הגדרת DMARC

פרוטוקול DMARC מאפשר לכם להגדיר לשרתי אימייל מה לעשות עם הודעות שלא עוברות את בדיקות האימות של SPF או DKIM, לדוגמה, לדחות את ההודעה, להכניס אותה להסגר או לתת לה לעבור ליעד. בנוסף, תוכלו לקבל דוחות שיעזרו לכם לזהות בעיות אימות פוטנציאליות ופעילות זדונית בהודעות שנשלחו מהדומיין שלכם. אפשר להגדיר פרוטוקול DMARC על ידי הוספה של רשומת TXT של ה-DNS של DMARC (רשומת DMARC) בדומיין.

רשומת DMARC היא שורת טקסט שמוסיפים לדומיין, לפי ההוראות של הספק של הדומיין. שורת הטקסט נכתבת בתחביר מיוחד, והיא כוללת רשימה של כל השרתים בדומיין שלכם ששולחים אימיילים. הנה דוגמה לרשומת DMARC:

‫v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

DMARC helps protect users from forged email messages,
and lets you manage messages that don't pass SPF or DKIM.

לפני שמתחילים

כדי להשתמש ב-DMARC, צריך קודם להפעיל את הפרוטוקולים SPF או DKIM בדומיין. אם לא הגדרתם את SPF או DKIM, תוכלו להיעזר בקישור עזרה במניעת זיוף, פישינג וספאם כדי לעשות זאת.
- אם לא יוגדר SPF ו/או DKIM לפני ההפעלה של DMARC, רוב הסיכוי שיהיו בעיות בשליחה של הודעות מהדומיין שלכם.
- לאחר שהגדרתם את SPF או DKIM, צריך לחכות 48 שעות לפני שמגדירים את DMARC.
כדי לבדוק אם DMARC כבר מוגדר בדומיין שלכם, אפשר להשתמש באחד ממגוון הכלים שזמינים באינטרנט. אם הוגדרה רשומת DMARC, צריך לבדוק את דוחות ה-DMARC כדי לוודא ש-DMARC מאמת את ההודעות בצורה יעילה, ושהן נשלחות באופן תקין.
כדי להגדיר DMARC, לא צריך לעשות שום דבר במסוף Google Admin. כל מה שצריך זה לפעול לפי ההוראות שבדף הזה. אחרי זה, צריך להתחבר למארח הדומיינים שלכם ולהוסיף את רשומת ה-DMARC לפי ההוראות של המארח בנוגע ל-DMARC.

שלב 1: מגדירים קבוצה או תיבת דואר לדוחות

המספר של דוחות DMARC שאתם מקבלים באימייל יכול להשתנות. הוא תלוי במספר האימיילים שנשלחים מהדומיין, ובמספר הדומיינים שאתם שולחים אליהם הודעות. יכול להיות שתקבלו הרבה דוחות מדי יום. ארגונים גדולים עשויים לקבל מאות ואפילו אלפי דוחות ביום. מומלץ ליצור קבוצה או תיבת דואר ייעודית לקבלת דוחות DMARC ולניהול שלהם.

חשוב: בדרך כלל, כתובת האימייל לדוחות נמצאת באותו דומיין שמארח את רשומת DMARC שלכם. אם יש בכתובת האימייל דומיין שונה, אתם צריכים להוסיף רשומת DNS לדומיין השני. פרטים נוספים זמינים בקטע איך שולחים דוחות לכתובת אימייל בדומיין אחר, בדף של דוחות DMARC.

שלב 2: בודקים שהאימייל של צד שלישי מאומת

אם אתם משתמשים בשירותים של צד שלישי כדי לשלוח אימיילים של הארגון, אתם צריכים לוודא שההודעות שנשלחות באמצעות השירות של הצד השלישי מאומתות ועוברות את בדיקות ה-SPF וה-DKIM.

