Defaults.Exposed › תיקונים › DKIM

כיצד לתקן DKIM

DKIM הוא חותם בלתי ניתן לזיוף שמוצמד לכל מייל שהעסק שלך שולח. הוא מאפשר לספק הדואר המקבל לאשר שהמייל הגיע באמת ממך ולא שונה בדרך. בלעדיו, הדואר שלך קל יותר לזייף, קל יותר לשנות, ונוטה הרבה יותר לנחות בספאם.

השורה התחתונה לעסק שלכם: ללא DKIM, המיילים שאתה שולח עלולים להיות שונים בזמן השידור, קלים יותר לפושעים להתחזות אליהם, ויותר נוטים להיסנן לספאם או להידחות לחלוטין — מה שעולה לך בשקט בעסקאות, תשלומים ואמון שלעולם לא תדע שאבדו.

מה זה יכול לעלות לכם

חשבונית שהגיע ללקוח מיירטת ופרטי הבנק משתנים לפני שהגיע ללקוח. המייל עדיין נראה כאילו הגיע ממך, הלקוח משלם לפושע, וכשזה מתברר אתה זה שמאשימים.
הצעות המחיר, החוזים והחשבוניות האמיתיות שלך מגיעות שוב ושוב לתיקיות הספאם של הלקוחות. אתה מניח שהלקוח שתק או בחר אחר — אבל הם פשוט מעולם לא ראו את המייל שלך.
צוות האבטחה או הרכש של לקוח גדול מריץ בדיקה מהירה על הדומיין שלך לפני החתימה, רואה שאין DKIM, ואו דוחה את העסקה שבועות עד שתתקן או בשקט בוחר מתחרה שעבר.
פושע שולח מיילים מזויפים משכנעים 'מהחברה שלך' ללקוחות שלך. כיוון שאין כלום שמוכיח אילו מיילים הם באמת שלך, המזויפים נראים לגיטימיים כמו האמיתיים — והנזק למוניטין שלך.
ספקי תיבות דואר גדולים ובנקים מתייחסים יותר ויותר לדואר לא חתום כחשוד. עם הזמן יותר ויותר מהדואר העסקי היומיומי שלך נחסם, נשלח לספאם, או חוזר, ופנייתך בהדרגה מפסיקה לעבוד.

מדוע זה חשוב. דואר אלקטרוני מעולם לא נבנה להוכיח מי שלח אותו, וזיוף השולח הוא פשוט ביותר. DKIM מוסיף חתימה קריפטוגרפית שהספק המקבל בודק אוטומטית — מאשר שההודעה הגיעה באמת מהדומיין שלך ולא שונתה בדרך. זה אחד משלושת הדברים שכל ספק דואר מודרני מחפש, הוא משפיע ישירות על אמינות הדואר שלך, והתיקון חינמי.

מה זה, בשפה פשוטה

כל מייל שהעסק שלך שולח עובר דרך מספר ידיים לפני שמגיע לתיבת הדואר הנכנסת. כשלעצמו, מייל אינו נושא כל הוכחה מי שלח אותו באמת או אם מישהו שינה אותו בדרך — שורת ה’מאת’ היא רק טקסט שכל אחד יכול להקליד.

DKIM מתקן את זה. הוא מוסיף חותם בלתי נראה ובלתי ניתן לזיוף על כל הודעה שהעסק שלך שולח. כשהמייל מגיע, ספק הדואר המקבל בודק את החותם מול מפתח שאתה מפרסם בדומיין שלך. אם הוא תואם, הספק יודע שני דברים בוודאות: המייל הגיע באמת מהדומיין שלך, ואף תו אחד לא שונה בזמן השידור. אם לא תואם — כי ההודעה זויפה או שונתה — החותם נכשל, והספק מתייחס לדואר בחשדנות.

אתה לא מנהל שום דבר מזה ידנית. ברגע שזה מופעל, החתימה והבדיקה קורות אוטומטית על כל מייל, לנצח. כל הנקודה של DKIM היא לגרום לדואר האמיתי שלך להיות מוכח כאמיתי — כדי שיישמר, וכדי שמזויפים יבלטו.

מה זה יכול לעלות לך

זה לא מופשט. כך נראית חותם DKIM חסר או חלש בפועל עבור עסק קטן או בינוני.

