Defaults.Exposed

Defaults.Exposed › דוחות

ששת שלבי הבשלות של DMARC

פורסם 2026-07-03 · עודכן 2026-07-03

נתונים נכון ל-2026-06-29 · מתודולוגיה v7. זהו מודל ייחוס הנתמך על ידי מפקד חוזר; כל מהדורה מודדת מחדש את אותה אוכלוסייה כך שניתן לעקוב אחר המספרים לאורך זמן. כל הנתונים הם מצרפיים — לעולם איננו מפרסמים ציון של עסק בודד.

פרסום DMARC אינו זהה להיות מוגן

מבין 261 מיליון הדומיינים שנמדדו, 24.89% מפרסמים רשומת DMARC — אך רק 10.59% אוכפים אחת. במילים אחרות: מתוך כ-65 מיליון הדומיינים שהתחילו את מסע ה-DMARC, 57.5% מעולם לא הגיעו לחלק שחוסם דבר. הם פרסמו רשומה, כיוונו את הדיווח לאנשהו, ונתקעו. מחקרים עצמאיים קטנים יותר מוצאים את אותה תבנית — דוח תעשייה אחד מ-2026 העמיד זאת על כ-9% שאוכפים מבין כ-938,000 הדומיינים שבחן.

האימוץ אינו עוד הבעיה. ההגנה כן. ודומיינים נתקעים מסיבה מבנית: המפות שכולם משתמשים בהן נעצרות מוקדם מדי. הן נגמרות מוקדם מדי, ואף אחת מהן אינה נותנת לצעד הקשה ביותר שם משלו.

היכן המפות הקיימות נעצרות מוקדם מדי

המודלים שלפיהם התעשייה מנווטת היו נכונים לתקופתם, וראויים לקריאה הוגנת:

לשלושתם שני מגבלות משותפות. ראשית, הם נעצרים ב-p=reject — כאילו האכיפה היא קו הסיום. היא אינה: התקן עצמו התקדם הלאה (DMARCbis — RFC 9989, 9990 ו-9991 — פורסם במאי 2026, ומחליף את RFC 7489 המקורי), והאכיפה אינה עושה דבר עבור אבטחת התעבורה או אמון המותג. שנית — וזו זו שבאמת מותירה דומיינים תקועים — אף אחד מהם אינו הופך את “כל שולח מנוהל ומתועד” לשלב בעל שם. למען ההגינות, מדריכי הפריסה אכן מזכירים את העבודה: המודל של dmarcian כולל זיהוי מקורות כמשימה בתוך שלב הניטור שלו. אך משימה הקבורה בתוך שלב היא בדיוק הדרך שבה מתייחסים אליה — כחלק מ”ניטור” ולא כהישג נפרד שהיא. צפייה בדוחות מגיעים מרגישה כמו התקדמות. עדיין לא. הסיבה הבודדת הגדולה ביותר לכך שדומיינים יושבים על p=none במשך שנים היא שהם רואים את הדואר שלהם אך לא ניהלו וזיהו אותו — ולכן אינם מעיזים לאכוף, מחשש לשבור משהו אמיתי.

מודל שימושי צריך לתת לצעד זה שם משלו וקריטריוני יציאה משלו. מודל זה עושה זאת. אנו קוראים לו מודל בשלות אימוץ DMARC — DAMM: שישה שלבים, מהלך אחד לכל אחד, ושם שאפשר לצטט.

המודל

ששת שלבי בשלות ה-DMARC — מ"לא מוגן" ועד "מחוסן", עם החומה שבין "מתבונן" ל"נראוּת"

שלב 1 — לא מוגן. אין רשומת DMARC — או ש-SPF ו-DKIM אינם שלמים תחתיה. כל אחד יכול לשלוח דואר בשם הדומיין שלך, ושום דבר בשום מקום אינו בודק. המהלך: הגדר SPF וגם DKIM עבור הדואר הראשי שלך, וּודא שהם מאמתים ומיושרים. DMARC בנוי על שניהם; אינך יכול לדלג על רצפה זו.

