SPF, DKIM ו-DMARC: לעצור תוקפים שמתחזים למייל העסקי שלכם

הנה עובדה לא נוחה על דואר אלקטרוני. בלי כמה הגדרות מסוימות, כמעט כל אחד יכול לשלוח הודעה שנראית כאילו הגיעה מכתובת החברה שלכם, והיא תנחת בתיבות של הלקוחות שלכם ותיראה לגמרי אמיתית. ככה מתחילה הרבה הונאת חשבוניות והתחזות: לא בפריצה לתיבה שלכם, אלא בזיוף השם שלכם על המעטפה. שלוש רשומות DNS, SPF, DKIM ו-DMARC, הן מה שעוצר את זה. הן לא חדשות, הן לא עולות כסף להגדיר, ולרוב העסקים הקטנים הן עדיין חסרות או חצי גמורות. במהלך 2025 גם ספקי תיבות הדואר הגדולים התחילו לאכוף אותן, מה שהפך רעיון טוב לצורך מעשי.

איך זיוף מייל עובד

דואר אלקטרוני תוכנן בעידן יותר תמים, וכתובת השולח בהודעה אמינה בערך כמו כתובת השולח שכותבים ביד על מעטפת נייר. כל אחד יכול לכתוב שם מה שבא לו. שום דבר במבנה הבסיסי של המייל לא בודק אם השרת ששולח הודעה שטוענת שהיא מ-your-firm.co.il באמת רשאי לעשות זאת. זה החור. SPF, DKIM ו-DMARC הן שלוש שכבות שנוספו מעל כדי לסגור אותו, כשכל אחת עונה על שאלה מעט שונה לגבי השאלה אם ההודעה באמת ממי שהיא טוענת. ביחד, הן הופכות את זיוף הדומיין שלכם לקשה הרבה יותר מלשרבט שם על מעטפה.

SPF: מי מורשה לשלוח

SPF, מסגרת מדיניות השולח, היא רשימה ציבורית של השרתים שמורשים לשלוח דואר עבור הדומיין שלכם. אתם מפרסמים אותה כרשומת DNS, והיא מונה את המקורות הלגיטימיים שלכם: Microsoft 365, מערכת הנהלת החשבונות ששולחת חשבוניות, כלי השיווק, וכן הלאה. כששרת דואר מקבל הודעה שטוענת שהיא מכם, הוא בודק אם השרת שממנו היא באמת הגיעה נמצא ברשימה. אם שרת של זר מנסה לשלוח בשמכם, הוא לא ברשימה, והבדיקה נכשלת. המלכוד הוא ש-SPF לבד קל לעקוף במקרים מסוימים, ולכן זו השכבה הראשונה ולא כל התשובה.

DKIM: חתימה שלא ניתנת לזיוף

DKIM מוסיף חתימה קריפטוגרפית לכל הודעה שהמערכות שלכם שולחות. חשבו עליה כחותם שעווה שמוכיח שני דברים: שההודעה באמת הגיעה מהדומיין שלכם, ושאף אחד לא שינה אותה בדרך. השרת המקבל בודק את החתימה מול מפתח ציבורי שאתם מפרסמים ב-DNS. אם יש התאמה, ההודעה אותנטית ולא נגעו בה. אם מישהו מזייף הודעה או משנה את תוכנה בדרך, החותם נשבר והבדיקה נכשלת. את DKIM קשה יותר לזייף מ-SPF, וביחד השתיים מכסות הרבה יותר משטח מכל אחת לבדה, וזו כל הנקודה בשכבות.

DMARC: המדיניות שמחברת הכול

SPF ו-DKIM כל אחת מריצה בדיקה, אבל לבדן הן לא אומרות לשרת המקבל מה לעשות כשהודעה נכשלת. זו המשימה של DMARC. DMARC היא ההוראה שאתם מפרסמים שאומרת באיזו מידת חומרה להתייחס לדואר שנכשל בשתי הבדיקות האחרות. יש לה שלוש הגדרות. מדיניות של none אומרת לעקוב ולדווח אבל למסור בכל זאת. quarantine אומרת לשלוח כישלונות לתיקיית הזבל. reject אומרת לסרב להן לחלוטין. DMARC גם שולחת לכם דוחות על מי ששולח דואר בשם הדומיין שלכם, וככה אתם מגלים מה באמת קורה מאחורי הקלעים.

למה מדיניות none היא רק קו ההתחלה

הרבה מאוד עסקים מגדירים DMARC, בוחרים במדיניות none, ועוצרים שם. זה מובן, כי none בטוחה: שום דבר לא נחסם, אז שום דבר לא נשבר. אבל זה גם אומר שאתם עדיין לא מוגנים. הודעה מזויפת שנכשלת בבדיקות עדיין נמסרת, רק עם הערה בדוח שאולי לעולם לא תקראו. הנקודה של מדיניות none היא להיות שלב תצפית זמני, שבו אתם עוקבים אחרי הדוחות, מוודאים שכל הדואר הלגיטימי שלכם עובר, ואז מהדקים ל-quarantine ולבסוף ל-reject. רשומת DMARC שנשארת על none במשך שנתיים מנטרת דלת פתוחה, לא סוגרת אותה.

