Live Direct Marketing
דף הביתבלוגDeliverability

איך קוראים דוחות DMARC rua ו-ruf ומזהים ניצול לרעה של דומיין השליחה

12 ביולי 2026 · 8 דקות קריאה · מדריך: Deliverability

כל עסק ששולח cold email ל-B2B מקבל דוחות DMARC יומיים - אבל רובם נשארים בתיבת הדואר בלי שאף אחד פותח אותם. דוח rua מראה בדיוק מי שולח בשם הדומיין שלכם, כולל מקורות שלא הרשתם מעולם. בלי לקרוא אותם באופן שוטף, זיוף דומיין (spoofing) יכול לרוץ שבועות לפני שהוא מתגלה - בדרך כלל כשלקוח מתלונן או כשמוניטין השליחה כבר נפגע.

בקצרה
  • דוח rua הוא XML מצטבר שמראה כל IP ששלח בשם הדומיין שלכם ואם הוא עבר יישור SPF/DKIM.
  • דוח ruf כמעט ולא נשלח בפועל - רוב ספקי הדואר חוסמים אותו מטעמי פרטיות.
  • כלי open source כמו אלה שמתפרסמים תחת dmarc analyzer github הופכים XML גולמי לדוחות קריאים בחינם.
  • דומיין שמזוייף לשליחת ספאם עלול לגרום ללקוחות שלכם להתלונן על הודעות שלא עומדות בתיקון 40, גם אם לא שלחתם אותן.
  • מעבר ל-p=reject בלי חודש-חודשיים של ניטור rua הוא הטעות הנפוצה ביותר - היא חוסמת גם דואר לגיטימי.

למה בכלל לקרוא דוחות DMARC, ולא רק להגדיר אותם

רשומת DMARC בדומיין רק אומרת לספקי דואר איך להתייחס להודעות שנכשלות ב-SPF/DKIM - היא לא עושה שום דבר יזום בשבילכם. בלי לקרוא את דוחות rua שחוזרים כל יום מ-Gmail, Outlook ו-Yahoo, אין לכם דרך לדעת אם מישהו מנסה לשלוח בשם הדומיין שלכם. עבור עסק שמריץ cold email ל-B2B, זה סיכון כפול: גם למוניטין השליחה של הדומיין הראשי, וגם לאמינות של כל קמפיין דיוור ממוקד שרץ ממנו.

כלי dmarc analyzer הופך את קובצי ה-XML הגולמיים, שרוב תיבות הדואר לא יודעות לפתוח בצורה שימושית, לטבלה קריאה: מי שלח, מאיזה IP, כמה הודעות, והאם הן עברו יישור (alignment) מול SPF ו-DKIM. בלי השלב הזה, גם ארגון עם רשומת DMARC מוגדרת נכון פשוט לא רואה ניסיון spoofing עד שהוא כבר השפיע - למשל כשקמפיין דיוור ממוקד לגיטימי מתחיל לנחות בספאם כי דומיין השליחה נחשד.

מבנה דוח ה-rua: מה בודקים בכל שורה

דוח rua נשלח כקובץ XML מכווץ, בדרך כלל אחת ליום מכל ספק דואר גדול שקיבל הודעות מהדומיין שלכם (בין אם שלחתם אותן ובין אם לא). כל רשומה בדוח מייצגת מקור שליחה אחד לאורך פרק הזמן, לא הודעה בודדת - כך שדוח אחד יכול לכסות אלפי מיילים במספר שורות בלבד.

השורה הקריטית לבדיקה היא הצירוף בין source_ip ל-disposition: אם ה-IP לא מוכר לכם והוא עבר spf=pass בזכות תת-דומיין שהוגדר אצל ספק דיוור אחר, זה עדיין יכול להיות שימוש לגיטימי (למשל כלי CRM ששולח התראות). אבל אם dkim=fail וגם spf=fail על header_from של הדומיין הראשי שלכם, זה כמעט תמיד ניסיון spoofing שדורש טיפול מיידי.

