DMARC (Domain-based Message Authentication, Reporting & Conformance) הוא רשומת DNS שמגדירה מה לעשות עם מיילים שנכשלים ב-SPF או DKIM. עם p=reject, מיילים מזויפים נחסמים לחלוטין.

מה ההבדל בין SPF ל-DKIM?

SPF מגדיר אילו שרתים רשאים לשלוח מייל בשם הדומיין שלכם. DKIM מוסיף חתימה דיגיטלית לכל מייל שיוצא — כך שאם מישהו מזייף, החתימה לא תתאים ולא יוכלו לזייף.

איך בודקים אם DMARC מוגדר נכון?

כנסו ל-MXToolbox.com ובדקו DMARC Lookup עבור הדומיין שלכם. צריך לראות רשומת TXT שמתחילה ב-v=DMARC1. בדקו גם SPF וDKIM באותו כלי.

DMARC אימות דוא"ל מדריך טכני 1 במרץ 2026 זמן קריאה: 9 דקות

DMARC, SPF, DKIM — המדריך המלא להגדרה נכונה 2026

כל יום נשלחים מיליארדי מיילים מזויפים שמתחזים לחברות לגיטימיות. DMARC, SPF ו-DKIM הן שלוש רשומות DNS שיחד מגינות על הדומיין שלכם מפני זיוף — ומונעות מתוקפים לשלוח מיילים בשם החברה שלכם. 94% מארגוני Fortune 500 הגדירו DMARC. כמה מהארגונים הישראלים עשו זאת?

תשובה קצרה: SPF מגדיר מי מורשה לשלוח מייל בשם הדומיין. DKIM חותם כל מייל דיגיטלית. DMARC אומר לשרת המקבל מה לעשות עם מיילים שלא עוברים SPF/DKIM — להתעלם, להכניס לספאם, או לחסום לחלוטין.

SPF

רשומת TXT שמגדירה אילו שרתי IP מורשים לשלוח מייל מהדומיין שלכם.

DKIM

חתימה דיגיטלית על כל מייל יוצא — אם זויף, החתימה לא תתאים.

DMARC

מדיניות שמגדירה מה לעשות עם מיילים שנכשלים ב-SPF או DKIM.

SPF — Sender Policy Framework

SPF היא רשומת DNS מסוג TXT שמפרטת אילו שרתים רשאים לשלוח מייל בשם הדומיין. כאשר שרת מקבל מייל, הוא בודק אם ה-IP ששלח אותו מופיע ב-SPF של הדומיין.

דוגמה לרשומת SPF של ארגון שמשתמש ב-Microsoft 365:

v=spf1 include:spf.protection.outlook.com -all

v=spf1 — גרסת הפרוטוקול
include:spf.protection.outlook.com — שרתי Microsoft מורשים
-all — כל שרת אחר — חסום (Fail). השתמשו ב-~all לSoftFail בשלב בדיקה

DKIM — DomainKeys Identified Mail

DKIM מוסיף חתימה קריפטוגרפית לכל מייל יוצא. הרשומה הציבורית נמצאת ב-DNS שלכם; המפתח הפרטי נמצא בשרת השליחה. כאשר שרת מקבל מייל, הוא בודק את החתימה מול המפתח הציבורי.

דוגמה לרשומת DKIM ב-DNS:

selector._domainkey.example.com  IN  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEB..."

DMARC — Domain-based Message Authentication

DMARC מחבר בין SPF ו-DKIM ומוסיף מדיניות ודיווח. שלוש רמות מדיניות:

p=none — מצב ניטור בלבד. שום דבר לא נחסם, אבל מקבלים דוחות.
p=quarantine — מיילים חשודים נשלחים לספאם
p=reject — מיילים חשודים נחסמים לחלוטין ✅ (המטרה)

דוגמה לרשומת DMARC מלאה:

_dmarc.example.com  IN  TXT  "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@example.com; ruf=mailto:dmarc@example.com; adkim=s; aspf=s"

כיצד מגדירים — שלב אחרי שלב

הגדירו SPF — הוסיפו רשומת TXT ל-DNS. אם משתמשים ב-Microsoft 365: v=spf1 include:spf.protection.outlook.com -all
הפעילו DKIM — בממשק Microsoft 365 Admin → Security → Email Authentication → DKIM. הפעילו עבור כל דומיין.
התחילו DMARC עם p=none — v=DMARC1; p=none; rua=mailto:yourmail@domain.com — ניטור שבועיים ראשונים
נתחו את הדוחות — כלים: MXToolbox, DMARC Analyzer, Google Postmaster Tools
עברו ל-p=quarantine — לאחר שאתם בטוחים שכל מיילים לגיטימיים עוברים
עברו ל-p=reject — ההגנה המלאה. זיוף הדומיין שלכם חסום לחלוטין.

כיצד בודקים?

MXToolbox — mxtoolbox.com → בדיקת SPF, DKIM, DMARC
mail-tester.com — שלחו מייל ובדקו ציון
DMARC Analyzer — ניתוח דוחות DMARC
Google Admin Toolbox — toolbox.googleapps.com/apps/checkmx

מהו DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) הוא תקן שמגדיר מה לעשות עם מיילים שלא עוברים SPF או DKIM. עם p=reject, מיילים מזויפים שמתחזים לדומיין שלכם נחסמים לחלוטין.

מה קורה ללא DMARC?

ללא DMARC, כל אחד יכול לשלוח מייל שנראה כאילו הוא בא מהדומיין שלכם — ללקוחות, לעובדים, לשותפים. זה הבסיס למתקפות BEC ופישינג ממוקד.

האם DMARC p=reject יחסום מיילים לגיטימיים?

אם עשיתם זאת בשלבים נכונים (p=none → quarantine → reject) ונתחתם דוחות, הסיכון מינימלי. בעיות נפוצות: שירותי שליחה צד שלישי (newsletter, CRM) שלא הוגדרו ב-SPF.

בדקו את הדומיין שלכם חינם

PhishingU מריצה סריקת DMARC, SPF, DKIM ויותר מ-40 בדיקות נוספות — ומספקת דוח מפורט עם עדיפויות תיקון

לסריקת דומיין חינם ←