איך קיבלתי את האימיילים העסקיים שלי באמצעות מסנני דואר זבל עם SPF, DKIM ו-DMARC

עקוב אחר ZDNET: הוסף אותנו כמקור מועדף בגוגל.

הזנת מפתחות של ZDNET

• ישנן שלוש רשומות DNS המגנות על הדומיין שלך ושומרות על הודעות הדוא"ל שלך מחוץ לאשפה.
• הפעלת שלושתם מעניקה לך כיסוי מלא.
• הם גם מגנים על הדומיין שלך מפני חטיפתו.

אם אתה שולח הרבה מיילים לעבודה וממשיך לקבל שקט רדיו, סביר להניח שהמיילים שלך יגמרו בתיקיית הספאם של מישהו.

ישנן כמה סיבות שזה יכול לקרות שלא תמיד קשורות לתוכן האימיילים שלך. לרוב, ייתכן שהדומיין שלך לא מאומת, מה שנותן לשרתי הדואר המקבלים את כל הסיבה שהם צריכים לתיק בשקט את ההודעות שלך בתיקיית הספאם.

גַם: כיצד דוא"ל צורב יכול להגן על תיבת הדואר הנכנס שלך – הגדרת אחד היא קלה וחינמית

ראיתי את זה תופס אנשים לא מוכנים לעתים קרובות יותר ממה שהיית מצפה, כולל צוותים עם תוכן דוא"ל טוב באמת. למרבה המזל, יש תיקון קל הכולל שלוש רשומות DNS בשם SPF, DKIM ו-DMARC. יחד, הם מוכיחים לאינטרנט שהאימיילים שלך לגיטימיים. הם גם מגנים על הדומיין שלך מפני חטיפתו על ידי פושעי סייבר כדי שיוכלו להתחזות אליך במיילים.

Gmail ו-Yahoo החלו לאכוף את דרישות האימות הללו עבור שולחים בכמות גדולה בפברואר 2024. בעקבות זאת, מיקרוסופט הוסיפה את אותן דרישות עבור Outlook.com, Hotmail ו-Live.com במאי 2025. אם עדיין לא הגדרת אותן, הן כבר לא אופציונליות.

מה ש-SPF, DKIM ו-DMARC עושים בפועל

כל אחד משלושת הפרוטוקולים מתייחס לנקודת תורפה שונה באימות דוא"ל. SPF מאמת שהשרת ששולח את האימייל שלך מורשה לעשות זאת. DKIM מוסיף חתימה קריפטוגרפית להודעות היוצאות שלך, ומאשר שהן לא שונו במהלך ההעברה.

DMARC מקשר בין השניים על ידי פרסום מדיניות שאומרת לשרתים המקבלים מה לעשות כאשר אחד מהבדיקות נכשל, ומנתב לך דוחות אימות.

אתה באמת צריך את שלושתם. SPF לבדו לא יכול למנוע ממישהו לזייף את כתובת "מאת" שהנמען שלך רואה בתיבת הדואר הנכנס שלו. DKIM לבדו לא יתפוס אימייל שנשלח משרת לא מורשה. רק כאשר אתה מפעיל את שלושתם אתה מקבל כיסוי מלא הן נגד בעיות מסירה והן זיוף דומיינים.

1. SPF: אשר את השרתים ששולחים בשמך

SPF (מסגרת מדיניות שולח) היא רשומת DNS TXT שמפרטת כל כתובת IP ושרת דואר המורשים לשלוח דואר אלקטרוני בשם הדומיין שלך. כאשר שרת הדואר של נמען מקבל הודעה הטוענת שהיא ממך, הוא בודק את הרשומה הזו מול ה-IP של השרת השולח. אם ה-IP אינו ברשימה, ההודעה נכשלת.

גַם: הנה הטריק האהוב עליי באימייל לניקוי העומס בתיבת הדואר הנכנס – באופן אוטומטי

הגדרתו פירושה כניסה לרשם הדומיינים שלך (GoDaddy, Cloudflare, Namecheap וכו') והוספת רשומת TXT בשורש הדומיין שלך. הנה איך זה עובד:

1. ראשית קבל את ערך ה-SPF שלך משירות הדוא"ל שלך. Google Workspace, Microsoft 365 ורוב הפלטפורמות מספקות את ערך הרשומה המדויק שאתה צריך כדי להעתיק-הדבק בדף אימות הדומיין שלהם. עבור Google Workspace, זה הולך כך: v=spf1 include:_spf.google.com ~all.

2. אם אתה שולח אימיילים דרך שירותים מרובים, עליך לערום אותם באותה רשומה, למשל v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all.

