הגדרה של רשומת DMARC

איך מתגוננים מפני זיוף ופישינג ומונעים סימון של הודעות כספאם?

המדיניות של פרוטוקול מבוסס-דומיין לאימות, דיווח והתאמה של הודעות (DMARC) מוגדרת בשורה של ערכי טקסט, שנקראת רשומת DMARC. ברשומה מוגדרות:

  • רמת החומרה שלפיה פרוטוקול DMARC בודק הודעות.
  • פעולות מומלצות לשרת המקבל כאשר הוא מקבל הודעות שנכשלות בבדיקות האימות.

אפשרויות המדיניות של DMARC

לפי מדיניות DMARC נקבעת הפעולה שמומלץ לשרת הדואר המקבל לבצע כשהודעה מהדומיין שלכם לא עוברת את האימות של DMARC.

זוהי דוגמה לרשומת מדיניות של DMARC. תחילה צריך להוסיף את התגים v ו-p, ואז את שאר התגים בכל סדר שתרצו:

‪v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s

הגדרות וערכים של תגים ברשומת DMARC

תג תיאור וערכים
v

גרסת ה-DMARC. חייב להיות DMARC1.

חובה להוסיף את התג הזה.
p מגדיר לשרת הדואר הנכנס מה לעשות עם הודעות שלא עוברות אימות.
  • none–לא לעשות דבר עם ההודעות, ולמסור אותן לנמענים המיועדים. לתעד את ההודעות בדוח יומי. הדוח נשלח לכתובת האימייל שמצוינת באפשרות rua שברשומה.
  • quarantine—לסמן את ההודעות כספאם ולהעביר אותן לתיקיות הספאם של הנמענים. הנמענים יכולים לבדוק הודעות ספאם כדי לזהות הודעות לגיטימיות.
  • reject—לדחות את ההודעות. באפשרות הזו, בדרך כלל השרת המקבל שולח הודעה חוזרת לשרת השולח.

חובה להוסיף את התג הזה.

הערה בנושא BIMI: אם הדומיין משתמש ב-BIMI, עליכם להגדיר את האפשרות p של DMARC כ-quarantine או כ-reject.‏ BIMI לא תומך במדיניות DMARC כאשר האפשרות p מוגדרת כ-none.
pct

מגדיר את אחוז ההודעות הלא מאומתות שכפופות למדיניות DMARC. כשפורסים בהדרגה את DMARC, ייתכן שתרצו בהתחלה להגדיר אחוז קטן מההודעות. ככל שיותר הודעות מהדומיין יעברו אימות אצל שרתים מקבלים, תוכלו לעדכן את הרשומה באחוז גבוה יותר, עד שתגיעו ל-100 אחוז.

האחוז שמוגדר חייב להיות מספר שלם בין 1 ל-100. אם לא משתמשים באפשרות הזו ברשומה, מדיניות DMARC חלה על 100% מההודעות שנשלחות מהדומיין.

התג הזה הוא אופציונלי.

הערה בנושא BIMI: אם הדומיין משתמש ב-BIMI, הערך של התג pct במדיניות DMARC חייב להיות 100. BIMI לא תומך במדיניות DMARC כאשר הערך של pct נמוך מ-100.
rua

מגדיר את כתובת האימייל שאליה יישלחו דוחות על פעילות DMARC בדומיין.

כתובת האימייל חייבת לכלול את הקידומת mailto:‎
לדוגמה: mailto:dmarc-reports@solarmora.com.

כדי לשלוח דוחות DMARC לכמה כתובות אימייל, צריך להפריד בין כתובות האימייל באמצעות פסיק ולהוסיף את הקידומת mailto:‎ לפני כל כתובת. לדוגמה:
mailto:dmarc-reports@solarmora.com, mailto:dmarc-admin@solarmora.com

האפשרות הזו עלולה להוביל לנפח גדול של הודעות אימייל עם הדוח. לא מומלץ להשתמש בכתובת האימייל שלכם. במקום זאת, מומלץ להשתמש בתיבת דואר ייעודית, בקבוצה או בשירות של צד שלישי שמתמחה בדוחות DMARC.

