סף הכניסה לעבירוּת הוא אימות של הדומיין השולח באמצעות פרוטוקולי אימות הדומיין SPF ו-DKIM. הדרישות החדשות של ספקיות האימייל הגדולות אף מחייבות לאמת את הדומיין. מהי רשומת DKIM ואיך נכון להגדיר אותה?
תוכן עניינים
האזנה לפודקאסט
פודקאסט ובלוג מובילים בעברית בנושאי אימייל מרקטינג (email marketing) ועבירוּת אימיילים (deliverability).
הגעתם אל הבלוג והפודקאסט המובילים והמעודכנים ביותר בעברית בתחום אימייל מרקטינג, עבירוּת אימיילים, שיווק ודאטה. כאן תמצאו שפע מאמרים מפורטים ופודקאסטים מקצועיים למתחילים ולמתקדמים, המכסים את התחום בצורה מעמיקה.
חלק מהפרקים כוללים ראיונות עם מומחי אימייל מרקטינג בינלאומיים מובילים, המשולבים בעברית.
אימייל מרקטינג הוא ערוץ ותיק, אך דווקא בגלל שהוא “הסבא” של המדיה הדיגיטלית, הוא לא תמיד זוכה לתשומת לב והמקצועיות הראויה. היום הולך ונהיה קשה יותר להגיע לאינבוקס. כדי להצליח באימייל מרקטינג, יש להתמקצע ולא להסתמך רק על הפלטפורמה (מערכת הדיוור) שתעשה את הכל.
בבלוג ובפודקאסט תמצאו מידע מקיף ועדכני בנושאים כמו אימייל מרקטינג, עבירוּת אימיילים, סקירות מערכות דיוור, אוטומציה שיווקית, שיווק באמצעות תוכן, אימייל מרקטינג לאיקומרס, טיפים לשיווק במייל, דיוור בסטארטאפים ועוד.
יוצר הפודקאסט והבלוג, סלע יפה, הוא מומחה בינלאומי לעבירוּת אימיילים ושיווק באימייל. הוא מסייע למדוורים גלובליים, סטארטאפים, סוכנויות אימייל ומערכות דיוור (ESPs) בנושאי עבירוּת אימיילים, אימות אימייל (SPF, DKIM, DMARC, BIMI) ואסטרטגיית אימייל.
A blog and podcast (in Hebrew) about email marketing, email deliverability, marketing, and data.
סף הכניסה לעבירוּת הוא אימות דומיינים מדוורים באמצעות פרוטוקולי אימות הדומיין SPF ו-DKIM.
מהי רשומת DKIM ואיך נכון להגדיר אותה?
לסדרת מאמרים על אימות דומיינים בבלוג
See omnystudio.com/listener for privacy information.
סף הכניסה לעבירוּת – אימות דומיין
סינון ספאם ואימייל הוא תהליך רב שכבתי. באבולוציה של סינון אימייל, כמו במסנן הכולל מספר שכבות, אימות דומיינים (Email Authentication) הוא אחת השכבות הראשונות בהחלטות הסינון.
אימות דומיינים אינו מבטיח הגעה ל-inbox אך מאפשר למדוורים לקחת אחריות ולבנות sender reputation שחלק משמעותי ממנו משויך לדומיין.
במאמר קודם סקרתי את רשומת SPF – רשומה ותיקה וחשובה לאימות הדומיין השולח. רשומת DKIM, בה עוסק מאמר זה, היא רשומה חדשה יותר (DKIM נרשם סופית כפרוטוקול רשמי ב-2011).
תחת ההגדרה Email Authentication נמצאים הפרוטוקלים SPF ו-DKIM ומעליהם ככלי לניטור והגנה על הדומיין פרוטוקול DMARC. פרוטוקול חדש נוסף הוא פרוטוקול BIMI המאפשר לנמען להבחין ויזואלית אם הודעת אימייל היא אותנטית.
הטמעת DMARC תבוא בד”כ רק לאחר הטמעה של SPF ו-DKIM. אבל יש היגיון רב בהטמעת רשומת DMARC כמה שיותר מוקדם באמצעות כלי לניהול וניטור DMARC. הדוחות שיתקבלו יאפשרו לבחון את מצב האימות של SPF ו-DKIM ולראות את יחסי הגומלין בין הפרוטוקולים הללו בכל מקור ששולח אימיילים בשם דומיין.
דוחות DMARC יציגו גם את הכמות החודשית המדוורת פר מקור שולח.
מה זה DKIM?
פרוטוקול DKIM הוא רשומת TXT (או CNAME) ב-DNS, המגדירה דומיינים האחראים על ההודעה מבחינת חתימת ההודעה ומצפינה מקטע מתוכן ההודעה (body).
מאחר שהרשומה משויכת לדומיין היא משויכת ל-reputation שלו. זה גם הרציונל עבור מדוורים להשתמש בדומיינים שלהם על מנת לבנות, לשפר ולשמר domain reputation ולא להישען על אימות דומיין של מערכת הדיוור.
הרשומה אינה משמשת רק לאימות דומיין אלא גם כאמצעי אבטחה המוודא שהודעת אימייל לא עברה שינוי בדרך בין מוען (השולח) לנמען (המקבל).
העברת הודעה “שוברת” פעמים רבות את האימות (לצורך זה משתמשים ב-ARC – Authenticated Received Chain) שנועד לשמור על ה- chain of custody של החתימות בהעברה וקבלה של אימיילים בין שרתים.
