מגדירים פונקציונליות של פרוטוקול מבוסס-דומיין לאימות, דיווח והתאמה של הודעות (DMARC) על ידי הזנה של רשומת DMARC בהגדרות ה-DNS של הדומיין.
אחרי שמכינים את הטקסט של רשומת ה-DMARC, מוסיפים או מעדכנים את רשומת ה-TXT של DNS אצל ספק הדומיין. כדי לעדכן רשומת TXT של DNS, מזינים את שורת הטקסט שמגדירה את רשומת המדיניות של DMARC במסוף הניהול של ספק הדומיין.
בכל פעם שמשנים את המדיניות של DMARC ומעדכנים את הרשומה, חייבים לעדכן את רשומת ה-TXT של DNS אצל ספק הדומיין.
תת-דומיינים ודומיינים נוספים
אם יש לכם יותר מדומיין אחד, צריך לבצע את השלבים שבהמשך עבור כל דומיין. לכל דומיין יכולה להיות מדיניות שונה ואפשרויות דיווח שונות (הן מוגדרות ברשומה).
אם לא תיצרו מדיניות DMARC עבור תת-דומיינים, הם יקבלו בירושה את מדיניות DMARC של הדומיין ההורה. כדי להגדיר מדיניות DMARC עבור תת-דומיינים, יש להשתמש בתג המדיניות sp שברשומת ה-DMARC בדומיין ההורה.
הוספה או עדכון של רשומה
חשוב לדעת:
- כדי להגדיר את DMARC, צריך קודם להגדיר את DomainKeys Identified Mail (DKIM) ואת Sender Policy Framework (SPF). DKIM ו-SPF צריכים לאמת הודעות למשך 48 שעות לפחות לפני שמפעילים את DMARC.
- הדומיינים שנעשה בהם שימוש בשלבים שבהמשך הם רק דוגמאות. צריך להחליף אותם בדומיינים שלכם.
את השלבים הבאים צריך לבצע במסוף הניהול של מארח הדומיין, ולא במסוף Admin. איך יודעים מי מארח הדומיין?
- מכינים את שורת הטקסט או את קובץ הטקסט שמייצגים את רשומת המדיניות שלכם.
- נכנסים למסוף הניהול של מארח הדומיין.
- מאתרים את הדף שבו מעדכנים רשומות DNS.
- מוסיפים רשומת TXT של DNS או משנים רשומה קיימת, באמצעות הזנת הרשומה שלכם ברשומת ה-TXT עבור _dmarc:
- השם של רשומת ה-TXT: בשדה הראשון, מתחת לשם של מארח ה-DNS, מזינים: _dmarc.solarmora.com
חשוב: חלק ממארחי הדומיינים מוסיפים את שם הדומיין באופן אוטומטי אחרי _dmarc. אחרי שמוסיפים את רשומת ה-TXT, אפשר לאמת את שם רשומת ה-TXT של DMARC כדי לוודא שהפורמט שלו תקין.
- הערך של רשומת ה-TXT: בשדה השני, מזינים את הטקסט עבור רשומת ה-DMARC, לדוגמה:
v=DMARC1; p=none; rua=mailto:dmarc-reports@solarmora.com
שמות השדות עשויים להשתנות בהתאם לספק. שמות השדות של רשומות TXT של DNS עשויים להשתנות בהתאם לספק. הדומיין שמוצג כאן הוא דומיין לדוגמה. צריך להחליף את solarmora.com בדומיין שלכם.
- השם של רשומת ה-TXT: בשדה הראשון, מתחת לשם של מארח ה-DNS, מזינים: _dmarc.solarmora.com
- שומרים את השינויים.
השבתה של DMARC
לא מומלץ להשבית את DMARC עבור הארגון או הדומיין. בלי DMARC, האקרים ומשתמשים אחרים שהם תוכנות זדוניות יכולים להתחזות לארגון או לדומיין שלכם ולשלוח הודעות שנראה כאילו אתם שלחתם אותן. השבתה של DMARC חושפת את המשתמשים ואת אנשי הקשר שלכם בפני סיכוני ספאם, זיוף ופישינג. אם אתם חייבים להשבית את DMARC, צריך לבצע את השלבים האלה.
אימות השם של רשומת ה-TXT של DMARC (אופציונלי)
חשוב: הדומיינים שנעשה בהם שימוש בשלבים שבהמשך הם רק דוגמאות. צריך להחליף אותם בדומיינים שלכם.
חלק ממארחי הדומיינים מוסיפים באופן אוטומטי את שם הדומיין לסוף השם של רשומת ה-TXT, שהוזן בשלב 4.א בקטע הוספה או עדכון של רשומה. הדבר עלול לגרום לפורמט שגוי של שם רשומת ה-TXT של DMARC.
לדוגמה, אם מזינים _dmarc.solarmora.com ומארח הדומיין מוסיף את שם הדומיין באופן אוטומטי, הפורמט של שם רשומת ה-TXT ייצא שגוי: _dmarc.solarmora.com.solarmora.com.
לאחר שמוסיפים את רשומת ה-TXT של DMARC בהתאם לשלבים המפורטים בקטע הוספה או עדכון של רשומה, חשוב לבדוק את השם של רשומת ה-TXT כדי לוודא שהפורמט שלו תקין.
