يتم تحديد سياسة مصادقة الرسائل وإعداد تقاريرها وتوافقها استنادًا إلى النطاق (DMARC) في سطر من القيم النصية يُسمى سجل DMARC. يحدد السجل ما يلي:
- مدى صرامة عمليات تحقق DMARC من الرسائل
- الإجراءات المقترحة لخادم الاستلام عند استلامه لرسائل لم تجتز عمليات المصادقة
خيارات سياسة DMARC
تقترح سياسة DMARC على خادم البريد المُستلِم اتخاذ إجراء في حال عدم اجتياز رسالة من نطاقك مصادقة DMARC.
في ما يلي مثال على سجلّ سياسة DMARC. يجب إدراج العلامة v والعلامة p أولاً، ويمكن أن تكون العلامات الأخرى بأي ترتيب:
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
تعريفات وقيّم علامات سجلّ DMARC
علامة | الوصف والقيم |
v |
إصدار DMARC. يجب أن تكون DMARC1. هذه العلامة مطلوبة. |
p | توجِّه هذه العلامة خادم الرسائل المُستلَمة للإجراء الواجب اتخاذه بشأن الرسائل التي لا تجتاز المصادقة.
هذه العلامة مطلوبة. ملاحظة عن معيار BIMI: إذا كان نطاقك يستخدم معيار BIMI، يجب إعداد الخيار p في DMARC على quarantine أو reject. لا يتوافق معيار BIMI مع سياسات DMARC التي تم إعداد خيار p لها على none. |
pct |
يتم تحديد النسبة المئوية للرسائل التي لم تتم مصادقتها وتخضع لسياسة DMARC. عند نشر DMARC تدريجيًا، يمكنك البدء بنسبة صغيرة من الرسائل. وكلما اجتاز عدد أكبر من الرسائل الواردة من نطاقك مُصادقة خوادم الاستلام، يمكنك تحديث السجلّ بنسبة مئوية أعلى حتى تصل إلى 100 في المئة. يجب أن تكون القيمة عددًا صحيحًا من 1 إلى 100. إذا لم تستخدم هذا الخيار في السجل، يتم تطبيق سياسة DMARC على 100% من الرسائل المرسَلة من نطاقك. هذه العلامة اختيارية. ملاحظة عن معيار BIMI: إذا كان نطاقك يستخدم معيار BIMI، يجب أن تحتوي سياسة DMARC على قيمة pct تبلغ 100. لا يتوافق معيار BIMI مع سياسات DMARC التي تم إعداد قيمة pct لها على رقم أقل من 100. |
rua |
عنوان البريد الإلكتروني لتلقي تقارير حول نشاط DMARC لنطاقك. يجب أن يتضمن عنوان البريد الإلكترونيmailto: لإرسال تقارير DMARC إلى عدة رسائل إلكترونية، افصل بين كل عنوان بريد إلكتروني بفاصلة وأضِف البادئة mailto: قبل كل عنوان. مثلاً: من الممكن أن يؤدي هذا الخيار إلى عدد كبير من رسائل البريد الإلكتروني التي تحتوي على تقارير. لا ننصح باستخدام عنوان بريدك الإلكتروني. وبدلاً من ذلك، يمكنك استخدام صندوق بريد إلكتروني مخصَّص أو مجموعة أو خدمة جهة خارجية متخصصة في تقارير DMARC. هذه العلامة اختيارية. |
ruf |
غير متاح لا يتيح Gmail العلامة ruf التي يتم استخدامها لإرسال تقارير الأعطال. تُسمّى تقارير عدم التسليم أيضًا تقارير المناظرة. |
sp | تُحدّد السياسة للرسائل من النطاقات الفرعية لنطاقك الأساسي. ويمكنك استخدام هذا الخيار في حال كنت تريد استخدام سياسة DMARC مختلفة لنطاقاتك الفرعية.
وإذا لم تستخدم هذا الخيار في السجل، ستكتسب النطاقات الفرعية سياسة DMARC التي تم إعدادها للنطاق الرئيسي. هذه العلامة اختيارية. |
adkim | تُحدِّد سياسة توافق DKIM، والتي تحدد مدى مطابقة معلومات الرسالة لتوقيعات DKIM. تعرّف على كيفية عمل التوافق.
هذه العلامة اختيارية. |
aspf | تُحدّد سياسة التوافق لنظام SPF، والتي تحدد مدى مطابقة معلومات الرسالة لتوقيعات نظام SPF. تعرَّف على كيفية عمل التوافق.
