הגדרת DMARC

Gmail users: If you’re getting spam or phishing messages in Gmail, go here instead. If you’re having trouble sending or receiving emails in Gmail, go here instead.

כאדמינים, אחרי שאתם מגדירים SPF ו-DKIM, אתם יכולים להגדיר פרוטוקול מבוסס-דומיין לאימות, דיווח והתאמה של הודעות (DMARC). פרוטוקול DMARC מאפשר לכם להגדיר לשרתי אימייל מה לעשות עם הודעות שלא עוברות את בדיקות האימות של SPF או DKIM. בנוסף, תוכלו לקבל דוחות שיעזרו לכם לזהות בעיות אימות פוטנציאליות ופעילות זדונית בהודעות שנשלחו מהדומיין שלכם.

What is DMARC?

DMARC helps protect users from forged email messages,
and lets you manage messages that don't pass SPF or DKIM.

בדף הזה

שלב 1: מפעילים את SPF ו-DKIM

כדי להשתמש ב-DMARC, צריך קודם להפעיל את SPF ו-DKIM בדומיין. אם לא הגדרתם את SPF ו-DKIM, תוכלו להיעזר בקישור עזרה במניעת זיוף, פישינג וספאם כדי לעשות זאת.

‫SPF,‏ DKIM ו-DMARC חלים בכל דומיין בנפרד. אם אתם מנהלים יותר מדומיין אחד, צריך להפעיל את SPF,‏ DKIM ו-DMARC בכל דומיין בנפרד.

חשוב:

  • If you don't set up SPF and DKIM before enabling DMARC, messages sent from your domain will probably have delivery issues.
  • לאחר שהגדרתם את SPF ו-DKIM, צריך לחכות 48 שעות לפני שמגדירים את DMARC.

שלב 2: בודקים אם פרוטוקול DMARC כבר מוגדר

אם אתם משתמשים ב-Google Workspace, תוכלו להשתמש בארגז הכלים של Google Admin כדי לבדוק אם DMARC כבר מוגדר. במקרים אחרים, יש לפעול לפי השלבים לבדיקה מול הספק של הדומיין.

בדיקה באמצעות ארגז הכלים של Google Admin:

  1. נכנסים אל ארגז הכלים של Google Admin.
  2. עוברים אל בעיות של אימות DNS‏ואזCheck MX.
  3. מזינים את שם הדומיין בשדה שם הדומיין ואז לוחצים על הרצת הבדיקות.
  4. תוכלו לראות בתוצאות אם הדומיין כולל רשומת DMARC:
    • ה-DMARC אינו מוגדר: בדומיין עדיין אין רשומת DMARC.
    • עיצוב של מדיניות DMARC: בדומיין קיימת רשומת DMARC.

בדיקה באמצעות ספק הדומיין:

  1. נכנסים למסוף הניהול של ספק הדומיין.
  2. נכנסים לדף שבו מעדכנים את רשומות ה-TXT של DNS בדומיין.
  3. אם בדומיין מוגדרת רשומת DMARC, בתת-הדומיין ‎_dmarc.example.com‏ (example מייצג את שם הדומיין), אפשר לראות את רשומת ה-TXT שמתחילה בביטוי v=DMARC.

ממשיכים לפי התוצאות:

  • אם הוגדרה רשומת DMARC, צריך לבדוק את דוחות ה-DMARC כדי לוודא שמתבצע על ידי DMARC אימות אפקטיבי של ההודעות, ושהן נשלחות באופן תקין.
  • אם לא מוגדרת רשומת DMARC, צריך לעבור לקטע בנושא הגדרת קבוצה או תיבת דואר לדוחות (בדף הזה).

שלב 3: מגדירים קבוצה או תיבת דואר לדוחות

המספר של דוחות DMARC שאתם מקבלים באימייל יכול להשתנות. הוא תלוי במספר האימיילים שנשלחים מהדומיין, ובמספר הדומיינים שאתם שולחים אליהם הודעות. יכול להיות שתקבלו הרבה דוחות מדי יום. ארגונים גדולים עשויים לקבל מאות ואפילו אלפי דוחות ביום.

