Defaults.Exposed › דוחות
רשומת SPF — מהי וכיצד לתקן אותה? (2026)
פורסם 2026-07-01
נתונים נכון ל-2026-06-29 · מתודולוגיה v7. נתוני מפקד מצרפיים על פני 261 מיליון דומיינים שדורגו. SPF (Sender Policy Framework) הוא רשומת DNS המפרטת אילו שרתים רשאים לשלוח דואר עבור הדומיין שלך. ראו כיצד אנו מדרגים.
SPF הוא שורה בודדת ב-DNS שלך שאומרת “שרתים אלה רשאים לשלוח דואר אלקטרוני בשמי — התייחסו לכל דבר אחר כחשוד.” על פני 261 מיליון דומיינים, 53.21% מפרסמים רשומת SPF. זה נשמע בריא, אך רשומה כשלעצמה אינה מגנה עליך: הכשירן המסיים (terminal qualifier) הוא שמכריע האם שולחים שאינם ברשימה נדחים או מועברים הלאה, וחלק ניכר מהרשומות מוגדרות ברכות כזו שאינן משנות דבר. הנה מה ש-SPF באמת עושה, הטעויות שאנו רואים בתדירות הגבוהה ביותר, וכיצד לתקן את שלך.
מהי רשומת SPF?
כאשר שרת דואר מקבל הודעה הטוענת שהיא מהדומיין שלך, הוא מבצע חיפוש של רשומת ה-SPF שלך ובודק האם השרת השולח נמצא ברשימת המאושרים שלך. הרשומה מסתיימת בהנחיה לכל מה שאינו ברשימה:
-all(hardfail) — דחיית שולחים שאינם ברשימה. זו ההגדרה שמשמעותה עסקים רציניים.~all(softfail) — קבלה אך סימון כחשוד. רוב הדואר עדיין נמסר.?all(neutral) — אין לעשות דבר; שקול לחוסר עמדה.+all— קבלת כל דבר מכל אחד. זו הגדרה מסוכנת באופן פעיל ולעולם אין לפרסם אותה.
מתוך 139 מיליון הדומיינים שמפרסמים SPF, רק 39.3% משתמשים ב--all נוקשה, בעוד 55.8% משתמשים ב-~all הרך יותר. ו-36,014 דומיינים מפרסמים +all — הזמנה פתוחה שמכריזה בפני העולם שכל אחד רשאי לשלוח בשמם.
הטעויות ששוברות את SPF בשקט
- יותר מדי חיפושי DNS. SPF מוגבל ל-10 חיפושים (RFC 7208); חריגה מכך גורמת לכשל של הרשומה כולה עם “permerror” ולהתעלמות ממנה. 7,958 דומיינים (0.01% מאלה עם SPF) חורגים מגבול זה — בדרך כלל בשל שרשור של יותר מדי הצהרות
include:עבור שולחים צד-שלישי. - פרסום
+all. נדיר אך הרסני — הוא משבית את SPF לחלוטין ומעניק חסות למזייפים. - הנחה ש-SPF עוצר התחזות. הוא אינו עוצר, כשלעצמו. SPF בודק את נתיב השליחה הטכני, לא את כתובת ה-”From” שאדם רואה. 32.4% מכלל הדומיינים מפרסמים SPF אך אין להם DMARC — כך שהשולח הנראה עדיין ניתן לזיוף. SPF הוא הצנרת; אכיפת DMARC היא המנעול. ראו SPF ללא DMARC.
כיצד אני מתקן את רשומת ה-SPF שלי?
- פרסמו רשומת SPF אחת — רשומת TXT בודדת שמתחילה ב-
v=spf1. לעולם אל תפרסמו שתיים; זהו כשל אוטומטי. - פרטו כל שולח לגיטימי — ספק תיבת הדואר שלכם, פלטפורמת השיווק, ה-CRM, מערכת התמיכה — באמצעות ערכי ה-
include:המתועדים שלהם. - סיימו ב-
-allברגע שאתם בטוחים שהרשימה מלאה. התחילו ב-~allאם אתם זקוקים לשולי ביטחון, ואז הדקו. ראו תיקון SPF. - הישארו מתחת ל-10 חיפושים — שטחו או אחדו את ההצהרות
includeאם אתם קרובים לגבול. - ואז הוסיפו DMARC — SPF ו-DKIM מזינים את DMARC, הבקרה שבאמת עוצרת מישהו משליחת דואר אלקטרוני בשם הדומיין שלך.
שאלות נפוצות
כיצד נראית רשומת SPF?
רשומת DNS TXT בודדת כגון v=spf1 include:_spf.google.com -all. ערכי ה-include: הם השולחים המאושרים שלכם; ה--all בסוף דוחה את כל האחרים.
מה עדיף, ~all או -all?
-all (hardfail) חזק יותר — הוא מורה למקבלים לדחות שולחים שאינם ברשימה. ~all (softfail) בדרך כלל עדיין מוסר את הדואר. נכון ל-2026-06-29, 39.3% מרשומות ה-SPF משתמשות ב--all ו-55.8% משתמשות ב-~all.
האם SPF עוצר אנשים מלזייף את הדומיין שלי? לא בעצמו. SPF אינו שולט בכתובת ה-”From” הנראית. אתם זקוקים ל-DMARC המוגדר לאכיפה. 32.4% מהדומיינים בעלי SPF אך ללא DMARC ונותרים ניתנים לזיוף.
מדוע רשומת ה-SPF שלי “נכשלת” למרות שהיא נראית תקינה?
לרוב היא חורגת מגבול 10 החיפושים ומחזירה permerror. 0.01% מהדומיינים עם SPF נתקלים בכך. הפחיתו את מספר חיפושי ה-include:.
האם תיקון SPF יקר? לא — זהו שינוי DNS חינמי. המאמץ הוא בהשגת רשימת שולחים מלאה ונכונה, לא כסף.
בדקו את ה-SPF של הדומיין שלכם בחינם
ראו את רשומת ה-SPF שלכם, את הכשירן המסיים שלה, והאם היא מלאה — באופן פרטי, ולבעלים בלבד.
בדקו את הדומיין שלכם → · תיקון SPF → · תיקון DMARC → · כיצד אנו מדרגים → · נתונים מצרפיים בלבד. הנתונים מאוחסנים ומעובדים באיחוד האירופי.