Defaults.Exposed › דוחות
פרסום SPF אינו מספיק: תחושת הביטחון המדומה של אבטחת הדוא"ל (2026)
פורסם 2026-06-29
נתונים נכון ל-2026-06-29 · מתודולוגיה v7. נתוני מפקד מצרפיים המשלבים את הבדיקות לכל דומיין על פני 261 מיליון דומיינים מדורגים. “אוכפת” = מדיניות DMARC מסוג
quarantineאוreject. ראו כיצד אנו מדרגים.
המקום המסוכן ביותר באבטחת דוא”ל הוא להרגיש מוגן. 32.4% מהדומיינים מפרסמים SPF אך אין להם כלל DMARC — ול-45.7% יש SPF שאינו נתמך באכיפה. בעלים אלה עשו משהו, ראו “SPF: הוגדר” ועצרו. אך SPF לבדו אינו מונע ממישהו לזייף את כתובת ה-”From” הנראית שלכם — רק DMARC נאכף עושה זאת. נכון ל-2026-06-29, רק 3.87% מהדומיינים מוגנים במלואם לדוא”ל.
הפער בין “הוגדר” ל-”מוגן”
SPF בודק אילו שרתים רשאים לשלוח בשמכם. הוא אינו שולט בכתובת ה-”From” שאדם באמת רואה, ואינו אומר לנמענים מה לעשות במקרה של כישלון. זו עבודתו של DMARC. כך ש-SPF ללא מדיניות DMARC אוכפת הוא מנעול בלי דלת מאחוריו:
| מצב | חלק מהדומיינים | מוגן באמת? |
|---|---|---|
| SPF פורסם, אין כלל רשומת DMARC | 32.4% | לא |
| SPF פורסם, DMARC אינו אוכף | 45.7% | לא |
| מוגן במלואו לדוא”ל (SPF + DMARC נאכף) | 3.87% | כן |
קראו שוב את השורה האמצעית: ל-45.7% מכלל הדומיינים יש SPF אך אין אכיפה — כמעט רוב האינטרנט יושב באזור הביטחון המדומה. למטרות התוקף, הם ניתנים לזיוף — ו-89.4% מהדומיינים בסך הכול כאלה.
הגרסה הגרועה ביותר: דואר נכנס, ללא שומר בדלת
זה נעשה חד יותר עבור דומיינים שבאמת מקבלים דוא”ל. 42.7% מהדומיינים מקבלים דואר (יש להם רשומות MX) אך אין להם כלל אימות דוא”ל פעיל — אין אכיפת SPF, אין DMARC. אלה דומיינים חיים ובשימוש, שבעליהם שולחים ומקבלים מדי יום, וניתנים להתחזות מלאה. הפעילות היא בדיוק מה שהופך אותם למטרות מושכות להונאת חשבוניות ולתרמיות ספקים.
מדוע “יש לנו SPF” הפך למלכודת
SPF ותיק יותר, פשוט יותר, והדבר הראשון שרוב מדריכי ההתקנה מזכירים — ולכן זו התיבה שמסומנת. DMARC הגיע מאוחר יותר, נשמע מתקדם יותר, ודורש התקדמות מכוונת אל האכיפה. התוצאה היא אוכלוסייה עצומה שאימצה את שלב אחד ומעולם לא עשתה את שלב שתיים, ואז המשיכה להאמין שהמשימה הושלמה. המפקד הופך לראשונה את היקף התפיסה השגויה הזו לגלוי: 32.4% עם SPF וללא DMARC כלל.
כיצד באמת להתגונן
- שמרו על ה-SPF שלכם, אך אל תסתמכו עליו לבדו. (תקנו SPF.)
- הוסיפו DKIM כך שהדואר שלכם ייחתם. (תקנו DKIM.)
- פרסמו DMARC והעבירו אותו לאכיפה (
p=none←quarantine←reject). זהו השלב שממיר “הוגדר” ל-”מוגן”. (תקנו DMARC.)
שאלות נפוצות
האם SPF מספיק כדי לעצור זיוף דוא”ל? לא. SPF אינו מגן על כתובת ה-”From” הנראית ואינו אומר לנמענים לדחות זיופים — רק מדיניות DMARC אוכפת עושה זאת. ל-45.7% מהדומיינים יש SPF ללא אותה אכיפה.
יש לי רשומת SPF — האם אני מוגן?
לא לבדה. אתם מוגנים רק כאשר SPF (ורצוי DKIM) נתמך ב-DMARC המוגדר ל-quarantine או reject. רק 3.87% מהדומיינים מגיעים לכך.
איזה חלק מהדומיינים עדיין ניתן להתחזות אליהם? 89.4% — מפני שחסר להם DMARC אוכף, בלי קשר לשאלה אם הם מפרסמים SPF.
מדוע קיום דואר (MX) ללא אימות מסוכן במיוחד? 42.7% מהדומיינים שולחים ומקבלים דוא”ל באופן פעיל אך אין להם אימות פעיל — דומיינים חיים ומהימנים שכל אחד יכול לזייף, וזה בדיוק מה שרמאים מחפשים.
בדקו אם אתם באמת מוגנים
“יש לנו SPF” אינו זהה למוגן. בדקו את הדומיין שלכם בחינם ובאופן פרטי — ראו אם הדוא”ל שלכם עדיין ניתן לזיוף.
בדקו את הדומיין שלכם → · תקנו DMARC → · ציון חשיפת הדומיין → · p=none אינו הגנה → · נתונים מצרפיים בלבד. הנתונים מאוחסנים ומעובדים באיחוד האירופי.