Defaults.Exposed › الإصلاحات › DMARC (الحماية من انتحال البريد)

كيف تُصلح DMARC (الحماية من انتحال البريد)

DMARC هو الإعداد الوحيد الذي يُخبر فعلاً مزوّدي البريد حول العالم بحظر الرسائل التي تزيّف اسم نشاطك التجاري. يتحقق SPF وDKIM من الأقفال؛ ويقرّر DMARC ما يحدث حين يفشل تزييف ما في الفحص — رميه، أو وضع علامة عليه، أو تمريره. اضبطه خطأً فيكون نطاقك قابلاً للتزوير بالكامل؛ اضبطه صواباً فيتوقف الانتحال عند صندوق الوارد.

الخلاصة لعملك: بدون فرض DMARC، يستطيع مجرم إرسال بريد يبدو تماماً وكأنه صادر من نشاطك التجاري — إلى عملائك وموظفيك ومورّديك — فيصل إلى صندوق الوارد لديهم، لا إلى مجلد البريد غير المرغوب فيه. يُحتال على الناس باسمك، فيلومونك.

ماذا قد يكلّفك هذا

• يرسل محتال إلى عميلك فاتورة تبدو حقيقية 'من فريق الحسابات لديك' تحمل تفاصيل حسابه المصرفي. يدفعها العميل. لا تكتشف الأمر إلا بعد أسابيع حين يطالب بالبضاعة التي دفع ثمنها بالفعل — ويحمّلك المسؤولية.
• تصل رسالة 'دفعة عاجلة' مزيّفة إلى مسؤول الشؤون المالية لديك، تبدو وكأنها صادرة منك، أنت المالك. فيُحوِّل المال قبل أن يفكر أحد في التحقق مرتين — وبمجرد وصوله إلى حساب مجرم، يكاد لا يُستردّ أبداً.
• يُجري فريق تقني لدى عميل محتمل كبير فحصاً أمنياً على نطاقك قبل التوقيع. تعود النتيجة 'البريد غير محمي — يمكن انتحاله'. فتخسر الصفقة لصالح منافس اجتاز نطاقه الفحص.
• يُستخدم نطاقك في موجة تصيّد. يترك العملاء الذين خُدعوا تقييمات غاضبة ويحذّرون الآخرين. ويبقى الضرر بالسمعة أطول من الهجوم بأشهر.
• حتى بريدك الحقيقي يبدأ بالوقوع في مجلد الرسائل غير المرغوب فيها، لأن Google وYahoo يزدادان ريبة من النطاقات بلا DMARC مفروض — وصار بعضها الآن يرفضها.

لماذا يهمّ. لم يُصمَّم البريد الإلكتروني يوماً ليثبت من أرسله فعلاً، فتزييف عنوان 'من' أمر تافه. وDMARC هو الضابط الوحيد الذي يحوّل 'يمكننا اكتشاف المزيّفات' إلى 'تُحظر المزيّفات' — كما يمنحك التقارير اليومية التي تكشف من يرسل البريد باسم علامتك التجارية. يعامل مزوّدو صناديق البريد الكبار الآن سياسة DMARC المفقودة أو غير المفروضة كإشارة ثقة ضدّك، فهذا يؤثر في إيصال بريدك أنت أيضاً.

ما هو DMARC، بكلمات بسيطة

للبريد الإلكتروني سرّ مشين: سطر “من” مجرد نصّ مكتوب. يستطيع أي شخص، في أي مكان، كتابة اسم نشاطك التجاري وعنوانه في خانة “من” في رسالة وإرسالها. لم يُصمَّم الإنترنت يوماً لمنعهم.

هناك ثلاثة إعدادات تُصلح هذا معاً. فكّر فيها كأمن مبنى:

• SPF قائمة بمن يُسمح له بالدخول من الباب الأمامي (أيّ خدمات البريد يمكنها الإرسال باسمك).
• DKIM ختم مانع للعبث يثبت أن الرسالة لم تُغيَّر أثناء النقل.
• DMARC هو حارس الأمن الذي يفحص القائمة والختم — والأهمّ، يقرّر ما يجب فعله حين لا يتطابقان: تمريرها، أو إرسالها إلى مجلد البريد غير المرغوب فيه، أو ردّها عند الباب.

