגדירים DKIM מותאם דרכו. רק אם המקור באמת לא מוכר ולא קשור לעסק, זהו סימן אזהרה לניסיון זיוף שמחזק את הצורך במעבר ל-reject.
מאמרים קשורים
Found this useful? Share it
AB
על הכותב
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

בדקו את שיעור ההגעה לתיבה ביותר מ-20 ספקים

Gmail, Outlook, Walla, GMX, ProtonMail ועוד. צילומי מסך אמיתיים של תיבת הדואר, SPF/DKIM/DMARC, הכרעות מסנני ספאם. חינם, ללא הרשמה.

הרצת בדיקה חינם ←

בדיקות ללא הגבלה · 20+ תיבות · תוצאות בזמן אמת · ללא חשבון