שלב 2 — מאומת. SPF ו-DKIM נכונים ומיושרים עבור זרם הדואר הראשי שלך. הדואר הלגיטימי שלך מוכיח את מקורו — אך שום דבר אינו אומר לתיבות הדואר של העולם מה לעשות עם דואר שאינו כזה. המהלך: פרסם רשומת DMARC ב-p=none עם כתובת דיווח rua=.

שלב 3 — מתבונן. DMARC מפורסם, דוחות מצרפיים זורמים, ולראשונה אתה יכול לראות מי שולח בשם הדומיין שלך. שום דבר אינו חסום. רוב הכלים קוראים לשלב זה “נראוּת” — אנו במכוון לא, מפני שראיית דוחות והבנתם הם הישגים שונים. המהלך: זהה כל מקור לגיטימי השולח בשם הדומיין שלך, וּדאג שכל אחד יהיה מיושר.

שלב 4 — נראוּת. כל שולח לגיטימי מזוהה ומיושר — פלטפורמת הניוזלטר, מערכת החשבוניות, ה-CRM, הדבר שהשיווק נרשם אליו באביב שעבר. אתה מכיר את הדואר שלך. שום דבר לגיטימי לא יישבר אם תאכוף. זהו השלב שהמפות הישנות מדלגות עליו, והחומה שרוב הדומיינים לעולם אינם מטפסים עליה. המהלך: העלה את המדיניות — p=none → p=quarantine (מצב הבדיקה t=y של DMARCbis עוזר כאן) ← p=reject.

שלב 5 — אוכף. p=quarantine או p=reject פעיל, כאשר תת-דומיינים מכוסים על ידי מדיניות sp= מפורשת. דואר שנכשל באימות מבודד כעת בפועל או נדחה אצל נמענים משתתפים — הכוללים כל ספק תיבות דואר מרכזי — כך שזיוף ישיר של הדומיין המדויק שלך מפסיק לנחות היכן ש-DMARC נבדק. המהלך: הוסף את שכבת החיסון — כיסוי np= וסריקת עץ (tree-walk) של DMARCbis, MTA-STS ו-TLS-RPT עבור התעבורה, ו-BIMI אם תצוגת מותג חשובה לך.

שלב 6 — מחוסן ומקוים. אכיפה בתוספת המחסנית המודרנית: כיסוי תת-דומיין לא-קיים (np=) מ-DMARCbis, MTA-STS ו-TLS-RPT המאבטחים דואר בתעבורה, BIMI היכן שהוא מצדיק את עצמו — וחשוב מכל, ניטור רציף לסחף ולשולחים חדשים. זה אינו תג; זו משמעת. שולחים חדשים מופיעים, ספקים משנים כתובות IP, תצורות מתיישנות. המהלך: הישאר כאן.

מסלול חוסר-הדואר. נמדד על פני מלאי הדומיינים המלא — כולל דומיינים מתים — 51.5% מהדומיינים אינם מריצים כל שירות דואר, ועבורם המסע מתכווץ לצעד אחד. דומיין שלעולם אינו שולח צריך לפרסם SPF -all ו-DMARC p=reject מיד: אין דואר לגיטימי להגן עליו, אז אין על מה להתבונן ואין חומה לטפס עליה. דומייני מותג חונים ורדומים עוברים ישירות ל”אוכף” בשינוי DNS יחיד — ובכך סוגרים אחד מוקטורי ההתחזות הנפוצים ביותר שקיימים.

החומה: שלב 3 ← 4

כל מעבר אחר במודל זה הוא שינוי DNS. זה עבודת חקירה — וכאן החודשים מתים.

המעבר מ”מתבונן” ל”נראוּת” משמעו ייחוס כל מקור שליחה בדוחות שלך למערכת אמיתית: איזה ESP, איזה CRM, ממסר הדואר של איזה משרד אזורי, איזה כלי SaaS שמישהו חיבר ב-2023 ושכח. משמעו למצוא את שולחי ה-shadow-IT שאיש לא תיעד. משמעו לתקן יישור ESP אחר ESP, מפני שלכל פלטפורמה יש דרך משלה לאמת בשמך — חלקן שגויות כברירת מחדל.

