DMARC (مصادقة الرسائل وإعداد التقارير والمطابقة المستندة إلى المجال) هو بروتوكول مصادقة للبريد الإلكتروني يساعد مزودي خدمة الإنترنت على التحقق من هوية المرسل ويمنع انتحال النطاق.

كم مرة يجب أن أقوم بإنشاء سجل DMARC جديد؟

ما عليك سوى إنشاء سجل DMARC مرة واحدة لكل نطاق. قم بتحديثه إذا قمت بتغيير موفري إرسال البريد الإلكتروني الخاص بك أو كنت ترغب في تعديل سياسات المصادقة الخاصة بك.

ما الفرق بين السياسة الرئيسية وسياسة النطاق الفرعي؟

تنطبق السياسة الرئيسية على نطاقك الجذر، بينما تنطبق سياسة النطاق الفرعي على النطاقات الفرعية مثل "mail.example.com". يمكنك تعيين سياسات مختلفة لكل منها.

هل يجب أن أستخدم "لا شيء" أو "الحجر الصحي" أو "الرفض"؟

ابدأ بـ "لا شيء" لمراقبة النتائج، وانتقل إلى "عزل" للتنفيذ المعتدل، واستخدم "رفض" فقط عندما تكون واثقًا من إعداد نظام التعرف على هوية المرسل (SPF) وDKIM.

مولد سجل DMARC

قم بإنشاء سجلات DMARC لنطاقك باستخدام معالج الخطوات المجاني الخاص بنا.

أدخل نطاقك

ابدأ بإدخال النطاق الذي تريد إنشاء سجل DMARC له.

اسم النطاق *

ما هو DMARC؟

DMARC (مصادقة الرسائل المستندة إلى النطاق والتقارير والمطابقة) محدد في RFC 7489. يبني فوق SPF و DKIM بإضافة قدرتين رئيسيتين: سياسة تخبر المستلمين بكيفية التعامل مع البريد غير المصادق عليه (مراقبة، حجر صحي، أو رفض)، وآلية إبلاغ ترسل لك تقارير XML حول من يرسل بريداً من نطاقك وما إذا كان يجتاز المصادقة.

بشكل حاسم، يضيف DMARC مفهوم **المحاذاة** (Alignment) — يجب أن يتطابق النطاق في رأس "From" المرئي للبريد الإلكتروني مع النطاق المصادق عليه بواسطة SPF أو DKIM. هذا يمنع المهاجمين من اجتياز SPF/DKIM على نطاق مختلف أثناء انتحال نطاقك في رأس From.

لماذا تحتاج إلى DMARC؟

1حماية رأس From

SPF و DKIM وحدهما لا يحميان عنوان From المرئي — DMARC يسد تلك الفجوة بالمحاذاة

2سياسة الإنفاذ

أنت تقرر ما يحدث للبريد الفاشل: مراقبته، إرساله إلى البريد المزعج، أو رفضه تماماً

3التقارير التجميعية

تظهر تقارير XML اليومية (RUA) كل عنوان IP يرسل بريداً بنطاقك ومعدلات النجاح/الفشل

4التقارير الجنائية

ترسل تقارير الفشل (RUF) نسخة منقحة من الرسائل الفاشلة الفردية للتحقيق

5مطلوب من قبل Google/Yahoo

منذ فبراير 2024، يجب أن يكون لدى مرسلي الرسائل الجماعية DMARC بسياسة p=none كحد أدنى للوصول إلى صناديق الوارد في Gmail/Yahoo

6حماية العلامة التجارية

يمنع وصول رسائل التصيد الاحتيالي التي تنتحل صفة علامتك التجارية إلى عملائك

كيف يعمل DMARC — خطوة بخطوة

تقوم بنشر سجل DMARC TXT في `_dmarc.yourdomain.com` مع تحديد سياستك وعناوين التقارير.

تصل رسالة إلى الخادم المستلم. يقوم بإجراء فحصي SPF و DKIM بشكل مستقل.

يتم اختبار محاذاة DMARC: هل يتطابق النطاق المصادق عليه (من SPF أو DKIM) مع نطاق رأس From؟

إذا نجح إما SPF+المحاذاة أو DKIM+المحاذاة، ينجح DMARC للرسالة.

إذا فشل كلاهما، يطبق المستلم سياستك: none (تسليم)، quarantine (مجلد البريد المزعج)، أو reject (ارتداد).

يجمع المستلم بيانات المصادقة لنطاقك ويرسل تقارير تجميعية (RUA) أو جنائية (RUF) إلى العناوين التي حددتها.

