نظرة عامة على DMARC

يعد DMARC، الذي يرمز إلى "نظام المصادقة على الرسائل المستندة إلى المجال والإبلاغ بها & ومطابقتها"، أحد بروتوكولات مصادقة البريد الإلكتروني. وهو يعتمد على بروتوكولي SPF وDKIM المنتشرين على نطاق واسع، كما يضيف وظيفة إبلاغ تتيح للمرسلين والمتلقين تحسين حماية المجال من البريد الإلكتروني الاحتيالي ومراقبتها، ما يجعل التواصل عبر البريد الإلكتروني الآمن ممكنًا.

غالبًا ما يقوم مرسلو البريد الإلكتروني العشوائي "بتزوير" أو "تزييف" عناوين From (من) في رسائل البريد الإلكتروني، ويجعلونها تبدو وكأنها واردة من مجالك. لمنع هذا النوع من إساءة استخدام مجالك، ولإعلام مجالات المستلمين الأخرى بسياسات مجالك الصادر، يمكنك نشر سجل DMARC، باستخدام خدمات البريد الإلكتروني التي تستخدم معايير DMARC والتي يمكنها معالجة رسائل البريد الإلكتروني غير المصدّق عليها. ويساعد ذلك أيضًا على التحكم في أنشطة "التصيد الاحتيالي" ورسائل البريد الإلكتروني المرتدة باستخدام مجالك ويساعد على حماية سمعة مجالك.

قبل نشر DMARC

تسمح سياسة DMARC للمرسل بالإشارة إلى أن رسائل البريد الإلكتروني الخاصة به محمية بواسطة SPF وDKIM أو أحدهما، وترشد المتلقين إلى الإجراء اللازم اتخاذه في حالة فشل عمليات تحقق SPF وDKIM، مثل عزل الرسالة أو رفضها. يساعد بروتوكول DMARC المتلقي على معالجة الرسائل الفاشلة بشكل أفضل، ومن ثَمَّ يقلل أو يقضي على تعرض المستلمين النهائيين لرسائل البريد الإلكتروني المخادعة باستخدام المجال. كما يوفر بروتوكول DMARC طريقة لمتلقي البريد الإلكتروني من أجل إبلاغ المرسل عن رسائل البريد الإلكتروني التي تجتاز تقييم DMARC و/ أو تفشل فيه.

لن تكون سياسة DMARC فعالة إلا إذا أرسلت كافة رسائل البريد الإلكتروني باستخدام مجالاتك الخاصة. سيظهر البريد الإلكتروني المرسل نيابة عن مجالك عبر خدمات الجهات الخارجية، غير مصدّق عليه، وقد يتم رفضه بناءً على سياسة DMARC الخاصة بك التي تم نشرها. لاعتماد رسائل البريد الإلكتروني عبر موفري خدمات تابعين لجهات خارجية، تحتاج إلى مشاركة مفتاح DKIM ليتم تضمينه في الرؤوس، أو يجب إرسال رسائل البريد الإلكتروني عبر خوادم SMTP التي لها سجلات SPF ومفاتيح DKIM معتمدة منشورة بالفعل.

تحتاج إلى تكوين سجلات SPF ومفاتيح DKIM لمجالاتك، قبل أن تنشر سياسة DMARC. تعتمد سياسة DMARC على مفاتيح SPF وDKIM لضمان مصادقة البريد الإلكتروني. سيؤدي فشل أي رسائل بريد إلكتروني تستخدم عنوان البريد الإلكتروني لمجالك في اختبار SPF و/أو اختبار DKIM، إلى تشغيل سياسة DMARC.

نشر سياسة DMARC

لنشر سياسة DMARC، تحتاج إلى إنشاء سجل TXT في DNS الخاص بك بالتنسيق التالي.

اسم سجل TXT:

_dmarc.yourdomain.com حيث يجب استبدال yourdomain.com بمجالك الجديد.

قيمة سجل TXT:

"v=DMARC1; p=none; rua=mailto:admin@yourdomain.com"

تمثل p=none السياسة الأساسية الموصى بها. يمكنك تغييرها لاحقًا إلى p=quarantine ثم p=reject.

