המדיניות של פרוטוקול מבוסס-דומיין לאימות, דיווח והתאמה של הודעות (DMARC) מוגדרת בשורה של ערכי טקסט, שנקראת רשומת DMARC. ברשומה מוגדרות:
- רמת החומרה שלפיה פרוטוקול DMARC בודק הודעות.
- פעולות מומלצות לשרת המקבל כאשר הוא מקבל הודעות שנכשלות בבדיקות האימות.
אפשרויות המדיניות של DMARC
לפי מדיניות DMARC נקבעת הפעולה שמומלץ לשרת הדואר המקבל לבצע כשהודעה מהדומיין שלכם לא עוברת את האימות של DMARC.
זוהי דוגמה לרשומת מדיניות של DMARC. תחילה צריך להוסיף את התגים v ו-p, ואז את שאר התגים בכל סדר שתרצו:
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
הגדרות וערכים של תגים ברשומת DMARC
תג | תיאור וערכים |
v |
גרסת ה-DMARC. חייב להיות DMARC1. חובה להוסיף את התג הזה. |
p | מגדיר לשרת הדואר הנכנס מה לעשות עם הודעות שלא עוברות אימות.
חובה להוסיף את התג הזה. הערה בנושא BIMI: אם הדומיין משתמש ב-BIMI, עליכם להגדיר את האפשרות p של DMARC כ-quarantine או כ-reject. BIMI לא תומך במדיניות DMARC כאשר האפשרות p מוגדרת כ-none. |
pct |
מגדיר את אחוז ההודעות הלא מאומתות שכפופות למדיניות DMARC. כשפורסים בהדרגה את DMARC, ייתכן שתרצו בהתחלה להגדיר אחוז קטן מההודעות. ככל שיותר הודעות מהדומיין יעברו אימות אצל שרתים מקבלים, תוכלו לעדכן את הרשומה באחוז גבוה יותר, עד שתגיעו ל-100 אחוז. האחוז שמוגדר חייב להיות מספר שלם בין 1 ל-100. אם לא משתמשים באפשרות הזו ברשומה, מדיניות DMARC חלה על 100% מההודעות שנשלחות מהדומיין. התג הזה הוא אופציונלי. הערה בנושא BIMI: אם הדומיין משתמש ב-BIMI, הערך של התג pct במדיניות DMARC חייב להיות 100. BIMI לא תומך במדיניות DMARC כאשר הערך של pct נמוך מ-100. |
rua |
מגדיר את כתובת האימייל שאליה יישלחו דוחות על פעילות DMARC בדומיין. כתובת האימייל חייבת לכלול את הקידומת mailto: כדי לשלוח דוחות DMARC לכמה כתובות אימייל, צריך להפריד בין כתובות האימייל באמצעות פסיק ולהוסיף את הקידומת mailto: לפני כל כתובת. לדוגמה: האפשרות הזו עלולה להוביל לנפח גדול של הודעות אימייל עם הדוח. לא מומלץ להשתמש בכתובת האימייל שלכם. במקום זאת, מומלץ להשתמש בתיבת דואר ייעודית, בקבוצה או בשירות של צד שלישי שמתמחה בדוחות DMARC. התג הזה הוא אופציונלי. |
ruf |
לא נתמך. Gmail לא תומך בתג ruf, שמשמש לשליחת דוחות כשל. דוחות כשל נקראים גם 'דוחות זיהוי כשלים'. |
sp | מגדיר את המדיניות עבור הודעות מתת-דומיינים של הדומיין הראשי. משתמשים באפשרות הזו כשרוצים להשתמש במדיניות DMARC שונה עבור תת-דומיינים.
אם לא משתמשים באפשרות הזו ברשומה, תת-דומיינים יורשים את המדיניות של DMARC שמוגדרת לדומיין ההורה. התג הזה הוא אופציונלי. |
adkim | מגדיר את מדיניות ההתאמה ל-DKIM, שקובעת עד כמה פרטי ההודעות חייבים להיות תואמים לחתימות DKIM. איך ההתאמה פועלת?
התג הזה הוא אופציונלי. |
aspf | מגדיר את מדיניות ההתאמה ל-SPF, שקובעת עד כמה פרטי ההודעות חייבים להתאים לחתימות SPF. איך ההתאמה פועלת?
