אם שלחתם מייל שיווקי או טרנזקציוני וגיליתם שהוא נוחת בתיקיית הספאם, כמעט תמיד השורש הוא באחד משלושת המנגנונים האלה: SPF, DKIM ו-DMARC. אלה לא כלים חיצוניים ולא תוספים — אלה רשומות DNS פשוטות שמצהירות לספקי הדואר (Gmail, Outlook, iCloud, Walla! ועוד) מי מורשה לשלוח בשם הדומיין שלכם, ושהתוכן לא שונה בדרך. בלעדיהן, ספק הדואר פשוט לא יכול לדעת אם ההודעה אמיתית או זיוף — והוא בוחר בברירת המחדל הבטוחה: ספאם.
מה זה SPF ואיך הוא עובד
SPF (Sender Policy Framework) הוא רשומת TXT ב-DNS של הדומיין שלכם, שמפרטת אילו שרתים רשאים לשלוח מיילים בשמו. כשתיבת היעד מקבלת הודעה, היא בודקת את כתובת ה-IP של השרת השולח מול הרשימה הזו. אם ה-IP לא ברשימה — זה דגל אדום.
רשומת SPF טיפוסית נראית כך:
טעות נפוצה: לפרסם יותר מרשומת SPF אחת לאותו דומיין. ל-DNS מותרת רשומת SPF אחת בלבד — אם יש שתיים, הבדיקה עלולה להיכשל כליל. כשמצטרפים לפלטפורמת דיוור חדשה (Cardcom, Grow, smoove, InforUMobile וכדומה), צריך להוסיף את ה-include שלה לרשומה הקיימת — לא ליצור רשומה נפרדת.
מה זה DKIM ואיך הוא עובד
DKIM (DomainKeys Identified Mail) עובד אחרת: הוא לא בודק מי שלח, אלא מוכיח שהתוכן לא שונה בדרך. השרת השולח חותם על ההודעה במפתח פרטי, והחתימה מצורפת לכותרת DKIM-Signature. המפתח הציבורי המתאים מתפרסם ברשומת TXT נפרדת ב-DNS, תחת מה שנקרא "selector" (למשל selector1._domainkey.yourdomain.com). תיבת היעד שולפת את המפתח הציבורי ומאמתת את החתימה — אם התוכן שונה ולו בתו אחד בדרך, האימות נכשל.
אתרי WooCommerce שמשתמשים בפונקציית wp_mail() בלי SMTP חיצוני הם דוגמה קלאסית לבעיה: המייל יוצא מהשרת של חברת האחסון, בלי חתימת DKIM של הדומיין שלכם, ולכן ננחת בספאם כמעט תמיד. הפתרון הוא תוסף SMTP (כמו WP Mail SMTP) או ספק SMTP חיצוני עם רשומות SPF ו-DKIM מוגדרות נכון.
מה זה DMARC והכתר שמחבר הכל
DMARC (Domain-based Message Authentication, Reporting and Conformance) הוא השכבה השלישית — היא לא בודקת עוד משהו חדש, אלא קובעת מדיניות: מה לעשות כשהודעה נכשלת ב-SPF או ב-DKIM (או בשניהם), ומחייבת גם "יישור" (alignment) בין הדומיין שמופיע ב-From לבין הדומיין שאומת. יש שלוש רמות מדיניות:
p=none— רק לצפות ולדווח, בלי לחסום כלום. נקודת ההתחלה הבטוחה לכל דומיין חדש.p=quarantine— הודעות שנכשלות יישלחו לספאם.p=reject— הודעות שנכשלות יידחו לגמרי ולא יגיעו בכלל.
המעבר בין הרמות צריך להיות הדרגתי, אחרי שווידאתם שכל מקורות השליחה הלגיטימיים (הפלטפורמה השיווקית, ה-CRM, מערכת החשבוניות) עוברים אימות בהצלחה.
איך שלושת המנגנונים פועלים ביחד
חשוב להבין: DMARC עובר אם SPF או DKIM עברו (עם יישור דומיין תואם) — לא צריך ששניהם יעברו יחד. אבל הגנה אמיתית מגיעה רק כששני המנגנונים מוגדרים נכון, כי כל אחד מכסה תרחישי כשל שונים (למשל: העברת מייל דרך שרת ביניים שוברת SPF אבל לא DKIM).
למה זה קריטי דווקא לתיבות בישראל
רוב הנמענים בישראל יושבים על Gmail (כתיבה פרטית וגם Google Workspace עסקי), Outlook/Hotmail בסביבות עסקיות רבות על Microsoft 365, ו-iCloud Mail שהולך וגדל עם החדירה הגבוהה של iPhone בארץ. אפל נוקטת בגישה קפדנית במיוחד כלפי מוניטין דומיין, ו-Private Relay שלה מטשטש נתוני פתיחה — עוד סיבה למה כדאי לבדוק בפועל ולא לסמוך רק על סטטיסטיקות פתיחה. יש גם פלח לא מבוטל של כתובות Walla! Mail, בעיקר אצל קהל מבוגר יותר, ושארית של כתובות ותיקות מספקי אינטרנט מקומיים (בזק, פרטנר וכדומה) — כדאי לוודא (validate) כתובות כאלה כי הדיוורים אליהן פחות צפויים.
מאז פברואר 2024 Google ו-Yahoo דורשות מכל שולח בהיקף גדול SPF ו-DKIM תקינים, DMARC לפחות ברמת p=none, וכפתור הסרה בלחיצה אחת (one-click unsubscribe). זה נכון גם לעסקים ישראליים שדואגים בעיקר לתיבות מקומיות — כי בפועל רוב המשלוח שלהם עדיין עובר דרך Gmail או Outlook. בנוסף, בישראל חל תיקון 40 לחוק התקשורת: דיוור פרסומי מחייב הסכמה מפורשת מראש, סימון המילה "פרסומת" בתחילת שורת הנושא, ופרטי יצירת קשר ואפשרות הסרה ברורה בכל הודעה — דרישה משפטית שנוספת על האימות הטכני, לא מחליפה אותו.
p=none ובדקו שכל מקור שליחה אמיתי — הפלטפורמה השיווקית, מערכת החשבוניות, ה-CRM — עובר SPF או DKIM עם יישור דומיין תקין. מעבר ישיר ל-p=reject בלי הבדיקה הזו עלול לחסום מיילים לגיטימיים שלכם עצמכם.איך בודקים את ההגדרות שלכם עכשיו
אפשר לבדוק ידנית עם כלי dig TXT על הדומיין, אבל הדרך המהירה ביותר לראות תמונה מלאה היא לשלוח מייל בדיקה אמיתי. הבדיקת הגעה לתיבה החינמית שלנו שולחת את ההודעה שלכם לכתובות seed אצל למעלה מ-20 ספקים, ומראה בדיוק איפה היא נוחתת — Inbox, Promotions או Spam — יחד עם תוצאות SPF, DKIM ו-DMARC, חוות דעת מנועי אנטי-ספאם, וגם צילום מסך של איך ההודעה נראית בתיבה אמיתית. זה חשוב במיוחד לעברית: כתיבה מימין לשמאל מתערבבת לעיתים עם מספרים, כתובות אתר ושמות מותג באנגלית, וזה יכול לשבש עיצוב שנראה תקין בתצוגה מקדימה של המערכת השולחת אבל שבור בתיבה עצמה.
רוצים תמונת שוק רחבה יותר — אימוץ SPF, DKIM, DMARC, BIMI ו-MTA-STS בין מיליון הדומיינים המובילים בעולם — אפשר לעקוב אחרי הסריקה השבועית שלנו ב-email-stats.