بدء تنفيذ سياسة DMARC على مراحل

نوصي بشدة ببدء تنفيذ سياسة DMARC على مراحل. لبدء التنفيذ على مراحل، ستغيِّر المعلمة 'p' من none إلى quarantine وأخيرًا reject. وبالمثل، خلال المرحلة 2 أو (مرحلة العزل) والمرحلة 3 (مرحلة الرفض)، يمكنك استخدام المعلمة الاختيارية 'pct' للتحكم في النسبة المئوية لرسائل البريد الإلكتروني التي يتم عزلها أو رفضها.

المرحلة 1: مراقبة التقارير وحركة البيانات

"v=DMARC1; p=none; rua=mailto:admin@yourdomain.com"

يمكنك تعيين السياسة إلى p=none في هذه المرحلة. يرسل ذلك إليك تقارير الانتهاك على عنوان البريد الإلكتروني المحدد في السياسة. توفر لك التقارير معلومات حول الأشياء غير الطبيعية التي تحدث في رسائل البريد الإلكتروني وحول مصدر رسائل البريد الإلكتروني التي لم يتم توقيعها أو رسائل البريد الإلكتروني التي تبدو مُخادعة. يمكنك مراجعة المصادر، وقد تتضمن عناوين بروتوكول الإنترنت IP الصالحة في سجلات SPF الخاصة بك أو تكوين المصدر باستخدام DKIM، إذا كانت شرعية. بمجرد العثور على التقارير التي تحتوي على رسائل بريد إلكتروني مخادعة صالحة فقط، يمكنك تغيير السياسة إلى العزل.

المرحلة 2: عزل رسائل البريد الإلكتروني والتحليل

"v=DMARC1; p=quarantine; rua=mailto:admin@yourdomain.com"

يمكنك تعيين السياسة إلى p=quarantine في هذه المرحلة. يرسل ذلك إليك تقارير الانتهاك على عنوان البريد الإلكتروني المحدد في السياسة، كما يرسل رسائل البريد الإلكتروني هذه إلى العزل. يمكنك مراقبة رسائل البريد الإلكتروني الموجودة في العزل والموافقة على رسائل البريد الإلكتروني من العزل أو رفضها. يمكنك الرجوع إلى التقارير الخاصة بك وأيضًا مراقبة رسائل البريد الإلكتروني الموجودة في العزل.

كما يمكنك استخدام المعلمة 'pct' في قالب سجل DMARC TXT، لتحديد النسبة المئوية لرسائل البريد الإلكتروني التي تتأثر بالسياسة في المرحلة 2، وزيادة النسبة المئوية ببطء إلى 100% لإكمال عملية النشر. يتمثل الجانب المهم في ضمان مراقبة تقارير البريد الإلكتروني بانتظام لضمان عدم رفض رسائل البريد الإلكتروني الصالحة أو تأثرها.

"v=DMARC1; p=quarantine; pct=20; rua=mailto:admin@yourdomain.com"

في المثال أعلاه، سيتم عزل 20% فقط من رسائل البريد الإلكتروني التي تبدو مُخادعة وسيتم تضمين باقي تفاصيل البريد الإلكتروني فقط في التقارير.

بمجرد تغيير سجل TXT إلى المثال أعلاه وإزالة المعلمة pct، سيتم رفض كل رسائل البريد الإلكتروني التي لا تجتاز سياسة DMARC.

بمجرد أن تتأكد من رفض رسائل البريد الإلكتروني المُخادعة فقط والتوقيع على كل رسائل البريد الإلكتروني الصالحة، يمكنك تغيير السياسة إلى "رفض" لبدء تنفيذ سياسة DMARC بالكامل.

المرحلة 3: رفض رسائل البريد الإلكتروني المُخادعة

"v=DMARC1; p=reject; rua=mailto:admin@yourdomain.com"

يمكنك تعيين السياسة إلى p=reject في هذه المرحلة. سيتم رفض رسائل البريد الإلكتروني المُخادعة باستخدام اسم مجالك بعد إجرائك هذا التغيير. يمكنك تتبع رسائل البريد الإلكتروني المرفوضة، من خلال التقارير التي تتلقاها عبر البريد الإلكتروني على عنوان البريد الإلكتروني المتوفر في سجل TXT.