هذه العلامة اختيارية. |
عند بدء استخدام DMARC، ننصحك بسياسة يتم إعداد تنفيذها على none. خلال فترة تعرُّفك على كيفية مصادقة خوادم الاستلام للرسائل الواردة من نطاقك، يمكنك تعديل سياستك. مع مرور الوقت، يمكنك تغيير سياسة المُستلِم إلى quarantine، وأخيرًا إلى reject. للاطلاع على نموذج لسياسة DMARC التي يتم تحديثها أثناء طرح DMARC، انتقِل إلى برنامج تعليمي: طرح DMARC المقترح.
سياسة التنفيذ | الإجراء المقترح | مزيد من المعلومات |
none | لا يتم اتخاذ أي إجراء بشأن الرسائل التي لا تجتاز عمليات تحقُّق DMARC في خادم الاستلام. يتم تسليم الرسائل عادةً للمُستلِم. |
ننصحك باستخدام هذا الخيار عند إعداد DMARC لأول مرة. عند تحديد خيار none (لا شيء)، يتم تسليم الرسائل من نطاقك بشكل طبيعي. على الرغم من أنه تم إعداد سياستك على none (لا شيء)، راجِع تقارير DMARC بانتظام لمعرفة كيفية مصادقة رسائلك وتسليمها. تتضمّن تقارير DMARC المُرسَلة إليك من خوادم الاستلام تفاصيل عن الرسائل التي لا يمكن مصادقتها باستخدام نظام التعرُّف على هوية المُرسِل (SPF) أو البريد المُعرَّف بمفاتيح النطاق (DKIM). في حال إرسال عدد كبير من الرسائل من نطاقك إلى الرسائل غير مرغوب فيها، تحقق من ضبط نظام التعرف على هوية المرسل (SPF) والبريد المُعرَّف بمفاتيح النطاق (DKIM). يُرجى الاطِّلاع على مزيد من المعلومات عن تحديد مشاكل DMARC وحلّها. لا تغيِّر خيار تنفيذ السياسة إلى quarantine أو reject حتى تعرِِّف ما هي الرسائل التي لا يصادقها خادم الاستلام. ملاحظة بشأن معيار BIMI: إذا كان نطاقك يستخدم معيار BIMI، يجب ضبط سياسة تنفيذ DMARC (p) على عزل أو رفض. لا يتوافق معيار BIMI مع سياسات DMARC التي تم إعداد خيار p لها على none. |
quarantine | يتم إرسال الرسائل التي لم تتم مصادقتها باستخدام DMARC على خادم الاستلام إلى مجلد الرسائل غير المرغوب فيها للمُستلِم. في حال وجود وحدة عزل تم ضبطها لخادم استلام البريد، قد يتم إرسال الرسائل إلى وحدة العزل وليس إلى مجلد الرسائل غير المرغوب فيها للمستلم مباشرةً. | ويمكنك الاستمرار في الحصول على تقارير DMARC باستخدام هذا الخيار. |
reject | يتم رفض الرسائل التي لم تتم مصادقتها باستخدام DMARC على خادم الاستلام، ولن يتم تسليمها مطلقًا إلى المُستلِم. عادةً ما يرسل خادم الاستلام رسالة مرتدة إلى المُرسِل. |
ننصحك بإجراء الرفض كخيار دائم ونهائي لجميع سياسات DMARC. ويمكنك الاستمرار في الحصول على تقارير DMARC باستخدام هذا الخيار. يمكنك تعديل سياسة هذا الخيار حين يظهر لك في تقارير DMARC أن كل الرسائل الصالحة تمت مصادقتها وتسليمها بشكل طبيعي. ويساعد رفض الرسائل التي لم تتم مصادقتها في حماية المُستلِمين من الرسائل غير المرغوب فيها والانتحال والتصيّد الاحتيالي. |
خيارات توافق DMARC
تجتاز الرسالة سياسة DMARC أو لا تجتازها بناءً على مدى تطابق رأس الرسالة "من:" مع نطاق الإرسال المُحدَّد بواسطة SPF أو DKIM. وهذا ما يُطلق عليه التوافق.
يمكنك الاختيار بين وضعي التوافق: كامل وجزئي. يمكنك إعداد وضع التوافق لنظام SPF وDKIM في سجلّ DMARC. تحدِّد علامة السجلّ DMARC aspf وadkim وضع التوافق.
