הוספה של רשומת DMARC

איך מתגוננים מפני זיוף ופישינג ומונעים סימון של הודעות כספאם?

מגדירים פונקציונליות של פרוטוקול מבוסס-דומיין לאימות, דיווח והתאמה של הודעות (DMARC) על ידי הזנה של רשומת DMARC בהגדרות ה-DNS של הדומיין.

אחרי שמכינים את הטקסט של רשומת ה-DMARC, מוסיפים או מעדכנים את רשומת ה-TXT של DNS אצל ספק הדומיין. כדי לעדכן רשומת TXT של DNS, מזינים את שורת הטקסט שמגדירה את רשומת המדיניות של DMARC במסוף הניהול של ספק הדומיין.

בכל פעם שמשנים את המדיניות של DMARC ומעדכנים את הרשומה, חייבים לעדכן את רשומת ה-TXT של DNS אצל ספק הדומיין.

תת-דומיינים ודומיינים נוספים

אם יש לכם יותר מדומיין אחד, צריך לבצע את השלבים שבהמשך עבור כל דומיין. לכל דומיין יכולה להיות מדיניות שונה ואפשרויות דיווח שונות (הן מוגדרות ברשומה).

אם לא תיצרו מדיניות DMARC עבור תת-דומיינים, הם יקבלו בירושה את מדיניות DMARC של הדומיין ההורה. כדי להגדיר מדיניות DMARC עבור תת-דומיינים, יש להשתמש בתג המדיניות sp שברשומת ה-DMARC בדומיין ההורה.

הוספה או עדכון של רשומה

חשוב לדעת:

כדי להגדיר את DMARC, צריך קודם להגדיר את DomainKeys Identified Mail ‏(DKIM) ואת Sender Policy Framework ‏(SPF). DKIM ו-SPF צריכים לאמת הודעות למשך 48 שעות לפחות לפני שמפעילים את DMARC.
הדומיינים שנעשה בהם שימוש בשלבים שבהמשך הם רק דוגמאות. צריך להחליף אותם בדומיינים שלכם.

את השלבים הבאים צריך לבצע במסוף הניהול של מארח הדומיין, ולא במסוף Admin. איך יודעים מי מארח הדומיין?

מכינים את שורת הטקסט או את קובץ הטקסט שמייצגים את רשומת המדיניות שלכם.
נכנסים למסוף הניהול של מארח הדומיין.
מאתרים את הדף שבו מעדכנים רשומות DNS.
מוסיפים רשומת TXT של DNS או משנים רשומה קיימת, באמצעות הזנת הרשומה שלכם ברשומת ה-TXT עבור ‎_dmarc:
1. השם של רשומת ה-TXT: בשדה הראשון, מתחת לשם של מארח ה-DNS, מזינים: _dmarc.solarmora.com
  חשוב: חלק ממארחי הדומיינים מוסיפים את שם הדומיין באופן אוטומטי אחרי ‎_dmarc. אחרי שמוסיפים את רשומת ה-TXT, אפשר לאמת את שם רשומת ה-TXT של DMARC כדי לוודא שהפורמט שלו תקין.
2. הערך של רשומת ה-TXT: בשדה השני, מזינים את הטקסט עבור רשומת ה-DMARC, לדוגמה:
  v=DMARC1; p=none; rua=mailto:dmarc-reports@solarmora.com
  
  שמות השדות עשויים להשתנות בהתאם לספק. שמות השדות של רשומות TXT של DNS עשויים להשתנות בהתאם לספק. הדומיין שמוצג כאן הוא דומיין לדוגמה. צריך להחליף את solarmora.com בדומיין שלכם.
שומרים את השינויים.

השבתה של DMARC

לא מומלץ להשבית את DMARC עבור הארגון או הדומיין. בלי DMARC, האקרים ומשתמשים אחרים שהם תוכנות זדוניות יכולים להתחזות לארגון או לדומיין שלכם ולשלוח הודעות שנראה כאילו אתם שלחתם אותן. השבתה של DMARC חושפת את המשתמשים ואת אנשי הקשר שלכם בפני סיכוני ספאם, זיוף ופישינג. אם אתם חייבים להשבית את DMARC, צריך לבצע את השלבים האלה.