החשבונית ששונתה. אתה שולח ללקוח חשבונית. בין השרת שלך לשרת שלו, תוקף מיירט אותה ומחליף את פרטי הבנק שלך בשלו. המייל עדיין נראה כאילו הגיע ממך, הלקוח משלם — לחשבון הפושע. ללא DKIM, אין כלום שמסמן שההודעה שונתה. עם DKIM, אותו שינוי שקט שובר את החותם ומתגלה.
העסקאות שמתו בספאם. הצעות המחיר, ההצעות ומיילי המעקב שלך מחליקות שוב ושוב לתיקיות הזבל של הלקוחות. אף פעם לא שומעים בחזרה ומניחים שלא היו מעוניינים. במציאות, דואר לא חתום הוא אות ספאם חזק — הדואר העסקי האמיתי שלך פשוט לא נראה.
החוזה האבוד. הרכש או צוות האבטחה של לקוח גדול בוחן את הדומיין שלך לפני שיחתמו. הם רואים שאין DKIM ומתייחסים לזה כדגל אדום — אם לא עיכוב של שבועות בעסקה בזמן שאתה מתקן, אם לא בחירה שקטה של ספק שעשה בדיקת אבטחה.
שמך משמש נגד הלקוחות שלך. רמאי יוצא במיילים מזויפים משכנעים “מהחברה שלך” לבסיס הלקוחות שלך. כיוון שאין כלום שמוכיח אילו הודעות הן באמת שלך, המזויפות נראות לגיטימיות כמו האמיתיות — וזה המוניטין שלך שלוקח את הפגיעה כשאנשים נפגעים.
חנק הדרגתי של הדואר שלך. בנקים, ספקי תיבות דואר גדולים ומסננים ארגוניים מסתפקים יותר ויותר בדואר לא חתום. ההשפעה חודרת עם הזמן: יותר חסימות, יותר ספאם, יותר חזרות — עד שפנייתך היומיומית בהדרגה מפסיקה לנחות.

מה זה בעצם

DKIM מייצג DomainKeys Identified Mail. כך פועל החותם, ללא ג’רגון:

אתה מפרסם מפתח ציבורי בדומיין שלך (בהגדרות ה-DNS שלך). כל אחד יכול לקרוא אותו — זו הנקודה.
ספק הדואר שלך מחזיק את המפתח הפרטי התואם ומשתמש בו לחתום על כל מייל שאתה שולח, מוסיף כותרת נסתרת.
כשהמייל מגיע, הספק של הנמען מביא את המפתח הציבורי שלך, בודק את החתימה מול ההודעה, ומאשר שהיא אמיתית ולא שונתה.

כמה מונחים שעלולים לשמוע מאיש ה-IT שלך:

Selector — תווית שמצביעה על מפתח ספציפי אחד, לדוגמה selector1._domainkey.yourdomain. הוא מאפשר להפעיל ולסובב מספר מפתחות בצורה נקייה. הספק שלך מגדיר זאת.
חוזק מפתח — מפתחות DKIM מגיעים בגדלים. בסיס המודרני הוא RSA 2048 סיביות; מפתחות RSA 4096 סיביות או Ed25519 חזקים עוד יותר. מפתחות ישנים של 1024 סיביות עדיין פועלים אך נחשבים חלשים לפי הסטנדרטים של ימינו (NIST SP 800-131A / RFC 8301).

מה נראה “טוב”: מפתח DKIM חוקי מפורסם ב-selector עבור הדומיין שלך, הדואר היוצא שלך חתום בו, והמפתח הוא 2048 סיביות ומעלה. זה המעבר המלא.

הערה על ניקוד. הבדיקה הזו מחפשת מפתח DKIM אמיתי ומעוצב כהלכה שמפורסם ב-selectors שספקי דואר משתמשים בהם בדרך כלל. לא נמצא מפתח מכשיל את הבדיקה (פגיעה בחומרה גבוהה). מפתח חוקי שהוא חלש (RSA 1024 סיביות) מקבל כחצי ניקוד — הוא פועל אך צריך שדרוג. מפתח חזק (RSA 2048 סיביות ומעלה, או Ed25519) מקבל ניקוד מלא.

כיצד לתקן (חינם, ~15 דקות)

זה עבור מי שמנהל את הדואר או הדומיין שלך — אם זה לא אתה, מסור לו חלק זה. התיקון חינמי. אנחנו גובים תשלום רק כדי לנטר שההגנות שלך נשארות תקינות לאורך זמן, לא כדי להגדיר אותן.

