SPF, DKIM, DMARC: המדריך המעשי לצוותי מכירות ששולחים cold email
כשמייל קר לא מגיע לתיבה הראשית, הבעיה כמעט תמיד מתחילה לפני שהוא יוצא מהשרת - ב-DNS של הדומיין. SPF, DKIM ו-DMARC הם שלושה פרוטוקולים שמוכיחים לג'ימייל ולאאוטלוק שהמייל באמת נשלח מכם ולא זויף, וכשאחד מהם חסר או מוגדר לא נכון, כל קמפיין ה-cold email נופל לספאם בלי קשר לאיכות הליד או לתוכן.
- SPF מגדיר אילו שרתים מורשים לשלוח בשם הדומיין, DKIM חותם כל מייל דיגיטלית, DMARC קובע מה קורה כשאחד מהם נכשל.
- דומיין בלי DMARC לא נכשל בבדיקה - הוא פשוט לא נבדק ברצינות, וג'ימייל מתייחס אליו כפחות אמין כברירת מחדל.
- ההבדל בין inbox לספאם בקמפיין B2B יכול להיות תלוי כמעט לגמרי באימות הדומיין, לא בקופי.
- מומלץ להתחיל DMARC מ-p=none ולעלות בהדרגה ל-quarantine ואז reject, לא לקפוץ ישר.
- שליחת cold email עסקי בישראל כפופה לחובות זיהוי וגילוי לפי תיקון 40 לחוק התקשורת, גם כשהאימות הטכני תקין.
למה זה מתחיל להישבר: הקשר בין DNS לתיבת הדואר הנכנס
ספקי דואר גדולים לא מחליטים אם מייל מגיע לתיבה הראשית לפי התוכן שלו בלבד. הם משלבים אותות רבים - מוניטין IP, engagement היסטורי, ובראש הרשימה שלושה פרוטוקולי אימות: SPF, DKIM ו-DMARC. אלה בודקים דבר טכני פשוט - האם המייל באמת נשלח מהדומיין שהוא טוען שהוא נשלח ממנו.
בקמפיין cold email עסקי, שבו נשלחים כמויות קטנות יחסית של מיילים מותאמים אישית לבעלי תפקידים ספציפיים בחברות ספציפיות, כל תקלת אימות דומיין מורגשת מיד - כי אין מסה גדולה של תעבורה שמסתירה את הבעיה. עסק שמפעיל דומיין חדש או סאב-דומיין ייעודי לשליחה נתקל בזה הכי הרבה.
SPF: רשימת השרתים המורשים לשלוח בשם הדומיין
SPF (Sender Policy Framework) הוא רשומת TXT ב-DNS שמפרטת אילו שרתי דואר רשאים לשלוח בשם הדומיין. כשמייל מגיע, השרת המקבל בודק את כתובת ה-IP של השולח מול הרשימה הזו - אם היא לא שם, זה סימן ראשון לחשד בזיוף.
רשומת SPF טיפוסית לעסק שמשתמש בגוגל וורקספייס ובפלטפורמת שליחה נוספת נראית בערך כך: v=spf1 include:_spf.google.com include:sendgrid.net ~all. כל include מוסיף ספק חיצוני לרשימת המורשים, וה-~all בסוף אומר לספק המקבל להתייחס בחשדנות למי שלא ברשימה, בלי לדחות אוטומטית.
התקלה הנפוצה ביותר: DNS מאפשר עד 10 חיפושים מקוננים לבדיקת SPF אחת. עסקים שמצרפים ספק אחרי ספק - CRM, כלי cold email, מערכת ניוזלטר, פלטפורמת חתימות - בלי לנקות ישנים, חוצים את המכסה ומקבלים כשל שקט (permerror) שרוב הצוותים לא שמים לב אליו עד שה-deliverability צונח. תקלה שנייה שכיחה: יותר מרשומת SPF אחת לאותו דומיין, מה שגורם לכישלון אוטומטי אצל רוב הספקים.
