كيف يقوم SPF و DKIM و DMARC بتوصيل البريد الإلكتروني والأمان

نشرت: 2022-11-28

يعمل ثلاثة من معايير مصادقة البريد الإلكتروني معًا لتحسين إمكانية تسليم البريد الإلكتروني للمرسل وأمان البريد الإلكتروني للمستلم.

يساعد إطار سياسة المرسل (SPF) والبريد المعرف بمفاتيح النطاق (DKIM) ومصادقة الرسائل المستندة إلى المجال والإبلاغ عنها ومطابقتها (DMARC) على ضمان أن رسائل البريد الإلكتروني المرسلة من شركتك حقيقية وأن الجهات الخبيثة لا تنتحل أو تتلاعب بطريقة أخرى هم.

SPF و DKIM و DMARC

يُظهر نظام التعرف على هوية المرسل (SPF) و DKIM و DMARC لخادم البريد الإلكتروني المستلم أنه تم إرسال رسالة معينة من عنوان IP معتمد ، وأن المرسل أصلي ، وأن المرسل شفاف بشأن هويته.

لنأخذ كل واحد على حدة.

يتضمن إعداد سجلات نظام التعرف على هوية المرسل (SPF) لنطاقك إضافة نوع من سجل TXT يحتوي على قائمة مرخصة لخوادم البريد الصادر إلى نظام اسم المجال (DNS). يتحقق نظام التعرف على هوية المرسل (SPF) من أن رسائل البريد الإلكتروني الواردة من مجال عملك تأتي من مصدر مصدق عليه ، وليس محتالاً.

تتكون مفاتيح DKIM من جزأين: مفتاح عام مخزن في DNS ومفتاح خاص مخزن على خادم البريد المرسل. يتم استخدام توقيع DKIM المرفق بكل بريد إلكتروني صادر بواسطة خوادم بريد المستلمين للتحقق من صحتها. يمكن أن يشير DKIM أيضًا إلى ما إذا تم تغيير رسالة بريد إلكتروني معينة.

DMARC هي آلية سياسة تسمح للشركة بالتحكم في كيفية التعامل مع رسائل البريد الإلكتروني الواردة من مجالها إذا فشلت في مصادقة نظام التعرف على هوية المرسل (SPF) أو DKIM. الخيارات هي "رفض" أو "عزل" أو "لا شيء". يمكن أن يكون هذا بمثابة جرس إنذار إذا كان المخطئ يحاول استخدام المجال الخاص بك.

سجلات SPF

يتطلب إعداد سجل نظام التعرف على هوية المرسل (SPF) الوصول إلى سجلات DNS الخاصة بنطاقك لدى المسجل ، مثل GoDaddy أو ما شابه. إذا كان عليك في أي وقت التحقق من مجالك أو نقله إلى خادم جديد ، فمن المحتمل أن تقوم بتحديث سجل DNS الخاص به.

Screenshot of an SPF record in a DNS settings interface

سجل نظام التعرف على هوية المرسل (SPF) هو ببساطة سجل TXT في DNS الخاص بنطاقك.

سيكون سجل نظام التعرف على هوية المرسل (SPF) من النوع "TXT". وسيبدأ بإصدار SPF الذي تستخدمه.

 ت = spf1

يتبع الإصدار قائمة عناوين IP4 أو IP6 المصرح بها ، كما في:

 v = spf1 ip4: 192.168.0.1

سيسمح سجل نظام التعرف على هوية المرسل (SPF) برسائل البريد الإلكتروني من عنوان IP 192.168.0.1. للسماح بمجموعة من عناوين IP ، يمكنك استخدام تدوين التوجيه غير المصنف بين المجالات (CIDR) (يطلق عليه أحيانًا تدوين "القطع").

 v = spf1 ip4: 192.168.0.0 / 16

سيسمح سجل نظام التعرف على هوية المرسل (SPF) أعلاه بمجموعة من عناوين IP من 192.168.0.0 إلى 192.168.255.255 - وهذا ما يشير إليه "/ 16".

باستخدام البادئة "a" ، يمكن لسجل نظام التعرف على هوية المرسل (SPF) تفويض النطاق بالاسم. يفوض السجل أدناه خادمًا مرتبطًا بنطاق example.com.

 v = spf1 a: example.com

وبالمثل ، فإن البادئة "mx" ("تبادل البريد") تسمح بخوادم بريد معينة.

 v = spf1 mx: mail.example.com

لتفويض مرسل من جهة خارجية ، استخدم البادئة "include". يسمح المثال أدناه بنطاق IP وخوادم Google.

 v = spf1 ip4: 192.168.0.0/16 تشمل: _spf.google.com

هناك أيضًا مؤهلان من SPF. الأول هو ~ كل شيء مع التلدة (~). الثاني هو-all بواصلة (-).

إصدار التلدة (~ الكل) هو مؤهل فشل بسيط. في معظم الحالات ، يقبل خادم استلام البريد الإلكتروني الرسائل من المرسلين الذين ليسوا في سجل نظام التعرف على هوية المرسل (SPF) المرتبط ولكنهم يعتبرونها مريبة.

إصدار الواصلة (-all) هو مؤهل صعب الفشل. من المحتمل أن يقوم خادم البريد الإلكتروني المستلم بتسمية الرسائل المرسلة من خادم غير مصرح به في سجل نظام التعرف على هوية المرسل (SPF) كرسائل غير مرغوب فيها ويرفضها.