דוח ruf: למה כמעט אף אחד לא מקבל אותו בפועל

דוח ruf (forensic) אמור לשלוח עותק חלקי או מלא של כל הודעה בודדת שנכשלה באימות, בזמן אמת. בפועל, כמעט אף ספק דואר גדול - לא Gmail, לא Outlook - לא שולח אותו כברירת מחדל, כי הוא חושף תוכן הודעה ומטא-דאטה של נמענים, מה שמתנגש עם מדיניות הפרטיות של הספקים עצמם.

אם בכל זאת יש לכם מקור ruf פעיל (למשל דרך פתרון ארגוני שמריץ honeypot משלו), חשוב לזכור שמדובר בתוכן הודעה אמיתי שכולל כתובות דואר וטקסט - אחסון שלו כפוף לחוק הגנת הפרטיות הישראלי, לא רק לשיקולי אבטחה. הגבילו גישה, קבעו תקופת שמירה קצרה, ואל תשמרו ruf "כי אולי יהיה שימושי" - זה מידע אישי לכל דבר.

dmarc analyzer: בין open source חינמי לפתרון ארגוני

כשמחפשים dmarc analyzer יש בעצם שלוש רמות. הרמה הראשונה היא כלי dmarc analyzer free עם מגבלת דומיינים - מספיקה לעסק קטן עם דומיין שליחה אחד או שניים, ונותנת דשבורד בסיסי לזיהוי מקורות לא מוכרים. הרמה השנייה היא dmarc analyzer open source, כלים שמתפרסמים תחת dmarc analyzer github ומריצים parsing עצמאי של ה-XML לבסיס נתונים מקומי - מתאים לצוות טכני שרוצה שליטה מלאה ולא רוצה לשלוח דוחות לצד שלישי.

הרמה השלישית היא פתרון ארגוני כמו dmarc analyzer mimecast, שמשלב ניטור DMARC עם שאר מנגנוני האבטחה של הארגון (anti-phishing, brand protection), כולל התראות אוטומטיות והמלצה מדורגת למעבר בין p=none ל-p=quarantine ל-p=reject. זה נכון לארגון עם הרבה דומיינים ותת-דומיינים, אבל לרוב יותר מדי בשביל עסק שמריץ קמפיין דיוור ממוקד אחד או שניים בחודש.

דוגמה

לדוגמה, שורה בדוח rua עם source_ip לא מוכר, count 40, spf=fail ו-dkim=fail על header_from של הדומיין הראשי - זה סימן מיידי לבדיקה, ולא רעש רקע שאפשר להתעלם ממנו.

טווחים אופייניים בדוח rua של דומיין דיוור B2B פעיל

אחרי כמה שבועות של איסוף rua על דומיין ששולח cold email ממוקד בקצב יומי נמוך, ההרכב הטיפוסי של המקורות נראה בערך כך:

טעויות נפוצות בקריאת דוחות DMARC

רוב הנזק לא נגרם מחוסר בדיקה, אלא מפרשנות שגויה של מה שכבר רואים בדוח.

איך אנחנו ב-LDM עוקבים אחרי דוחות DMARC של דומייני שליחה

בכל דומיין שליחה חדש שעולה לקמפיין דיוור ממוקד, אנחנו שומרים p=quarantine עם ניטור rua שבועי לפחות ארבעה שבועות לפני שקילת מעבר ל-p=reject, ומעלים את pct= בהדרגה במקום קפיצה חדה.

מקור IP לא מוכר בדוח הוא תמיד טריגר לבדיקה, לא רק רישום בטבלה - אנחנו בודקים אם הוא שייך לספק דיוור מאושר של הלקוח, ואם לא, ממליצים על חסימה או פנייה לספק האחסון של אותו IP.

