Defaults.Exposed

Defaults.Exposed › التقارير

النشر بلا رؤية: معظم سجلات DMARC لا تطلب أي تقارير

نُشر 2026-07-03 · حُدّث 2026-07-03

الأرقام كما في 2026-06-29 · المنهجية الإصدار v7. بيانات إحصائية عبر كل نطاق ينشر سجل DMARC قابلاً للتحليل، مع إزالة التكرار لكل نطاق. يُقاس وجود rua= عبر جميع السجلات، لذا فإن تداخله الدقيق مع أي سياسة منفردة غير قابل للاشتقاق — وحيثما يقدم هذا المقال ادعاءات حول ذلك التداخل، فإنه يذكر حدوداً، وليس جداول تقاطعية دقيقة أبداً. جميع الأرقام إجمالية — نحن لا ننشر أبداً تقييم نشاط تجاري فردي.

معظم سجلات DMARC لا تراقب شيئاً

من بين الـ 65 مليون نطاق التي تنشر سجل DMARC، فقط 23 مليون — 35.7% — تتضمن وسم rua= الذي يطلب التقارير الإجمالية. أما الـ 64.3% المتبقية فتنشر بلا رؤية: فالسياسة موجودة على السجل، لكن لا أحد طلب أن يُخبَر بما يجري تحتها. وهذا يعني 42 مليون نطاق لديها سجل DMARC لا يستطيع أن يريها أي شيء.

سجل DMARC بلا تقارير هو جرس باب بلا أحد في المنزل. فمستقبلو البريد يفحصون بإخلاص كل رسالة مقابله — وما يكتشفونه، أي قائمة كل من يرسل باسم نطاقك، لا يصل إلى أي مكان. الآلية تعمل؛ المالك فقط لا يستمع.

ماذا يفعل rua= فعلاً

لـ DMARC نصفان. النصف الخاص بالسياسة (p=none أو quarantine أو reject) يخبر المستقبِلين ماذا يفعلون بالبريد الذي يفشل في المصادقة. أما النصف الخاص بالتقارير — وسم rua=، وهو عنوان صندوق بريد — فيطلب من المستقبِلين أن يرسلوا إليك تقارير إجمالية يومية: أي الخوادم أرسلت باسم نطاقك، وكم من البريد، وما إذا كان قد اجتاز SPF و DKIM.

هذا النصف الثاني هو حلقة التغذية الراجعة بأكملها. فالتقارير هي كيف تكتشف منصة النشرة الإخبارية التي لم يوثّقها أحد، وأداة الفوترة التي ربطها فريق التسويق، والمرسِل الخفي في منطقة أخرى — قبل أن تفرض السياسة وتعطّلها. بدون rua=، لا تصلك أي من هذه المعلومات الاستخباراتية. وإضافته تكلّف تعديلاً واحداً في DNS: أضف rua=mailto:[email protected] (أو عنوان خدمة مراقبة) إلى السجل الموجود.

الفجوة بين المرحلتين 2 و 3: منشور وبلا رؤية

في المراحل الست لنضج DMARC، تبدأ المرحلة 3 — المراقبة — عندما يكون DMARC منشوراً والتقارير الإجمالية متدفقة. أما السجل الذي لا يحتوي rua= فلا يؤهَّل. إنه يقع في الفجوة بين المرحلتين 2 و 3 — منشور وبلا رؤية — وهو موضع يتركه النموذج عمداً بلا رقم خاص به.

هذا مهم لأن كل مرحلة تليه تعتمد على التقارير. لا يمكنك تحديد المرسِلين لديك (المرحلة 4) من تقارير لا تتلقاها أبداً؛ ولا يمكنك الفرض بأمان (المرحلة 5) دون معرفة المرسِلين لديك. السجل بلا رؤية ليس خطوة مبكرة في الرحلة — بل هو مأوى جانبي خارجها. وتشير الإحصاءات إلى أن معظم حاملي السجلات متوقفون هناك أو بالقرب منه: 57.5% من جميع سجلات DMARC لا تصل أبداً إلى الفرض.

أسوأ من عديم الفائدة، لأنه يبدو كأنه تقدّم

سجل DMARC مفقود يبدو على الأقل كما هو حقاً: فجوة. أما السجل بلا رؤية فيبدو كعلامة صح. فقد شغّل أحدهم قائمة تحقق للامتثال، أو دليل قابلية تسليم، أو إصلاحاً من سطر واحد من مورّد — ونشر v=DMARC1; p=none — فتحوّل الماسح إلى الأخضر. فالمؤسسة الآن تشعر أنها أبعد تقدماً من المؤسسة التي بلا سجل على الإطلاق، بينما هي وظيفياً في المكان نفسه: لا رؤية، ولا فرض، ولا مسار إلى أي منهما.

العاقبة هادئة وتراكمية. السجلات بلا رؤية لا تفشل بصخب؛ إنها فقط لا تولّد أبداً الدليل الذي يبرر الخطوة التالية. وبعد سنوات لا يزال السجل يقول p=none، ولا يستطيع أحد أن يحدد أي المرسِلين شرعيون، ويبدو الفرض أكثر خطورة من أي وقت مضى — وذلك بالتحديد لأنه لم تُجمَع أي تقارير قط.

