נתונים ומחקר8 דקות קריאה

נתוני אימוץ SPF, DKIM ו-DMARC

כמה מהאתרים בעולם באמת מוגנים? הנה מה שסריקה שבועית של מיליון דומיינים מגלה — ולמה זה נוגע ישירות לכל מי ששולח מייל מישראל.

מי שמחפש "נתונים SPF DKIM DMARC אימוץ" בדרך כלל מנסה לענות על שאלה מעשית: האם רוב הדומיינים כבר מוגנים, או שהעסק שלו נשאר מאחור? התשובה הקצרה: קיום רשומת SPF בסיסית הפך כמעט לדבר מובן מאליו אצל דומיינים פעילים, אבל תצורה מלאה ותקינה של שלושת השכבות יחד — SPF, DKIM ו-DMARC ברמת אכיפה — עדיין רחוקה מלהיות נחלת הרוב. את הנתונים המלאים והמתעדכנים אנחנו מפרסמים בעמוד /email-stats/, על בסיס סריקה אוטומטית שרצה כל שבוע. במאמר הזה נסביר איך הסריקה עובדת, מה היא באמת מודדת, ולמה הפער בין "יש רשומה" לבין "מוגן בפועל" הוא בדיוק המקום שבו רוב הדומיינים נכשלים.

איך נאספים הנתונים — מתודולוגיית הסריקה

הבסיס לנתונים הוא רשימת Tranco top-1M — רשימת מיליון הדומיינים המובילים בעולם לפי דירוג תעבורה, שמתעדכנת באופן שוטף ומשמשת כתקן מחקרי בתחום. עבור כל דומיין ברשימה, הסריקה בודקת שלושה דברים במקביל: מי ספקי ה-MX שמנהלים את קבלת המייל של הדומיין, האם קיימת רשומת SPF תקינה ב-DNS, והאם קיימת רשומת DMARC ומה רמת האכיפה שלה (none, quarantine או reject). DKIM נבדק בנפרד כי הוא תלוי בסלקטור ספציפי ולכן קשה יותר לזהות אוטומטית ברמת דומיין גורף — אבל השילוב של שלושת האיתותים יחד נותן תמונה אמינה של מצב האימות בעולם, לא רק בישראל. חשוב להבין: זו סריקה של דומיינים פעילים ברשת, לא של תעבורת מייל בפועל — כלומר היא מודדת "האם התשתית קיימת", לא "כמה מייל בפועל עובר דרכה".

SPFרשימת שרתים מורשים לשלוח בשם הדומייןDKIMחתימה קריפטוגרפית שמוכיחה שהתוכן לא שונהDMARCמדיניות שמחליטה מה קורה כשהאימות נכשל
שלוש שכבות האימות שהסריקה בודקת עבור כל דומיין

הפער בין "יש רשומה" לבין "מוגן בפועל"

הנקודה הכי חשובה שעולה מהסריקה היא שקיום רשומת DMARC לא אומר הרבה בפני עצמו. רשומת DMARC יכולה להיות מוגדרת ב-p=none — כלומר "רק תדווח לי, אל תעשה כלום" — וזה בדיוק המצב אצל חלק ניכר מהדומיינים שיש להם בכלל רשומת DMARC. p=none הוא צעד ראשון סביר, אבל הוא לא מגן מפני התחזות (spoofing): מייל מזויף שנשלח בשם הדומיין שלך עדיין עשוי להגיע לתיבה של הנמען, כי אף אחד לא הורה לספק המייל לחסום או לסנן אותו. ההגנה האמיתית מתחילה ב-p=quarantine (המייל המזויף הולך לספאם) או p=reject (הוא נדחה לגמרי). כך נראית רשומת DMARC עם אכיפה מלאה:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.co.il; pct=100גרסת הפרוטוקולרמת האכיפה — דוחה מייל שנכשל באימותאחוז המיילים שעליהם חלה המדיניות
פירוק רשומת DMARC לפי רכיבים

בדיוק אותו עיקרון חל על SPF: יש הבדל בין רשומה שכוללת ~all (softfail — "חשוד, אבל תעביר בכל זאת") לבין -all (hardfail — "דחה לגמרי"). המון דומיינים משאירים softfail כי הוא "בטוח יותר" מבחינת סיכון לחסום מייל לגיטימי — אבל זה בדיוק מה שהופך את הרשומה לפחות אפקטיבית מול ספאם והתחזות.