התג הזה הוא אופציונלי. |
כשמתחילים להשתמש ב-DMARC, מומלץ להגדיר מדיניות שהאכיפה שלה היא none. בהמשך, כשתבינו איך הודעות מהדומיין שלכם מאומתות על ידי השרתים המקבלים, תוכלו לעדכן את המדיניות שלכם. עם הזמן, תוכלו לשנות את מדיניות השרתים המקבלים לאפשרות quarantine ולבסוף לאפשרות reject. כדי לראות דוגמה למדיניות DMARC שמתעדכנת במהלך הפעלה ראשונית של DMARC, אפשר לעבור למדריך בנושא הפעלה ראשונית מומלצת של DMARC.
מדיניות האכיפה | הפעולה המומלצת | מידע נוסף |
none | לא מתבצעת פעולה לגבי הודעות שנכשלות בבדיקות האימות של DMARC בשרת המקבל. ההודעות נשלחות כרגיל לנמען. |
מומלץ להשתמש באפשרות הזו כשמגדירים את DMARC בפעם הראשונה. כשבוחרים באפשרות none, ההודעות מהדומיין שלכם נשלחות כרגיל. בזמן שהמדיניות מוגדרת ל-none, כדאי לעיין בדוחות DMARC באופן קבוע כדי להבין איך הודעות האימייל שלכם מאומתות ונשלחות. דוחות DMARC שנשלחים אליכם מהשרתים המקבלים כוללים פרטים על הודעות שלא היה אפשר לאמת באמצעות SPF ו-DKIM. אם יש מספר משמעותי של הודעות מהדומיין שלכם שהועברו לתיקיית הספאם, מומלץ לבדוק את ההגדרות של SPF ו-DKIM. מידע נוסף על פתרון בעיות ב-DMARC לא מומלץ לשנות את אכיפת המדיניות לאפשרויות quarantine או reject עד שתבינו אילו הודעות לא אומתו על ידי השרתים המקבלים. הערה בנושא BIMI: אם הדומיין שלכם משתמש ב-BIMI, צריך להגדיר את מדיניות האכיפה של DMARC (p) לאפשרויות quarantine או reject. BIMI לא תומך במדיניות DMARC כשהאפשרות p מוגדרת ל-none. |
quarantine | הודעות שלא אומתו באמצעות DMARC על ידי השרת המקבל נשלחות לתיקיית הספאם של הנמען. אם בשרת הדואר המקבל הוגדרה האפשרות 'quarantine', ייתכן שההודעות יישלחו להסגר ולא ישירות לתיקיית הספאם של הנמען. | אם תגדירו את האפשרות הזו, תמשיכו לקבל דוחות DMARC. |
reject | הודעות שלא אומתו באמצעות DMARC על ידי השרת המקבל נדחות ואף פעם לא מועברות לנמען. בדרך כלל, השרת המקבל שולח הודעה חוזרת לשולח. |
אנחנו ממליצים להגדיר את reject כאפשרות הסופית והקבועה בכל מדיניות של DMARC. אם תגדירו את האפשרות הזו, תמשיכו לקבל דוחות DMARC. כדאי לעדכן את המדיניות לאפשרות הזו כשדוחות DMARC מראים שהודעות תקינות עוברות אימות בהצלחה ונשלחות כרגיל. דחיית הודעות לא מאומתות עוזרת להגן על הנמענים מפני ספאם, זיוף ופישינג. |
אפשרויות התאמה ב-DMARC
DMARC מעביר או מכשיל את אימות ההודעה על סמך מידת ההתאמה בין הכותרת 'מאת:' לדומיין השולח שהוגדר באמצעות SPF או DKIM. הפעולה הזו נקראת התאמה.
אתם יכולים לבחור מבין שני מצבים: התאמה מחמירה והתאמה מקלה. אפשר להגדיר את מצב ההתאמה של SPF ו-DKIM ברשומת ה-DMARC. התגים aspf ו-adkim ברשומת ה-DMARC מגדירים את מצב ההתאמה.
במקרים הבאים, מומלץ לשקול לעבור להתאמה מחמירה כדי לשפר את ההגנה מפני זיוף:
- דואר נשלח בשם הדומיין שלכם מתת-דומיין שאינו בשליטה שלכם.
- יש לכם תתי-דומיינים שמנוהלים על ידי ישות אחרת.
