Defaults.Exposed › דוחות
האם מישהו יכול לשלוח דוא"ל בהתחזות לעסק שלכם? עבור רוב הדומיינים, כן (2026)
פורסם 2026-06-29
נתונים נכון ל-2026-06-29 · מתודולוגיה v7. נתוני מפקד מצרפיים על פני 261 מיליון דומיינים שדורגו. “ניתן להתחזות לו” משמעו שהדומיין אינו אוכף DMARC (אין מדיניות הסגר או דחייה), הבקרה שאומרת לשרתי הדואר המקבלים לעצור דואר מזויף. ראו כיצד אנו מדרגים.
עבור רוב העסקים, כן — מישהו יכול לשלוח דוא”ל שנראה בדיוק כאילו הגיע מהדומיין שלכם. רק 10.59% מתוך 261 מיליון הדומיינים שדירגנו אוכפים DMARC, הבקרה היחידה שבאמת חוסמת התחזות. שאר ה-89.41% משאירים את הדלת פתוחה: רמאי יכול להכניס את הכתובת המדויקת שלכם בשורת “מאת” ורוב תיבות הדואר יציגו אותה כאמיתית. זהו המנגנון שמאחורי חשבוניות מזויפות, בקשות תשלום בסגנון הונאת-מנכ”ל והונאות ספקים — וניסיון לעשות זאת אינו עולה דבר.
האם מישהו באמת יכול לשלוח דוא”ל בשם הדומיין שלי?
אם הדומיין שלכם אינו אוכף DMARC, אז כן. הדוא”ל תוכנן ללא דרך מובנית לאמת את השולח, ולכן קל מאוד לזייף את כתובת “מאת”. שלוש הגדרות, בשכבות, מתקנות זאת — SPF, DKIM ו-DMARC — אך רק האחרונה, כשהיא מוגדרת לאכיפה, אומרת לשרת המקבל לדחות בפועל או להעביר להסגר זיוף. נכון ל-2026-06-29:
- ל-75.11% מהדומיינים אין רשומת DMARC כלל.
- ל-14.29% יש רשומת DMARC המוגדרת לניטור בלבד (
p=none) — היא נראית כהגנה בביקורת, אך אומרת למקבלים לא לעשות דבר, ולכן דואר מזויף עדיין מגיע. - רק 10.59% אוכפים מדיניות של
quarantineאוreject— התצורה שעוצרת התחזות.
אז 89.41% מהדומיינים — יותר משמונה מתוך עשרה — ניתנים להתחזות בדוא”ל כיום.
”אבל יש לנו SPF” — מדוע זה אינו מספיק
זוהי התפיסה השגויה הנפוצה והמסוכנת ביותר. 53.21% מהדומיינים מפרסמים רשומת SPF, הרבה יותר מ-10.59% שאוכפים DMARC. בעלים רואים SPF ומניחים שהם מכוסים. הם אינם: SPF (ו-DKIM) בודקים את נתיב השליחה הטכני, אך אינם שולטים בכתובת “מאת” שבן אדם באמת רואה. בלי DMARC המוגדר לאכיפה, תוקף עדיין יכול לעבור את SPF בתשתית שלו עצמו ולזייף את הכתובת הגלויה שלכם. SPF הוא הצנרת ההכרחית; אכיפת DMARC היא המנעול.
עד כמה הפינה שלכם ברשת חשופה?
האכיפה משתנה מאוד לפי סיומת הדומיין. גבוה יותר עדיף — זהו שיעור הדומיינים שבאמת חוסמים התחזות. נכון ל-2026-06-29:
| סיומת דומיין | אוכף DMARC | ניתן להתחזות לו |
|---|---|---|
| nl. (הולנד) | 29.43% | 29.43% מוגנים, השאר חשופים |
| de. (גרמניה) | 21.38% | — |
| in. (הודו) | 19.26% | — |
| uk. (הממלכה המאוחדת) | 13.42% | — |
| com. | 9.50% | הסיומת הנפוצה ביותר נמצאת מתחת לממוצע העולמי של 10.59% |
| net. | 10.08% | — |
| org. | 10.01% | — |
| xyz. | 5.15% | — |
| top. | 3.17% | — |
| cn. (סין) | 1.45% | הנמוכה ביותר מבין הסיומות המרכזיות |
אפילו הסיומת הגדולה בעלת הביצועים הטובים ביותר מגינה על פחות משליש מהדומיינים שלה. ב-.com — שם נמצאים רוב העסקים — רק 9.50% אוכפים DMARC.