בדוחות DMARC אפשר לראות אילו הודעות שנשלחו מהדומיין אומתו באמצעות SPD ו-DKIM, ואם יש הודעות שהאימות שלהן נכשל באופן קבוע. תוכלו גם להשתמש בדוחות כדי לבדוק מי שולח אימיילים בדומיין, ולקבל התראות אם המערכת מזהה מפיצי ספאם פוטנציאליים. בדיקת דוחות DMARC חשובה במיוחד במהלך שלב ההשקה. מידע נוסף על תהליך ההשקה המומלץ ל-DMARC

מומלץ ליצור קבוצה או תיבת דואר ייעודית לקבלת דוחות DMARC ולניהול שלהם.

חשוב: בדרך כלל, כתובת האימייל לדוחות נמצאת באותו דומיין שמארח את רשומת DMARC שלכם. אם יש בכתובת האימייל דומיין שונה, אתם צריכים להוסיף רשומת DNS לדומיין השני. פרטים נוספים זמינים בקטע איך שולחים דוחות לכתובת אימייל בדומיין אחר, בדף של דוחות DMARC.

שלב 4: מוודאים ששירותי צד שלישי מאומתים

אם אתם משתמשים בשירותים של צד שלישי כדי לשלוח אימיילים של הארגון, אתם צריכים לוודא שההודעות שנשלחות באמצעות השירות של הצד השלישי מאומתות ועוברות את בדיקות ה-SPF וה-DKIM.

  • צריך ליצור קשר עם ספק הצד השלישי כדי לוודא ש-DKIM מוגדר באופן תקין.
  • חשוב לוודא שדומיין כתובת השולח של הספק זהה לדומיין שלכם. צריך להוסיף את כתובת ה-IP של שרתי שליחת הדואר של הספק לרשומת ה-SPF בדומיין.
  • צריך לנתב דואר יוצא מהספק דרך Google באמצעות ההגדרה שרת ממסר SMTP.

שלב 5: מכינים את רשומת ה-DMARC

המדיניות של פרוטוקול DMARC מוגדרת בשורה של ערכי טקסט, שנקראת רשומת DMARC. ברשומה מוגדרות:

  • רמת החומרה שלפיה פרוטוקול DMARC בודק הודעות.
  • פעולות מומלצות לשרת המקבל כאשר הוא מקבל הודעות שנכשלות בבדיקות האימות.

דוגמה לרשומת מדיניות DMARC (צריך להחליף את example.com בשם הדומיין שלכם):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

תחילה צריך להוסיף את התגים v ו-p, ואז את שאר התגים בכל סדר שתרצו.

כשמתחילים להשתמש ב-DMARC, מומלץ להגדיר את אפשרות המדיניות (p) לאפשרות none. בהמשך, כשתבינו איך הודעות מהדומיין שלכם מאומתות על ידי השרתים המקבלים, תוכלו לעדכן את המדיניות שלכם. עם הזמן, תוכלו לשנות את מדיניות השרתים המקבלים לאפשרות quarantine (or reject)מידע נוסף על תהליך ההשקה המומלץ ל-DMARC

הגדרות וערכים של תגים ברשומת DMARC

תג תיאור וערכים
v

גרסת DMARC (חובה). חייב להיות DMARC1.
p (חובה) מגדיר לשרת הדואר הנכנס מה לעשות עם הודעות שנכשלות באימות.
  • none–לא לעשות דבר עם ההודעות, ולמסור אותן לנמענים המיועדים. לתעד את ההודעות בדוח יומי. הדוח נשלח לכתובת האימייל שמצוינת באפשרות rua שברשומה.
  • quarantine—לסמן את ההודעות כספאם ולהעביר אותן לתיקיות הספאם של הנמענים. הנמענים יכולים לבדוק הודעות ספאם כדי לזהות הודעות לגיטימיות.
  • reject—לדחות את ההודעות. באפשרות הזו, בדרך כלל השרת המקבל שולח הודעה חוזרת לשרת השולח.

