יש עסקים שמאמינים שאבטחת דוא״ל זה אנטי ספאם ועוד הדרכת עובדים פעם בשנה. זו אשליה מסוכנת. כל עוד הדומיין שלכם לא מוגן, תוקף יכול לשלוח הודעה שנראית כאילו יצאה מכם, מהנהלת החשבונות או מהמנכ״ל. ואז מתחיל הכסף לזוז. לא צריך כופרה ולא צריך לפרוץ שרת. צריך רק אמון.
ב 2026 זה כבר לא עניין של אבטחה בלבד אלא גם של מסירה. אם אתם שולחים הצעות מחיר, חשבוניות, דיוורים או הודעות שירות, אימות דוא״ל הוא ההבדל בין אינבוקס לספאם, ובין מותג שמקבל אמון למותג שמתחזה אליו.
מה זה DMARC ולמה זה משנה
DMARC מחבר בין SPF ו DKIM, מכריח התאמה בין הדומיין בשדה From לבין דומיין שעבר אימות, ומאפשר לכם להגדיר למדינות הקבלה מה לעשות עם הודעות שלא עומדות בכללים. הוא גם נותן דוחות שמראים מי שולח בשמכם. התקן הרשמי מופיע ב RFC 7489.
SPF DKIM DMARC בשפה של בעלי עסקים
- SPF אומר מי רשאי לשלוח דוא״ל בשם הדומיין שלכם ברמת השרתים והכתובות.
- DKIM מוסיף חתימה קריפטוגרפית שמוכיחה שההודעה לא שונתה בדרך ושמקור השליחה מאושר.
- DMARC מחבר את הכול למדיניות אחת שמסתכלת על שדה From, המקום שבו משתמשים נותנים אמון.
SMTP נולד בלי אימות זהות. לכן בלי שלושת השכבות יחד אתם נשארים עם חורים. ההסבר של מיקרוסופט על אימות דוא״ל עושה סדר וגם מדגים למה פחות מכל השלושה זה הגנה חלקית.
למה זה דחוף עכשיו
גוגל מפרטת דרישות אימות לשולחים ומדגישה ששולחים בהיקפים גבוהים צריכים SPF וגם DKIM וגם DMARC. בנוסף, Outlook.com Postmaster מצהיר שממאי 2025 נאכפים סטנדרטים מחמירים לדומיינים ששולחים מעל 5000 הודעות ביום.
המשמעות פשוטה: גם המסירה שלכם נפגעת וגם הסיכוי להונאת תשלום עולה. זו אותה תיבת דוא״ל.
תוכנית פעולה להטמעת DMARC בלי לשבור את העסק
- מיפוי מקורות שליחהרשימה של כל מה ששולח דוא״ל בשם הדומיין: Microsoft 365 או Google Workspace, מערכת דיוורים, CRM, הנהלת חשבונות, מערכת תמיכה, שירותי חתימה, סורקים ומדפסות. אם לא ממפים הכול, אתם תשברו מיילים לגיטימיים או שתשאירו פרצה.
- SPF נקי אחד בלבדרשומת TXT אחת שמכילה את כל מקורות השליחה המורשים. בלי כפילויות ובלי רשומות מקבילות.
- DKIM לכל מקור שולחכל שירות ששולח בשם הדומיין צריך לחתום DKIM, או לעבוד מתת דומיין ייעודי שאתם שולטים בו.
- DMARC מתחילים בניטור ואז אוכפיםמתחילים ב p=none ומפעילים כתובת דוחות, מתקנים כשלים, ואז עוברים להסגר ולבסוף לדחייה מלאה. מי שנשאר בניטור בלבד מקבל מודיעין אבל לא מקבל הגנה.
הטעויות הנפוצות שמפילית פרויקט DMARC
- יותר מרשומת SPF אחת, או רשומה שנבנתה טלאי על טלאי עד שאף אחד כבר לא מבין מה מותר ומה אסור.
- שירותי צד שלישי ששולחים בשמכם בלי DKIM, כמו מערכות דיוור, CRM או מערכת תמיכה.
- קפיצה מהירה מדי ל p=reject בלי תקופת ניטור, ואז פתאום חשבוניות אמיתיות נעלמות אצל לקוחות.
- שכחת תת דומיינים. הרבה ארגונים מגנים על הדומיין הראשי ומשאירים marketing או billing פתוחים.
- אין בעלים לתהליך. בלי מישהו שקורא את הדוחות ומתקן כשלים, אתם נשארים עם תחושת ביטחון שקרית.
איך קוראים דוחות DMARC בצורה חכמה
השאלה העסקית פשוטה: מי שולח בשמי. בדוחות מחפשים מקורות שליחה לא מוכרים, שיעורי כשל גבוהים של DKIM או SPF, וניסיונות להשתמש במותג שלכם בכמויות. מקור לא מוכר הוא אירוע אבטחה, לא עוד משימה למחלקת IT.
מה DMARC לא יפתור לבדו
- דומיינים דומים שנראים כמעט זהים לדומיין שלכם.
- פריצה לחשבון אמיתי ושליחה מתוך תיבה לגיטימית.
כך סוגרים את הפער עם מעטפת אמיתית של 010
- סינון דוא״ל מתקדם שמזהה התחזות, דומיינים מטעים וקבצים מסוכנים, וגם מאפשר דיווח והסרה רוחבית מתוך התיבות.
- מודיעין סייבר שמאתר חשיפות זהות והדלפות בדארק ווב כדי לעצור שימוש לרעה בהרשאות.
- SIEM SOC מנוהל שמתריע בזמן אמת על התחברויות חריגות, כללי תיבה והעברות החוצה, ושינויים בהרשאות.
צ׳ק ליסט של 20 דקות לבדיקה ראשונית
- האם קיימת רשומת DMARC והאם היא עדיין ב p=none בלי תאריך יעד לאכיפה.
- האם קיימת רק רשומת SPF אחת והאם היא כוללת את כל הספקים ששולחים בשמכם.
- האם DKIM פעיל גם בתיבת הדוא״ל וגם בכל מערכת דיוור או שירות צד שלישי.
רוצים להעמיק
להשלמת התמונה, קראו את המאמר על BEC, את הפישינג החדש של 2026, ואת בדקו עכשיו: האם זהויות העובדים שלכם כבר למכירה.
השורה התחתונה
DMARC הוא לא פרויקט של אנשי IT שאוהבים רשומות DNS. הוא מנגנון עסקי שמגן על המותג שלכם, על הכסף שלכם ועל הלקוחות שלכם. רוצים שנבדוק לכם את מצב האימות בדומיין ונבנה תוכנית אכיפה מסודרת שמתאימה לתשתיות שלכם? דברו איתנו ב 010.
