Defaults.Exposed › التقارير
هل يستطيع أحد إرسال بريد إلكتروني منتحلاً هوية شركتك؟ بالنسبة لمعظم النطاقات، نعم (2026)
نُشر 2026-06-29
الأرقام كما في 2026-06-29 · المنهجية الإصدار 7. بيانات تعداد مجمّعة عبر 261 مليون نطاق مُقيَّم. «يمكن انتحاله» يعني أن النطاق لا يفرض DMARC (لا توجد سياسة حجر أو رفض)، وهو الضابط الذي يأمر خوادم البريد المستقبِلة بإيقاف البريد المزوّر. انظر كيف نقيّم.
بالنسبة لمعظم الشركات، نعم — يمكن لأحدهم إرسال بريد إلكتروني يبدو تمامًا وكأنه قادم من نطاقك. فقط 10.59% من بين 261 مليون نطاق قيّمناها تفرض DMARC، وهو الضابط الوحيد الذي يحجب الانتحال فعليًا. أما النسبة المتبقية 89.41% فتترك الباب مفتوحًا: يمكن للمحتال وضع عنوانك بالضبط في سطر «من» وستعرضه معظم صناديق الوارد على أنه حقيقي. هذه هي الآلية وراء الفواتير المزيفة، وطلبات الدفع ضمن احتيال المدير التنفيذي، وعمليات الاحتيال على المورّدين — والمحاولة لا تكلّف شيئًا.
هل يستطيع أحدهم فعلاً إرسال بريد إلكتروني باسم نطاقي؟
إذا كان نطاقك لا يفرض DMARC، فنعم. صُمِّم البريد الإلكتروني دون طريقة مدمجة للتحقق من المرسِل، لذا فإن تزوير عنوان «من» أمر بسيط. ثلاثة إعدادات مترابطة تُصلح ذلك — SPF و DKIM و DMARC — لكن الأخير فقط، إذا ضُبط على الفرض، يأمر الخادم المستقبِل بأن يرفض أو يحجر التزوير فعليًا. كما في 2026-06-29:
- 75.11% من النطاقات ليس لها أي سجل DMARC على الإطلاق.
- 14.29% لها سجل DMARC مضبوط على المراقبة فقط (
p=none) — يبدو وكأنه حماية في التدقيق، لكنه يأمر المستقبِلين بألا يفعلوا شيئًا، فيظل البريد المزوّر يصل. - فقط 10.59% تفرض سياسة
quarantineأوreject— وهي الإعداد الذي يوقف الانتحال.
إذن 89.41% من النطاقات — أكثر من ثمانية من كل عشرة — يمكن انتحالها في البريد الإلكتروني اليوم.
«لكن لدينا SPF» — لماذا لا يكفي ذلك
هذا هو سوء الفهم الأكثر شيوعًا والأكثر خطورة. 53.21% من النطاقات تنشر سجل SPF، أي أكثر بكثير من نسبة الـ 10.59% التي تفرض DMARC. يرى الملّاك SPF فيفترضون أنهم محميون. وهم ليسوا كذلك: يفحص SPF (و DKIM) مسار الإرسال التقني، لكنهما لا يحكمان عنوان «من» الذي يراه الإنسان فعليًا. بدون ضبط DMARC على الفرض، يظل بإمكان المهاجم تجاوز SPF على بنيته التحتية الخاصة وتزوير عنوانك المرئي. SPF سباكة ضرورية؛ أما فرض DMARC فهو القفل.
ما مدى انكشاف ركنك من الويب؟
يتفاوت الفرض تفاوتًا كبيرًا بحسب نهاية النطاق. الأعلى أفضل — فهو نسبة النطاقات التي تحجب الانتحال فعليًا. كما في 2026-06-29:
| نهاية النطاق | تفرض DMARC | يمكن انتحالها |
|---|---|---|
| .nl (هولندا) | 29.43% | 29.43% محمية، والبقية منكشفة |
| .de (ألمانيا) | 21.38% | — |
| .in (الهند) | 19.26% | — |
| .uk (المملكة المتحدة) | 13.42% | — |
| .com | 9.50% | النهاية الأكثر استخدامًا تقع دون المتوسط العالمي البالغ 10.59% |
| .net | 10.08% | — |
| .org | 10.01% | — |
| .xyz | 5.15% | — |
| .top | 3.17% | — |
| .cn (الصين) | 1.45% | الأدنى بين النهايات الكبرى |
حتى أفضل نهاية كبرى أداءً تحمي أقل من ثلث نطاقاتها. على .com — حيث توجد معظم الشركات — تفرض 9.50% فقط DMARC.
