יסודות דיוור8 דקות קריאה

מה זה SPF, DKIM ו-DMARC

שלושה מנגנוני אימות שמחליטים אם המייל שלכם ייחשב אמין — או ייזרק ישר לספאם. הסבר פשוט, בלי ז'רגון מיותר.

אם שלחתם מייל שיווקי או טרנזקציוני וגיליתם שהוא נוחת בתיקיית הספאם, כמעט תמיד השורש הוא באחד משלושת המנגנונים האלה: SPF, DKIM ו-DMARC. אלה לא כלים חיצוניים ולא תוספים — אלה רשומות DNS פשוטות שמצהירות לספקי הדואר (Gmail, Outlook, iCloud, Walla! ועוד) מי מורשה לשלוח בשם הדומיין שלכם, ושהתוכן לא שונה בדרך. בלעדיהן, ספק הדואר פשוט לא יכול לדעת אם ההודעה אמיתית או זיוף — והוא בוחר בברירת המחדל הבטוחה: ספאם.

מה זה SPF ואיך הוא עובד

SPF (Sender Policy Framework) הוא רשומת TXT ב-DNS של הדומיין שלכם, שמפרטת אילו שרתים רשאים לשלוח מיילים בשמו. כשתיבת היעד מקבלת הודעה, היא בודקת את כתובת ה-IP של השרת השולח מול הרשימה הזו. אם ה-IP לא ברשימה — זה דגל אדום.

רשומת SPF טיפוסית נראית כך:

v=spf1 include:_spf.google.com include:mail.activetrail.com ~allגרסת הפרוטוקול — תמיד בהתחלהמאשר לשרתי Google Workspace לשלוח בשם הדומייןמאשר לפלטפורמת דיוור חיצונית (למשל ActiveTrail)כל שרת אחר — לסמן כחשוד (softfail), לא לחסום לגמרי
פירוק של רשומת SPF לרכיבים

טעות נפוצה: לפרסם יותר מרשומת SPF אחת לאותו דומיין. ל-DNS מותרת רשומת SPF אחת בלבד — אם יש שתיים, הבדיקה עלולה להיכשל כליל. כשמצטרפים לפלטפורמת דיוור חדשה (Cardcom, Grow, smoove, InforUMobile וכדומה), צריך להוסיף את ה-include שלה לרשומה הקיימת — לא ליצור רשומה נפרדת.

מה זה DKIM ואיך הוא עובד

DKIM (DomainKeys Identified Mail) עובד אחרת: הוא לא בודק מי שלח, אלא מוכיח שהתוכן לא שונה בדרך. השרת השולח חותם על ההודעה במפתח פרטי, והחתימה מצורפת לכותרת DKIM-Signature. המפתח הציבורי המתאים מתפרסם ברשומת TXT נפרדת ב-DNS, תחת מה שנקרא "selector" (למשל selector1._domainkey.yourdomain.com). תיבת היעד שולפת את המפתח הציבורי ומאמתת את החתימה — אם התוכן שונה ולו בתו אחד בדרך, האימות נכשל.

אתרי WooCommerce שמשתמשים בפונקציית wp_mail() בלי SMTP חיצוני הם דוגמה קלאסית לבעיה: המייל יוצא מהשרת של חברת האחסון, בלי חתימת DKIM של הדומיין שלכם, ולכן ננחת בספאם כמעט תמיד. הפתרון הוא תוסף SMTP (כמו WP Mail SMTP) או ספק SMTP חיצוני עם רשומות SPF ו-DKIM מוגדרות נכון.

מה זה DMARC והכתר שמחבר הכל

DMARC (Domain-based Message Authentication, Reporting and Conformance) הוא השכבה השלישית — היא לא בודקת עוד משהו חדש, אלא קובעת מדיניות: מה לעשות כשהודעה נכשלת ב-SPF או ב-DKIM (או בשניהם), ומחייבת גם "יישור" (alignment) בין הדומיין שמופיע ב-From לבין הדומיין שאומת. יש שלוש רמות מדיניות:

  • p=none — רק לצפות ולדווח, בלי לחסום כלום. נקודת ההתחלה הבטוחה לכל דומיין חדש.
  • p=quarantine — הודעות שנכשלות יישלחו לספאם.
  • p=reject — הודעות שנכשלות יידחו לגמרי ולא יגיעו בכלל.

המעבר בין הרמות צריך להיות הדרגתי, אחרי שווידאתם שכל מקורות השליחה הלגיטימיים (הפלטפורמה השיווקית, ה-CRM, מערכת החשבוניות) עוברים אימות בהצלחה.

איך שלושת המנגנונים פועלים ביחד

SPFבודק מי מורשה לשלוח מה-IPDKIMמוודא שהתוכן לא שונה בדרךDMARCקובע מדיניות ודורש יישור דומיינים
היחס בין SPF, DKIM ו-DMARC בבדיקת מייל נכנס

חשוב להבין: DMARC עובר אם SPF או DKIM עברו (עם יישור דומיין תואם) — לא צריך ששניהם יעברו יחד. אבל הגנה אמיתית מגיעה רק כששני המנגנונים מוגדרים נכון, כי כל אחד מכסה תרחישי כשל שונים (למשל: העברת מייל דרך שרת ביניים שוברת SPF אבל לא DKIM).