צריך ליצור קשר עם ספק הצד השלישי כדי לוודא ש-SPF ו-DKIM מוגדרים באופן תקין.
חשוב לוודא שדומיין כתובת השולח של הספק זהה לדומיין שלכם. צריך להוסיף את כתובת ה-IP של שרתי שליחת הדואר של הספק לרשומת ה-SPF בדומיין.
צריך לנתב דואר יוצא מהספק דרך Google באמצעות ההגדרה שרת ממסר SMTP.

שלב 3: מגדירים את רשומת ה-DMARC

המדיניות של פרוטוקול DMARC מוגדרת בשורה של ערכי טקסט, שנקראת רשומת DMARC. הרשומה מגדירה:

כמה מחמיר הפרוטוקול DMARC בזמן בדיקת הודעות.
פעולות מומלצות לשרת המקבל כאשר הוא מקבל הודעות שנכשלות בבדיקות האימות.

דוגמה לרשומת DMARC (צריך להחליף את example.com בשם הדומיין שלכם):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

קודם כל צריך להוסיף את התגים v ו-p, ואז את שאר התגים בכל סדר שתרצו.

כשמתחילים להשתמש ב-DMARC, מומלץ להגדיר את אפשרות המדיניות (p) לאפשרות none. בהמשך, כשתבינו איך הודעות מהדומיין שלכם מאומתות על ידי השרתים המקבלים, תוכלו לעדכן את המדיניות שלכם. עם הזמן, תוכלו לשנות את מדיניות השרתים המקבלים לאפשרות quarantine (or reject). מידע נוסף על תהליך ההשקה המומלץ ל-DMARC

