מי שמחפש "mta-sts bimi מגמות 2026" כנראה כבר מכיר את SPF, DKIM ו-DMARC ומחפש את הצעד הבא. השאלה המעשית היא לא רק "מה זה", אלא "האם עדיין שווה להשקיע בזה עכשיו, ומה שאר השוק עושה". בשורה התחתונה: שני התקנים ממשיכים לצבור אחיזה בהדרגה, אבל עדיין רחוקים מלהיות ברירת מחדל אצל רוב הדומיינים - כלומר יש כאן הזדמנות אמיתית להתבלט, במיוחד אצל מותגים שרוצים שהלוגו שלהם יופיע ליד ההודעה בתיבה.
מה זה MTA-STS ולמה הוא שונה מ-SPF/DKIM/DMARC
SPF, DKIM ו-DMARC עוסקים בזהות: הם עונים על השאלה "האם השולח באמת מי שהוא טוען שהוא". MTA-STS (Mail Transfer Agent Strict Transport Security) עוסק במשהו אחר לגמרי - בערוץ ההעברה עצמו. הוא מכריח את שרתי הדואר השולחים להתחבר אל שרתי היעד רק דרך TLS מאומת, ומונע מתקפות downgrade שבהן צד עוין "משכנע" שני שרתים לדבר בטקסט גלוי או עם תעודה לא תקינה.
טכנית, ההטמעה כוללת שני חלקים: רשומת TXT קטנה שמצביעה על קיום מדיניות, וקובץ מדיניות שמתארח בכתובת קבועה בפרוטוקול HTTPS - https://mta-sts.example.com/.well-known/mta-sts.txt. הקובץ הזה מגדיר אילו שרתי MX תקינים, ובאיזה מצב לפעול: testing (רק לוג, בלי חסימה), או enforce (חסימת חיבורים לא בטוחים).
מה זה BIMI ולמה מותגים רודפים אחריו
BIMI (Brand Indicators for Message Identification) הוא התקן שמאפשר ללוגו של המותג להופיע ליד שם השולח בתיבת הדואר הנכנס - אצל Gmail, Yahoo וחלק מלקוחות Apple Mail. זה לא רק קוסמטיקה: לוגו מוכר לצד השם יוצר אמון מיידי ומבדל את ההודעה משלל ניסיונות פישינג שמתחזים לאותו מותג.
התנאי המקדים החשוב ביותר ל-BIMI הוא DMARC שכבר עובד באכיפה - כלומר p=quarantine או p=reject, ולא רק p=none. הרעיון הוא שספקי הדואר מוכנים להציג לוגו רק אם הם בטוחים שאף אחד לא יכול לזייף את הדומיין. אצל Gmail נדרש בנוסף אישור VMC (Verified Mark Certificate) - תעודה שמאמתת שהלוגו אכן שייך לסימן מסחר רשום.
מה הנתונים מהסריקה השבועית מראים
הסריקה השבועית שמניעה את מאגר הנתונים החי שלנו עוברת על מדגם רחב מתוך Tranco Top-1M ובודקת, בין היתר, אימוץ של SPF, DKIM, DMARC, BIMI ו-MTA-STS לצד ספקי ה-MX השולטים. המגמה הכללית ברורה: SPF ו-DKIM כבר כמעט בגדר ברירת מחדל אצל דומיינים פעילים, DMARC נמצא באמצע הדרך עם פער גדול בין דומיינים שמפרסמים רשומה לבין כאלה שבאמת מגיעים לאכיפה, ואילו MTA-STS ו-BIMI עדיין נמצאים בשלב מוקדם יותר של אימוץ - הרבה פחות מרוב הדומיינים מחזיקים בהם, אבל המספר גדל מסריקה לסריקה.
המשמעות המעשית: מי שמטמיע MTA-STS ו-BIMI היום לא "רץ אחרי העדר" אלא נמצא בקבוצה שמקדימה את השוק. מכיוון שהמספרים המדויקים משתנים מדי שבוע, עדיף להסתכל על הנתונים החיים ב-/email-stats/ במקום להסתמך על תמונת מצב קפואה.
איך זה משפיע על דיוור בישראל בפועל
השוק הישראלי מורכב בעיקר מ-Gmail (גם כתיבה אישית וגם כ-Google Workspace עסקי), Outlook/Hotmail עם נפח גדול של תיבות Microsoft 365 ארגוניות, Walla! Mail הוותיק והמוכר, ו-iCloud Mail שממשיך לצמוח יחד עם החדירה הגבוהה של מכשירי אייפון בישראל. בכל התיבות האלה, MTA-STS פועל "מתחת לפני השטח" - הוא לא נראה למשתמש הקצה, אבל מפחית סיכוני יירוט בהעברה. BIMI, לעומת זאת, נראה ישירות בתיבת הדואר הנכנס אצל Gmail בעיקר, ומתחיל לצבור תמיכה גם בפלטפורמות נוספות.
חשוב לזכור ש-iCloud Mail מפעיל Private Relay שמשבש נתוני פתיחה, ושחלק מהאוכלוסייה הוותיקה יותר עדיין משתמשת בכתובות ISP מקומיות (בזק, פרטנר, סלקום וכדומה) - כתובות כאלה שוות בדיקת תקינות נפרדת, כי הצפי לדיוור עליהן פחות עקבי מאשר אצל הספקים הגדולים.
איך להתחיל להטמיע נכון - סדר הפעולות
- ודאו קודם ש-SPF ו-DKIM עוברים תקין בכל ספקי היעד המרכזיים.
- העלו DMARC ל-
p=quarantineולאחר מכן ל-p=rejectבאופן הדרגתי, על בסיס דוחות aggregate. - פרסמו רשומת MTA-STS במצב
testingתחילה, עקבו אחר דוחות TLS-RPT, ורק אז עברו ל-enforce. - רק לאחר ש-DMARC יציב באכיפה, ניגשו ל-BIMI: הכינו לוגו בפורמט SVG Tiny P/S, ובמידת הצורך תעודת VMC.
- בדקו את התוצאה בפועל - איך ההודעה מגיעה, לאיזו תיקייה, ואיך היא נראית - לפני שליחה בהיקף מלא.
סדר עדיפויות: מה קודם למה
אם צריך לבחור סדר עדיפויות בזמן מוגבל: קודם DMARC באכיפה, כי הוא הבסיס גם ל-BIMI וגם להגנה מפני התחזות לדומיין. אחריו MTA-STS, כי ההטמעה שלו יחסית פשוטה טכנית ומוסיפה שכבת הגנה שקטה בלי לגעת בתוכן ההודעות. BIMI מגיע אחרון, כי הוא "התגמול הוויזואלי" שמגיע אחרי שהיסודות כבר יציבים - ולא כדאי לנסות לקצר את הדרך.