הגדרת DMARC

פרוטוקול DMARC קובע לשרתי אימייל מה לעשות עם הודעות שנשלחות מהדומיין שלכם ולא מאושרות על ידי אימות SPF או DKIM. הפעולות האפשריות הן דחייה, העברה להסגר או מסירה. כמו כן, תוכלו לקבל דוחות שיעזרו לכם לזהות בעיות אימות פוטנציאליות ופעילות זדונית בהודעות שנשלחו מהדומיין שלכם. כדי להגדיר את DMARC, מוסיפים רשומת TXT של ה-DNS של DMARC (רשומת DMARC) לדומיין.

רשומת DMARC היא שורת טקסט שמוסיפים לדומיין, לפי ההוראות של הספק של הדומיין. הנה דוגמה לרשומת DMARC:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

כששרתים אחרים מקבלים הודעות אימייל מהדומיין שלכם שלא מאושרות על ידי אימות SPF או DKIM, הם בודקים את רשומת ה-DMARC כדי לקבוע מה לעשות עם ההודעות: לדחות אותן, להעביר אותן להסגר או למסור אותן כרגיל.

הנושאים בדף

לפני שמתחילים

  • כדי להשתמש ב-DMARC, צריך קודם להפעיל את הפרוטוקולים SPF או DKIM בדומיין. אם לא הגדרתם את SPF או DKIM, תוכלו להיעזר בקישור עזרה במניעת זיוף, פישינג וספאם כדי לעשות זאת.
    • אם לא יוגדר SPF ו/או DKIM לפני ההפעלה של DMARC, רוב הסיכוי שיהיו בעיות בשליחה של הודעות מהדומיין שלכם.
    • אחרי שמגדירים את SPF או DKIM, צריך לחכות 48 שעות לפני שמגדירים את DMARC.
  • כדי לבדוק אם כבר מוגדר DMARC בדומיין שלכם, אפשר להשתמש באחד ממגוון הכלים שזמינים באינטרנט. אם הוגדרה רשומת DMARC, צריך לבדוק את דוחות ה-DMARC כדי לוודא ש-DMARC מאמת את ההודעות בצורה יעילה, ושהן נשלחות באופן תקין.
  • כדי להגדיר DMARC, לא צריך לעשות שום דבר במסוף Google Admin. במקום זאת, צריך לפעול לפי ההוראות שבדף הזה כדי להגדיר את רשומת ה-DMARC. אחרי כן, צריך להתחבר למארח הדומיינים שלכם ולהוסיף את רשומת ה-DMARC לפי ההוראות של המארח בנוגע ל-DMARC.

שלב 1: מגדירים קבוצה או תיבת דואר לדוחות

המספר של דוחות DMARC שאתם מקבלים באימייל יכול להשתנות. הוא תלוי במספר האימיילים שנשלחים מהדומיין, ובמספר הדומיינים שאתם שולחים אליהם הודעות. יכול להיות שתקבלו הרבה דוחות מדי יום. ארגונים גדולים עשויים לקבל מאות ואפילו אלפי דוחות ביום. מומלץ ליצור קבוצה או תיבת דואר ייעודית לקבלת דוחות DMARC ולניהול שלהם.

חשוב: בדרך כלל, כתובת האימייל לדוחות נמצאת באותו דומיין שמארח את רשומת DMARC שלכם. אם יש בכתובת האימייל דומיין שונה, אתם צריכים להוסיף רשומת DNS לדומיין השני. פרטים נוספים זמינים בקטע איך שולחים דוחות לכתובת אימייל בדומיין אחר, בדף של דוחות DMARC.

שלב 2: בודקים שהאימייל של צד שלישי מאומת

אם אתם משתמשים בשירותים של צד שלישי כדי לשלוח אימיילים של הארגון, אתם צריכים לוודא שההודעות שנשלחות באמצעות השירות של הצד השלישי מאומתות ועוברות את בדיקות ה-SPF וה-DKIM:

  • צריך ליצור קשר עם ספק הצד השלישי כדי לוודא ש-SPF ו-DKIM מוגדרים באופן תקין.
  • חשוב לוודא שדומיין כתובת השולח של הספק זהה לדומיין שלכם. צריך להוסיף את כתובת ה-IP של שרתי שליחת הדואר של הספק לרשומת ה-SPF בדומיין.
  • צריך לנתב דואר יוצא מהספק דרך Google באמצעות ההגדרה שרת ממסר SMTP.