הגדרות וערכים של תגים ברשומת DMARC

תג	תיאור וערכים
v	גרסת DMARC (חובה). חייב להיות DMARC1.
p	(חובה) מגדיר לשרת הדואר הנכנס מה לעשות עם הודעות שנכשלות באימות. ‫none–לא לעשות דבר עם ההודעות, ולמסור אותן לנמענים המיועדים. לתעד את ההודעות בדוח יומי. הדוח נשלח לכתובת האימייל שמצוינת באפשרות rua שברשומה. ‫quarantine—לסמן את ההודעות כספאם ולהעביר אותן לתיקיות הספאם של הנמענים. הנמענים יכולים לבדוק הודעות ספאם כדי לזהות הודעות לגיטימיות. ‫reject—לדחות את ההודעות. באפשרות הזו, בדרך כלל השרת המקבל שולח הודעה חוזרת לשרת השולח. הערה בנושא BIMI: אם הדומיין משתמש ב-BIMI, עליכם להגדיר את האפשרות p של DMARC כ-quarantine או כ-reject.‏ BIMI לא תומך במדיניות DMARC כאשר האפשרות p מוגדרת כ-none.
pct	התג pct הוא אופציונלי, אבל Google ממליצה לכלול אותו ברשומת DMARC בזמן השקת DMARC כדי שתוכלו לנהל את אחוז האימיילים שעליו חלה מדיניות DMARC. מגדיר את אחוז ההודעות הלא מאומתות שכפופות למדיניות DMARC. כשפורסים בהדרגה את DMARC, ייתכן שתרצו בהתחלה להגדיר אחוז קטן מההודעות. ככל שיותר הודעות מהדומיין יעברו אימות אצל שרתים מקבלים, כך תוכלו לעדכן את הרשומה באחוז גבוה יותר, עד שתגיעו ל-100 אחוז. האחוז שמוגדר חייב להיות מספר שלם בין 1 ל-100. אם לא משתמשים באפשרות הזו ברשומה, מדיניות DMARC חלה על 100% מההודעות שנשלחות מהדומיין. הערה בנושא BIMI: אם הדומיין משתמש ב-BIMI, הערך של התג pct במדיניות DMARC חייב להיות 100. BIMI לא תומך במדיניות DMARC כאשר הערך של pct נמוך מ-100.
rua	התג rua הוא אופציונלי, אבל Google ממליצה תמיד לכלול אותו ברשימת DMARC. שליחת דוחות DMARC לכתובת אימייל. כתובת האימייל חייבת לכלול mailto:‎, לדוגמה: ‎mailto:dmarc-reports@example.com (החליפו את example.com בדומיין שלכם). כדי לשלוח דוחות DMARC לכמה כתובות אימייל, צריך להפריד בין כתובות האימייל באמצעות פסיק ולהוסיף את הקידומת mailto:‎ לפני כל כתובת. ‎לדוגמה: mailto:dmarc-reports@example.com,‏ mailto:dmarc-admin@example.com‎ (החליפו את example.com בדומיין שלכם). האפשרות הזו עלולה להוביל לנפח גדול של הודעות אימייל עם דוחות. לא מומלץ להשתמש בכתובת האימייל שלכם. במקום זאת, מומלץ להשתמש בתיבת דואר ייעודית, בקבוצה או בשירות של צד שלישי שמתמחה בדוחות DMARC. כדי לשלוח דוחות DMARC לכתובת אימייל בדומיין אחר מזה שמארח את רשומת DMARC שלכם, הוסיפו רשומת TXT ל-DNS של דומיין האימייל. פרטים נוספים זמינים בקטע איך שולחים דוחות לכתובת אימייל בדומיין אחר, בדף של דוחות DMARC.
ruf	(לא נתמך) Gmail לא תומך בתג ruf, שמשמש לשליחת דוחות כשל. דוחות כשל נקראים גם 'דוחות זיהוי כשלים'.
sp	(אופציונלי) מגדיר את המדיניות של הודעות מתת-דומיינים של הדומיין הראשי. משתמשים באפשרות הזו כשרוצים להשתמש במדיניות DMARC שונה לתת-הדומיינים. none—Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy. ‫quarantine—סימון ההודעות כספאם ושליחתן לתיקיות הספאם של הנמענים. הנמענים יכולים לבדוק הודעות ספאם כדי לזהות הודעות לגיטימיות. ‫reject—דחיית ההודעה. באפשרות הזו, השרת המקבל אמור לשלוח הודעה חוזרת לשרת השולח. אם לא משתמשים באפשרות הזו ברשומה, תת-דומיינים יורשים את המדיניות של DMARC שמוגדרת לדומיין ההורה.
adkim	(אופציונלי) מגדיר את מדיניות ההתאמה ל-DKIM, שקובעת עד כמה פרטי ההודעות חייבים להיות זהים לחתימות DKIM. קראו איך ההתאמה פועלת? (בהמשך הדף). ‫s—התאמה מחמירה. שם הדומיין של השולח חייב להיות זהה ל-‎d=domainname שמופיע בכותרות ההודעות של DKIM. r—Relaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf	(אופציונלי) מגדיר את מדיניות ההתאמה ל-SPF, שקובעת עד כמה פרטי ההודעות חייבים זהים לחתימות SPF. קראו איך ההתאמה פועלת? (בהמשך הדף). ‫s—התאמה מחמירה. הכותרת 'מאת:' בהודעה חייבת להיות זהה לשם הדומיין בפקודה SMTP MAIL FROM. ‫r—התאמה לא מחמירה (ברירת המחדל). כל התאמה חלקית מתקבלת. ניתן להזין כל תת-דומיין חוקי של שם הדומיין.

התאמה ל-DMARC

‫DMARC מעביר או מכשיל את אימות ההודעה על סמך מידת ההתאמה בין הדומיין בכותרת מאת: לדומיין השולח שהוגדר באמצעות SPF או DKIM. הפעולה הזו נקראת התאמה.

אתם יכולים לבחור מבין שני מצבים: התאמה מחמירה או התאמה מקלה. אפשר להגדיר את מצב ההתאמה של SPF ו-DKIM ברשומת ה-DMARC באמצעות תגי רשומת ה-DMARC:‏ aspf ו-adkim.