למה זה נוגע גם למי ששולח מייל מישראל

אפשר לחשוב שנתונים גלובליים לא רלוונטיים לשוק מקומי, אבל זה טעות: Gmail נשאר ספק המייל הגדול ביותר בישראל, גם כתיבה פרטית וגם כ-Google Workspace בעסקים, ו-Outlook/Hotmail בעל נתח משמעותי בסביבות ארגוניות על Microsoft 365. כלומר רוב המייל שיוצא מעסק ישראלי בסופו של דבר עובר דרך אותם ספקים גלובליים שהחמירו את הדרישות שלהם משולחים בהיקף — SPF ו-DKIM חובה, DMARC לפחות ברמת p=none, כפתור הסרה בלחיצה אחת (one-click unsubscribe) ואחוז תלונות ספאם נמוך. בנוסף, iCloud Mail ממשיך לגדול בעקבות החדירה הגבוהה של אייפון בישראל, ו-Apple ידוע כמחמיר במיוחד ביחס למוניטין דומיין. יש גם זנב לא מבוטל של כתובות ותיקות אצל Walla! Mail, בעיקר בקרב קהל מבוגר יותר — ספק מקומי שכדאי לזכור כשבודקים רשימת תפוצה ישראלית. עסקים שמריצים רשימות תפוצה דרך פלטפורמות ישראליות כמו ActiveTrail, smoove או InforUMobile, או דרך פלטפורמות מסחר כמו Cardcom ו-Grow, צריכים לוודא שהדומיין השולח מוגדר נכון בפאנל — כי ברירת המחדל בהרבה פלטפורמות היא לשלוח מתשתית משותפת, מה שלא בהכרח מייצר את אותה רמת אמון אצל הספק המקבל.

בדיקה מעשית מנצחת נתונים גלובליים
נתוני אימוץ עולמיים טובים להבנת המגמה, אבל הם לא אומרים כלום על הדומיין הספציפי שלך. השלב הבא הכי מעשי הוא לשלוח מייל אמיתי דרך בדיקת מיקום תיבה חינמית ולראות בדיוק אילו כתובות seed קיבלו את ה-SPF, DKIM ו-DMARC שלך כתקין, ואיפה המייל נחת בפועל — Inbox, קידומים או ספאם.

איך זה משתקלל מול WooCommerce, Shopify ופלטפורמות SaaS

חלק מהפער בנתונים מוסבר על ידי אתרי מסחר קטנים ובינוניים שמריצים חנות על WooCommerce או Shopify בלי להשקיע בתצורת מייל. ב-WooCommerce, פונקציית ה-wp_mail() הבסיסית שולחת דרך שרת האחסון, לרוב בלי SPF ו-DKIM תואמים לדומיין — פתרון סטנדרטי הוא תוסף SMTP ייעודי עם ספק חיצוני. ב-Shopify, מייל מהדומיין העצמי אפשרי רק אחרי שמאמתים את הדומיין בפאנל ומוסיפים את רשומות ה-SPF וה-DKIM שהפלטפורמה מספקת. אותו דבר חל על שירותי שליחה בינלאומיים כמו Mailchimp, Brevo או SendGrid: בלי חיבור דומיין עצמי, המייל יוצא מדומיין טכני משותף — מה שמסביר למה כל כך הרבה עסקים קטנים מופיעים בסריקה כ"אין DMARC" למרות שהם בהחלט שולחים מייל בהיקף.

מה לעשות עם המידע הזה

  1. בדקו אם לדומיין שלכם יש בכלל רשומת SPF ו-DMARC ב-DNS.
  2. אם יש DMARC ב-p=none, קראו את הדוחות (rua) לפני שמעלים לרמת אכיפה — כדי לוודא שלא תחסמו מייל לגיטימי משכחתם.
  3. עברו בהדרגה ל-p=quarantine ולבסוף ל-p=reject ברגע שהדוחות נקיים.
  4. וודאו של-DKIM יש סלקטור פעיל ותקין אצל כל ספק שדרכו אתם שולחים — ESP, פלטפורמת מסחר וגם שרת טרנזקציונלי פנימי.

מאיפה מגיעים נתוני אימוץ SPF/DKIM/DMARC?

הנתונים שאנחנו מפרסמים בעמוד /email-stats/ מבוססים על סריקה שבועית אוטומטית של רשימת Tranco top-1M — מיליון הדומיינים המובילים בעולם — ובודקים לכל דומיין ספקי MX, קיום SPF ורמת אכיפת DMARC.

למה יש לי רשומת DMARC אבל עדיין מקבלים מייל מזויף בשם הדומיין שלי?

כנראה שהרשומה מוגדרת ב-p=none, שרק שולחת דוחות בלי לחסום כלום. הגנה אמיתית דורשת מעבר ל-p=quarantine או p=reject אחרי שווידאתם שהדוחות נקיים מכשלים לגיטימיים.

האם הנתונים הגלובליים האלה רלוונטיים לעסק ישראלי?

כן — כי הרוב המכריע של המייל היוצא מישראל בסופו של דבר נוחת אצל אותם ספקים גלובליים (Gmail, Outlook, iCloud) שהחמירו את הדרישות מכל שולח בהיקף, בלי קשר למיקום הגיאוגרפי של השולח. מעבר לכך, כדאי לבדוק ישירות עם כלי בדיקה חינמי איך הדומיין שלכם ספציפית מתנהג מול ספקים אלה.
מאמרים קשורים
Found this useful? Share it
AB
על הכותב
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

בדקו את שיעור ההגעה לתיבה ביותר מ-20 ספקים

Gmail, Outlook, Walla, GMX, ProtonMail ועוד. צילומי מסך אמיתיים של תיבת הדואר, SPF/DKIM/DMARC, הכרעות מסנני ספאם. חינם, ללא הרשמה.

הרצת בדיקה חינם ←

בדיקות ללא הגבלה · 20+ תיבות · תוצאות בזמן אמת · ללא חשבון