قد تملك القائمة (SPF) والختم (DKIM) وتبقى بلا حارس. وهذا أكثر المواقف شيوعاً وأخطرها: الأقفال موجودة، لكن لا شيء يفرضها. DMARC هو الفرض. إنه الفرق بين “يمكننا معرفة أن هذا البريد مزيّف” و”هذا البريد المزيّف لا يصل أبداً إلى عميلك”.

ما قد يكلّفك هذا

هذا ليس نظرياً. إليك الطرق الملموسة التي يتحوّل بها نطاق غير محمي إلى أموال حقيقية وضرر حقيقي:

1. احتيال الفاتورة المزيّفة. يرسل مجرم إلى عميلك ما يبدو تماماً كفاتورة حقيقية من فريق حساباتك — الاسم نفسه، والنطاق نفسه، وتصميم احترافي — لكن بتفاصيل حسابه المصرفي. ولأن نطاقك غير مفروض، تصل إلى صندوق الوارد، لا إلى مجلد البريد غير المرغوب فيه. يدفعها العميل. تكتشف الأمر بعد أسابيع حين يسأل عن طلبه. تكون الأموال قد ضاعت عادة، وكثيراً ما يحمّلك العميل مسؤولية الاختراق.

2. تحويل احتيال المدير التنفيذي. يصل بريد يبدو وكأنه صادر منك، أنت المالك، إلى مسؤول الشؤون المالية: “هل يمكنك تمرير هذه الدفعة بشكل عاجل، أنا في اجتماع.” يبدو حقيقياً تماماً لأنه هو عنوانك — مزوّراً فحسب. وتخرج الدفعة. هذا النمط — اختراق البريد الإلكتروني التجاري — أحد أكثر عمليات الاحتيال كلفة التي تصيب الأنشطة الصغيرة، تحديداً لأن البريد صادر فعلاً من نطاقك أنت، فيمرّ مباشرة دون إثارة شك.

3. العقد المفقود. يُجري عميل محتمل جادّ فحصاً أمنياً أو فحص مشتريات قبل التوقيع. تُبلّغ أدواته أن نطاقك “قابل للانتحال — لا فرض لمصادقة البريد”. وقد تكفي هذه العلامة الواحدة لمنح العقد لمنافس اجتاز نطاقه الفحص. ولا تسمع أبداً السبب الحقيقي.

4. ضربة السمعة التي لا يمكن التراجع عنها. يُجرف نطاقك إلى حملة تصيّد. ينشر عشرات الأشخاص الذين خُدعوا باسمك تحذيرات وتقييمات. يستمر الهجوم أسبوعاً؛ ويبقى سؤال “هل هذه الشركة آمنة أصلاً؟” أشهراً.

5. بريدك أنت يذهب إلى مجلد الرسائل غير المرغوب فيه. تَرتاب Google وYahoo الآن بشكل فعّال من النطاقات بلا DMARC مفروض. فتبدأ عروض الأسعار والفواتير والردود التي أرسلتها فعلاً بالوقوع بهدوء في مجلدات البريد غير المرغوب فيه. تتعثّر الصفقات ولا تعرف السبب أبداً.

ما هو فعلاً (وكيف يبدو “الجيد”)

يعيش DMARC كسطر نصّي واحد في إعدادات نطاقك — سجل DNS من نوع “TXT” منشور عند الاسم الخاص _dmarc.yourdomain. وبداخله بضع تعليمات قصيرة. اثنتان منها هما الأهمّ، وهما بالضبط الأمران اللذان يتحقق منهما هذا التقييم.