שלב 3: מגדירים את רשומת ה-DMARC

המדיניות של פרוטוקול DMARC מוגדרת בשורה של ערכי טקסט, שנקראת רשומת DMARC. הרשומה מגדירה:

  • כמה מחמיר הפרוטוקול DMARC בזמן בדיקת הודעות.
  • פעולות מומלצות לשרת המקבל כאשר הוא מקבל הודעות שנכשלות בבדיקות האימות.

דוגמה לרשומת DMARC (צריך להחליף את example.com בשם הדומיין שלכם):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

קודם כל צריך להוסיף את התגים v ו-p. אפשר להוסיף את שאר התגים בכל סדר שרוצים.

כשמתחילים להשתמש ב-DMARC, מומלץ להגדיר את אפשרות המדיניות (p) לאפשרות none. בהמשך, כשתבינו איך הודעות מהדומיין שלכם מאומתות על ידי השרתים המקבלים, תוכלו לעדכן את המדיניות שלכם. עם הזמן, תוכלו לשנות את מדיניות השרתים המקבלים לאפשרות quarantine (או reject). מידע נוסף על תהליך ההשקה המומלץ ל-DMARC

הגדרות וערכים של תגים ברשומת DMARC

תג תיאור וערכים
v

גרסת DMARC(חובה). חייב להיות DMARC1.
p (חובה) מגדיר לשרת הדואר הנכנס מה לעשות עם הודעות שנכשלות באימות.
  • none–לא לעשות דבר עם ההודעות, ולמסור אותן לנמענים המיועדים. לתעד את ההודעות בדוח יומי. הדוח נשלח לכתובת האימייל שמצוינת באפשרות rua שברשומה.
  • quarantine—לסמן את ההודעות כספאם ולהעביר אותן לתיקיות הספאם של הנמענים. הנמענים יכולים לבדוק הודעות ספאם כדי לזהות הודעות לגיטימיות.
  • reject—לדחות את ההודעה. באפשרות הזו, בדרך כלל השרת המקבל שולח הודעה חוזרת לשרת השולח.

הערה בנושא BIMI: אם הדומיין משתמש ב-BIMI, עליכם להגדיר את האפשרות p של DMARC כ-quarantine או כ-reject.‏ ‫BIMI לא תומך במדיניות DMARC כשהאפשרות p מוגדרת לערך none.
pct

התג pct הוא אופציונלי, אבל Google ממליצה לכלול אותו ברשומת DMARC בזמן השקת DMARC כדי שתוכלו לנהל את אחוז האימיילים שעליו חלה מדיניות DMARC.

מגדיר את אחוז ההודעות הלא מאומתות שכפופות למדיניות DMARC. כשפורסים בהדרגה את DMARC, ייתכן שתרצו בהתחלה להגדיר אחוז קטן מההודעות. ככל שיותר הודעות מהדומיין יעברו אימות אצל שרתים מקבלים, כך תוכלו לעדכן את הרשומה באחוז גבוה יותר, עד שתגיעו ל-100 אחוז.

הערך חייב להיות מספר שלם בין 1 ל-100. אם לא משתמשים באפשרות הזו ברשומה, מדיניות DMARC חלה על 100% מההודעות שנשלחות מהדומיין.

הערה בנושא BIMI: אם הדומיין משתמש ב-BIMI, הערך של התג pct במדיניות DMARC חייב להיות 100. ‫BIMI לא תומך במדיניות DMARC כשהערך של pct נמוך מ-100.
rua

התג rua הוא אופציונלי, אבל Google ממליצה תמיד לכלול אותו ברשומת DMARC.

שליחת דוחות DMARC לכתובת אימייל. כתובת האימייל חייבת לכלול mailto:‎.
לדוגמה: mailto:dmarc-reports@example.com (צריך להחליף את example.com בדומיין שלכם).

