Defaults.Exposed › תיקונים › SPF (Sender Policy Framework)

כיצד לתקן SPF (Sender Policy Framework)

SPF הוא השורה בהגדרות הדומיין שלך שמפרטת אילו שירותי דואר מורשים לשלוח מיילים בשם העסק שלך. בלעדיה, כל אחד בעולם יכול לשלוח מייל שנראה כאילו הגיע ממך — והמיילים האמיתיים שלך יותר נוטים להגיע לספאם של הלקוחות.

השורה התחתונה לעסק שלכם: כל אחד יכול לשלוח מייל שמתחזה לעסק שלך — ללקוחות, לעובדים ולספקים — חשבוניות, בקשות לשינוי פרטי תשלום, הכול. במקביל, הצעות המחיר והחשבוניות האמיתיות שלך נוטות יותר להיות מסוננות לספאם, כך שעסקאות נתקעות בשקט.

מה זה יכול לעלות לכם

• רמאי שולח ללקוח שלך חשבונית 'ממך' עם פרטי חשבון הבנק שלו, והלקוח משלם. אתה מגלה שבועות לאחר מכן כשהלקוח שואל היכן הסחורה — ועכשיו זה הנזק שלך למוניטין, ואולי גם האחריות שלך.
• הצעות המחיר, החשבוניות והתשובות שלך מגיעות בשקט לתיקיות הספאם של הלקוחות כי Gmail ו-Yahoo לא יכולים לאמת שהן באמת ממך. עסקאות נקפאות ואתה לעולם לא מבין למה.
• רמאי מתחזה לבעל העסק או לאנשי הכספים ושולח מיילים לעובדים עם בקשה לתשלום דחוף או כרטיסי מתנה — ההודעה נראית כאילו היא מגיעה מהדומיין שלך, אז מישהו משלם.
• לקוח פוטנציאלי גדול עורך בדיקת IT ואבטחה על הדומיין שלך ורואה שאין הגנה על שולח. הוא או פוסל אותך, או דורש שתתקן זאת לפני שיחתום — דבר שעולה לך בעסקה או בשבועות של עיכוב.
• אתה חושב שאתה מוגן כי קיים רשומת SPF — אבל היא מוגדרת ל'soft fail' ללא כל אכיפה, או שהיא שבורה בשקט, כך שדואר מזויף עדיין עובר.

מדוע זה חשוב. זיוף כתובת ה'מאת' במייל הוא פשוט ביותר ולא עולה למתקפה כלום. SPF הוא הדרך הזולה והמהירה ביותר לקשות על התחזות לדומיין שלך ולשמור את הדואר הלגיטימי שלך מחוץ לספאם. Google ו-Yahoo כבר מסדרים ומסרבים לדואר מדומיינים שאינם מאומתים, כך שאין זה אופציונלי יותר — זוהי תנאי בסיסי לכך שהמייל שלך יוגש בכלל.

הגרסה הקצרה

כרגע, אלא אם SPF מוגדר אצלך נכון, כל אחד בעולם יכול לשלוח מייל שנראה כאילו הגיע מהעסק שלך. הם יכולים לשלוח ללקוחות שלך חשבוניות מזויפות, לעובדים שלך בקשות תשלום מזויפות, ולספקים שלך כאילו הם אתה — וההודעות ייראו אמיתיות, כי אין דבר בדומיין שלך שאומר אחרת.

SPF (Sender Policy Framework) הוא הפתרון. זוהי שורת טקסט אחת בהגדרות ה-DNS של הדומיין שלך שמפרטת אילו שירותי דואר מורשים באמת לשלוח מייל בשמך. ספקי דואר מקבלים — Gmail, Outlook, כולם — בודקים את הרשימה הזו לפני שהם מחליטים אם הודעה אמיתית. אין רשימה, או רשימה חלשה, ואין להם על מה להסתמך.

