Defaults.Exposed › الإصلاحات › DKIM

كيف تُصلح DKIM

DKIM هو الختم غير المرئي المانع للعبث على كل بريد يرسله نشاطك التجاري. إنه يتيح لمزوّد البريد المستقبِل التأكد من أن الرسالة صادرة منك فعلاً ووصلت دون تغيير. بدونه، يكون بريدك أسهل في التزييف، وأسهل في التعديل، وأكثر عرضة بكثير للوقوع في مجلد الرسائل غير المرغوب فيها.

الخلاصة لعملك: بدون DKIM، يمكن العبث بالرسائل التي ترسلها أثناء النقل، ويسهل على المجرمين انتحالها، وتصبح أكثر عرضة للتصفية إلى مجلد الرسائل غير المرغوب فيها أو الرفض الصريح — مما يكلّفك بهدوء صفقات ومدفوعات وثقة لا تدري أنك خسرتها.

ماذا قد يكلّفك هذا

• تُعترَض فاتورة أرسلتها بالبريد وتُغيَّر تفاصيل الحساب المصرفي قبل أن تصل إلى عميلك. لا يزال البريد يبدو وكأنه صادر منك، فيدفع العميل للمجرم، وحين ينكشف الأمر تكون أنت من يُلام.
• تظلّ عروض أسعارك وعقودك وفواتيرك الحقيقية تقع في مجلدات البريد غير المرغوب فيه لدى عملائك. تفترض أن العميل صمت أو اختار غيرك — لكنه ببساطة لم يرَ بريدك أبداً.
• يُجري فريق الأمن أو المشتريات لدى عميل أكبر فحصاً سريعاً على نطاقك قبل التوقيع، فلا يجد DKIM، فإمّا يؤجّل الصفقة أسابيع حتى تُصلحها أو يختار بهدوء منافساً اجتاز الفحص.
• يرسل مجرم رسائل مزيّفة مقنعة 'من شركتك' إلى عملائك أنفسهم. ولأن لا شيء يثبت أي الرسائل صادرة منك فعلاً، تبدو المزيّفة مقنعة تماماً كالحقيقية — ويتضرّر اسمك.
• يتعامل مزوّدو صناديق البريد الكبار والبنوك بشكل متزايد مع البريد غير الموقَّع باعتباره مشبوهاً. بمرور الوقت يُخنَق المزيد من بريد عملك اليومي أو يُرسَل إلى الرسائل غير المرغوب فيها أو يرتد، وتتوقف مراسلاتك تدريجياً عن النجاح.

لماذا يهمّ. لم يُصمَّم البريد الإلكتروني يوماً ليثبت من أرسله، وتزييف المُرسِل سهل للغاية. يضيف DKIM توقيعاً تشفيرياً يتحقق منه المزوّد المستقبِل تلقائياً — مؤكِّداً أن الرسالة صادرة فعلاً من نطاقك ولم تُغيَّر في الطريق. إنه أحد الأمور الثلاثة التي يبحث عنها كل مزوّد بريد حديث، وهو يؤثر مباشرة في ما إذا كان بريدك موثوقاً أم يُرسَل إلى مجلد الرسائل غير المرغوب فيها، والإصلاح مجاني.

ما هذا، بكلمات بسيطة

كل بريد يرسله نشاطك التجاري يمرّ عبر عدة أيدٍ قبل أن يصل إلى صندوق الوارد. والبريد بحدّ ذاته لا يحمل أي دليل على من أرسله فعلاً أو ما إذا كان أحد قد غيّره في الطريق — فسطر “من” مجرد نصّ يستطيع أي شخص كتابته.

DKIM يُصلح ذلك. إنه يضع ختماً غير مرئي مانعاً للعبث على كل رسالة يرسلها نشاطك التجاري. وحين يصل البريد، يتحقق المزوّد المستقبِل من الختم مقابل مفتاح تنشره على نطاقك. وإذا تطابق، يعرف المزوّد أمرين على وجه اليقين: أن البريد صادر فعلاً من نطاقك، وأنه لم يتغيّر فيه حرف واحد أثناء النقل. وإذا لم يتطابق — لأن الرسالة زُيّفت أو غُيّرت — يفشل الختم، فيعامل المزوّد البريد بريبة.