ننصحك في الحالتين التاليتين بالتفكير في التغيير إلى وضع التوافق الكامل لزيادة الحماية من الانتحال:
- في حال تم إرسال رسالة في نطاقك من نطاق فرعي خارج سيطرتك
- في حال كان لديك نطاقات فرعية يديرها كيان آخر
لاجتياز مصادقة DMARC، يجب أن تجتاز الرسالة إحدى عمليتي التحقُّق التاليتين على الأقل:
- مصادقة SPF وتوافق SPF
- مصادقة DKIM وتوافق DKIM
في حال تعذُّر اجتياز الرسالة لعملية تحقُّق DMARC، يتعذر اجتياز عمليتي التحقُّق التاليتين:
- مصادقة SPF أو (توافق SPF)
- مصادقة DKIM أو (توافق DKIM)
فهم مُرسِل المغلف وعناوين "من:"
تتضمن الرسائل الإلكترونية نوعين من العناوين يدلان على المُرسِل. ولذا من المهم فهم الفرق بين هذين العناوين عند إعداد SPF وDKIM وDMARC.
قد يختلف عنوان مُرسِل المغلف عن عنوان "من:" وقد يكونا العنوان نفسه.
عنوان مُرسِل المغلف: عنوان البريد الإلكتروني الذي يشير إلى مصدر الرسالة. يتم إرسال إشعارات الرسائل غير القابلة للتسليم، أو الرسائل المرتدة إلى هذا العنوان. يُشار أيضًا إلى عنوان "مُرسِل المغلف" كعنوان "مسار الإرجاع" أو عنوان الرسائل المرتدة. لا يرى مستلمو الرسالة عنوان مُرسِل المغلف.
عادةً ما يستخدم SPF عنوان مُرسِل المغلف للمصادقة.
عنوان من: عنوان البريد الإلكتروني الظاهر في رأس الرسالة. وتحتوي الرسائل على جزأين: رأس الرسالة ونص الرسالة. ويحتوي الرأس على معلومات حول الرسالة، بما في ذلك: اسم المُرسِل وعنوان بريده الإلكتروني وموضوع الرسالة وتاريخ الإرسال. يتضمن الرأس "من:" عنوان البريد الإلكتروني، وعادةً اسم المستخدم الذي أرسَل الرسالة.
تستخدم سياسة DKIM العنوان المذكور في "من:" لمصادقة الرسالة.
مثال على توافق SPF
باستخدام SPF، يقارن التوافق النطاق الذي اجتاز مصادقة SPF (عنوان مُرسِل المُغلَّف) بالنطاق في العنوان المذكور برأس الرسالة "من:". في ما يلي بعض الأمثلة على التوافق مع نتائج تحقُّق SPF.
عنوان مُرسِل المغلف | عنوان الرأس "من:" | توافق كامل | توافق جزئي |
jon@solarmora.com |
jon@solarmora.com |
اجتياز | اجتياز |
jon@mail.solarmora.com |
jon@solarmora.com |
تعذُّر | اجتياز |
jon@solarmora.org |
jon@solarmora.com |
تعذُّر | تعذُّر |
مثال على توافق DKIM
باستخدام DKIM، يقارن التوافق القيمة في حقل نطاق توقيع DKIM (d=) في رأس الرسالة بالنطاق في رأس الرسالة "من:".
في ما يلي بعض الأمثلة على التوافق مع نتائج تحقُّق DKIM:
الرأس "من:" | DKIM d=domain | توافق كامل | توافق جزئي |
jon@solarmora.com |
solarmora.com |
اجتياز | اجتياز |
jon@mail.solarmora.com |
solarmora.com |
تعذُّر | اجتياز |
jon@solarmora.org |
solarmora.com |
تعذُّر | تعذُّر |
خيارات تقرير DMARC
يمكنك إعداد DMARC لطلب تقارير منتظمة من خوادم البريد الإلكتروني التي تتلقى رسالة إلكترونية من نطاقك.
توضِّح تقارير DMARC ما يلي:
- الخوادم أو الجهات الخارجية المُرسِلة للرسائل الإلكترونية من نطاقك
- النسبة المئوية للرسائل الصادرة من نطاقك التي اجتازت مصادقة DMARC
- الخوادم أو الخدمات المُرسِلة للرسائل التي تعذَّر عليها اجتياز مصادقة DMARC
- إجراءات DMARC التي يتخذها خادم الاستلام بشأن الرسائل التي لم تتم مصادقتها من نطاقك: none أو quarantine أو reject
لبدء الحصول على تقارير DMARC، استخدِم rua علامة سجلّ DMARC في سجلّ DMARC.
تعرَّف على المزيد من المعلومات عن تقارير DMARC.