ما تكلفة هذا فعليًا على الشركة
انتحال البريد الإلكتروني هو الآلية وراء بعض أكثر الجرائم الإلكترونية تكلفةً المبلَّغ عنها لأجهزة إنفاذ القانون حول العالم — اختراق البريد الإلكتروني للأعمال. والنمط دائمًا واحد:
- يتلقى عميل «فاتورة» من عنوانك تحمل تفاصيل حساب المحتال البنكي، فيدفعها، ويكتشف الاحتيال بعد أسابيع — وكثيرًا ما يعدّه فشلًا منك.
- يتلقى موظف طلبًا عاجلًا «من الرئيس» بتحويل أموال أو شراء بطاقات هدايا. العنوان عنوانك حقًا، فيمتثل.
- يُبلَّغ مورّد بأن «تفاصيل حسابنا البنكي قد تغيّرت» في بريد يجتاز كل فحص بصري.
لا يتطلب أي من هذا اختراق أنظمتك. كل ما يتطلبه هو ألا يفرض نطاقك DMARC — وهو ما لا يفعله 89.41% من النطاقات.
كيف تعرف إن كنت محميًا (وكيف تصلح ذلك)
لا يمكنك أن تعرف من الخارج إن كنت أنت ضمن الـ 10.59% — الطريقة الوحيدة لتعرف هي فحص نطاقك. الإصلاح مجاني وعادةً ما يستغرق فترة بعد ظهر، ويُنفَّذ بالترتيب: انشر SPF و DKIM، ثم انقل DMARC إلى الفرض (p=none → quarantine → reject). الخطوة الأخيرة هي التي تغلق الباب فعليًا.
الأسئلة الشائعة
هل يستطيع أحدهم إرسال بريد إلكتروني منتحلًا شركتي؟ إذا كان نطاقك لا يفرض DMARC (سياسة حجر أو رفض)، فنعم — يمكن تزوير عنوان «من» الخاص بك بالضبط وستعرضه معظم صناديق الوارد على أنه حقيقي. كما في 2026-06-29، فإن 89.41% من النطاقات المُقيَّمة في هذه الحالة.
لدينا SPF بالفعل — ألسنا في أمان؟
لا. يفحص SPF مسار الإرسال التقني لكن ليس عنوان «من» المرئي. تنشر 53.21% من النطاقات SPF، لكن بدون ضبط DMARC على الفرض يظل عنوانك قابلاً للتزوير. تحتاج إلى DMARC على quarantine أو reject.
أليس سجل DMARC كافيًا؟
فقط إذا كان يفرض. السجل المضبوط على p=none (المراقبة فقط) — والذي يستخدمه 14.29% من النطاقات — لا يفعل شيئًا لإيقاف الانتحال. فقط quarantine أو reject يفعلان ذلك، ولا يصل إليه سوى 10.59% من النطاقات.
كيف أفحص نطاقي؟ شغّل فحصًا مجانيًا وخاصًا (أدناه). لا نعرض نتيجة نطاق إلا لمالكه المُتحقَّق منه.
هل إصلاح هذا مكلف؟ لا. SPF و DKIM و DMARC إعدادات DNS مجانية. التكلفة هي الوقت اللازم لضبطها بالترتيب الصحيح، لا المال.
تحقق مما إذا كان يمكن انتحال نطاقك
لا تُخمّن في أي جانب من الـ 10.59% أنت. افحص نطاقك بخصوصية ومجانًا — سترى حالة DMARC و SPF و DKIM وما الذي يجب إصلاحه بالضبط.
افحص نطاقك → · أصلح DMARC → · أصلح SPF → · كيف نقيّم → · بيانات مجمّعة فقط. تُخزَّن البيانات وتُعالَج في الاتحاد الأوروبي.