הנתונים אינדיקטיביים, מבוססים על ביקורות דומיין שבוצעו לפני הפעלת קמפיינים B2B ממוקדים
DKIM: חתימה דיגיטלית שמוכיחה שהתוכן לא שונה בדרך
DKIM (DomainKeys Identified Mail) עובד אחרת מ-SPF: במקום לבדוק מי שלח, הוא בודק אם המייל שהגיע זהה למייל שנשלח. השרת השולח חותם כל מייל יוצא במפתח פרטי, וה-DNS של הדומיין מפרסם את המפתח הציבורי המתאים ברשומת TXT עם selector ייחודי, למשל selector1._domainkey.company.co.il.
כשהמייל מגיע ליעד, שרת הקבלה מחשב את החתימה מחדש לפי המפתח הציבורי ומשווה אותה למה שהתקבל. אם משהו בכותרות או בגוף המייל השתנה בדרך - למשל שרת ביניים שהוסיף הערת פורוורד - האימות נכשל.
טעות נפוצה: מעבר בין פלטפורמות שליחה (למשל מגוגל וורקספייס לכלי cold email ייעודי) בלי להגדיר selector DKIM חדש בהתאם. הפלטפורמה החדשה חותמת עם מפתח שהדומיין לא מכיר, וה-DKIM נכשל בשקט בזמן שה-SPF עדיין עשוי לעבור בהצלחה.
DMARC: המדיניות שמחברת בין SPF ל-DKIM
DMARC (Domain-based Message Authentication, Reporting and Conformance) הוא השכבה שרוב העסקים מדלגים עליה. הוא לא בודק דבר בעצמו - הוא מגדיר מדיניות שאומרת מה לעשות כש-SPF או DKIM נכשלים, ומוסיף דרישת alignment: הדומיין שמופיע בשדה From חייב להתאים לדומיין שעבר את ה-SPF או את ה-DKIM, לא רק לעבור בנפרד.
רשומת DMARC היא TXT תחת _dmarc.company.co.il, ומכילה מדיניות אחת מתוך שלוש: p=none (דיווח בלבד, בלי חסימה), p=quarantine (מייל שנכשל הולך לספאם) או p=reject (נדחה לגמרי). ההמלצה המקצועית היא להתחיל תמיד מ-p=none, לצפות בדוחות rua שמגיעים מגוגל ומיקרוסופט, לוודא שכל השרתים הלגיטימיים עוברים, ורק אז לעלות בהדרגה ל-quarantine ואחר כך reject.
קפיצה ישירה ל-p=reject בלי תקופת ניטור היא הטעות היקרה ביותר: כל שרת שולח לגיטימי שנשכח - מערכת CRM, כלי חתימת מייל, מערכת פרונטית - יתחיל להיחסם לגמרי, ולא רק להיכנס לספאם.
טווחים אינדיקטיביים מניסיון בהרצת קמפיינים B2B ממוקדים, לא נתון סטטי לכל דומיין
טעויות שחוזרות שוב ושוב אצל צוותי מכירות
רוב תקלות ה-deliverability לא נובעות מספק דואר עוין, אלא מהזנחה הדרגתית של הגדרות DNS לאורך זמן, כשכלים חדשים נוספים לסטאק בלי לעדכן את רשומות האימות.
- שימוש בדומיין הראשי של החברה לשליחת cold email בנפח גבוה, בלי סאב-דומיין נפרד - מה שמסכן את המוניטין של כתובות billing ו-support.
- הוספת פלטפורמת שליחה חדשה לרשומת SPF בלי להסיר ספקים ישנים, עד לחריגה ממכסת ה-10 lookups.
- הפעלת DMARC p=reject ביום הראשון, בלי שבועיים-שלושה של דוחות ניטור לפני כן.
- שכחה לעדכן selector DKIM אחרי מעבר ספק דואר או פלטפורמת שליחה.
- הנחה ש"התוכן טוב אז זה יגיע" - אימות הדומיין קודם לתוכן בהחלטת הפילטר.
- אי-הפרדה בין דומיין למשלוח שיווקי לדומיין תפעולי, כך שכישלון בקמפיין אחד פוגע בכל התקשורת העסקית.