بنية سجل DMARC

سجل DNS TXT عند _dmarc.yourdomain.com

v=DMARC1; p=quarantine; pct=100; sp=reject;
            rua=mailto:dmarc-reports@yourdomain.com;
            ruf=mailto:dmarc-failures@yourdomain.com;
            adkim=s; aspf=s; fo=1

مرجع العلامات

v=DMARC1— الإصدار، مطلوب

p=— سياسة النطاق

sp=— سياسة النطاقات الفرعية

pct=— نسبة البريد الفاشل التي تنطبق عليها السياسة

rua=— مستلمو التقارير التجميعية (mailto:)

ruf=— مستلمو التقارير الجنائية (mailto:)

adkim=— محاذاة DKIM: r=relaxed (مرن)، s=strict (صادم)

aspf=— محاذاة SPF: r=relaxed، s=strict

fo=— خيارات الإبلاغ عن الفشل (0,1,d,s)

ri=— فاصل التقرير بالثواني (الافتراضي 86400)

سياسات DMARC الثلاث

p=none

مراقبة فقط. يتم تسليم البريد الفاشل بشكل طبيعي. استخدمه في البداية لجمع التقارير قبل الإنفاذ.

p=quarantine

يذهب البريد الفاشل إلى مجلد البريد المزعج. خطوة انتقالية قبل الرفض الكامل.

p=reject

يرتد البريد الفاشل عند مستوى SMTP ولا يتم تسليمه أبداً. أقوى مستويات الحماية.

شرح محاذاة DMARC

المحاذاة المرنة (Relaxed - افتراضي)

قد يكون النطاق المصادق عليه أصلاً تنظيمياً. مثلاً mail.yourdomain.com ينجح لـ yourdomain.com

المحاذاة الصارمة (Strict)

يجب أن يتطابق النطاق المصادق عليه مع نطاق From تماماً. mail.yourdomain.com لا ينجح لـ yourdomain.com

إخفاقات DMARC الشائعة وحلولها

فشل محاذاة SPF

نطاق From الخاص بالغلاف (return-path) لا يطابق رأس From — شائع مع مزودي خدمة البريد الذين يستخدمون مسار العودة الخاص بهم

فشل محاذاة DKIM

نطاق d= في توقيع DKIM لا يطابق نطاق From المرئي — قم بتكوين مزود الخدمة للتوقيع بنطاقك

فقدان عنوان RUA

بدون rua= لن تحصل على تقارير ولا رؤية — قم دائماً بتضمين عنوان تقرير واحد على الأقل

النطاقات الفرعية غير مغطاة

أضف sp=reject لتوسيع سياستك لتشمل النطاقات الفرعية، أو انشر سجلات DMARC منفصلة لكل نطاق فرعي

الأسئلة الشائعة

الأسئلة الأكثر شيوعاً

لإنشاء سجل آمن، ابدأ بتحديد سياستك (p). نوصي بالبدء بـ p=none لمراقبة حركة المرور. بمجرد التحقق من مصادقة المصادر الشرعية، انتقل إلى p=quarantine وأخيرًا p=reject لحظر الرسائل غير المصرح بها تمامًا.

تحدد علامة 'rua' المكان الذي تريد تلقي التقارير التجميعية فيه، بينما علامة 'ruf' مخصصة لتقارير الفشل التفصيلية. يوصى بشدة بتضمين عنوان 'rua' على الأقل، لأنه يوفر البيانات اللازمة لتحديد محاولات الانتحال.

يمكنك استخدام علامة 'sp' في سجل DMARC للنطاق الرئيسي لتحديد سياسة لجميع النطاقات الفرعية (مثل sp=reject). إذا لم تقم بتضمين علامة 'sp'، فستورث النطاقات الفرعية سياسة النطاق الرئيسي (p).

تسمح لك علامة 'pct' (النسبة المئوية) بتطبيق سياسة DMARC على جزء فقط من رسائل البريد الفاشلة. على سبيل المثال، pct=20 يطلب من الخوادم رفض 20% فقط من البريد الفاشل. هذه طريقة ممتازة لرفع مستوى الأمان تدريجيًا.

تحدد هذه العلامات مدى صرامة تحقق DMARC من المحاذاة. 'r' (relaxed/مخفف) يسمح للنطاقات الفرعية بمطابقة النطاق الرئيسي، بينما 's' (strict/صارم) يتطلب مطابقة تامة للنطاق. المحاذاة المخففة هي الخيار الأكثر شيوعًا.