לזה יש גם היבט רגולטורי: תיקון 40 לחוק התקשורת (בזק ושידורים) מחייב זיהוי ברור של המפרסם ומנגנון הסרה תקין בכל הודעה פרסומית. הודעות ספאם שנשלחות ממקור שמזייף את הדומיין שלכם כמעט אף פעם לא עומדות בדרישות האלה - אין הסרה תקנית, אין זיהוי אמיתי - וכשלקוח מתלונן, התלונה נוחתת על המוניטין של הדומיין האמיתי, גם אם לא שלחתם את ההודעה. ניטור שוטף של rua הוא בפועל קו ההגנה הראשון נגד התרחיש הזה.

שאלות נפוצות

מה ההבדל בין דוח rua לדוח ruf?

rua הוא דוח מצטבר (aggregate) שמסכם, בדרך כלל אחת ליום, כמה הודעות הגיעו מכל מקור IP והאם הן עברו SPF/DKIM. ruf הוא דוח פורנזי (forensic) שאמור לשלוח עותק של הודעה בודדת שנכשלה, אך כמעט אף ספק דואר גדול לא שולח אותו כברירת מחדל בגלל שיקולי פרטיות.

האם דוח DMARC יכול לחשוף פרטים על הלקוחות שלנו?

דוח rua לא - הוא מכיל רק IP, כמות ותוצאות אימות, בלי תוכן הודעה או כתובות נמענים. דוח ruf כן עלול לכלול תוכן ומטא-דאטה של הודעה בודדת, ולכן כמעט לא נשלח בפועל, ואם כן - יש להתייחס אליו כמידע אישי לפי חוק הגנת הפרטיות.

איזה dmarc analyzer מתאים לעסק קטן שרק מתחיל עם DMARC?

לרוב מספיק כלי dmarc analyzer free עם מגבלת דומיין אחד-שניים, או כלי dmarc analyzer open source שמתפרסם תחת dmarc analyzer github ומריץ parsing עצמאי. פתרון ארגוני כמו dmarc analyzer mimecast משתלם בעיקר כשיש הרבה דומיינים ותת-דומיינים לנטר במקביל.

כל כמה זמן צריך לבדוק את הדוחות?

שבועי הוא הקצב המינימלי לדומיין שליחה פעיל, ויומי בשבועות הראשונים אחרי הפעלת DMARC או אחרי כל שינוי במדיניות (p=). נפח ה-spoofing משתנה, כך שבדיקה חד-פעמית לא מספיקה.

מה עושים כשמזהים מקור IP לא מוכר בדוח?

קודם בודקים אם הוא שייך לכלי מאושר (CRM, פלטפורמת דיוור, מערכת התראות) שפשוט לא הוגדר נכון ב-SPF. אם לא, מדובר כנראה בניסיון spoofing - מומלץ לחסום אותו ולשקול העלאת pct= ב-p=quarantine או p=reject בהדרגה.

איך זה קשור לתיקון 40 לחוק התקשורת?

תיקון 40 מחייב זיהוי ברור של השולח ומנגנון הסרה תקין בכל הודעה פרסומית. כשמישהו מזייף את הדומיין שלכם לשליחת ספאם, ההודעות כמעט אף פעם לא עומדות בדרישות האלה - והתלונות עלולות להגיע ללקוחות שלכם ולפגוע במוניטין העסק האמיתי, למרות שלא שלחתם את ההודעה.

חשוב: זה לא דיוור המוני ולא ספאם. אנחנו עובדים ממוקד: כל הודעה נשלחת לאיש קשר מסוים בחברה מסוימת, מסיבה עסקית לגיטימית, בנפחים יומיים קטנים ומותאמת לנמען. בכל מייל מזוהה השולח וישנה הסרה בקליק אחד; הסרות ורשימות חסימה חלות על כל הקמפיינים הבאים ללא יוצא מן הכלל.

רוצים ליישם את זה באאוטריץ׳ שלכם?

נראה לכם איך זה עובד על הסגמנט והמוצר שלכם — לפני שמתחילים.

דברו איתנו