צ'קליסט מהיר, המסגרת החוקית בישראל, ואיך LDM מטפלת בזה
מעבר לצד הטכני, שליחת מייל שיווקי לגורם עסקי בישראל כפופה לסעיף 30א לחוק התקשורת (בזק ושידורים), התשמ"ב-1982, כפי שתוקן בתיקון 40. הסעיף מחייב זיהוי ברור של המפרסם, ציון שמדובר בפרסומת, ומנגנון הסרה נגיש - גם כשמדובר בפנייה ממוקדת לבעל תפקיד ספציפי בחברה ולא בתפוצה המונית. אימות SPF, DKIM ו-DMARC תקין לא פוטר מהחובות האלה, הוא רק מוודא שהמייל בכלל מגיע ליעד.
צ'קליסט מינימלי לפני הפעלת קמפיין: רשומת SPF אחת בלבד, עם פחות מ-10 lookups; DKIM פעיל ומאומת דרך כלי כמו mail-tester או MXToolbox; DMARC קיים לפחות ברמת p=none עם כתובת rua לניטור; דומיין שליחה נפרד (סאב-דומיין) לתפוצה בנפח; חימום הדרגתי של הדומיין החדש לפני שליחה בקצב מלא.
ב-LDM לא מפעילים קמפיין לפני שבדיקת אימות הדומיין עוברת בירוק בשלושת הפרוטוקולים, ומנטרים דוחות DMARC לאורך כל הקמפיין כדי לתפוס בעיה לפני שהיא פוגעת בשיעור ה-reply. זה הבסיס שמאפשר בכלל לדבר על תוכן, טיימינג ו-follow-up.
שאלות נפוצות
מה ההבדל המעשי בין SPF ל-DKIM?
SPF בודק מי מורשה לשלוח בשם הדומיין לפי כתובת ה-IP של השרת, בעוד ש-DKIM בודק אם תוכן המייל שהגיע זהה למה שנשלח, באמצעות חתימה דיגיטלית. הם משלימים זה את זה - דומיין יכול לעבור את האחד ולהיכשל בשני.
האם חובה להגדיר את שלושת הפרוטוקולים, או ש-SPF ו-DKIM מספיקים?
מבחינה טכנית אפשר לשלוח עם SPF ו-DKIM בלבד, אבל בלי DMARC אין לדומיין הגנה מפני זיוף ואין דוחות שמראים כשל, כך שספקי דואר גדולים מתייחסים לדומיין כפחות אמין. לקמפיינים B2B ממוקדים DMARC כבר נחשב סטנדרט, לא תוספת.
כמה זמן לוקח לשינוי ב-DNS להיכנס לתוקף?
תלוי ב-TTL של הרשומה, לרוב בין כמה דקות לכמה שעות, אבל מומלץ לחכות 24-48 שעות לפני שבודקים תוצאות בפועל, כי לא כל הרזולברים בעולם מתעדכנים באותו קצב.
מה זה DMARC alignment ולמה זה קריטי?
Alignment בודק שהדומיין שמופיע לנמען בשדה From תואם לדומיין שאומת ב-SPF או ב-DKIM. בלי alignment אפשר לעבור SPF עם דומיין אחד ולהציג בשדה From דומיין אחר לגמרי, וזו בדיוק הפרצה ש-DMARC נועד לסגור.
איך בודקים בפועל אם הדומיין מוגדר נכון?
כלים כמו mail-tester.com או MXToolbox נותנים בדיקה מהירה שמראה סטטוס SPF, DKIM ו-DMARC בזמן אמת, כולל אזהרות כמו חריגת lookups או selector שגוי. שווה להריץ בדיקה כזו לפני כל קמפיין חדש, לא רק פעם אחת בהקמה.
מה קורה כששולחים דרך כמה כלים במקביל - CRM, פלטפורמת cold email וניוזלטר?
כל כלי צריך להיכלל ברשומת ה-SPF, עד למכסת ה-lookups, ולקבל selector DKIM משלו אם הוא חותם בעצמו, אחרת הוא ייכשל ב-alignment גם אם ה-DMARC ברמת none. הפתרון הנקי ביותר הוא להפריד תפוצה שיווקית לסאב-דומיין ייעודי במקום להעמיס הכל על הדומיין הראשי.
רוצים ליישם את זה באאוטריץ׳ שלכם?
נראה לכם איך זה עובד על הסגמנט והמוצר שלכם — לפני שמתחילים.
דברו איתנו