أخيرًا ، يمكن استخدام كل هذه معًا للحصول على تراخيص معقدة نسبيًا.

 v = spf1 ip4: 192.168.0.0/16 أ: example.com تشمل: _spf.google.com

تذكر أن سجلات نظام التعرف على هوية المرسل (SPF) تساعد خوادم البريد الإلكتروني المستلمة في تحديد رسائل البريد الإلكتروني الأصلية من مجال شركتك.

مفاتيح DKIM

يحمي DKIM نطاقك ويساعد في منع أي شخص من انتحال هوية شركتك. يسمح مفتاحا DKiM لخادم البريد الإلكتروني للمستلم بالتحقق من أن شركتك أرسلت الرسالة وأنه لم يتم تغييرها بعد إرسالها.

تتمثل الخطوة الأولى في إعداد DKIM في إنشاء المفاتيح - أحدهما عام والآخر خاص. المفتاح الخاص آمن على الخادم المستخدم لإرسال رسائل البريد الإلكتروني من نطاقك. يضاف المفتاح العام إلى DNS كسجل TXT.

يتمثل الجزء الصعب في إنشاء المفاتيح نظرًا لأن الإجراء الدقيق لإنشائها يختلف من مزود خدمة بريد إلكتروني إلى آخر. ويختلف الأمر تمامًا إذا كانت شركتك تستضيف خادم البريد الخاص بها.

يقدم مقدمو خدمة البريد الإلكتروني الإرشادات. فيما يلي العديد من الأمثلة بدون ترتيب معين.

  • Mailchimp: إعداد مصادقة مجال البريد الإلكتروني ،
  • Klaviyo: كيفية إعداد مجال إرسال مخصص ،
  • حملات Zoho: كيفية مصادقة نطاقي ،
  • MailerLite: مصادقة مجال البريد الإلكتروني ،
  • الناشط: DKIM و SPF و DMARC ،
  • برنامج ConvertKit: استخدام مجال تم التحقق منه لإرسال البريد الإلكتروني ،
  • MailUp: تعظيم إمكانية التسليم لرسائل البريد الإلكتروني الخاصة بك ،
  • ActiveCampaign: مصادقة SPF و DKIM و DMARC ،
  • Keap: DKIM.

في كل حالة ، يتم إكمال DKIM عند إضافة - نسخ ولصق - سجل CNAME الخاص بموفر البريد الإلكتروني إلى DNS الخاص بنطاقك. يمثل هذا السجل (السجلات) المفتاح العام لمصادقة رسائل التسويق عبر البريد الإلكتروني الصادرة لشركتك.

DMARC

يوفر DMARC طبقة أخرى من الحماية ويرشد أيضًا خوادم البريد الإلكتروني إلى ما يجب فعله مع الرسائل التي تفشل في مصادقة نظام التعرف على هوية المرسل (SPF) أو DKIM.

أساس DMARC هو سجل TXT يتم وضعه في DNS الخاص بنطاقك. سيحتوي هذا على سياسة DMARC مع عنصرين على الأقل:

  • عنوان بريد إلكتروني لتلقي تقارير مجمعة عن مصادقة البريد الإلكتروني ، و
  • الإجراء الذي يجب اتخاذه بشأن رسائل البريد الإلكتروني التي تفشل في المصادقة (مثل الرفض أو العزل).

في ما يلي مثال لسجل DMARC TXT في نظام أسماء النطاقات:

 ت = DMARC1 ؛ ع = الحجر الصحي ؛ rua = mailto: [email protected] ؛ ruf = mailto: [email protected].

يبدأ السجل بإصدار DMARC.

 ت = DMARC1 ؛

يعيّن العنصر "p" الإجراء لرسائل البريد الإلكتروني التي تفشل في المصادقة. في هذه الحالة ، يتم تعيينه على "quarantine" ، والذي يوجه الخادم المستلم لنقل هذه الرسائل إلى منطقة احتجاز. تشمل الخيارات الأخرى "لا شيء" - الذي لا يوقف البريد الإلكتروني ولكنه يراقب حالات فشل نظام التعرف على هوية المرسل (SPF) أو DKIM - أو "الرفض".

 ع = الحجر الصحي ؛

تخبر البادئات "rua" و "ruf" الخادم المتلقي بمكان إرسال التقارير الإجمالية (rua - Reporting URI for Aggregate data) وتقارير الطب الشرعي (ruf - Reporting URI for Failure data). يمكن أن تكشف هذه التقارير عن محاولة إجرامية انتحال شخصية نشاطك التجاري.

تشمل المعدلات الإضافية ما يلي:

  • pct - النسبة المئوية لرسائل البريد الإلكتروني الخاضعة لسياسة DMARC.
  • sp - سياسة DMARC للنطاقات الفرعية.
  • adkim - لتعيين وضع صارم (adkim: s) أو وضع استرخاء (adkim: r) لـ DKIM.
  • aspf - لتعيين وضع صارم (adkim: s) أو وضع الاسترخاء (adkim: r) لـ SPF.

يمكن أن تساعد خدمات الجهات الخارجية في إنشاء سجل DMARC استنادًا إلى المعيار الرسمي. تشمل هذه الخدمات:

  • MXToolBox ،
  • باور دي مارك ،
  • دمارسيان ،
  • EasyDMARC.

حماية المرسل والمستلمين

يضمن إعداد سجلات نظام التعرف على هوية المرسل (SPF) و DKIM و DMARC لنطاقك أن تتعرف خوادم البريد الإلكتروني على الرسائل الواردة من شركتك على أنها أصلية وترفض المحتالين. تحمي النتيجة سمعة شركتك وتحمي العملاء من هجمات التصيد وأنواع الاحتيال الأخرى عبر البريد الإلكتروني.