כמה זה באמת עולה לעסק
התחזות בדוא”ל היא המנגנון שמאחורי כמה מפשעי הרשת היקרים ביותר המדווחים לרשויות אכיפת החוק ברחבי העולם — פגיעה בדוא”ל עסקי (BEC). התבנית תמיד זהה:
- לקוח מקבל “חשבונית” מהכתובת שלכם עם פרטי הבנק של הרמאי, משלם אותה, ומגלה את ההונאה שבועות לאחר מכן — לעיתים קרובות מתייחס לכך ככישלון שלכם.
- עובד מקבל בקשה דחופה “מהבוס” להעביר כסף או לקנות כרטיסי מתנה. הכתובת באמת שלכם, ולכן הוא נענה.
- לספק נאמר “פרטי הבנק שלנו השתנו” בדוא”ל שעובר כל בדיקה ויזואלית.
שום דבר מזה אינו דורש פריצה למערכות שלכם. הוא דורש רק שהדומיין שלכם לא יאכוף DMARC — מה שעבור 89.41% מהדומיינים, אכן כך.
כיצד לדעת אם אתם מוגנים (ולתקן זאת)
אינכם יכולים לדעת מבחוץ אם אתם בקרב ה-10.59% — הדרך היחידה לדעת היא לבדוק את הדומיין שלכם. התיקון חינמי ובדרך כלל אורך אחר צהריים, נעשה לפי הסדר: פרסמו SPF ו-DKIM, ואז העבירו את DMARC לאכיפה (p=none ← quarantine ← reject). השלב האחרון הוא זה שבאמת סוגר את הדלת.
שאלות נפוצות
האם מישהו יכול לשלוח דוא”ל בהתחזות לחברה שלי? אם הדומיין שלכם אינו אוכף DMARC (מדיניות הסגר או דחייה), כן — ניתן לזייף את כתובת “מאת” המדויקת שלכם ורוב תיבות הדואר יציגו אותה כאמיתית. נכון ל-2026-06-29, 89.41% מהדומיינים שדורגו נמצאים במצב זה.
כבר יש לנו SPF — אז אנחנו לא מוגנים?
לא. SPF בודק את נתיב השליחה הטכני אך לא את כתובת “מאת” הגלויה. 53.21% מהדומיינים מפרסמים SPF, אך בלי DMARC המוגדר לאכיפה, עדיין ניתן לזייף את הכתובת שלכם. אתם צריכים DMARC ב-quarantine או reject.
האם רשומת DMARC אינה מספיקה?
רק אם היא אוכפת. רשומה המוגדרת ל-p=none (ניטור בלבד) — שבה משתמשים 14.29% מהדומיינים — אינה עושה דבר כדי לעצור זיוף. רק quarantine או reject עושים זאת, ורק 10.59% מהדומיינים מגיעים לשם.
כיצד אבדוק את הדומיין שלי? הריצו בדיקה חינמית ופרטית (למטה). אנו תמיד מציגים את תוצאת הדומיין רק לבעליו המאומת.
האם תיקון זה יקר? לא. SPF, DKIM ו-DMARC הם הגדרות DNS חינמיות. העלות היא הזמן להגדיר אותן בסדר הנכון, לא כסף.
בדקו אם ניתן להתחזות לדומיין שלכם
אל תנחשו באיזה צד של ה-10.59% אתם נמצאים. בדקו את הדומיין שלכם באופן פרטי וחינמי — תראו את מצב ה-DMARC, ה-SPF וה-DKIM שלכם ובדיוק מה לתקן.
בדקו את הדומיין שלכם ← · תקנו DMARC ← · תקנו SPF ← · כיצד אנו מדרגים ← · נתונים מצרפיים בלבד. הנתונים מאוחסנים ומעובדים באיחוד האירופי.