התג הזה הוא אופציונלי.
ruf

לא נתמך. ‫Gmail לא תומך בתג ruf, שמשמש לשליחת דוחות כשל. דוחות כשל נקראים גם 'דוחות זיהוי כשלים'.
‫sp מגדיר את המדיניות עבור הודעות מתת-דומיינים של הדומיין הראשי. משתמשים באפשרות הזו כשרוצים להשתמש במדיניות DMARC שונה עבור תת-דומיינים.

  • noneשום פעולה לביצוע על המודעות, מסירה שלהן לנמענים המיועדים. תיעוד ההודעות בדוח יומי. הדוח נשלח לכתובת האימייל שצוינה באפשרות rua שבמדיניות.

  • quarantineסימון ההודעות כספאם ושליחתן לתיקיות הספאם של הנמענים. הנמענים יכולים לבדוק הודעות ספאם כדי לזהות הודעות לגיטימיות.
  • rejectדחיית ההודעה. באפשרות הזו, השרת המקבל אמור לשלוח הודעה חוזרת לשרת השולח.

אם לא משתמשים באפשרות הזו ברשומה, תת-דומיינים יורשים את המדיניות של DMARC שמוגדרת לדומיין ההורה.

התג הזה הוא אופציונלי.
adkim מגדיר את מדיניות ההתאמה ל-DKIM, שקובעת עד כמה פרטי ההודעות חייבים להיות תואמים לחתימות DKIM. איך ההתאמה פועלת?
  • sהתאמה מחמירה. שם הדומיין של השולח חייב להתאים בדיוק ל-‎d=domainname שמופיע בכותרות ההודעות של DKIM.
  • r—התאמה מקלה (ברירת המחדל). מאפשרת התאמות חלקיות. יתקבל כל תת-דומיין תקין של d=domain בכותרות ההודעות של DKIM.

התג הזה הוא אופציונלי.
aspf מגדיר את מדיניות ההתאמה ל-SPF, שקובעת עד כמה פרטי ההודעות חייבים להתאים לחתימות SPF. איך ההתאמה פועלת?
  • sהתאמה מחמירה. הכותרת 'מאת:' בהודעה חייבת להתאים בדיוק לשם הדומיין בפקודה SMTP MAIL FROM.
  • rהתאמה לא מחמירה (ברירת המחדל). כל התאמה חלקית מתקבלת. ניתן להזין כל תת-דומיין חוקי של שם הדומיין.

התג הזה הוא אופציונלי.

כשמתחילים להשתמש ב-DMARC, מומלץ להגדיר מדיניות שהאכיפה שלה היא none. בהמשך, כשתבינו איך הודעות מהדומיין שלכם מאומתות על ידי השרתים המקבלים, תוכלו לעדכן את המדיניות שלכם. עם הזמן, תוכלו לשנות את מדיניות השרתים המקבלים לאפשרות quarantine ולבסוף לאפשרות reject. כדי לראות דוגמה למדיניות DMARC שמתעדכנת במהלך הפעלה ראשונית של DMARC, אפשר לעבור למדריך בנושא הפעלה ראשונית מומלצת של DMARC.

מדיניות האכיפה הפעולה המומלצת מידע נוסף
none לא מתבצעת פעולה לגבי הודעות שנכשלות בבדיקות האימות של DMARC בשרת המקבל. ההודעות נשלחות כרגיל לנמען.

מומלץ להשתמש באפשרות הזו כשמגדירים את DMARC בפעם הראשונה. כשבוחרים באפשרות none, ההודעות מהדומיין שלכם נשלחות כרגיל. בזמן שהמדיניות מוגדרת ל-none, כדאי לעיין בדוחות DMARC באופן קבוע כדי להבין איך הודעות האימייל שלכם מאומתות ונשלחות.

דוחות DMARC שנשלחים אליכם מהשרתים המקבלים כוללים פרטים על הודעות שלא היה אפשר לאמת באמצעות SPF ו-DKIM. אם יש מספר משמעותי של הודעות מהדומיין שלכם שהועברו לתיקיית הספאם, מומלץ לבדוק את ההגדרות של SPF ו-DKIM. מידע נוסף על פתרון בעיות ב-DMARC

לא מומלץ לשנות את אכיפת המדיניות לאפשרויות quarantine או reject עד שתבינו אילו הודעות לא אומתו על ידי השרתים המקבלים.