  • כדי לשלוח דוחות DMARC לכמה כתובות אימייל, צריך להפריד בין כתובות האימייל באמצעות פסיק ולהוסיף את הקידומת mailto:‎ לפני כל כתובת. לדוגמה: mailto:dmarc-reports@example.com, ‏ mailto:dmarc-admin@example.com (צריך להחליף את example.com בדומיין שלכם).
  • האפשרות הזו עלולה להוביל לנפח גדול של הודעות אימייל עם הדוח. לא מומלץ להשתמש בכתובת האימייל שלכם. במקום זאת, מומלץ להשתמש בתיבת דואר ייעודית, בקבוצה או בשירות של צד שלישי שמתמחה בדוחות DMARC.
  • כדי לשלוח דוחות DMARC לכתובת אימייל בדומיין אחר מזה שמארח את רשומת DMARC שלכם, הוסיפו רשומת TXT ל-DNS של דומיין האימייל. פרטים נוספים זמינים בקטע איך שולחים דוחות לכתובת אימייל בדומיין אחר, בדף של דוחות DMARC.
ruf

(לא נתמך) Gmail לא תומך בתג ruf, שמשמש לשליחת דוחות כשל. דוחות כשל נקראים גם 'דוחות זיהוי כשלים'.
sp (אופציונלי) מגדיר את המדיניות של הודעות מתת-דומיינים של הדומיין הראשי. משתמשים באפשרות הזו כשרוצים להשתמש במדיניות DMARC שונה לתת-הדומיינים.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantineסימון ההודעות כספאם ושליחתן לתיקיות הספאם של הנמענים. הנמענים יכולים לבדוק הודעות ספאם כדי לזהות הודעות לגיטימיות.
  • rejectדחיית ההודעה. באפשרות הזו, השרת המקבל אמור לשלוח הודעה חוזרת לשרת השולח.

אם לא משתמשים באפשרות הזו ברשומה, תת-דומיינים יורשים את המדיניות של DMARC שמוגדרת לדומיין ההורה.
adkim (אופציונלי) מגדיר את מדיניות ההתאמה ל-DKIM, שקובעת עד כמה פרטי ההודעות חייבים להיות זהים לחתימות DKIM. בהמשך הדף מוסבר איך ההתאמה פועלת.
  • sהתאמה מחמירה. שם הדומיין של השולח חייב להיות זהה ל-‎d=domainname שמופיע בכותרות ההודעות של DKIM.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (אופציונלי) מגדיר את מדיניות ההתאמה ל-SPF, שקובעת עד כמה פרטי ההודעות חייבים להיות זהים לחתימות SPF. בהמשך הדף מוסבר איך ההתאמה פועלת.
  • sהתאמה מחמירה. הכותרת 'מאת:' בהודעה חייבת להיות זהה לשם הדומיין בפקודה SMTP MAIL FROM.
  • rהתאמה לא מחמירה (ברירת המחדל). כל התאמה חלקית מתקבלת. ניתן להזין כל תת-דומיין חוקי של שם הדומיין.

התאמה ל-DMARC

‫DMARC מעביר או מכשיל את אימות ההודעה על סמך מידת ההתאמה בין הדומיין בכותרת מאת: לדומיין השולח שהוגדר באמצעות SPF או DKIM. הפעולה הזו נקראת התאמה.

אתם יכולים לבחור מבין שני מצבים: התאמה מחמירה או התאמה מקלה. אפשר להגדיר את מצב ההתאמה של SPF ו-DKIM ברשומת ה-DMARC באמצעות תגי רשומת ה-DMARC:‏ aspf ו-adkim.