השינוי של 2025 שהפך את זה לדחוף

במשך זמן רב הרשומות האלה היו אופציונליות בפועל, ואפשר היה להתעלם מהן בלי תוצאות ברורות. זה השתנה. במהלך 2025 Microsoft התחילה לאכוף SPF, DKIM ו-DMARC עבור דומיינים ששולחים כמויות גדולות של דואר לכתובות Outlook ו-Hotmail, בעקבות Google ו-Yahoo שהנהיגו כללים דומים שנה קודם. שולחים בנפח גבוה בלי רשומות תקינות מסכנים עכשיו את הדואר שלהם בסינון לזבל או בדחייה מוחלטת. גם אם העסק שלכם שולח הרבה מתחת לנפחים האלה, הכיוון ברור: דואר מאומת כראוי מגיע יותר ויותר לתיבה, ודואר לא מאומת מגיע פחות ופחות. לעשות את זה נכון נוגע עכשיו להגעת ההודעות שלכם בדיוק כמו לעצירת זיופים.

מה זה מגן עליו, ומה לא

שווה להיות כנים לגבי הגבולות. SPF, DKIM ו-DMARC עוצרות מישהו שמזייף את הדומיין המדויק שלכם, your-firm.co.il. הן סוגרות התקפה אמיתית ונפוצה, וזה שווה ערך. מה שהן לא עושות הוא לעצור הכול. הן לא יכולות לחסום דומיין דומה, שבו your-firm.co.il הופך ל-your-firm-il.co.il ועין עסוקה קוראת את שניהם כאותו דבר. הן לא מגנות על הדואר הנכנס שלכם מדיוג שנשלח אליכם. והן לא עושות כלום אם תוקף מתחבר לתיבה האמיתית שלכם עם סיסמה גנובה, ולכן MFA עדיין חשוב בדיוק באותה מידה. התייחסו לאימות דואר כשכבה חזקה אחת, לא כהגנה כולה.

לקרוא את הדוחות

צד הדיווח של DMARC הוא החלק שרוב האנשים מדלגים עליו, והוא באמת שימושי. ברגע שתפעילו אותו, תתחילו לקבל סיכומים קבועים של כל שרת ששולח דואר שטוען שהוא הדומיין שלכם. בפעם הראשונה שקוראים אחד כזה, זו בדרך כלל הפתעה. אתם מגלים את פלטפורמת השיווק שאף אחד לא סיפר עליה ל-IT, את מערכת החשבוניות הישנה שעדיין שולחת משרת שמעולם לא נוסף לרשומת ה-SPF, ולפעמים את השולח הזדוני באמת שמזייף את שמכם. הדוחות האלה הם איך שאתם בונים רשומת SPF מדויקת, ואיך שאתם מגיעים לנקודה שבה אפשר להפעיל אכיפה בבטחה בלי לחסום בטעות את הדואר הלגיטימי שלכם.

לעשות את זה ב-Microsoft 365

אם אתם מריצים Microsoft 365, כבר יש לכם את רוב מה שצריך. Microsoft מפרסמת הנחיות SPF לדומיין שלכם, יכולה לחתום על הדואר היוצא שלכם ב-DKIM ברגע שתפעילו אותו לדומיין המותאם שלכם, ו-DMARC היא רשומת DNS אחת שאתם מוסיפים בעצמכם. הטעויות הנפוצות צפויות: להשאיר את DKIM כבוי כי הוא לא מופעל כברירת מחדל לדומיינים מותאמים, לשכוח להוסיף שולח צד שלישי כמו ה-CRM או כלי הנהלת החשבונות לרשומת ה-SPF, ולעולם לא לפרסם DMARC בכלל. אף אחת מאלה לא קשה לתיקון. הן פשוט משימות שצריך לעשות בכוונה ולא להניח שהפלטפורמה מטפלת בהן.

להטמיע בלי לשבור את הדואר

הטעות שכדאי להימנע ממנה היא לרוץ ישר למדיניות reject ולגלות שחצי מהדואר הלגיטימי שלכם, מערכת החשבוניות, כלי הזימונים, הניוזלטר, מעולם לא אומת כראוי ועכשיו מוחזר. הדרך הבטוחה מדורגת. קודם, רשמו כל מערכת ששולחת דואר בשם הדומיין שלכם. פרסמו רשומת SPF מדויקת שמכסה את כולן והפעילו DKIM. אז הפעילו DMARC עם מדיניות none וקראו את הדוחות כמה שבועות, עד שאתם בטוחים שכל שולח אמיתי עובר. רק אז עברו ל-quarantine, ולבסוף ל-reject. ככה ההגנה עולה צעד אחר צעד ואף הודעה אמיתית לא הולכת לאיבוד בדרך.

לעשות את אימות הדואר שלכם נכון

SPF, DKIM ו-DMARC לא מסובכות, אבל קל לטעות בהן בעדינות, והגדרה חצי גמורה נותנת לכם תחושת ביטחון מוטעית בזמן שהיא עדיין מעבירה זיופים. NetFortress מגדירה ומנהלת אימות דואר לעסקים בישראל, כמעט תמיד על Microsoft 365, ומובילה דומיינים בבטחה מאפס הגנה לאכיפה מלאה בלי לשבש דואר לגיטימי. אם אתם לא בטוחים אם אפשר להתחזות לדומיין שלכם היום, בקשו מאיתנו בדיקה ונבדוק את הרשומות שלכם ונגיד לכם בדיוק איפה אתם עומדים.