ما يمكن للإحصاء أن يقوله وما لا يمكنه

لأن وجود rua= يُقاس عبر جميع الـ 65 مليون سجل — لا مجدولاً تقاطعياً حسب السياسة — فإن العدد الدقيق لسجلات p=none التي هي أيضاً بلا رؤية غير قابل للاشتقاق من هذه الهوامش. ومع ذلك تبقى الحدود صارخة. 37 مليون سجل (57.4% من حاملي السجلات) تقع عند p=none؛ وفقط 23 مليون سجل في الإحصاء بأكمله تطلب تقارير. لذا يمكن على الأكثر لـ 23 مليون من سجلات p=none تلك أن تتلقى تقارير — وما لا يقل عن 14 مليون منها بالتأكيد لا تتلقاها، حتى لو كان كل عنوان تقارير في الإحصاء ينتمي إلى نطاق p=none. وأياً كان موضع التداخل فعلاً، فإن ملايين النطاقات تقبع في “وضع المراقبة” والمرصد مفصول عن الكهرباء.

الإصلاح بتعديل واحد

إذا كان سجل DMARC لديك لا يحتوي على وسم rua=، فالإصلاح هو تغيير واحد في DNS وهو آمن عند أي مستوى سياسة:

  1. اختر وجهة للتقارير — صندوق بريد ستعالجه فعلاً، أو خدمة مراقبة DMARC مجانية/مدفوعة تحوّل ملف XML إلى شيء قابل للقراءة.
  2. أضِفها إلى السجل: v=DMARC1; p=none; rua=mailto:[email protected]. إذا كانت الوجهة نطاقاً مختلفاً، فيجب على ذلك النطاق أن يأذن باستقبال تقاريرك (سجل DNS إضافي صغير على جانبه).
  3. انتظر بضعة أيام، ثم اقرأ. تصل التقارير يومياً من كبار المستقبِلين. وما تعرضه — كل مصدر يرسل باسم نطاقك — هو الخريطة لبقية الرحلة.

عندئذ يتوقف السجل عن كونه قطعة أثاث ويبدأ في كونه أداة قياس. (أصلِح DMARC ←.)

الأسئلة الشائعة

ما هو تقرير rua في DMARC؟ تقرير XML إجمالي يرسله مستقبلو البريد المشارِكون (عادةً يومياً) إلى العنوان الموجود في وسم rua= بسجلك، ويلخّص أي المصادر أرسلت بريداً باسم نطاقك وما إذا كان قد اجتاز توافق SPF و DKIM. لا يحتوي على أي محتوى للرسائل — بنية المرسِل وأعداد النجاح/الفشل فقط.

هل DMARC بدون rua عديم الفائدة؟ ليس عديم الفائدة — فالسياسة المُنفَّذة لا تزال تحجب الانتحال بدونه. لكن عند p=none، فإن السجل بدون rua= لا يحجب شيئاً ولا يريك شيئاً — ووظيفته الوحيدة المتبقية هي وضع علامة صح على خانة الحد الأدنى المطلوب لدى مزودي صناديق البريد. وحتى النطاقات المُنفِّذة بلا تقارير تفقد اكتشاف الانحراف الذي يُبقي الفرض آمناً مع ظهور مرسِلين جدد. p=none ليس حماية في كلتا الحالتين — وبدون تقارير فإنه ليس حتى تحضيراً.

هل يمكن لـ rua= أن يشير إلى أي صندوق بريد؟ نعم، بما في ذلك صندوق على نطاق مختلف — فمعظم خدمات المراقبة تعمل بهذه الطريقة بالضبط. ينشر النطاق المستقبِل سجل تحقق صغيراً يأذن بتقاريرك. المهم هو أن يعالج شيء ما ملف XML فعلاً؛ فصندوق بريد لا يقرأه أحد هو انعدام رؤية بخطوات إضافية.

هل تكشف التقارير الإجمالية بيانات خاصة؟ لا. تقارير rua الإجمالية تحمل إحصاءات مصدر الإرسال والمصادقة، لا محتوى الرسائل ولا قوائم المستلمين. (أما تقارير الفشل المنفصلة ruf= فيمكن أن تحتوي على أجزاء من الرسائل، ولهذا لم يعد كثير من المستقبِلين يرسلونها — فـ rua هو المهم.)

تحقق مما إذا كان سجلك يراقب

سجل DMARC الذي لا يطلب أي تقارير هو من أسهل النتائج للإصلاح في الرحلة بأكملها — فتعديل واحد في DNS يحوّل انعدام الرؤية إلى مراقبة. يمكنك التحقق بخصوصية ومجاناً، ورؤية أي من الفحوص الـ 34 تجتازها وكيف تصلح تلك التي لا تجتازها.

تحقق من نطاقك ← · المراحل الست لنضج DMARC ← · ركيزة DMARC ← · بيانات إجمالية فقط. البيانات مخزَّنة ومعالَجة في الاتحاد الأوروبي.