1. السياسة (p=) — أوامر الحارس. هذا هو الجزء الأعلى وزناً في الفحص. ويمكن أن يكون واحداً من ثلاثة أمور:

• p=none — المراقبة فقط. يدوّن الحارس من مرّ لكنه لا يوقف أحداً. لا يحميك من شيء؛ إنها مرحلة مراقبة، لا إعداد مكتمل. (محرّكنا يقيّم هذا كفشل — أفضل من عدم وجود DMARC أصلاً، لكنه ليس حماية.)
• p=quarantine — إرسال المزيّفات إلى مجلد البريد غير المرغوب فيه. حماية حقيقية، لكن المهاجم المُصِرّ يراهن على أن الناس يتفقّدون مجلد البريد غير المرغوب فيه. خطوة وسيطة متينة — تكسب نحو نصف الدرجة.
• p=reject — رفض المزيّفات عند الباب. لا يُسلَّم البريد المزوّر أبداً. هذا هو الإعداد الوحيد الذي يحميك بالكامل ويكسب الدرجة الكاملة.

كيف يبدو “الجيد”: p=reject. أي شيء أقل يترك ثغرة.

تفصيلان تقنيان يتحقق منهما فحصنا أيضاً، يجدر معرفتهما حتى لا تُؤخَذ على حين غرّة:

• سياسة النطاق الفرعي (sp=). قد تضبط سياسة قوية لنطاقك الرئيسي لكنك تترك بالخطأ النطاقات الفرعية (مثل mail.yourdomain أو news.yourdomain) مفتوحة على مصراعيها. يعاقب محرّكنا هذا بشدّة — فالنطاق ذو p=reject لكن sp=none تُخفَّض درجته إلى ما يقارب غياب الفرض تماماً، لأن المهاجمين سينتحلون ببساطة نطاقاً فرعياً بدلاً من ذلك. والممارسة الجيدة هي ترك sp يرث سياستك الرئيسية القوية، أو ضبطه على reject صراحةً.
• النسبة المئوية (pct=). خلال إطلاق دقيق يمكنك تطبيق الفرض على جزء فقط من البريد (مثل pct=25). إنها أداة انتقال مشروعة، لكن الإطلاق الجزئي يمنح حماية جزئية فقط، ودرجتنا تعكس ذلك — ترتفع تدريجياً مع انتقالك من 25% نحو 100%، لكن الدرجة الكاملة تتطلب تغطية كاملة.

2. عنوان التقارير (rua=) — رؤيتك. هذا هو الفحص الثاني في هذه الصفحة. وسم rua= يطلب من كل مزوّد بريد في العالم إرسال ملخّص يومي لك عمّن حاول إرسال بريد باسم نطاقك — أنظمتك أنت وأي منتحِلين. بدونه، أنت تطير بلا رؤية: لا فكرة لديك عمّن يسيء استخدام اسمك. ومعه، تكتشف الأنشطة التجارية بانتظام بين 5 و50 مُرسِلاً غير مصرّح لهم في اليوم الأول بالذات.

كيف يبدو “الجيد” للتقارير: عنوان rua=mailto: صالح (أو عنوان https: لخدمة تقارير) يستقبل التقارير فعلاً. يتحقق فحصنا من التنسيق — فالعنوان المكتوب خطأً أو المعطوب يعني أن التقارير تذهب بصمت إلى لا مكان، وهو ما يُقيَّم كنتيجة جزئية أو فاشلة رغم أن الوسم “موجود” تقنياً.

كيفية الإصلاح (مجاناً، ~30 دقيقة موزّعة على أسبوعين)

سلّم هذا القسم لمن يدير نطاقك أو موقعك الإلكتروني أو خدمتك التقنية — الإصلاح مجاني تماماً. نحن نتقاضى رسوماً فقط مقابل مراقبة بقائه صحيحاً بمرور الوقت، أو إدارة محفظة من النطاقات، أو إجراء تدقيق. أمّا التغيير نفسه فلا يكلّف شيئاً.