כדאי ונכון להשתמש בכמה DKIM לפעילויות אימייל שונות, מקורות שונים או stream שונים (תשתיות שונות, מיילים טרנזקציוניים, תפעוליים שיווקיים וכדומה).
רצוי לשכלף (rotate) מפתחות אחת לתקופה. ישנן מערכות דיוור שעושות זאת בעצמן וישנן מערכות בהן זה מבוצע רק כפעולה יזומה על ידי המשתמש.
פעמים רבות הודעות אימייל נחתמות ב-DKIM של הדומיין השולח ובנוסף עם DKIM של מערכת הדיוור (ESP), לצורכי FBL (double signed).
האזנה לפודקאסט
פודקאסט ובלוג מובילים בעברית בנושאי אימייל מרקטינג (email marketing) ועבירוּת אימיילים (deliverability).
הגעתם אל הבלוג והפודקאסט המובילים והמעודכנים ביותר בעברית בתחום אימייל מרקטינג, עבירוּת אימיילים, שיווק ודאטה. כאן תמצאו שפע מאמרים מפורטים ופודקאסטים מקצועיים למתחילים ולמתקדמים, המכסים את התחום בצורה מעמיקה.
חלק מהפרקים כוללים ראיונות עם מומחי אימייל מרקטינג בינלאומיים מובילים, המשולבים בעברית.
אימייל מרקטינג הוא ערוץ ותיק, אך דווקא בגלל שהוא “הסבא” של המדיה הדיגיטלית, הוא לא תמיד זוכה לתשומת לב והמקצועיות הראויה. היום הולך ונהיה קשה יותר להגיע לאינבוקס. כדי להצליח באימייל מרקטינג, יש להתמקצע ולא להסתמך רק על הפלטפורמה (מערכת הדיוור) שתעשה את הכל.
בבלוג ובפודקאסט תמצאו מידע מקיף ועדכני בנושאים כמו אימייל מרקטינג, עבירוּת אימיילים, סקירות מערכות דיוור, אוטומציה שיווקית, שיווק באמצעות תוכן, אימייל מרקטינג לאיקומרס, טיפים לשיווק במייל, דיוור בסטארטאפים ועוד.
יוצר הפודקאסט והבלוג, סלע יפה, הוא מומחה בינלאומי לעבירוּת אימיילים ושיווק באימייל. הוא מסייע למדוורים גלובליים, סטארטאפים, סוכנויות אימייל ומערכות דיוור (ESPs) בנושאי עבירוּת אימיילים, אימות אימייל (SPF, DKIM, DMARC, BIMI) ואסטרטגיית אימייל.
A blog and podcast (in Hebrew) about email marketing, email deliverability, marketing, and data.
כלי בדיקה: DKIM Checker
מבנה רשומת DKIM
רשומת TXT ב-DNS כ-Sub domain תחת domainkey._ ולכל DKIM יש Selector.
מתחילה ב-v=DKIM1
אורך המפתח: מינימום 1024 bits. מומלץ 2048 bits. מפתחות ארוכים יותר עשויים ליצור בעיות.
DKIM selectors
| Required / optional | value | Tag |
| required | version. always v=1 | v= |
| required | The algorithm used to generate the signature | a= |
| required | The domain of the signing entity | d= |
| required | selector. the selector subdividing the namespace (domain) for the "d=" | s= |
| required | signature data | b= |
| required | hash of the canonicalized body part of the message as limited by the "l=" tag | bh= |
| required | signed header fields | h= |
| recomanded | signature timestamp | t= |
| recomanded | signature expiration | x= |
| optional | message canonicalization | c= |
| optional | the identity of the user or agent | i= |
| optional | Body length count | l= |
| optional | A colon-separated list of query methods used to retrieve the public key | q= |
טעויות ומגבלות DKIM
כל אחד יכול לחתום: ספק מערכת הדיוור, הדומיין הפרטי וכיו”ב.
החתימה יכולה “להישבר” על ידי העברה (email forwared).
החתימה יכולה להישבר כשעוברים ל-DNS שמוגבל באורך ה-DKIM.
שרתי DNS שונים או לא מעודכנים, עשויים לא להיות מותאמים לאורך מפתח. למשל AWS Route53.
שכיח לראות שדומיין כולל רשומת DKIM אבל לא עבור כל שרתי הדיוור המשרתים את הדומיין או הארגון. אפשר לגלות תשתיות מדוורות בשם הדומיין על ידי הטמעה נכונה של DMARC.
קשה לנטר DKIM. לשם כך אפשר להשתמש ב-DMARC.
ארגונים לא מבצעים עדכון שוטף (rotation) של מפתחות.
אני סלע יפה, מומחה אימייל מרקטינג ועבירוּת אימיילים. אני מזמין אותך לפגישת יעוץ ראשונית של 1/2 שעה ללא עלות בנושא עבירוּת אימיילים ואסטרטגיית אימייל מרקטינג. book an email deliverability discovery call.
לקריאה נוספת
Sella Yoffe
Email Deliverability & Email Marketing Expert
Helping global email senders, startups, digital agencies, and ESPs with email deliverability, email authentication (SPF, DKIM, DMARC, BIMI), and email & content strategy
Podcast creator & Blogger @ CRM.BUZZ & EmailGeeks.Show