אפשר להשתמש בתכונה 'Dig' בארגז הכלים של Google Admin כדי לראות ולאמת את רשומת ה-TXT של DMARC:
- נכנסים לארגז הכלים של Google Admin ובוחרים את התכונה Dig.
- בשדה שם, מזינים _dmarc ולאחר מכן את שם הדומיין המלא. לדוגמה, אם שם הדומיין הוא solarmora.com, מזינים _dmarc.solarmora.com.
- מתחת לשדה שם, לוחצים על TXT.
- מאמתים את שם רשומת ה-TXT של DMARC בתוצאות. צריך לאתר את שורת הטקסט שמתחילה ב-_dmarc.
פורמט של רשומת DMARC
חשוב: בקטע הזה, במדיניות לדוגמה של DMARC אנחנו משתמשים בדומיינים לדוגמה. צריך להחליף אותם בדומיינים שלכם.
הפורמט של רשומת ה-DMARC הוא שורה של טקסט פשוט. הטקסט הוא רשימה של תגים וערכים של DMARC, שמופרדים באמצעות נקודה-פסיק. חלק מהתגים נדרשים וחלקם אופציונליים.
מדיניות DMARC מגדירה לשרתים איזו פעולה לנקוט כשהם מקבלים הודעות לא מאומתות מהדומיין שלכם. את הפעולה הזו מגדירים באמצעות תג המדיניות (p) כאשר מגדירים את רשומת ה-DMARC.
זוהי דוגמה לרשומת מדיניות של DMARC. התגים מופרדים בנקודה ופסיק ( ; ). התג v והתג p צריכים להופיע ראשונים. תגים אחרים יכולים להיות בכל סדר שהוא. אם משתמשים בתג rua כדי לשלוח דוחות של DMARC באימייל, צריך להשתמש בתחילית mailto: לפני כל כתובת אימייל, כמו בדוגמה הבאה:
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
תגים של רשומת DMARC
תג | תיאור וערכים |
v |
גרסת ה-DMARC. חייב להיות DMARC1. חובה להוסיף את התג הזה. |
p | מגדיר לשרת הדואר הנכנס מה לעשות עם הודעות שלא עוברות אימות.
חובה להוסיף את התג הזה. הערה בנושא BIMI: אם הדומיין משתמש ב-BIMI, עליכם להגדיר את האפשרות p של DMARC כ-quarantine או כ-reject. BIMI לא תומך במדיניות DMARC כאשר האפשרות p מוגדרת כ-none. |
pct |
מגדיר את אחוז ההודעות הלא מאומתות שכפופות למדיניות DMARC. כשפורסים בהדרגה את DMARC, ייתכן שתרצו בהתחלה להגדיר אחוז קטן מההודעות. ככל שיותר הודעות מהדומיין יעברו אימות אצל שרתים מקבלים, תוכלו לעדכן את הרשומה באחוז גבוה יותר, עד שתגיעו ל-100 אחוז. האחוז שמוגדר חייב להיות מספר שלם בין 1 ל-100. אם לא משתמשים באפשרות הזו ברשומה, מדיניות DMARC חלה על 100% מההודעות שנשלחות מהדומיין. התג הזה הוא אופציונלי. הערה בנושא BIMI: אם הדומיין משתמש ב-BIMI, הערך של התג pct במדיניות DMARC חייב להיות 100. BIMI לא תומך במדיניות DMARC כאשר הערך של pct נמוך מ-100. |
rua |
מגדיר את כתובת האימייל שאליה יישלחו דוחות על פעילות DMARC בדומיין. כתובת האימייל חייבת לכלול את הקידומת mailto: כדי לשלוח דוחות DMARC לכמה כתובות אימייל, צריך להפריד בין כתובות האימייל באמצעות פסיק ולהוסיף את הקידומת mailto: לפני כל כתובת. לדוגמה: האפשרות הזו עלולה להוביל לנפח גדול של הודעות אימייל עם הדוח. לא מומלץ להשתמש בכתובת האימייל שלכם. במקום זאת, מומלץ להשתמש בתיבת דואר ייעודית, בקבוצה או בשירות של צד שלישי שמתמחה בדוחות DMARC. התג הזה הוא אופציונלי. |
ruf |
לא נתמך. Gmail לא תומך בתג ruf, שמשמש לשליחת דוחות כשל. דוחות כשל נקראים גם 'דוחות זיהוי כשלים'. |
sp | מגדיר את המדיניות עבור הודעות מתת-דומיינים של הדומיין הראשי. משתמשים באפשרות הזו כשרוצים להשתמש במדיניות DMARC שונה עבור תת-דומיינים.
אם לא משתמשים באפשרות הזו ברשומה, תת-דומיינים יורשים את המדיניות של DMARC שמוגדרת לדומיין ההורה. התג הזה הוא אופציונלי. |
adkim | מגדיר את מדיניות ההתאמה ל-DKIM, שקובעת עד כמה פרטי ההודעות חייבים להיות תואמים לחתימות DKIM. איך ההתאמה פועלת?
התג הזה הוא אופציונלי. |
aspf | מגדיר את מדיניות ההתאמה ל-SPF, שקובעת עד כמה פרטי ההודעות חייבים להתאים לחתימות SPF. איך ההתאמה פועלת?
התג הזה הוא אופציונלי. |