מי שמחפש "נתונים SPF DKIM DMARC אימוץ" בדרך כלל מנסה לענות על שאלה מעשית: האם רוב הדומיינים כבר מוגנים, או שהעסק שלו נשאר מאחור? התשובה הקצרה: קיום רשומת SPF בסיסית הפך כמעט לדבר מובן מאליו אצל דומיינים פעילים, אבל תצורה מלאה ותקינה של שלושת השכבות יחד — SPF, DKIM ו-DMARC ברמת אכיפה — עדיין רחוקה מלהיות נחלת הרוב. את הנתונים המלאים והמתעדכנים אנחנו מפרסמים בעמוד /email-stats/, על בסיס סריקה אוטומטית שרצה כל שבוע. במאמר הזה נסביר איך הסריקה עובדת, מה היא באמת מודדת, ולמה הפער בין "יש רשומה" לבין "מוגן בפועל" הוא בדיוק המקום שבו רוב הדומיינים נכשלים.
איך נאספים הנתונים — מתודולוגיית הסריקה
הבסיס לנתונים הוא רשימת Tranco top-1M — רשימת מיליון הדומיינים המובילים בעולם לפי דירוג תעבורה, שמתעדכנת באופן שוטף ומשמשת כתקן מחקרי בתחום. עבור כל דומיין ברשימה, הסריקה בודקת שלושה דברים במקביל: מי ספקי ה-MX שמנהלים את קבלת המייל של הדומיין, האם קיימת רשומת SPF תקינה ב-DNS, והאם קיימת רשומת DMARC ומה רמת האכיפה שלה (none, quarantine או reject). DKIM נבדק בנפרד כי הוא תלוי בסלקטור ספציפי ולכן קשה יותר לזהות אוטומטית ברמת דומיין גורף — אבל השילוב של שלושת האיתותים יחד נותן תמונה אמינה של מצב האימות בעולם, לא רק בישראל. חשוב להבין: זו סריקה של דומיינים פעילים ברשת, לא של תעבורת מייל בפועל — כלומר היא מודדת "האם התשתית קיימת", לא "כמה מייל בפועל עובר דרכה".
הפער בין "יש רשומה" לבין "מוגן בפועל"
הנקודה הכי חשובה שעולה מהסריקה היא שקיום רשומת DMARC לא אומר הרבה בפני עצמו. רשומת DMARC יכולה להיות מוגדרת ב-p=none — כלומר "רק תדווח לי, אל תעשה כלום" — וזה בדיוק המצב אצל חלק ניכר מהדומיינים שיש להם בכלל רשומת DMARC. p=none הוא צעד ראשון סביר, אבל הוא לא מגן מפני התחזות (spoofing): מייל מזויף שנשלח בשם הדומיין שלך עדיין עשוי להגיע לתיבה של הנמען, כי אף אחד לא הורה לספק המייל לחסום או לסנן אותו. ההגנה האמיתית מתחילה ב-p=quarantine (המייל המזויף הולך לספאם) או p=reject (הוא נדחה לגמרי). כך נראית רשומת DMARC עם אכיפה מלאה:
בדיוק אותו עיקרון חל על SPF: יש הבדל בין רשומה שכוללת ~all (softfail — "חשוד, אבל תעביר בכל זאת") לבין -all (hardfail — "דחה לגמרי"). המון דומיינים משאירים softfail כי הוא "בטוח יותר" מבחינת סיכון לחסום מייל לגיטימי — אבל זה בדיוק מה שהופך את הרשומה לפחות אפקטיבית מול ספאם והתחזות.
למה זה נוגע גם למי ששולח מייל מישראל
אפשר לחשוב שנתונים גלובליים לא רלוונטיים לשוק מקומי, אבל זה טעות: Gmail נשאר ספק המייל הגדול ביותר בישראל, גם כתיבה פרטית וגם כ-Google Workspace בעסקים, ו-Outlook/Hotmail בעל נתח משמעותי בסביבות ארגוניות על Microsoft 365. כלומר רוב המייל שיוצא מעסק ישראלי בסופו של דבר עובר דרך אותם ספקים גלובליים שהחמירו את הדרישות שלהם משולחים בהיקף — SPF ו-DKIM חובה, DMARC לפחות ברמת p=none, כפתור הסרה בלחיצה אחת (one-click unsubscribe) ואחוז תלונות ספאם נמוך. בנוסף, iCloud Mail ממשיך לגדול בעקבות החדירה הגבוהה של אייפון בישראל, ו-Apple ידוע כמחמיר במיוחד ביחס למוניטין דומיין. יש גם זנב לא מבוטל של כתובות ותיקות אצל Walla! Mail, בעיקר בקרב קהל מבוגר יותר — ספק מקומי שכדאי לזכור כשבודקים רשימת תפוצה ישראלית. עסקים שמריצים רשימות תפוצה דרך פלטפורמות ישראליות כמו ActiveTrail, smoove או InforUMobile, או דרך פלטפורמות מסחר כמו Cardcom ו-Grow, צריכים לוודא שהדומיין השולח מוגדר נכון בפאנל — כי ברירת המחדל בהרבה פלטפורמות היא לשלוח מתשתית משותפת, מה שלא בהכרח מייצר את אותה רמת אמון אצל הספק המקבל.
איך זה משתקלל מול WooCommerce, Shopify ופלטפורמות SaaS
חלק מהפער בנתונים מוסבר על ידי אתרי מסחר קטנים ובינוניים שמריצים חנות על WooCommerce או Shopify בלי להשקיע בתצורת מייל. ב-WooCommerce, פונקציית ה-wp_mail() הבסיסית שולחת דרך שרת האחסון, לרוב בלי SPF ו-DKIM תואמים לדומיין — פתרון סטנדרטי הוא תוסף SMTP ייעודי עם ספק חיצוני. ב-Shopify, מייל מהדומיין העצמי אפשרי רק אחרי שמאמתים את הדומיין בפאנל ומוסיפים את רשומות ה-SPF וה-DKIM שהפלטפורמה מספקת. אותו דבר חל על שירותי שליחה בינלאומיים כמו Mailchimp, Brevo או SendGrid: בלי חיבור דומיין עצמי, המייל יוצא מדומיין טכני משותף — מה שמסביר למה כל כך הרבה עסקים קטנים מופיעים בסריקה כ"אין DMARC" למרות שהם בהחלט שולחים מייל בהיקף.
מה לעשות עם המידע הזה
- בדקו אם לדומיין שלכם יש בכלל רשומת SPF ו-DMARC ב-DNS.
- אם יש DMARC ב-
p=none, קראו את הדוחות (rua) לפני שמעלים לרמת אכיפה — כדי לוודא שלא תחסמו מייל לגיטימי משכחתם. - עברו בהדרגה ל-
p=quarantineולבסוף ל-p=rejectברגע שהדוחות נקיים. - וודאו של-DKIM יש סלקטור פעיל ותקין אצל כל ספק שדרכו אתם שולחים — ESP, פלטפורמת מסחר וגם שרת טרנזקציונלי פנימי.
מאיפה מגיעים נתוני אימוץ SPF/DKIM/DMARC?
למה יש לי רשומת DMARC אבל עדיין מקבלים מייל מזויף בשם הדומיין שלי?
p=none, שרק שולחת דוחות בלי לחסום כלום. הגנה אמיתית דורשת מעבר ל-p=quarantine או p=reject אחרי שווידאתם שהדוחות נקיים מכשלים לגיטימיים.