3. היכנס לפלטפורמה שבה אתה מנהל את רשומות ה-DNS של הדומיין שלך. זה יכול להיות GoDaddy, Cloudflare, Namecheap, Route 53 וכו'. צור רשומת TXT חדשה בדף ה-DNS שלך, הגדר את המארח ל-@ (דומיין השורש שלך), והדבק את ערך ה-SPF מהשלב הקודם.

זה קל כמו זה! שים לב שלדומיין שלך יכול להיות רק רשומת SPF TXT אחת, עם לא יותר מ-10 חיפושי DNS. יצירת רשומת SPF שנייה במקום עריכת הרשומה הראשונה תשבור את שניהם. אז שמור על רשימת השולחים המורשים שלך רזה.

2. DKIM: הוסף חתימה חסינת חבלה לכל אימייל

DKIM (DomainKeys Identified Mail) משתמש בקריפטוגרפיה של מפתח ציבורי כדי לחתום על ההודעות היוצאות שלך. שרת הדואר שלך מצרף חתימה באמצעות מפתח פרטי שהוא מחזיק, כך שהנמענים יכולים לאמת אותה מול מפתח ציבורי תואם שפרסמת ב-DNS שלך. אם האימייל השתנה בשלב כלשהו בין השרת שלך לתיבת הדואר הנכנס של הנמען, בדיקת החתימה הזו נכשלת.

גַם: טריק האימייל הפשוט הזה מציל אותי מספאם שיווקי מעצבן (וזה בחינם)

Google Workspace, Microsoft 365 ורוב פלטפורמות הדוא"ל הגדולות כמו SendGrid ייצרו עבורך צמד מפתחות DKIM. התפקיד שלך הוא להעתיק את המפתח הציבורי שהם מספקים ולהדביק אותו בהגדרות ה-DNS של הדומיין שלך בתור רשומת TXT חדשה.

בעוד שלבי ההגדרה המדויקים תלויים בספק הדוא"ל וברשם הדומיינים שלך, הנה סקירה כללית של מה שאתה צריך לעשות.

1. Google Workspace, Microsoft 365, SendGrid, Mailchimp וספקי שירותי דוא"ל אחרים יפיקו עבורך רשומת DKIM אם תנווט לדף הגדרות אימות הדומיין שלהם. לדוגמה, אם אתה משתמש ב-Google Workspace, זה ממוקם באפליקציות > Google Workspace > Gmail במסוף הניהול של Google. לחץ כדי ליצור רשומה חדשה והעתק תחילה ערכים אלה.

2. לאחר מכן, נווט אל דף הגדרות ה-DNS של רשם הדומיינים שלך וצור רשומת TXT חדשה כפי שעשית בעת הגדרת SPIF מוקדם יותר. שים לב שספקים מסוימים עשויים לדרוש ממך להוסיף זאת כרשומה CNAME במקום רשומת TXT, אז עיין בתיעוד של ספק הדוא"ל שלך.

3. הדבק את שם המארח וערך הרשומה שקיבלת מספק הדואר האלקטרוני שלך ברשומת ה-DNS החדשה. ודא שאין שגיאות הקלדה כי זה יכול להשפיע על אבטחת הדומיין.

4. כעת, חזור להגדרות האימות של ספק הדוא"ל שלך. זה המקום שבו אתה מאפשר חתימת DKIM עבור הדומיין שלך. ב-Google Workspace, זה נעשה על ידי ביקור מחדש בדף "אימות דוא"ל" במסוף הניהול ולחיצה על "התחל אימות". זכור שעליך לעשות זאת לאחר 24-48 שעות מכיוון שלוקח לרשומות DNS זמן מה להתפשט בדומיין שלך.

DKIM שימושי במיוחד עבור הודעות שהועברו. העברה לעתים קרובות שובר את SPF מכיוון שכתובת ה-IP משתנה, אך חתימת DKIM בדרך כלל שורדת ללא פגע. זה אומר שדוא"ל מועבר עדיין יכול לעבור אימות כאשר SPF לבדו היה נכשל.

3. DMARC: הגדר את הכללים למה שקורה כאשר האימות נכשל

DMARC (אימות הודעות מבוסס דומיין, דיווח והתאמה) היא שכבת המדיניות שהופכת את SPF ו-DKIM לניתנים לאכיפה. בלעדיו, לשרת מקבל שמזהה בדיקה שנכשלה אין הוראות מה לעשות הלאה, ואין לך ראות לגבי מה נכשל או למה. הנה איך להפעיל אותו:

1. התחל ביצירת תיבת דואר נכנס ייעודית עבור דוחות DMARC תחילה, כמו reports@yourdomain.com.