أنت لا تدير أياً من هذا يدوياً. بمجرد تفعيله، يحدث التوقيع والتحقق تلقائياً على كل بريد، إلى الأبد. والغاية كلها من DKIM هي جعل بريدك الحقيقي قابلاً للإثبات على أنه حقيقي — فيصبح موثوقاً، وتبرز المزيّفات.

ما قد يكلّفك هذا

هذا ليس أمراً مجرّداً. إليك كيف يبدو غياب ختم DKIM أو ضعفه عملياً لنشاط تجاري صغير أو متوسط.

• الفاتورة المُعدَّلة. ترسل فاتورة بالبريد إلى عميل. وفي مكان ما بين خادمك وخادمه، يعترضها مهاجم ويستبدل تفاصيل حسابك المصرفي بحسابه. لا يزال البريد يبدو وكأنه صادر منك، فيدفع العميل — إلى حساب المجرم. بدون DKIM، لا يوجد ما يُنبّه إلى أن الرسالة عُبث بها. أمّا معه، فإن ذلك التعديل الصامت يكسر الختم ويُكتشَف.
• الصفقات التي ماتت في مجلد البريد غير المرغوب فيه. تظلّ عروض أسعارك ومقترحاتك ومتابعاتك تنزلق إلى مجلدات البريد غير المرغوب فيه لدى عملائك. لا يصلك ردّ فتفترض أنهم لم يكونوا مهتمين. وفي الواقع، البريد غير الموقَّع إشارة قوية على أنه بريد غير مرغوب فيه — فبريد عملك الحقيقي لم يُرَ ببساطة.
• العقد المفقود. يفحص فريق المشتريات أو الأمن لدى عميل أكبر نطاقك قبل التوقيع. لا يجدون DKIM فيعاملونه كعلامة خطر — إمّا بتأجيل الصفقة أسابيع حتى تُصلحها، أو باختيار مورّد بهدوء اجتاز أمن بريده الفحص.
• اسمك يُستخدم ضدّ عملائك أنفسهم. يرسل محتال رسائل مقنعة “من شركتك” إلى قاعدة عملائك. ولأن لا شيء يثبت أي الرسائل صادرة منك فعلاً، تبدو المزيّفة مشروعة تماماً كالحقيقية — وسمعتك هي التي تتلقّى الضربة حين يتضرّر الناس.
• خنق بطيء لبريدك. تتزايد ريبة البنوك ومزوّدي صناديق البريد الكبار والمرشّحات المؤسسية من البريد غير الموقَّع. يتسلّل الأثر بمرور الوقت: مزيد من الخنق، ومزيد من الإرسال إلى مجلد الرسائل غير المرغوب فيها، ومزيد من الارتداد — حتى تتوقف مراسلاتك اليومية بهدوء عن الوصول.

ما هو فعلاً

DKIM اختصار لـ DomainKeys Identified Mail. إليك كيف يعمل الختم، دون مصطلحات معقّدة:

• تنشر مفتاحاً عاماً على نطاقك (في إعدادات DNS الخاصة بك). يمكن لأي شخص قراءته — وهذا هو المقصود.
• يحتفظ مزوّد بريدك بـالمفتاح الخاص المطابق ويستخدمه لتوقيع كل بريد ترسله، مضيفاً ترويسة مخفية.
• حين يصل البريد، يجلب مزوّد المستلم مفتاحك العام، ويتحقق من التوقيع مقابل الرسالة، ويؤكّد أنها حقيقية وغير مُعدَّلة.

بعض المصطلحات التي قد تسمعها من الشخص التقني لديك:

• المحدِّد (Selector) — عنوان يشير إلى مفتاح محدّد واحد، مثل selector1._domainkey.yourdomain. يتيح لك تشغيل وتدوير عدة مفاتيح بنظافة. يُعدّه مزوّدك.
• قوة المفتاح — تأتي مفاتيح DKIM بأحجام. الحدّ الأساسي الحديث هو RSA بحجم 2048 بت؛ ومفاتيح RSA بحجم 4096 بت أو Ed25519 أقوى. أمّا المفاتيح الأقدم بحجم 1024 بت فلا تزال تعمل لكنها تُعدّ ضعيفة وفق معايير اليوم (NIST SP 800-131A / RFC 8301).