דף זה מכסה שני דברים שחייבים שניהם להיות נכונים: האם רשומת SPF קיימת בכלל, והאם היא מוגדרת בצורה מחמירה מספיק כדי לבצע את עבודתה.

מה זה יכול לעלות לך

אלה הדרכים היומיומיות, מהחיים האמיתיים, שבהן רשומת SPF חסרה או חלשה הופכת לכסף ואמון שיוצאים מהדלת. אנחנו לעולם לא מזכירים עסק אמיתי — אלה הדפוסים שאנחנו רואים בנתונים.

• הפניית החשבונית. פושע שולח לאחד מלקוחות שלך מייל שנראה בדיוק כאילו הגיע ממך, עם חשבונית אמיתית שמצורפת לפרטי חשבון הבנק של הפושע. הלקוח שלך משלם אותה. הדבר הראשון שאתה שומע הוא שאלה היכן ההזמנה. עכשיו יש לקוח כועס, תשלום שהגיע לפושע, ושיחה קשה על מי נושא בהפסד.
• ההתחזות לסמנכ”ל/כספים. מישהו מכתיב לפקיד הנהלת חשבונות שלך “מ”טעם” הבעלים: “טובה קטנה — תוכל לדחוף את התשלום הזה לפני סוף היום?” כי ההודעה נראית באמת כאילו הגיעה מהדומיין שלך, היא לא מדליקה אצל אף אחד אזעקות. הכסף יוצא.”
• מס השיחות השקטה. הצעות המחיר והחשבוניות שלך מתחילות להגיע לתיקיות הספאם של הלקוחות כי Gmail ו-Yahoo לא יכולים לאמת שהן באמת ממך. אתה לא מקבל חזרה, לא מקבל שגיאה — עסקאות פשוט נהיות שקטות. אתה מפסיד עסקים ואתה אפילו לא יכול לראות שזה קורה.
• החוזה האבוד. צוות הרכש או האבטחה של לקוח גדול מריץ בדיקה בסיסית על הדומיין שלך כחלק מקליטה. הם רואים שאין אימות שולח ומסמנים אותך כסיכון. במקרה הטוב, אתה מתרוצץ לתקן תחת לחץ מועד; במקרה הגרוע, הם הולכים למתחרה שעבר.
• גל הרעלת המותג. הדומיין שלך משמש בקמפיין פישינג שמוכוון לציבור. אנשים שנפגעו כעת לא סומכים על כל מייל עם שמך עליו — כך שאפילו ההצעות והחידושים האמיתיים שלך מתעלמים מהם או מדווחים עליהם.

החוט המשותף: התוקף לא מוציא כלום, והעסק שלך נושא בעלות ובאחריות.

מה זה בעצם

כשמייל מגיע, שרת הדואר המקבל רוצה לדעת דבר אחד: האם זה באמת ממי שהוא טוען שהוא? SPF עונה על חלק מהשאלה הזו.

אתה מפרסם שורת טקסט קצרה בהגדרות ה-DNS של הדומיין שלך — “רשומת TXT” — שמציינת את שירותי הדואר המורשים לשלוח בשמך. משהו כזה:

v=spf1 include:_spf.google.com include:sendgrid.net -all

בשפה פשוטה, זה אומר: “דואר אמיתי מאיתנו מגיע משרתי Google ושרתי SendGrid — דחה כל דבר אחר שטוען להיות אנחנו.”

שני החלקים שחשובים לציון שלך:

1. האם הרשומה קיימת? זהו הגדול (הוא נושא את המשקל הגדול ביותר מכל בדיקת דואר בודדת). אין רשומה פירושו שלמקבלים אין רשימה לבדוק מולה, כך שהתחזות פתוחה לחלוטין. יש גם כשל עדין כאן: אם לדומיין שלך יש שתי רשומות SPF או יותר, הכללים אומרים שכולן לא חוקיות — כך שבפועל אין לך SPF כלל, אפילו שנראה שיש לך.