הערה בנושא BIMI: אם הדומיין משתמש ב-BIMI, עליכם להגדיר את האפשרות p של DMARC כ-quarantine או כ-reject.‏ BIMI לא תומך במדיניות DMARC כאשר האפשרות p מוגדרת כ-none.
pct

התג pct הוא אופציונלי, אבל Google ממליצה לכלול אותו ברשומת DMARC בזמן השקת DMARC כדי שתוכלו לנהל את אחוז האימיילים שעליו חלה מדיניות DMARC.

מגדיר את אחוז ההודעות הלא מאומתות שכפופות למדיניות DMARC. כשפורסים בהדרגה את DMARC, ייתכן שתרצו בהתחלה להגדיר אחוז קטן מההודעות. ככל שיותר הודעות מהדומיין יעברו אימות אצל שרתים מקבלים, כך תוכלו לעדכן את הרשומה באחוז גבוה יותר, עד שתגיעו ל-100 אחוז.

האחוז שמוגדר חייב להיות מספר שלם בין 1 ל-100. אם לא משתמשים באפשרות הזו ברשומה, מדיניות DMARC חלה על 100% מההודעות שנשלחות מהדומיין.

הערה בנושא BIMI: אם הדומיין משתמש ב-BIMI, הערך של התג pct במדיניות DMARC חייב להיות 100. BIMI לא תומך במדיניות DMARC כאשר הערך של pct נמוך מ-100.
rua

התג rua הוא אופציונלי, אבל Google ממליצה תמיד לכלול אותו ברשימת DMARC.

שליחת דוחות DMARC לכתובת אימייל. כתובת האימייל חייבת לכלול mailto:‎,
לדוגמה: ‎mailto:dmarc-reports@example.com (החליפו את example.com בדומיין שלכם).

  • כדי לשלוח דוחות DMARC לכמה כתובות אימייל, צריך להפריד בין כתובות האימייל באמצעות פסיק ולהוסיף את הקידומת mailto:‎ לפני כל כתובת. ‎לדוגמה: mailto:dmarc-reports@example.com,‏ mailto:dmarc-admin@example.com‎ (החליפו את example.com בדומיין שלכם).
  • האפשרות הזו עלולה להוביל לנפח גדול של הודעות אימייל עם דוחות. לא מומלץ להשתמש בכתובת האימייל שלכם. במקום זאת, מומלץ להשתמש בתיבת דואר ייעודית, בקבוצה או בשירות של צד שלישי שמתמחה בדוחות DMARC.
  • כדי לשלוח דוחות DMARC לכתובת אימייל בדומיין אחר מזה שמארח את רשומת DMARC שלכם, הוסיפו רשומת TXT ל-DNS של דומיין האימייל. פרטים נוספים זמינים בקטע איך שולחים דוחות לכתובת אימייל בדומיין אחר, בדף של דוחות DMARC.
ruf

(לא נתמך) Gmail לא תומך בתג ruf, שמשמש לשליחת דוחות כשל. דוחות כשל נקראים גם 'דוחות זיהוי כשלים'.
sp (אופציונלי) מגדיר את המדיניות של הודעות מתת-דומיינים של הדומיין הראשי. משתמשים באפשרות הזו כשרוצים להשתמש במדיניות DMARC שונה לתת-הדומיינים.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantineסימון ההודעות כספאם ושליחתן לתיקיות הספאם של הנמענים. הנמענים יכולים לבדוק הודעות ספאם כדי לזהות הודעות לגיטימיות.
  • rejectדחיית ההודעה. באפשרות הזו, השרת המקבל אמור לשלוח הודעה חוזרת לשרת השולח.

