לפחות 90% מהדומיינים הישראליים אינם מוגדרים עם DMARC תקין. זה אומר שתוקף יכול לשלוח מייל שנראה שהוא מגיע מ-ceo@yourcompany.com – ורוב שרתי הדואר יקבלו אותו. זה הבסיס למתקפות BEC (Business Email Compromise) שגורמות נזקים של מיליארדים בשנה.
ההיררכיה: SPF → DKIM → DMARC
- 1SPF (Sender Policy Framework) – מגדיר אילו שרתים מורשים לשלוח מייל מהדומיין שלכם. רשומת DNS פשוטה.
- 2DKIM (DomainKeys Identified Mail) – חתימה קריפטוגרפית על כל מייל. שרת המקבל מאמת שהמייל לא שונה.
- 3DMARC – מדיניות שמגדירה מה לעשות עם מייל שנכשל ב-SPF ו-DKIM: none/quarantine/reject. + דוחות.
DMARC Policy Levels
p=none – מדווח בלבד, לא חוסם. p=quarantine – שולח ל-Spam. p=reject – חוסם לחלוטין. התחילו עם none, עברו לקוורנטין לאחר ניתוח הדוחות, ולבסוף reject.
כיצד מגדירים – 3 שלבים
- 1הגדרת SPF: בדקו את כל שירותי השליחה שלכם (Google Workspace, Outlook, MailChimp, HubSpot וכו') והוסיפו אותם לרשומת TXT ב-DNS.
- 2הגדרת DKIM: הפעילו DKIM ב-Google Workspace / Microsoft 365 והוסיפו את המפתח הציבורי ל-DNS.
- 3הגדרת DMARC: הוסיפו רשומת TXT: v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com. המתינו שבועיים, נתחו דוחות, העלו ל-quarantine ואז reject.
- כלי בדיקה חינמי: mxtoolbox.com/dmarc.aspx
- כלי ניתוח דוחות: dmarcanalyzer.com, valimail.com
- גוגל ומיקרוסופט הכריזו ב-2024 שיחסמו מיילים מדומיינים ללא DMARC
הגדרת DMARC נכונה לוקחת כ-2 שעות עבודה טכנית וסוגרת אחת מהפרצות הנפוצות ביותר למתקפות Phishing מבוססות Brand Impersonation. זה אחד ה-Quick Wins הכי משמעותיים בסייבר.
DMARCSPFDKIMEmail SecurityPhishing