2. האם המדיניות מחמירה מספיק? רשומה יכולה להתקיים ועדיין להיות חסרת שיניים. הסיומת — מנגנון ה”all” — היא ההוראה לשרתים המקבלים:

   • -all (hard fail) — דחה כל דבר שאינו ברשימה. החזק ביותר. ניקוד מלא.
   • ~all (soft fail) + DMARC מוגדר ל-reject — ההגדרה המומלצת המודרנית. הגנה שוות ערך ל-hard fail, ללא הסיכון שדואר מועבר יחזור. ניקוד מלא.
   • ~all + DMARC מוגדר ל-quarantine — מקובל, מעט חלש יותר; העבר DMARC ל-reject להגנה מלאה.
   • ~all לבד (ללא אכיפת DMARC) — חלש. זה אומר “כנראה מזויף, תמסור בכל זאת.” דואר מזויף עדיין עובר. זה המלכודת שבה עסקים רבים נופלים וחושבים שהם מוגנים.
   • ?all (neutral) — לא מספק הגנה.
   • +all — מסוכן באופן פעיל: הוא אומר לעולם שכל אחד רשאי לשלוח בשמך. לעולם אל תשתמש בזה.

יש כשל בלתי נראה נוסף: ל-SPF מותר לבצע עד 10 בדיקות DNS כשהוא מוערך. הצטבר יותר מדי ערכי include: ורשומה חורגת ממגבלה זו, ובאותו רגע שרתים המקבלים מתייחסים לכל הדבר כשבור — ואתה חוזר לחוסר הגנה. זהו בעיה נפוצה ושקטה לעסקים שמשתמשים בהרבה כלי שיווק ו-SaaS.

מה נראה “טוב”: רשומת SPF אחת בדיוק, שמפרטת כל שירות ששולח בחוקיות דואר בשמך, שמסתיימת ב--all (או ~all בזוג עם DMARC ב-p=reject), ונשארת בנוח מתחת ל-10 בדיקות.

כיצד לתקן (חינם, ~10 דקות)

מסור חלק זה למי שמנהל את הדומיין שלך — ושים לב שהתיקון חינמי. זה שינוי בהגדרת DNS, לא מוצר שקונים. אנחנו גובים תשלום רק כדי לנטר שהוא נשאר נכון לאורך זמן, לא כדי לבצע את השינוי.

שלב 1 — רשום כל שירות ששולח מייל בשמך. זה החלק שאנשים מבצעים בטעות. כתוב את כולם: ספק תיבות הדואר שלך (Google Workspace, Microsoft 365 וכו’), בנוסף לכל כלי ניוזלטר, CRM, מערכת תמיכה, פלטפורמת מסחר אלקטרוני, אפליקציית חשבוניות/חשבונאות ומערכת הזמנות. אם שירות שולח דואר בשמך ואתה שוכח אותו, ה-SPF שלך יחסום את הדואר שלו כשתחמיר את המדיניות.

שלב 2 — פרסם רשומת TXT אחת בדומיין הראשי שלך. שלב את שורות ה-”include” של כל השולחים שלך לרשומה אחת. לפי פלטפורמה נפוצה:

• Google Workspace: include:_spf.google.com
• Microsoft 365: include:spf.protection.outlook.com
• SendGrid: include:sendgrid.net
• Mailchimp: include:servers.mcsv.net
• Zoho: include:zoho.eu (או הדומיין המתאים לאזור)

רשומה משולבת נראית כך:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:sendgrid.net -all

היכן להוסיף אותה, לפי ספק:

• Cloudflare: DNS → Records → Add record → Type TXT, Name @, Content = הערך לעיל.
• Microsoft 365 / Google admin: הם מפרסמים את מחרוזת ה-include המדויקת לשימוש באשף ההגדרה; העתק אותה לרשומת TXT של מארח ה-DNS שלך.
• GoDaddy / Blacknight / רוב המארחים: ניהול DNS → Add → TXT, Host/Name @, Value = הרשומה.