אם לא משתמשים באפשרות הזו ברשומה, תת-דומיינים יורשים את המדיניות של DMARC שמוגדרת לדומיין ההורה.
adkim (אופציונלי) מגדיר את מדיניות ההתאמה ל-DKIM, שקובעת עד כמה פרטי ההודעות חייבים להיות זהים לחתימות DKIM. קראו איך ההתאמה פועלת? (בהמשך הדף).
  • sהתאמה מחמירה. שם הדומיין של השולח חייב להיות זהה ל-‎d=domainname שמופיע בכותרות ההודעות של DKIM.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (אופציונלי) מגדיר את מדיניות ההתאמה ל-SPF, שקובעת עד כמה פרטי ההודעות חייבים זהים לחתימות SPF. קראו איך ההתאמה פועלת? (בהמשך הדף).
  • sהתאמה מחמירה. הכותרת 'מאת:' בהודעה חייבת להיות זהה לשם הדומיין בפקודה SMTP MAIL FROM.
  • rהתאמה לא מחמירה (ברירת המחדל). כל התאמה חלקית מתקבלת. ניתן להזין כל תת-דומיין חוקי של שם הדומיין.

DMARC – פעולת התאמה

DMARC מעביר או מכשיל את אימות ההודעה על סמך מידת ההתאמה בין הדומיין בכותרת מאת: לדומיין השולח שהוגדר באמצעות SPF או DKIM. הפעולה הזו נקראת התאמה.

אתם יכולים לבחור מבין שני מצבים: התאמה מחמירה או התאמה מקלה. אפשר להגדיר את מצב ההתאמה של SPF ו-DKIM ברשומת ה-DMARC באמצעות תגי רשומת ה-DMARC:‏ aspf ו-adkim.

שיטת אימות התאמה מחמירה התאמה מקלה
SPF התאמה מדויקת בין הדומיין ב'כתובת השולח' (נקראת גם 'הכתובת להחזרה' או הכתובת להודעות על שליחה שנכשלה) לבין כתובת הכותרת מאת:. הדומיין בכתובת הכותרת מאת: חייב להיות זהה לדומיין ב'כתובת השולח' (נקראת גם 'הכתובת להחזרה' או הכתובת להודעות על שליחה שנכשלה) או להיות תת-דומיין של הדומיין הזה.
DKIM צריכה להיות התאמה מדויקת בין דומיין ה-DKIM הרלוונטי לבין הדומיין שבכתובת הכותרת מאת:. הדומיין בכתובת הכותרת מאת: חייב להיות זהה לדומיין שהוגדר בתג החתימה של DKIM ‏=d או להיות תת-דומיין של הדומיין הזה.

במקרים מסוימים, ההמלצה של Google היא לשנות את ההגדרה להתאמה מחמירה כדי להגדיל את ההגנה מפני זיוף:

  • דואר נשלח בשם הדומיין שלכם מתת-דומיין שאינו בשליטה שלכם.
  • יש לכם תתי-דומיינים שמנוהלים על ידי ישות אחרת.
חשוב: התאמה מקלה מעניקה בדרך כלל הגנה מספקת מפני זיוף. התאמה מחמירה עלולה לגרום לכך שהודעות מתת-דומיינים משויכים יידחו או יישלחו לספאם.

כדי לעבור את בדיקת DMARC, ההודעה חייבת לעבור לפחות את אחת מהבדיקות הבאות:

  • אימות SPF והתאמת SPF 
  • אימות DKIM והתאמת DKIM

הודעה נכשלת בבדיקת DMARC אם היא נכשלת בשני האימותים הבאים:

  • SPF (או התאמת SPF)
  • DKIM (או התאמת DKIM)

שלב 6: מוסיפים את רשומת ה-DMARC

אחרי שמכינים את הטקסט של רשומת ה-DMARC, מוסיפים או מעדכנים את רשומת ה-TXT של ה-DNS של DMARC אצל ספק הדומיין. בכל פעם שמשנים את המדיניות של DMARC ומעדכנים את הרשומה, חייבים לעדכן את רשומת ה-TXT של DMARC אצל ספק הדומיין.

הוספה או עדכון של רשומה

חשוב: צריך לוודא שהגדרתם את DKIM ו-SPF לפני הגדרת DMARC. DKIM ו-SPF צריכים לאמת הודעות למשך 48 שעות לפחות לפני הפעלת DMARC.