דילוג על החומה הוא הדרך שבה DMARC קיבל את המוניטין המפחיד שלו. אכוף מ”מתבונן” — בלי “נראוּת” — ואתה כן תחסום משהו אמיתי: מחזור חשבוניות, זרימת איפוס סיסמה, הניוזלטר של המנכ”ל. אז מגיע החזרה המבוהלת ל-p=none, תחקיר פנימי, והלקח שכולם לומדים באופן שגוי: “ניסינו DMARC והוא שבר את הדואר.” רוב סיפורי האימה של DMARC הם בדיוק זה — אכיפה שנוסתה שלב אחד מוקדם מדי. החומה אינה סיבה לעצור בשלב 3. היא הסיבה לכך ששלב 4 קיים.

זהו גם השלב שבו בעלים מביאים לרוב עזרה — ספק IT או שירות ניטור DMARC יכולים לבצע את עבודת זיהוי השולחים; השלבים נשארים זהים כך או כך.

החלק שכולם שוכחים: שלב 5 ← 6

הגעה ל-p=reject עוצרת זיוף ישיר של הדומיין שלך בשורת ה-From:, אצל הנמענים הבודקים אותה. זה הכרחי — וזה אינו מספיק. כדאי גם לנקוב במה שהאכיפה מעולם לא כיסתה: דומיינים דומים (yourc0mpany.com) והתחזות שם-תצוגה יושבים לחלוטין מחוץ להישג ידו של DMARC, כך שהאכיפה סוגרת את דלת הדומיין-המדויק ומותירה את השכנות לערנות ולבקרות אחרות.

האכיפה אינה עושה דבר עבור התעבורה: בלי MTA-STS ו-TLS-RPT, דואר לדומיין שלך עדיין יכול להיות מושפל או מיורט בתעבורה. היא אינה עושה דבר עבור זיהוי מותג: BIMI — הלוגו שלך, מוצג בתיבת הדואר — הוא אות אמון, לא בקרת אבטחה, וזה הוגן להתייחס אליו ככזה (הוא גם דורש תעודה בתשלום, וזו הסיבה שהוא יושב אחרון, לא ראשון). ו-p=reject פשוט קדם ל-DMARCbis: תג ה-np= וסריקת העץ של ה-RFC-ים החדשים סוגרים את פער תת-הדומיין-הלא-קיים שפריסות ישנות יותר מותירות פתוח.

דומיין ב-p=reject ללא אף אחד מהאמור לעיל מוגן מפני ההתקפה הנפוצה ביותר ולא מוכן לשאר. זו הבחנה אמיתית, והיא ראויה לשלב משלה.

השלב שלך ניתן למדידה

מודל זה אינו רק תרשים — שלבו של דומיין ניתן לחישוב, וזה מה שמבדיל אותו מכרזה על קיר.

שלבים 3 עד 6 ניתנים לגזירה מנתוני הדיווח של DMARC של הדומיין עצמו בתוספת רשומותיו המפורסמות: איזו מדיניות פעילה, האם דוחות זורמים, והאם כל שולח שנצפה מיושר. שלבים 1 ו-2 מוערכים בבדיקת DNS חיה, מאחר שעדיין אין דוחות. מגבלה כנה אחת בכל כיוון: שלב 4 מאושר על ידי ראיות לאורך זמן — “כל שולח שנצפה מיושר על פני מספיק ימי דיווח” הוא מדד חלופי חזק, אך שום דוח אינו יכול לחשוף את השולח שעדיין לא חיברת. ושכבת החיסון של שלב 6 — MTA-STS, TLS-RPT, BIMI — בלתי נראית בדוחות DMARC; נדרשת בדיקת DNS כדי לראותה. דומיין יכול להיראות “מוגמר” מדוחותיו ועדיין לשאת פער נסתר בין שלב 5 ל-6. זהו המודל שאליו מנתחת מדידת הדיווח שלנו, על החסמים שבו וכולם.