למה זה קריטי דווקא לתיבות בישראל

רוב הנמענים בישראל יושבים על Gmail (כתיבה פרטית וגם Google Workspace עסקי), Outlook/Hotmail בסביבות עסקיות רבות על Microsoft 365, ו-iCloud Mail שהולך וגדל עם החדירה הגבוהה של iPhone בארץ. אפל נוקטת בגישה קפדנית במיוחד כלפי מוניטין דומיין, ו-Private Relay שלה מטשטש נתוני פתיחה — עוד סיבה למה כדאי לבדוק בפועל ולא לסמוך רק על סטטיסטיקות פתיחה. יש גם פלח לא מבוטל של כתובות Walla! Mail, בעיקר אצל קהל מבוגר יותר, ושארית של כתובות ותיקות מספקי אינטרנט מקומיים (בזק, פרטנר וכדומה) — כדאי לוודא (validate) כתובות כאלה כי הדיוורים אליהן פחות צפויים.

מאז פברואר 2024 Google ו-Yahoo דורשות מכל שולח בהיקף גדול SPF ו-DKIM תקינים, DMARC לפחות ברמת p=none, וכפתור הסרה בלחיצה אחת (one-click unsubscribe). זה נכון גם לעסקים ישראליים שדואגים בעיקר לתיבות מקומיות — כי בפועל רוב המשלוח שלהם עדיין עובר דרך Gmail או Outlook. בנוסף, בישראל חל תיקון 40 לחוק התקשורת: דיוור פרסומי מחייב הסכמה מפורשת מראש, סימון המילה "פרסומת" בתחילת שורת הנושא, ופרטי יצירת קשר ואפשרות הסרה ברורה בכל הודעה — דרישה משפטית שנוספת על האימות הטכני, לא מחליפה אותו.

לפני שאתם משנים DMARC ל-reject
עברו קודם דרך p=none ובדקו שכל מקור שליחה אמיתי — הפלטפורמה השיווקית, מערכת החשבוניות, ה-CRM — עובר SPF או DKIM עם יישור דומיין תקין. מעבר ישיר ל-p=reject בלי הבדיקה הזו עלול לחסום מיילים לגיטימיים שלכם עצמכם.

איך בודקים את ההגדרות שלכם עכשיו

אפשר לבדוק ידנית עם כלי dig TXT על הדומיין, אבל הדרך המהירה ביותר לראות תמונה מלאה היא לשלוח מייל בדיקה אמיתי. הבדיקת הגעה לתיבה החינמית שלנו שולחת את ההודעה שלכם לכתובות seed אצל למעלה מ-20 ספקים, ומראה בדיוק איפה היא נוחתת — Inbox, Promotions או Spam — יחד עם תוצאות SPF, DKIM ו-DMARC, חוות דעת מנועי אנטי-ספאם, וגם צילום מסך של איך ההודעה נראית בתיבה אמיתית. זה חשוב במיוחד לעברית: כתיבה מימין לשמאל מתערבבת לעיתים עם מספרים, כתובות אתר ושמות מותג באנגלית, וזה יכול לשבש עיצוב שנראה תקין בתצוגה מקדימה של המערכת השולחת אבל שבור בתיבה עצמה.

רוצים תמונת שוק רחבה יותר — אימוץ SPF, DKIM, DMARC, BIMI ו-MTA-STS בין מיליון הדומיינים המובילים בעולם — אפשר לעקוב אחרי הסריקה השבועית שלנו ב-email-stats.

האם מספיק להגדיר רק SPF, בלי DKIM ו-DMARC?

SPF לבדו נותן הגנה חלקית מאוד. ספקי דואר כמו Gmail ו-Yahoo דורשים היום גם DKIM וגם DMARC ברמה בסיסית לפחות (p=none) ממי ששולח בהיקף גדול, ובלעדיהם הסיכוי לנחיתה בספאם עולה משמעותית.

שיניתי את רשומת ה-DNS אבל הבדיקה עדיין נכשלת — למה?

שינויי DNS לוקחים זמן להתפשט ברשתות שונות (propagation), ולעיתים מטמון (cache) של ספק הדואר עוד מחזיק גרסה ישנה. חכו קצת, ואז בדקו שוב עם שליחת מייל בדיקה אמיתי במקום להסתמך רק על כלי בדיקת DNS.

עברתי לספק דיוור חדש (למשל smoove או Cardcom) — צריך רשומת SPF נפרדת?

לא. מוסיפים את ה-include שהספק החדש נותן לרשומת ה-SPF הקיימת של הדומיין שלכם. דומיין אחד יכול להחזיק רק רשומת SPF אחת — שתי רשומות נפרדות עלולות לשבור את הבדיקה כליל.
מאמרים קשורים
Found this useful? Share it
AB
על הכותב
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

בדקו את שיעור ההגעה לתיבה ביותר מ-20 ספקים

Gmail, Outlook, Walla, GMX, ProtonMail ועוד. צילומי מסך אמיתיים של תיבת הדואר, SPF/DKIM/DMARC, הכרעות מסנני ספאם. חינם, ללא הרשמה.

הרצת בדיקה חינם ←

בדיקות ללא הגבלה · 20+ תיבות · תוצאות בזמן אמת · ללא חשבון