2. רוב ספקי הדוא"ל מציעים מחולל DMARC בלוח המחוונים שלהם, אבל אתה יכול גם להשתמש בשירות של צד שלישי כמו MXToolbox או DMARCLY.

3. הוסף רשומת TXT חדשה. שם המארח צריך להיות _dmarc. הדבק את ערך הרשומה ישירות ממחולל ה-DMARC שלך.

4. עקוב אחר דיווחי כשל בתיבת הדואר הנכנס הייעודית שלך למשך 2-4 שבועות. זה יחשוף את כל הבעיות בתיבת הדואר שיש לטפל בהן כדי לספק מסירה טובה יותר.

גַם: בדקתי את בודק ההונאה החינמי של NordVPN עם מיילים דיוג אמיתיים – כך זה הסתדר

כמו השניים האחרים, DMARC היא רשומת TXT, שנוספה הפעם ל-_dmarc.yourdomain.com. רשומת התחלה פשוטה נראית כך: v=DMARC1; p=none; rua=mailto:reports@yourdomain.com. ההגדרה p=none פירושה שהשרתים המקבלים לא ינקטו שום פעולה על הודעות כושלות, אלא ישלחו לך דוחות מצטברים בכתובת שתציין. דוחות אלה מראים אילו שירותים שולחים בשמך והאם הם עוברים אימות.

לאחר שבדקת כמה שבועות של דוחות ואישרת שהדואר הלגיטימי שלך עובר בצורה נקייה, תוכל להחמיר את המדיניות. עבור ל-p=בידוד כדי לנתב הודעות כושלות לספאם, ואז בסופו של דבר ל-p=דחה כדי לחסום אותן לחלוטין.

קפיצה ישר ל-p=reject לפני בדיקת הדוחות שלך היא כנראה טעות היישום הנפוצה ביותר שאני רואה, ובסופו של דבר היא חוסמת את המיילים השיווקיים או העסקאות שלך.

למה אתה לא יכול פשוט לבחור אחד

לכל פרוטוקול יש פער שהאחרים ממלאים. SPF בודק את השרת השולח אך לא את כתובת ה-"מאת" שהנמענים רואים בפועל, כך שתוקף יכול להעביר SPF תוך שהוא מתחזה לדומיין שלך. DKIM מאמת את שלמות ההודעה אך לא בודקת אם תחום החתימה תואם לשולח הגלוי.

DMARC אוכף התאמה בין כל המרכיבים הללו ומחיל את המדיניות שבחרת כאשר משהו אינו מותאם.

האספקה ​​המשולבת ניתנת למדידה. על פי דוח השוואת הדוא"ל לשנת 2025 של Validity, דומיינים מאומתים כהלכה רואים שיעורי מיקום בתיבת הדואר הנכנס גבוהים בכ-60 נקודות אחוז מאשר דומיינים לא מאומתים. עבור כל מי שמנהל קמפיינים קרים או ניוזלטרים בכמות גדולה, הפער הזה הוא ההבדל בין מסע פרסום שמייצר תוצאות לכזה שנעלם לחלוטין.

כיצד לוודא שהרשומות שלך פועלות

שינויי DNS בדרך כלל נמשכים בין 15 דקות ל-48 שעות כדי להפיץ ברחבי העולם. לאחר שהחלון הזה יעבור, כלים חינמיים יכולים לומר לך מיד אם הכל מוגדר כהלכה. ל-MX Toolbox יש בודקים נפרדים עבור SPF, DKIM ו-DMARC. אתה יכול גם לשלוח דוא"ל בדיקה לכתובת check@dmarcly.com, אשר משיב עם דוח אימות מלא עבור הדומיין שלך.

גַם: שירותי אירוח הדוא"ל הטובים ביותר 2026: מומחה נבדק ונבדק

הדוחות המצטברים של DMARC הם האות המתמשך החשוב ביותר. תוך יום או יומיים מפרסום רשומת ה-DMARC שלך, דוחות יתחילו להגיע לכתובת שציינת. הם מראים לכל שרת ששולח אימייל תחת הדומיין שלך והאם כל אחד מהם עובר או נכשל באימות. קריאה בהם באופן קבוע היא הדרך הטובה ביותר לתפוס הגדרות שגויות מוקדם, לפני שהן ישפיעו על יכולת המסירה שלך או יאפשרו ניצול לרעה של הדומיין שלך במסעות פרסום דיוג.