הערה בנושא BIMI: אם הדומיין שלכם משתמש ב-BIMI, צריך להגדיר את מדיניות האכיפה של DMARC ‏(p) לאפשרויות quarantine או reject. ‫BIMI לא תומך במדיניות DMARC כשהאפשרות p מוגדרת ל-none.
quarantine הודעות שלא אומתו באמצעות DMARC על ידי השרת המקבל נשלחות לתיקיית הספאם של הנמען. אם בשרת הדואר המקבל הוגדרה האפשרות 'quarantine', ייתכן שההודעות יישלחו להסגר ולא ישירות לתיקיית הספאם של הנמען. אם תגדירו את האפשרות הזו, תמשיכו לקבל דוחות DMARC.
reject הודעות שלא אומתו באמצעות DMARC על ידי השרת המקבל נדחות ואף פעם לא מועברות לנמען. בדרך כלל, השרת המקבל שולח הודעה חוזרת לשולח.

אנחנו ממליצים להגדיר את reject כאפשרות הסופית והקבועה בכל מדיניות של DMARC.

אם תגדירו את האפשרות הזו, תמשיכו לקבל דוחות DMARC.

כדאי לעדכן את המדיניות לאפשרות הזו כשדוחות DMARC מראים שהודעות תקינות עוברות אימות בהצלחה ונשלחות כרגיל. דחיית הודעות לא מאומתות עוזרת להגן על הנמענים מפני ספאם, זיוף ופישינג.

אפשרויות התאמה ב-DMARC

DMARC מעביר או מכשיל את אימות ההודעה על סמך מידת ההתאמה בין הכותרת 'מאת:' לדומיין השולח שהוגדר באמצעות SPF או DKIM. הפעולה הזו נקראת התאמה.

אתם יכולים לבחור מבין שני מצבים: התאמה מחמירה והתאמה מקלה. אפשר להגדיר את מצב ההתאמה של SPF ו-DKIM ברשומת ה-DMARC. התגים aspf ו-adkim ברשומת ה-DMARC מגדירים את מצב ההתאמה.

במקרים הבאים, מומלץ לשקול לעבור להתאמה מחמירה כדי לשפר את ההגנה מפני זיוף:

  • דואר נשלח בשם הדומיין שלכם מתת-דומיין שאינו בשליטה שלכם.
  • יש לכם תתי-דומיינים שמנוהלים על ידי ישות אחרת.

כדי לעבור את בדיקת DMARC, ההודעה חייבת לעבור לפחות את אחת מהבדיקות הבאות:

  • אימות SPF והתאמת SPF
  • אימות DKIM והתאמת DKIM

הודעה נכשלת בבדיקת DMARC אם היא נכשלת בשני האימותים הבאים:

  • SPF (או התאמת SPF)
  • DKIM (או התאמת DKIM)
חשוב: התאמה מקלה מעניקה בדרך כלל הגנה מספקת מפני זיוף. התאמה מחמירה עלולה לגרום לכך שהודעות מתת-דומיינים משויכים יידחו או יישלחו לספאם.
שיטת אימות התאמה מחמירה התאמה מקלה
SPF צריכה להיות התאמה מדויקת בין הדומיין שאומת ב-SPF לבין הדומיין שבכותרת 'מאת: כתובת'. הדומיין בכותרת 'מאת: כתובת' חייב להיות זהה לדומיין שאומת ב-SPF או להיות תת-דומיין של הדומיין הזה.
DKIM צריכה להיות התאמה מדויקת בין דומיין ה-DKIM הרלוונטי לבין הדומיין שבכותרת 'מאת: כתובת'. הדומיין בכותרת 'מאת: כתובת' חייב להיות זהה לדומיין שהוגדר בתג החתימה של DKIM ‏=d או להיות תת-דומיין של הדומיין הזה.

הסבר על כתובת השולח והכתובת שבכותרת 'מאת:'

בהודעות אימייל יש שני סוגים של כתובות שמציינות את השולח. חשוב להבין את ההבדל בין הכתובות האלה כשמגדירים את SPF,‏ DKIM ו-DMARC.