אימות השם של רשומת ה-TXT של DMARC (אופציונלי)

חשוב: הדומיינים שנעשה בהם שימוש בשלבים שבהמשך הם רק דוגמאות. צריך להחליף אותם בדומיינים שלכם.

חלק ממארחי הדומיינים מוסיפים באופן אוטומטי את שם הדומיין לסוף השם של רשומת ה-TXT, שהוזן בשלב 4.א בקטע הוספה או עדכון של רשומה. הדבר עלול לגרום לפורמט שגוי של שם רשומת ה-TXT של DMARC.

לדוגמה, אם מזינים ‎_dmarc.solarmora.com ומארח הדומיין מוסיף את שם הדומיין באופן אוטומטי, הפורמט של שם רשומת ה-TXT ייצא שגוי: ‎_dmarc.solarmora.com.solarmora.com.

לאחר שמוסיפים את רשומת ה-TXT של DMARC בהתאם לשלבים המפורטים בקטע הוספה או עדכון של רשומה, חשוב לבדוק את השם של רשומת ה-TXT כדי לוודא שהפורמט שלו תקין.

אפשר להשתמש בתכונה 'Dig' בארגז הכלים של Google Admin כדי לראות ולאמת את רשומת ה-TXT של DMARC:

נכנסים לארגז הכלים של Google Admin ובוחרים את התכונה Dig.
בשדה שם, מזינים ‎_dmarc ולאחר מכן את שם הדומיין המלא. לדוגמה, אם שם הדומיין הוא solarmora.com, מזינים ‎_dmarc.solarmora.com.
מתחת לשדה שם, לוחצים על TXT.
מאמתים את שם רשומת ה-TXT של DMARC בתוצאות. צריך לאתר את שורת הטקסט שמתחילה ב-‎_dmarc.

פורמט של רשומת DMARC

חשוב: בקטע הזה, במדיניות לדוגמה של DMARC אנחנו משתמשים בדומיינים לדוגמה. צריך להחליף אותם בדומיינים שלכם.

הפורמט של רשומת ה-DMARC הוא שורה של טקסט פשוט. הטקסט הוא רשימה של תגים וערכים של DMARC, שמופרדים באמצעות נקודה-פסיק. חלק מהתגים נדרשים וחלקם אופציונליים.

מדיניות DMARC מגדירה לשרתים איזו פעולה לנקוט כשהם מקבלים הודעות לא מאומתות מהדומיין שלכם. את הפעולה הזו מגדירים באמצעות תג המדיניות (p) כאשר מגדירים את רשומת ה-DMARC.

זוהי דוגמה לרשומת מדיניות של DMARC. התגים מופרדים בנקודה ופסיק ( ; ). התג v והתג p צריכים להופיע ראשונים. תגים אחרים יכולים להיות בכל סדר שהוא. אם משתמשים בתג rua כדי לשלוח דוחות של DMARC באימייל, צריך להשתמש בתחילית mailto:‎ לפני כל כתובת אימייל, כמו בדוגמה הבאה:

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s

תגים של רשומת DMARC

תג	תיאור וערכים
v	גרסת ה-DMARC. חייב להיות DMARC1. חובה להוסיף את התג הזה.
p	מגדיר לשרת הדואר הנכנס מה לעשות עם הודעות שלא עוברות אימות. none–לא לעשות דבר עם ההודעות, ולמסור אותן לנמענים המיועדים. לתעד את ההודעות בדוח יומי. הדוח נשלח לכתובת האימייל שמצוינת באפשרות rua שברשומה. quarantine—לסמן את ההודעות כספאם ולהעביר אותן לתיקיות הספאם של הנמענים. הנמענים יכולים לבדוק הודעות ספאם כדי לזהות הודעות לגיטימיות. reject—לדחות את ההודעות. באפשרות הזו, בדרך כלל השרת המקבל שולח הודעה חוזרת לשרת השולח. חובה להוסיף את התג הזה. הערה בנושא BIMI: אם הדומיין משתמש ב-BIMI, עליכם להגדיר את האפשרות p של DMARC כ-quarantine או כ-reject.‏ BIMI לא תומך במדיניות DMARC כאשר האפשרות p מוגדרת כ-none.
pct	מגדיר את אחוז ההודעות הלא מאומתות שכפופות למדיניות DMARC. כשפורסים בהדרגה את DMARC, ייתכן שתרצו בהתחלה להגדיר אחוז קטן מההודעות. ככל שיותר הודעות מהדומיין יעברו אימות אצל שרתים מקבלים, תוכלו לעדכן את הרשומה באחוז גבוה יותר, עד שתגיעו ל-100 אחוז. האחוז שמוגדר חייב להיות מספר שלם בין 1 ל-100. אם לא משתמשים באפשרות הזו ברשומה, מדיניות DMARC חלה על 100% מההודעות שנשלחות מהדומיין. התג הזה הוא אופציונלי. הערה בנושא BIMI: אם הדומיין משתמש ב-BIMI, הערך של התג pct במדיניות DMARC חייב להיות 100. BIMI לא תומך במדיניות DMARC כאשר הערך של pct נמוך מ-100.
rua	מגדיר את כתובת האימייל שאליה יישלחו דוחות על פעילות DMARC בדומיין. כתובת האימייל חייבת לכלול את הקידומת mailto:‎ לדוגמה: `mailto:dmarc-reports@solarmora.com`. כדי לשלוח דוחות DMARC לכמה כתובות אימייל, צריך להפריד בין כתובות האימייל באמצעות פסיק ולהוסיף את הקידומת mailto:‎ לפני כל כתובת. לדוגמה: `mailto:dmarc-reports@solarmora.com, mailto:dmarc-admin@solarmora.com` האפשרות הזו עלולה להוביל לנפח גדול של הודעות אימייל עם הדוח. לא מומלץ להשתמש בכתובת האימייל שלכם. במקום זאת, מומלץ להשתמש בתיבת דואר ייעודית, בקבוצה או בשירות של צד שלישי שמתמחה בדוחות DMARC. התג הזה הוא אופציונלי.
ruf	לא נתמך. ‫Gmail לא תומך בתג ruf, שמשמש לשליחת דוחות כשל. דוחות כשל נקראים גם 'דוחות זיהוי כשלים'.
‫sp	מגדיר את המדיניות עבור הודעות מתת-דומיינים של הדומיין הראשי. משתמשים באפשרות הזו כשרוצים להשתמש במדיניות DMARC שונה עבור תת-דומיינים. none—שום פעולה לביצוע על המודעות, מסירה שלהן לנמענים המיועדים. תיעוד ההודעות בדוח יומי. הדוח נשלח לכתובת האימייל שצוינה באפשרות rua שבמדיניות. quarantine—סימון ההודעות כספאם ושליחתן לתיקיות הספאם של הנמענים. הנמענים יכולים לבדוק הודעות ספאם כדי לזהות הודעות לגיטימיות. reject—דחיית ההודעה. באפשרות הזו, השרת המקבל אמור לשלוח הודעה חוזרת לשרת השולח. אם לא משתמשים באפשרות הזו ברשומה, תת-דומיינים יורשים את המדיניות של DMARC שמוגדרת לדומיין ההורה. התג הזה הוא אופציונלי.
adkim	מגדיר את מדיניות ההתאמה ל-DKIM, שקובעת עד כמה פרטי ההודעות חייבים להיות תואמים לחתימות DKIM. איך ההתאמה פועלת? s—התאמה מחמירה. שם הדומיין של השולח חייב להתאים בדיוק ל-‎d=domainname שמופיע בכותרות ההודעות של DKIM. r—התאמה מקלה (ברירת המחדל). מאפשרת התאמות חלקיות. יתקבל כל תת-דומיין תקין של d=domain בכותרות ההודעות של DKIM. התג הזה הוא אופציונלי.
aspf	מגדיר את מדיניות ההתאמה ל-SPF, שקובעת עד כמה פרטי ההודעות חייבים להתאים לחתימות SPF. איך ההתאמה פועלת? s—התאמה מחמירה. הכותרת 'מאת:' בהודעה חייבת להתאים בדיוק לשם הדומיין בפקודה SMTP MAIL FROM. ‫r—התאמה לא מחמירה (ברירת המחדל). כל התאמה חלקית מתקבלת. ניתן להזין כל תת-דומיין חוקי של שם הדומיין. התג הזה הוא אופציונלי.

האם המידע הועיל?

איך נוכל לשפר את המאמר?