הצורה הכללית זהה בכל מקום: הפעל DKIM בספק הדואר שלך, קח את המפתח שהוא מייצר, פרסם אותו ב-DNS שלך, ואז אשר שהוא פעיל. השלבים המדויקים תלויים במי מפעיל את הדואר שלך — הנה הנפוצים.

Google Workspace (Gmail)

Admin Console → Apps → Google Workspace → Gmail → Authenticate email.
בחר את הדומיין שלך ולחץ Generate new record (בחר אורך מפתח 2048 סיביות).
Google נותן לך רשומת DNS. הוסף אותה במארח ה-DNS שלך כרשומת TXT, host google._domainkey.yourdomain, עם הערך שסיפק Google.
המתן להפצה (דקות עד כמה שעות), ואז חזור לאותו מסך ולחץ Start authentication.

Microsoft 365 (Outlook / Exchange Online)

עבור לפורטל Microsoft Defender → Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM.
בחר את הדומיין שלך. Microsoft מראה לך שתי רשומות CNAME לפרסם (selector1 ו-selector2).
הוסף את שתי רשומות ה-CNAME במארח ה-DNS שלך בדיוק כפי שמוצג.
בחזרה במסך DKIM, הפעל את חתימת DKIM ל-Enabled עבור הדומיין.

Zoho Mail

Control Panel → Email Authentication → DKIM.
צור מפתח (השתמש ב-selector כמו zoho), ואז הוסף את רשומת ה-TXT שניתנה ב-zoho._domainkey.yourdomain ב-DNS שלך.
אמת בלוח Zoho לאחר שהרשומה פעילה.

ספקים אחרים / שרת דואר משלך הדפוס זהה: הספק (או תוכנת הדואר שלך) מייצר זוג מפתחות, חותם את הדואר היוצא שלך עם המפתח הפרטי, ונותן לך רשומה ציבורית לפרסם. היא נראית בדרך כלל כך:

Host:  selector1._domainkey.yourdomain
Type:  TXT (or CNAME, depending on provider)
Value: (מחרוזת המפתח הארוכה שהספק נותן לך)

היכן מוסיפים רשומות DNS: בהגדרות ה-DNS של הדומיין שלך — בדרך כלל אצל רשם הדומיין שלך או מארח ה-DNS (לדוגמה Cloudflare, GoDaddy, לוח הבקרה של האירוח שלך).

אשר שזה עובד: שלח לעצמך מייל בדיקה לחשבון Gmail, פתח אותו, בחר Show original, ובדוק שמופיע DKIM: PASS. ואז בדוק מחדש את הדומיין שלך כדי לאשר שהמפתח הגיע כ-2048 סיביות ומעלה, לא כמפתח 1024 סיביות חלש.

טעויות נפוצות

הנחה שספק גדול מפעיל אותו כברירת מחדל. הרבה דומיינים ב-Google או Microsoft עדיין צריכים להפעיל DKIM ולפרסם רשומה. “אנחנו משתמשים ב-Microsoft 365” אינו זהה ל-”DKIM מופעל.”
יצירת מפתח 1024 סיביות חלש. חלק מהספקים עדיין מנהלים כברירת מחדל 1024 סיביות. בחר 2048 סיביות כשיש לך אפשרות — מפתח חלש מקבל רק חצי ניקוד ומסומן ע”י מקבלים מחמירים.
פרסום הרשומה ללא הפעלת חתימה. הוספת רשומת DNS היא רק חצי העבודה. אם לא תפעיל חתימה בספק (הפעלה הסופית), הדואר שלך עדיין יוצא ללא חתימה.
הקלדה שגויה או קיצוץ של המפתח. מפתחות DKIM ארוכים. העתקה-הדבקה שמאבדת תו או מפצלת את הערך בצורה שגויה מייצרת חותם שבור שנכשל בכל מייל. הדבק את הערך בדיוק כפי שניתן.
שכחת שולחים אחרים שלך. אם אתה שולח דואר דרך כלי ניוזלטר, CRM, אפליקציית חשבוניות או פלטפורמת מסחר אלקטרוני, לכל אחד עשוי להיות מפתח DKIM ו-selector משלו. חתום דואר מכל השירותים שמשלחים בשמך, לא רק מתיבת הדואר שלך.