שלב 3 — התחל בטוח, ואז אכוף. בעוד אתה מאשר שרשימת השולחים שלך שלמה, פרסם עם ~all (soft fail) כדי שלא ייחסם שום דבר לגיטימי בטעות. ברגע שאישרת שכל הדואר הלגיטימי שלך עדיין זורם, החמר ל--all (hard fail) — או, טוב יותר, השאר ~all והוסף מדיניות DMARC של p=reject, שהיא הזיווג המודרני המומלץ.

שלב 4 — ודא שיש לך בדיוק רשומה אחת. אם כבר קיימת רשומת SPF ישנה, ערוך אותה ולא תוסיף שנייה. שתי רשומות v=spf1 מבטלות זו את זו ומשאירות אותך ללא הגנה.

שלב 5 — שמור עין על ספירת הבדיקות. אם יש לך הרבה שולחים, ייתכן שתחרוג ממגבלת 10 הבדיקות. אם זה קורה, איחד — חלק מהספקים מציעים “SPF flattening”, או הסר שולחים שאינך משתמש בהם עוד.

שלב 6 — בדוק מחדש את הדומיין שלך כדי לאשר שהוא עכשיו עובר, עם הרשומה הקיימת והמדיניות המחמירה.

טעויות נפוצות

• שתי רשומות SPF. הכשל השקט הנפוץ ביותר. הוספת רשומה חדשה במקום עריכת הקיימת מבטלת את שתיהן. חייבת להיות בדיוק אחת.
• עצירה ב-~all ולהניח שסיימת. Soft fail ללא DMARC מאחוריו הוא מצב הביניים החלש — נראה מוגדר אך בקושי מגן עליך. או עבור ל--all, או שלב ~all עם DMARC p=reject.
• שכחת שולח. הידוק ל--all לפני שרישמת את אפליקציית החשבוניות, ה-CRM, או כלי הניוזלטר שלך יתחיל לחסום את הדואר הלגיטימי שלך. רשום הכל תחילה.
• חריגה ממגבלת 10 הבדיקות. כל include: יכול להתחבר לבדיקות נוספות. יותר מדי והרשומה נחשבת שבורה. שמור אותה רזה.
• שימוש ב-+all. זה מאשר במפורש לאינטרנט כולו לשלוח בשמך. זה גרוע יותר מאשר לא קיומה של רשומה. לעולם אל תפרסם זאת.

היכן זה מתאים

SPF הוא הבסיס, אך הוא אחת משלוש שכבות. DKIM מוסיף חתימה קריפטוגרפית שמוכיחה שהודעה לא שונתה, וDMARC הוא ההוראה שקושרת SPF ו-DKIM יחד ואומרת לשרתים המקבלים מה לעשות עם דואר שנכשל — כולל חסימת התחזות לשם ה’מאת’ הגלוי שהלקוחות שלך רואים. הגדר SPF נכון תחילה (זה הניצחון המהיר ביותר ונושא את המשקל הגדול ביותר), ואז הוסף DKIM ו-DMARC לסגירה מוחלטת של הדלת. כל שלושת התיקונים חינמיים.

הגדירו זאת אצל ספק האחסון שלכם

שלב אחר שלב עבור ספקים פופולריים:

• הגדירו SPF ב-GoDaddy
• הגדירו SPF ב-Namecheap
• הגדירו SPF ב-Cloudflare
• הגדירו SPF ב-Google Workspace
• הגדירו SPF ב-Microsoft 365
• הגדירו SPF ב-Squarespace
• הגדירו SPF ב-Wix
• הגדירו SPF ב-AWS Route 53
• הגדירו SPF ב-Hostinger
• הגדירו SPF ב-Porkbun
• הגדירו SPF ב-IONOS
• הגדירו SPF ב-Bluehost

שאלות נפוצות