كيف يبدو “الجيد”: مفتاح DKIM صالح منشور عند محدِّد لنطاقك، وبريدك الصادر موقَّع به، والمفتاح بحجم 2048 بت أو أقوى. هذا هو الاجتياز الكامل.

ملاحظة حول كيفية تقييم هذا. يبحث هذا الفحص عن مفتاح DKIM حقيقي وسليم البنية منشور عند المحدِّدات التي يستخدمها مزوّدو البريد عادة. المفتاح الصالح المنشور هو الإشارة الإيجابية — إذ لا يستطيع ماسح ضوئي خارجي إعادة تشغيل توقيعاتك الحيّة، فوجود مفتاح صحيح هو ما يُقاس. عدم العثور على مفتاح يُفشِل الفحص (إنها ثغرة عالية الخطورة). أمّا المفتاح الصالح الضعيف (RSA بحجم 1024 بت) فيكسب نحو نصف الدرجة — إنه يعمل لكن ينبغي ترقيته. والمفتاح القوي (RSA بحجم 2048 بت أو أفضل، أو Ed25519) يكسب الدرجة الكاملة. هذا أحد فحوص أمن البريد التي تُحتسب في درجتك، ويستحق حصة معتبرة منها.

كيفية الإصلاح (مجاناً، ~15 دقيقة)

هذا الجزء لمن يدير بريدك أو نطاقك — إن لم يكن ذلك أنت، فسلّمه هذا القسم. الإصلاح مجاني. نحن نتقاضى رسوماً فقط مقابل مراقبة بقاء حمايتك سليمة بمرور الوقت، لا مقابل إعدادها.

الشكل العام واحد في كل مكان: فعّل DKIM في مزوّد بريدك، وخذ المفتاح الذي يولّده، وانشره في DNS الخاص بك، ثم تأكد من أنه فعّال. تعتمد الخطوات الدقيقة على من يدير بريدك — إليك الأكثر شيوعاً.

Google Workspace (Gmail)

1. لوحة الإدارة ← Apps ← Google Workspace ← Gmail ← Authenticate email.
2. اختر نطاقك وانقر Generate new record (اختر طول مفتاح 2048 بت).
3. تمنحك Google سجل DNS. أضِفه لدى مضيف DNS الخاص بك كسجل TXT، المضيف google._domainkey.yourdomain، بالقيمة التي قدّمتها Google.
4. انتظر انتشاره (دقائق إلى بضع ساعات)، ثم عُد إلى الشاشة نفسها وانقر Start authentication.

Microsoft 365 (Outlook / Exchange Online)

1. اذهب إلى بوابة Microsoft Defender ← Email & collaboration ← Policies & rules ← Threat policies ← Email authentication settings ← DKIM.
2. اختر نطاقك. تعرض لك Microsoft سجلَّي CNAME للنشر (selector1 وselector2).
3. أضِف كلا سجلَّي CNAME لدى مضيف DNS الخاص بك تماماً كما هما معروضان.
4. عُد إلى شاشة DKIM، وبدّل توقيع DKIM إلى Enabled للنطاق.

Zoho Mail

1. لوحة التحكم ← Email Authentication ← DKIM.
2. ولّد مفتاحاً (استخدم محدِّداً مثل zoho)، ثم أضِف سجل TXT المقدّم عند zoho._domainkey.yourdomain في DNS الخاص بك.
3. تحقّق في لوحة Zoho بمجرد أن يصبح السجل فعّالاً.