הערה על DKIM, SPF ו-DMARC

DKIM לעיתים רחוקות עובד לבד. הוא אחד משלוש הגדרות שיחד הופכות את הדואר שלך לאמין:

SPF אומר אילו שרתים רשאים לשלוח דואר עבור הדומיין שלך.
DKIM (דף זה) הוא החותם הבלתי ניתן לזיוף שמוכיח שהודעה היא באמת שלך ולא שונתה.
DMARC הוא ההוראה שאומרת לספקים מה לעשות עם כל דבר שנכשל — והוא נשען על DKIM ו-SPF לקבל את ההחלטה הזו.

אם אתה מתקן DKIM, כדאי לבדוק גם SPF ו-DMARC באותה הזדמנות. יחד הם מה שמונע התחזות לעסק שלך ומה שמשאיר את הדואר האמיתי שלך נוחת היכן שהוא צריך.

הגדירו זאת אצל ספק האחסון שלכם

שלב אחר שלב עבור ספקים פופולריים:

שאלות נפוצות

אני לא טכני — האם אני יכול לסדר את זה בעצמי?

אתה לא צריך להבין את ההצפנה. ברוב המקרים זו הגדרה שמפעילים בתוך ספק הדואר שלך (Google Workspace, Microsoft 365, Zoho וכו'), שאז נותן לך רשומה אחת או שתיים להוסיף לדומיין שלך. מסור את חלק 'כיצד לתקן' למי שמנהל את הדואר או הדומיין שלך — זו עבודה מהירה וחינמית, בדרך כלל כ-15 דקות.

האם הפעלת DKIM מסכנת לשבור את הדואר שלי?

הוספת DKIM נכון היא בטוחה — היא לא משנה כיצד הדואר שלך נשלח, היא רק מוסיפה חתימה שמקבלים יכולים לאמת. הדבר האחד שצריך להכין נכון הוא לפרסם את המפתח שהספק שלך מייצר בדיוק כפי שניתן, ולאפשר חתימה רק לאחר שהרשומה פעילה ב-DNS. נעשה בסדר הזה, אין הפרעה לך או ללקוחות שלך.

אנחנו כבר משתמשים בספק גדול כמו Google או Microsoft — האם אנחנו מכוסים אוטומטית?

לא תמיד. ספקים גדולים מקלים על DKIM, אבל עבור דומיינים רבים עדיין צריך להפעיל אותו ולהוסיף רשומה ל-DNS — זה לא תמיד פועל כברירת מחדל. לכן דומיין אצל ספק גדול עדיין עלול לא לעבור את הבדיקה הזו. לוקח כמה דקות לאשר ולאפשר.

מה ההבדל בין DKIM, SPF ו-DMARC? האם אני צריך את שלושתם?

תחשוב עליהם כסט. SPF מפרט אילו שרתים רשאים לשלוח דואר עבור הדומיין שלך. DKIM הוא החותם הבלתי ניתן לזיוף שמוכיח שהודעה היא באמת שלך ולא שונתה. DMARC הוא ההוראה שאומרת לספקים לחסום כל דבר שנכשל בבדיקות האלה. הם עובדים הכי טוב יחד — DMARC בפרט נשען על DKIM לעשות את עבודתו — אז כן, אתה רוצה את שלושתם.

איש ה-IT שלי אומר ש-DKIM 'פועל' — כיצד אני יכול לדעת שהוא אכן פועל ומספיק חזק?

שני דברים חשובים: שחתימה חוקית מפורסמת בבורר עבור הדומיין שלך, ושהמפתח מאחוריה חזק (RSA 2048 סיביות ומעלה). מפתח ישן של 1024 סיביות עדיין עובד אך נחשב חלש לפי הסטנדרטים המודרניים ומקבל ניקוד חלקי כאן. הרצת בדיקה על הדומיין שלך מאשרת את שניהם בבת אחת.

מהו 'selector' ומדוע זה חשוב?

selector הוא פשוט תווית שמצביעה על מפתח DKIM ספציפי ב-DNS שלך — הוא מאפשר להפעיל יותר ממפתח אחד בבת אחת (לדוגמה, אחד לתיבת הדואר ואחד לכלי הניוזלטר שלך) ולסובב מפתחות בבטחה. אתה לא מנהל זאת ידנית; הספק שלך יוצר את ה-selector ואומר לך איזו רשומה לפרסם.