שיטת אימות התאמה מחמירה התאמה מקלה
SPF התאמה מדויקת בין הדומיין ב"כתובת השולח" (נקראת גם "הכתובת להחזרה" או הכתובת להודעות על שליחה שנכשלה) לבין כתובת הכותרת מאת:. הדומיין בכתובת הכותרת מאת: חייב להיות זהה לדומיין ב"כתובת השולח" (נקראת גם "הכתובת להחזרה" או הכתובת להודעות על שליחה שנכשלה) או להיות תת-דומיין של הדומיין הזה.
DKIM צריכה להיות התאמה מדויקת בין דומיין ה-DKIM הרלוונטי לבין הדומיין שבכתובת הכותרת מאת:. הדומיין בכתובת הכותרת מאת: חייב להיות זהה לדומיין שהוגדר בתג החתימה של DKIM ‏=d או להיות תת-דומיין של הדומיין הזה.

במקרים מסוימים, ההמלצה של Google היא לשנות את ההגדרה להתאמה מחמירה כדי להגדיל את ההגנה מפני זיוף:

  • דואר נשלח בשם הדומיין שלכם מתת-דומיין שאינו בשליטה שלכם.
  • יש לכם תתי-דומיינים שמנוהלים על ידי ישות אחרת.
חשוב לדעת: התאמה מקלה מעניקה בדרך כלל הגנה מספקת מפני זיוף. התאמה מחמירה עלולה לגרום לכך שהודעות מתת-דומיינים שכן משויכים אליכם יידחו או יישלחו לספאם.

כדי לעבור את בדיקת DMARC, ההודעה חייבת לעבור לפחות את אחת מהבדיקות הבאות:

  • אימות SPF והתאמה ל-SPF
  • אימות DKIM והתאמה ל-DKIM

הודעה נכשלת בבדיקת DMARC אם היא נכשלת בשני האימותים הבאים:

  • SPF (או התאמה ל-SPF)
  • DKIM (או התאמה ל-DKIM)

שלב 4: מוסיפים את רשומת ה-DMARC לדומיין

חשוב: בשלב הזה צריך לעיין בחלק שמתייחס ל-DMARC במסמכי העזרה של מארח הדומיין שלכם. השלבים להוספה של רשומות DMARC משתנים בהתאם למארח הדומייניים.

הוספה או עדכון של רשומה

חשוב: צריך לוודא שהגדרתם את DKIM ו-SPF לפני הגדרת DMARC. DKIM ו-SPF צריכים לאמת הודעות למשך 48 שעות לפחות לפני שמפעילים את DMARC.

  1. מכינים את שורת הטקסט או את קובץ הטקסט לרשומת ה-DMARC.
  2. נכנסים לחשבון במארח הדומיין, בדרך כלל המקום שבו רכשתם את שם הדומיין. לא בטוחים מי המארח של הדומיין שלכם? כך בודקים מי רשם הדומיין.
  3. עוברים לדף שבו מעדכנים את רשומות ה-TXT של DNS בדומיין. לקבלת עזרה במציאת הדף, כדאי לבדוק במסמכים של הדומיין.

  4. מוסיפים או מעדכנים את רשומת ה-TXT עם המידע הזה (אפשר לעיין במסמכים של הדומיין):

    שם השדה ערך להזנה
    סוג סוג הרשומה הוא TXT.
    מארח (שם, שם המארח, כתובת אימייל חלופית) הערך צריך להיות ‎_dmarc.example.com (צריך להחליף את example.com בשם של הדומיין שלכם).
    ערך המחרוזת שהיא למעשה רשומת ה-TXT. לדוגמה: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s פרטים נוספים זמינים בקטע בנושא הגדרת רשומת DMARC (למעלה בדף הזה).

    הערה: חלק ממארחי הדומיינים מוסיפים את שם הדומיין באופן אוטומטי. אחרי שמוסיפים או מעדכנים את רשומת ה-TXT, צריך לאמת את שם הדומיין ברשומת ה-DMARC כדי לוודא שהיא בפורמט הנכון.

  5. שומרים את השינויים.
  6. אם אתם מגדירים DMARC ליותר מדומיין אחד, צריך לבצע את השלבים האלה לכל דומיין. לכל דומיין יכולות להיות מדיניות שונה ואפשרויות דיווח שונות, לפי ההגדרה ברשומה.
  7. כדי לבדוק אם כבר מוגדר DMARC בדומיין שלכם, אפשר להשתמש באחד ממגוון הכלים שזמינים באינטרנט.


‫Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.