ما هو DKIM؟
DKIM (البريد المحدد بمفاتيح النطاق) هو طريقة لمصادقة البريد الإلكتروني محددة في RFC 6376. يستخدم التشفير غير المتماثل — حيث يوقع مفتاح خاص الرسائل الصادرة على خادم البريد الخاص بك، ويسمح مفتاح عام منشور في DNS لأي خادم مستلم بالتحقق من هذا التوقيع. إذا تم العبث بالرسالة بعد التوقيع، سيتعطل التوقيع.
على عكس SPF، يقوم DKIM بمصادقة محتوى الرسالة نفسه (الرؤوس و/أو الجسم)، وليس فقط عنوان IP المرسل. وهذا يجعله مرناً في حالات إعادة توجيه البريد الإلكتروني حيث يتغير عنوان IP الخاص بالمرسل.
لماذا تحتاج إلى DKIM؟
1سلامة الرسالة
يثبت أن جسم البريد الإلكتروني ورؤوسه لم يتم تعديلها منذ مغادرتها خادمك
2يصمد أمام إعادة التوجيه
التوقيع مدمج في البريد الإلكتروني، وليس مرتبطاً بعنوان IP المرسل — يظل صالحاً عبر خوادم الترحيل
3مطلوب لـ DMARC
يمكن لـ DMARC استخدام محاذاة DKIM كأساس لقرارات النجاح/الفشل
4تعزيز قابلية التسليم
تكافئ Gmail و Outlook وغيرها البريد الموقع بـ DKIM بشكل كبير في قرارات التصفية
كيف يعمل DKIM — خطوة بخطوة
تقوم بإنشاء زوج من المفاتيح العامة/الخاصة وتكوين خادم البريد الخاص بك لاستخدام المفتاح الخاص.
تقوم بنشر المفتاح العام كسجل DNS TXT في `selector._domainkey.yourdomain.com`.
عندما ترسل بريداً إلكترونياً، يقوم خادم البريد بعمل (Hash) لرؤوس مختارة والجسم، ثم يوقع ذلك الهاش بالمفتاح الخاص.
يتم إضافة التوقيع كرأس `DKIM-Signature` في البريد الإلكتروني.
يقرأ الخادم المستلم `DKIM-Signature` ويجلب المفتاح العام من DNS، ويفك تشفير التوقيع، ويعيد عمل هاش للرسالة للمقارنة.
المطابقة تعني أن الرسالة أصلية وغير معدلة. عدم المطابقة يشير إلى تلاعب أو خطأ في التكوين.
سجل DNS الخاص بـ DKIM (المفتاح العام)
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADC...AQABالحقول الرئيسية
v=DKIM1— معرف الإصدارk=rsa— نوع المفتاح (rsa أو ed25519)p=— المفتاح العام المشفر بـ base64h=— خوارزميات الهاش المقبولة (sha256)s=— نوع الخدمة (email أو *)t=s— علم الوضع الصارمرأس DKIM-Signature (في البريد الإلكتروني)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=yourdomain.com; s=mail2024;
h=from:to:subject:date:message-id;
bh=47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=;
b=mY93xZ...معاني حقول التوقيع
مشاكل DKIM الشائعة
تعديل الجسم
تقوم بعض القوائم البريدية أو فاحصات الفيروسات بتعديل الجسم، مما يكسر هاش الجسم bh=
سجل DNS مفقود
تأكد من نشر سجل TXT وانتشاره قبل الإرسال
محدد خاطئ
يجب أن يتطابق s= في التوقيع مع المحدد في اسم سجل DNS
طول المفتاح قصير جداً
استخدم مفاتيح RSA بسعة 2048 بت على الأقل. تعتبر مفاتيح 1024 بت غير آمنة ويرفضها بعض المزودين
الأسئلة الأكثر شيوعاً
إن DKIM (البريد المحدد بمفاتيح النطاق) هو طريقة مصادقة تشفيرية تضيف توقيعًا رقميًا إلى رسائل البريد الإلكتروني الخاصة بك. يسمح هذا التوقيع للخوادم المستلمة بالتحقق من أن البريد الإلكتروني قد تم التصريح به بالفعل من قبل مالك النطاق، والأهم من ذلك، أن محتوى الرسالة لم يتم العبث به أو تعديله أثناء الانتقال بين الخوادم.
محدد DKIM (Selector) هو سلسلة فريدة تُستخدم لتحديد موقع المفتاح العام المحدد في سجلات DNS الخاصة بك. يسمح لنطاق واحد بامتلاك مفاتيح DKIM متعددة لخدمات مختلفة. يمكنك عادةً العثور على المحدد في إعدادات المصادقة لمزود خدمة البريد الإلكتروني (ESP) أو عن طريق فحص ترويسات البريد المرسل بحثًا عن علامة 's='.
عادةً ما يشير فقدان سجل DKIM إلى واحدة من ثلاث مشكلات: اسم المحدد غير صحيح، أو السجل لم ينتهِ من الانتشار عبر نظام DNS العالمي، أو تم إضافة سجل TXT إلى مستوى نطاق خاطئ. تحقق دائمًا من المحدد المقدم من مزود الخدمة وتأكد من عدم وجود مسافات زائدة في إدخال DNS.
نعم، يمكنك ويجب عليك الحصول على سجلات DKIM متعددة إذا كنت تستخدم خدمات بريد إلكتروني متعددة. ستستخدم كل خدمة محددًا فريدًا، مما يسمح لها بالوجود في وقت واحد في DNS الخاص بك دون تعارض. هذه ممارسة فضلى للحفاظ على الأمان عبر المنصات المختلفة.
يوفر DKIM طبقة من الثقة يقدرها مزودو خدمات الإنترنت بشدة. يثبت توقيع DKIM الصالح أصل الرسالة وسلامتها، مما يساعد في بناء سمعة المرسل بمرور الوقت. المرسلون ذوو السمعة الطيبة أقل عرضة للتقييد أو الإرسال إلى مجلد البريد العشوائي.
يبقى المفتاح الخاص بشكل آمن على خادم البريد الخاص بك ويُستخدم لتوقيع الرسائل الصادرة. أما المفتاح العام فيتم نشره في سجلات DNS ليراه الجميع. تستخدم الخوادم المستلمة المفتاح العام لفك تشفير التوقيع والتحقق من صحته. هذا التشفير 'غير المتماثل' هو أساس أمان DKIM.