مزوّدون آخرون / خادم بريدك الخاص النمط متطابق: يولّد المزوّد (أو برنامج بريدك) زوج مفاتيح، ويوقّع بريدك الصادر بالمفتاح الخاص، ويمنحك سجلاً عاماً لنشره. يبدو عادة هكذا:

Host:  selector1._domainkey.yourdomain
Type:  TXT (or CNAME, depending on provider)
Value: (the long key string your provider gives you)

أين تُضاف سجلات DNS: في إعدادات DNS لنطاقك — عادة لدى مُسجِّل نطاقك أو مضيف DNS الخاص بك (مثل Cloudflare، GoDaddy، لوحة تحكم الاستضافة). وإذا قدّم لك مزوّد بريدك سجل CNAME، فهو يشير إلى سجل يستضيفه هو، فلا ترى المفتاح الخام أبداً — وهذا طبيعي وسليم.

تأكد من أنه يعمل: أرسل لنفسك بريداً تجريبياً إلى حساب Gmail، افتحه، اختر Show original، وتحقق من ظهور DKIM: PASS. ثم أعِد فحص نطاقك هنا للتأكد من أن المفتاح صدر بحجم 2048 بت أو أقوى، لا مفتاحاً ضعيفاً بحجم 1024 بت.

الأخطاء الشائعة

• افتراض أن المزوّد الكبير يفعّله افتراضياً. الكثير من النطاقات على Google أو Microsoft لا تزال تحتاج إلى تفعيل DKIM ونشر سجل. “نحن نستخدم Microsoft 365” ليس مثل “DKIM مفعّل”.
• توليد مفتاح ضعيف بحجم 1024 بت. لا يزال بعض المزوّدين يعتمد أو يعرض 1024 بت افتراضياً. اختر 2048 بت حين يُتاح لك الخيار — فالمفتاح الضعيف يكسب نصف الدرجة فقط ويُعلَّم من قِبل المستقبِلين الأكثر صرامة.
• نشر السجل دون تفعيل التوقيع أبداً. إضافة سجل DNS نصف المهمة فقط. إذا لم تفعّل التوقيع لدى المزوّد (المفتاح النهائي)، فإن بريدك يخرج بلا توقيع.
• الخطأ في كتابة المفتاح أو اقتطاعه. مفاتيح DKIM طويلة. والنسخ واللصق الذي يُسقِط حرفاً أو يقسم القيمة خطأً يُنتج ختماً معطوباً يفشل على كل بريد. الصق القيمة تماماً كما هي معطاة.
• نسيان مُرسِليك الآخرين. إذا كنت ترسل البريد عبر أداة نشرة بريدية أو نظام إدارة علاقات العملاء أو تطبيق فوترة أو منصة تجارة إلكترونية، فقد يحتاج كل منها إلى مفتاح DKIM ومحدِّد خاص به. وقّع البريد من كل الخدمات التي ترسل نيابة عنك، لا صندوق بريدك فقط.

ملاحظة حول DKIM وSPF وDMARC

نادراً ما يعمل DKIM وحده. إنه أحد ثلاثة إعدادات تجعل بريدك معاً جديراً بالثقة:

• SPF يحدد الخوادم المسموح لها بإرسال البريد لنطاقك.
• DKIM (هذه الصفحة) هو الختم المانع للعبث الذي يثبت أن الرسالة صادرة منك فعلاً ودون تغيير.
• DMARC هو التعليمة التي تُخبر المزوّدين بما يجب فعله بأي شيء يفشل — وهي تعتمد على DKIM وSPF لاتخاذ ذلك القرار.

إذا كنت تُصلح DKIM، فمن المجدي فحص SPF وDMARC في الوقت نفسه. فهي معاً ما يمنع انتحال نشاطك التجاري وما يُبقي بريدك الحقيقي يصل إلى حيث ينبغي.

أعدّه على مُضيفك

خطوة بخطوة لدى المزوّدين الشائعين:

• إعداد DKIM على GoDaddy
• إعداد DKIM على Namecheap
• إعداد DKIM على Cloudflare
• إعداد DKIM على Google Workspace
• إعداد DKIM على Microsoft 365
• إعداد DKIM على Squarespace
• إعداد DKIM على Wix
• إعداد DKIM على AWS Route 53
• إعداد DKIM على Hostinger
• إعداد DKIM على Porkbun
• إعداد DKIM على IONOS
• إعداد DKIM على Bluehost

الأسئلة الشائعة