  1. מכינים את שורת הטקסט או את קובץ הטקסט לרשומת ה-DMARC.
  2. Sign in to your domain host, typically where you purchased your domain name. If you’re not sure who your domain host is, see identify your domain registrar.
  3. Go to the page where you update DNS TXT records for your domain. For help finding this page, check the documentation for your domain.

  4. Add or update the TXT record with this information (refer to the documentation for your domain): 

    שם השדה ערך להזנה
    סוג סוג הרשומה הוא TXT.
    מארח (שם, שם המארח, כתובת אימייל חלופית) הערך צריך להיות ‎_dmarc.example.com (צריך להחליף את example.com בשם של הדומיין שלכם)
    ערך המחרוזת שהיא למעשה רשומת ה-TXT. לדוגמה: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s פרטים נוספים זמינים בקטע בנושא הכנת רשומת ה-DMARC (למעלה בדף הזה).
    הערה חלק ממארחי הדומיינים מוסיפים את שם הדומיין באופן אוטומטי. אחרי שמוסיפים או מעדכנים את רשומת ה-TXT, צריך לאמת את שם הדומיין ברשומת ה-DMARC כדי לוודא שהיא בפורמט הנכון.
  5. שומרים את השינויים.
  6. אם אתם מגדירים DMARC ליותר מדומיין אחד, צריך לבצע את השלבים האלו עבור כל דומיין. לכל דומיין יכולות להיות מדיניות שונה ואפשרויות דיווח שונות, לפי ההגדרה ברשומה.

שלב 7: מאמתים את רשומת ה-DMARC

חשוב: הדומיינים שנעשה בהם שימוש בשלבים שבהמשך הם רק דוגמאות. צריך להחליף אותם בדומיינים שלכם.

חלק ממארחי הדומיינים מוסיפים באופן אוטומטי את שם הדומיין לסוף השם של רשומת ה-TXT. הפעולה הזו עלולה לגרום לפורמט שגוי של שם רשומת ה-TXT של DMARC. לדוגמה, אם מזינים ‎_dmarc.example.com ומארח הדומיין מוסיף את שם הדומיין באופן אוטומטי, הפורמט של שם רשומת ה-TXT ייצא שגוי: ‎_dmarc.example.com.example.com.

לאחר שמוסיפים את רשומת ה-TXT של DMARC בהתאם לשלבים שמפורטים בקטע הוספה או עדכון של רשומה, חשוב לבדוק את השם של רשומת ה-TXT כדי לוודא שהפורמט שלו תקין.

בארגז הכלים של Google Admin, אפשר להשתמש בתכונה 'Dig' כדי לראות ולאמת את רשומת ה-TXT של DMARC:

  1. נכנסים לארגז הכלים של Google Admin ובוחרים את התכונה Dig.
  2. בשדה Name (שם), מזינים ‎_dmarc.‎ ולאחר מכן את שם הדומיין המלא. לדוגמה, אם שם הדומיין הוא example.com מזינים: ‎_dmarc.example.com.
  3. מתחת לשדה Name (שם), לוחצים על TXT.
  4. מאמתים את שם רשומת ה-TXT של DMARC בתוצאות. צריך לאתר את שורת הטקסט שמתחילה ב-‎_dmarc.

נושאים קשורים


Google,‏ Google Workspace והסימנים וסמלי הלוגו הקשורים אליהם הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.

האם המידע הועיל?

איך נוכל לשפר את המאמר?

צריכים עזרה נוספת?

תוכלו לנסות את האפשרויות הבאות:

פרסום בפורום העזרה מהקהילה קבלת תשובות מחברי הקהילה
פנייה אלינו אפשר לספר לנו עוד על הבעיה, ונעזור לכם לפתור אותה
true
Start your free 14-day trial today

Professional email, online storage, shared calendars, video meetings and more. Start your free Google Workspace trial today.

חיפוש
ניקוי החיפוש
סגירת החיפוש
התפריט הראשי
8042001042659471094
true
חיפוש במרכז העזרה
true
true
true
true
true
73010
false
false