דוגמה מעובדת

חברה בינונית מריצה Microsoft 365 מאחורי שער סינון דואר. SPF מסתיים ב--all, DKIM מוגדר, DMARC מפורסם ב-p=none, ודוחות זורמים לכלי ניטור. במפות הישנות זה נראה כמעט מוגמר. במפה זו זהו שלב 3 — מתבונן: ההתקנה הקשה הושלמה, והדומיין נתקע בדיוק בחומה — נראה, לא מוגן. המהלך בעל הערך הגבוה ביותר הוא 3 ← 4 ← 5: וודא שהשולחים הלגיטימיים (המעטים ככל הנראה) כולם מיושרים, ואז העלה את המדיניות בשלבים. עבור דומיין בצורה זו, זה בדרך כלל שבועות של תשומת לב, לא חודשים — החומה גבוהה ביותר עבור אלה שלעולם אינם ממפים אותה.

מצא את השלב שלך

השאלה שיש לפרוש היא “האם יש לנו DMARC?” — 24.89% מהדומיינים יכולים לומר כן בעוד 57.5% מהם נותרים ניתנים לזיוף. השאלה הטובה יותר היא “באיזה שלב אנחנו, ומהו המהלך היחיד לשלב הבא?” כל דומיין באינטרנט נמצא בדיוק באחד מששת השלבים הללו היום. הכרת השלב הופכת חרדה לרשימת משימות.

היכן האינטרנט יושב על פני ששת השלבים — לרוב הדומיינים אין רשומת DMARC כלל; רובם של אלה שכן, תקועים לפני האכיפה

שאלות נפוצות

מהו DAMM? מודל בשלות אימוץ DMARC — המודל בן ששת השלבים בדף זה: לא מוגן, מאומת, מתבונן, נראוּת, אוכף, מחוסן. שלבו של דומיין ניתן למדידה מה-DNS שלו ומנתוני הדיווח של DMARC שלו, וזה מה שמבדיל אותו מכרזה על קיר.

האם פרסום p=none חסר ערך, אם כן? לא — זהו שלב 3, ושלב 3 נושא משקל: הדיווח הוא הדרך שבה אתה מוצא כל שולח לפני שאתה אוכף. הוא הופך לבעיה רק כשמתייחסים אליו כאל יעד. ראה מדוע p=none אינו הגנה.

האם אני יכול לדלג ישר ל-p=reject? אם הדומיין שלך אינו שולח דואר — כן, היום, וכדאי לך. אם הוא כן שולח דואר — לא: אכיפה בלי נראוּת (שלב 4) היא הדרך שבה דואר לגיטימי נשבר וחזרות מתרחשות. השלבים הם הנתיב הבטוח, לא טקס.

האם אני צריך BIMI כדי להיות “מוגמר”? לא. BIMI הוא שכבת תצוגת המותג של שלב 6 והרכיב הכי אופציונלי במודל — MTA-STS, TLS-RPT וכיסוי ה-np= של DMARCbis הם החלקים שמחסנים דומיין באופן מהותי. אם עלות התעודה אינה מוצדקת עבורך, דלג עליה והחזק את שאר שלב 6.

היכן משתלבים SPF ו-DKIM? מתחת להכול — הם שלבים 1 ← 2, ו-SPF ללא DMARC מגן על פחות ממה שרוב הבעלים מניחים. מאז 2024, נמענים מרכזיים גם דורשים אימות באופן מוחלט משולחים בכמויות.

בדוק היכן עומד הדומיין שלך

שלבים אלה הם דפוסי אוכלוסייה — הדומיין שלך נמצא בדיוק באחד מהם, והמהלך הבא ניתן לידיעה. אתה יכול לבדוק בפרטיות ובחינם, ולראות באילו מ-34 הבדיקות אתה עובר וכיצד לתקן את אלה שבהן לא.

בדוק את הדומיין שלך → · כיצד דירגנו את האינטרנט → · עמוד ה-DMARC → · נתונים מצרפיים בלבד. נתונים מאוחסנים ומעובדים באיחוד האירופי.