כדי לעבור את בדיקת DMARC, ההודעה חייבת לעבור לפחות את אחת מהבדיקות הבאות:
- אימות SPF והתאמת SPF
- אימות DKIM והתאמת DKIM
הודעה נכשלת בבדיקת DMARC אם היא נכשלת בשני האימותים הבאים:
- SPF (או התאמת SPF)
- DKIM (או התאמת DKIM)
הסבר על כתובת השולח והכתובת שבכותרת 'מאת:'
בהודעות אימייל יש שני סוגים של כתובות שמציינות את השולח. חשוב להבין את ההבדל בין הכתובות האלה כשמגדירים את SPF, DKIM ו-DMARC.
בכל הודעה, כתובת השולח והכתובת בכותרת 'מאת:' יכולות להיות זהות או שתי כתובות שונות.
כתובת השולח – כתובת האימייל שמציינת מאיפה ההודעה הגיעה. התראות על הודעות שלא ניתן להעביר, או הודעות על שליחה שנכשלה, נשלחות לכתובת הזו. כתובת השולח נקראת גם 'הכתובת להחזרה' או הכתובת להודעות על שליחה שנכשלה. הנמענים של ההודעה לא רואים את כתובת השולח.
SPF בדרך כלל משתמש בכתובת השולח של ההודעה לצורך אימות.
מאת: כתובת – כתובת האימייל שמופיעה בכותרת ההודעה. בהודעה יש שני חלקים: כותרת ההודעה וגוף ההודעה. הכותרת מכילה מידע על ההודעה, כולל: שם השולח וכתובת האימייל שלו, נושא ההודעה ותאריך השליחה. הכותרת 'מאת:' כוללת את כתובת האימייל, ובדרך כלל את שם האדם ששלח את ההודעה.
DKIM משתמש בכתובת בכותרת 'מאת:' לצורך אימות.
דוגמאות להתאמת SPF
ב-SPF, נבדקת התאמה בין הדומיין שאומת על ידי SPF (בדרך כלל כתובת השולח) לבין הדומיין שמופיע בכותרת ההודעה 'מאת: כתובת'. לפניכם דוגמאות לבדיקות התאמה והתוצאות שלהן בבדיקת SPF:
כתובת השולח | הכתובת בכותרת 'מאת:' | התאמה מחמירה | התאמה מקלה |
jon@solarmora.com |
jon@solarmora.com |
האימות הצליח | האימות הצליח |
jon@mail.solarmora.com |
jon@solarmora.com |
האימות נכשל | האימות הצליח |
jon@solarmora.org |
jon@solarmora.com |
האימות נכשל | האימות נכשל |
דוגמאות להתאמת DKIM
ב-DKIM, נבדקת התאמה בין הערך בשדה הדומיין של חתימת DKIM (=d) בכותרת ההודעה לבין הדומיין שמופיע בכותרת ההודעה 'מאת: כתובת'.
לפניכם דוגמאות לבדיקות התאמה והתוצאות שלהן בבדיקת DKIM:
הכותרת 'מאת:' | DKIM d=domain | התאמה מחמירה | התאמה מקלה |
jon@solarmora.com |
solarmora.com |
האימות הצליח | האימות הצליח |
jon@mail.solarmora.com |
solarmora.com |
האימות נכשל | האימות הצליח |
jon@solarmora.org |
solarmora.com |
האימות נכשל | האימות נכשל |
אפשרויות של דוחות DMARC
אתם יכולים להגדיר את DMARC כך שיבקש דוחות על בסיס קבוע משרתי אימייל שמקבלים אימייל מהדומיין שלכם.
באמצעות דוחות DMARC תוכלו לדעת:
- אילו שרתים או שולחי צד שלישי שולחים אימייל מהדומיין שלכם.
- מהו אחוז ההודעות מהדומיין שלכם שעוברות בהצלחה את אימות DMARC.
- אילו שרתים או שירותים שולחים הודעות שנכשלות באימות DMARC.
- אילו פעולות DMARC השרת המקבל מבצע בהודעות מהדומיין שלכם שלא אומתו: none, quarantine או reject.
כדי להתחיל לקבל דוחות DMARC, צריך להשתמש בתג של רשומת DMARC מסוג rua ברשומת ה-DMARC.