שיטת אימות	התאמה מחמירה	התאמה מקלה
SPF	התאמה מדויקת בין הדומיין ב"כתובת השולח" (נקראת גם "הכתובת להחזרה" או הכתובת להודעות על שליחה שנכשלה) לבין כתובת הכותרת מאת:.	הדומיין בכתובת הכותרת מאת: חייב להיות זהה לדומיין ב"כתובת השולח" (נקראת גם "הכתובת להחזרה" או הכתובת להודעות על שליחה שנכשלה) או להיות תת-דומיין של הדומיין הזה.
DKIM	צריכה להיות התאמה מדויקת בין דומיין ה-DKIM הרלוונטי לבין הדומיין שבכתובת הכותרת מאת:.	הדומיין בכתובת הכותרת מאת: חייב להיות זהה לדומיין שהוגדר בתג החתימה של DKIM ‏=d או להיות תת-דומיין של הדומיין הזה.

במקרים מסוימים, ההמלצה של Google היא לשנות את ההגדרה להתאמה מחמירה כדי להגדיל את ההגנה מפני זיוף:

דואר נשלח בשם הדומיין שלכם מתת-דומיין שאינו בשליטה שלכם.
יש לכם תתי-דומיינים שמנוהלים על ידי ישות אחרת.

חשוב לדעת: התאמה מקלה מעניקה בדרך כלל הגנה מספקת מפני זיוף. התאמה מחמירה עלולה לגרום לכך שהודעות מתת-דומיינים שכן משויכים אליכם יידחו או יישלחו לספאם.

כדי לעבור את בדיקת DMARC, ההודעה חייבת לעבור לפחות את אחת מהבדיקות הבאות:

אימות SPF והתאמה ל-SPF
אימות DKIM והתאמה ל-DKIM

הודעה נכשלת בבדיקת DMARC אם היא נכשלת בשני האימותים הבאים:

SPF (או התאמה ל-SPF)
DKIM (או התאמה ל-DKIM)

שלב 4: מוסיפים את רשומת ה-DMARC לדומיין

חשוב: צריך לעיין בחלק שמתייחס ל-DMARC במסמכי העזרה של מארח הדומיין שלכם בשלב הזה. השלבים להוספה של רשומות DMARC משתנים בהתאם למארח הדומייניים.

הוספה או עדכון של רשומה

חשוב: צריך לוודא שהגדרתם את DKIM ו-SPF לפני הגדרת DMARC. ‫DKIM ו-SPF צריכים לאמת הודעות למשך 48 שעות לפחות לפני הפעלת DMARC.

מכינים את שורת הטקסט או את קובץ הטקסט לרשומת ה-DMARC.
Sign in to your domain host, typically where you purchased your domain name. If you’re not sure who your domain host is, see identify your domain registrar.
Go to the page where you update DNS TXT records for your domain. For help finding this page, check the documentation for your domain.

Add or update the TXT record with this information (refer to the documentation for your domain):

שם השדה	ערך להזנה
סוג	סוג הרשומה הוא TXT.
מארח (שם, שם המארח, כתובת אימייל חלופית)	הערך צריך להיות ‎_dmarc.example.com (צריך להחליף את example.com בשם של הדומיין שלכם)
ערך	המחרוזת שהיא למעשה רשומת ה-TXT. לדוגמה: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s פרטים נוספים זמינים בקטע בנושא הגדרת רשומת DMARC (למעלה בדף הזה).

הערה חלק ממארחי הדומיינים מוסיפים את שם הדומיין באופן אוטומטי. אחרי שמוסיפים או מעדכנים את רשומת ה-TXT, צריך לאמת את שם הדומיין ברשומת ה-DMARC כדי לוודא שהיא בפורמט הנכון.

שומרים את השינויים.
אם אתם מגדירים DMARC ליותר מדומיין אחד, צריך לבצע את השלבים האלו לכל הדומיינים. לכל דומיין יכולות להיות מדיניות שונה ואפשרויות דיווח שונות, לפי ההגדרה ברשומה.
כדי לבדוק אם כבר מוגדר DMARC בדומיין שלכם, אפשר להשתמש באחד ממגוון הכלים שזמינים באינטרנט.

נושאים קשורים

_{Google,‏ Google Workspace והסימנים וסמלי הלוגו הקשורים אליהם הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.}

יש לבחור את הקטע שברצונך לתת משוב לגביו

האם המידע הועיל?

איך נוכל לשפר את המאמר?