בכל הודעה, כתובת השולח והכתובת בכותרת 'מאת:' יכולות להיות זהות או שתי כתובות שונות.

כתובת השולח – כתובת האימייל שמציינת מאיפה ההודעה הגיעה. התראות על הודעות שלא ניתן להעביר, או הודעות על שליחה שנכשלה, נשלחות לכתובת הזו. כתובת השולח נקראת גם 'הכתובת להחזרה' או הכתובת להודעות על שליחה שנכשלה. הנמענים של ההודעה לא רואים את כתובת השולח.

‫SPF בדרך כלל משתמש בכתובת השולח של ההודעה לצורך אימות.

מאת: כתובת – כתובת האימייל שמופיעה בכותרת ההודעה. בהודעה יש שני חלקים: כותרת ההודעה וגוף ההודעה. הכותרת מכילה מידע על ההודעה, כולל: שם השולח וכתובת האימייל שלו, נושא ההודעה ותאריך השליחה. הכותרת 'מאת:' כוללת את כתובת האימייל, ובדרך כלל את שם האדם ששלח את ההודעה.

DKIM משתמש בכתובת בכותרת 'מאת:' לצורך אימות.

דוגמאות להתאמת SPF

ב-SPF, נבדקת התאמה בין הדומיין שאומת על ידי SPF (בדרך כלל כתובת השולח) לבין הדומיין שמופיע בכותרת ההודעה 'מאת: כתובת'. לפניכם דוגמאות לבדיקות התאמה והתוצאות שלהן בבדיקת SPF:

כתובת השולח הכתובת בכותרת 'מאת:' התאמה מחמירה התאמה מקלה
jon@solarmora.com jon@solarmora.com האימות הצליח האימות הצליח
jon@mail.solarmora.com jon@solarmora.com האימות נכשל האימות הצליח
jon@solarmora.org jon@solarmora.com האימות נכשל האימות נכשל

דוגמאות להתאמת DKIM

ב-DKIM, נבדקת התאמה בין הערך בשדה הדומיין של חתימת DKIM‏ (=d) בכותרת ההודעה לבין הדומיין שמופיע בכותרת ההודעה 'מאת: כתובת'.

לפניכם דוגמאות לבדיקות התאמה והתוצאות שלהן בבדיקת DKIM:

הכותרת 'מאת:' DKIM d=domain התאמה מחמירה התאמה מקלה
jon@solarmora.com solarmora.com האימות הצליח האימות הצליח
jon@mail.solarmora.com solarmora.com האימות נכשל האימות הצליח
jon@solarmora.org solarmora.com האימות נכשל האימות נכשל

אפשרויות של דוחות DMARC

אתם יכולים להגדיר את DMARC כך שיבקש דוחות על בסיס קבוע משרתי אימייל שמקבלים אימייל מהדומיין שלכם.

באמצעות דוחות DMARC תוכלו לדעת:

  • אילו שרתים או שולחי צד שלישי שולחים אימייל מהדומיין שלכם.
  • מהו אחוז ההודעות מהדומיין שלכם שעוברות בהצלחה את אימות DMARC.
  • אילו שרתים או שירותים שולחים הודעות שנכשלות באימות DMARC.
  • אילו פעולות DMARC השרת המקבל מבצע בהודעות מהדומיין שלכם שלא אומתו: none,‏ quarantine או reject.

כדי להתחיל לקבל דוחות DMARC, צריך להשתמש בתג של רשומת DMARC מסוג rua ברשומת ה-DMARC.

מידע נוסף על דוחות DMARC

האם המידע הועיל?

איך נוכל לשפר את המאמר?

צריכים עזרה נוספת?

תוכלו לנסות את האפשרויות הבאות:

פרסום בפורום העזרה מהקהילה קבלת תשובות מחברי הקהילה
פנייה אלינו אפשר לספר לנו עוד על הבעיה, ונעזור לכם לפתור אותה
true
Start your free 14-day trial today

Professional email, online storage, shared calendars, video meetings and more. Start your free Google Workspace trial today.

חיפוש
ניקוי החיפוש
סגירת החיפוש
התפריט הראשי
14452447211880918495
true
חיפוש במרכז העזרה
true
true
true
true
true
73010
false
false