القاعدة الذهبية: لا تقفز أبداً مباشرة إلى reject. فعّل المراقبة أولاً، وراجِع التقارير، وتأكد من التعرّف على بريدك الحقيقي، ثم شدّد. بهذا الترتيب يكون آمناً؛ وبالاندفاع قد يُرسِل بريدك أنت إلى مجلد الرسائل غير المرغوب فيه.

الخطوة 1 — تأكد من وجود SPF وDKIM أولاً. يعتمد DMARC عليهما. إذا كان أيّهما مفقوداً، فعالج ذلك قبل فرض DMARC (راجِع صفحتَي SPF وDKIM).

الخطوة 2 — انشر سجل مراقبة مع تشغيل التقارير. أضِف سجل DNS من نوع TXT:

• المضيف / الاسم: _dmarc.yourdomain (قد يعرضه مزوّد DNS الخاص بك كـ _dmarc فقط)
• النوع: TXT
• القيمة: v=DMARC1; p=none; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s

هذا يراقب ويُبلّغ دون حظر أي شيء بعد. وأجزاء adkim=s; aspf=s تطلب محاذاة صارمة — اتركها في البداية إن كنت غير متأكد، وأضِفها بمجرد تأكيد نظافة بريدك.

الخطوة 3 — اقرأ التقارير لمدة ~أسبوعين. تقارير DMARC الخام عبارة عن XML كثيف. استخدم خدمة تقارير مجانية (مثل dmarcian أو أداة DMARC المجانية من Postmark) لتحويلها إلى لوحة معلومات مقروءة. تأكد من اجتياز كل مُرسِل مشروع — مزوّد صندوق بريدك، وأداة نشرتك البريدية، ونظام إدارة علاقات العملاء، ومكتب المساعدة، وتطبيق الفوترة. وأصلِح أي مُرسِل حقيقي لا يجتاز.

الخطوة 4 — انتقل إلى quarantine. بمجرد نظافة بريدك الحقيقي، غيّر p=none إلى p=quarantine. وراقِب بضعة أيام أخرى.

الخطوة 5 — انتقل إلى reject. أخيراً غيّر p=quarantine إلى p=reject. أنت الآن محمي بالكامل. يبدو السجل النهائي هكذا:

v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s

الخطوة 6 — لا تنسَ النطاقات الفرعية. تأكد من أنك لم تترك sp=none في مكانه. وإذا لم تنشر sp على الإطلاق، فإن النطاقات الفرعية ترث سياسة p= الرئيسية، وهو ما تريده.

ملاحظات حسب المنصة الشائعة:

• Google Workspace / Microsoft 365: كلاهما يدعم DMARC بالكامل. سجل DMARC نفسه يُوضَع لدى مزوّد DNS الخاص بك، لا في لوحة إدارة Google أو Microsoft — تأكد أولاً من تفعيل SPF وDKIM في لوحة الإدارة، ثم انشر سجل DMARC من نوع TXT لدى مُسجِّلك/مضيف DNS الخاص بك.
• Cloudflare: DNS > Records > Add record > TXT، الاسم _dmarc، الصق القيمة. تقدّم Cloudflare أيضاً إدارة DMARC مدمجة يمكنها إعداد هذا وجمع التقارير نيابة عنك.
• المضيفون / المُسجِّلون الشائعون (Blacknight، GoDaddy، إلخ): ابحث عن “DNS” أو “DNS Zone” أو “Advanced DNS”، وأضِف سجل TXT بالاسم _dmarc والقيمة أعلاه. يستغرق الانتشار عادة من بضع دقائق إلى ساعة.

الأخطاء الشائعة

• التوقف عند p=none. الخطأ الأكثر شيوعاً بفارق كبير. المراقبة هي البداية، لا النهاية — فالنطاق العالق على none لا يزال قابلاً للانتحال بالكامل. ويقيّمه محرّكنا كفشل لهذا السبب بالضبط.
• القفز مباشرة إلى reject دون مراقبة. الخطأ المعاكس. فبدون مرحلة التقارير قد لا تدرك أن مُرسِلاً مشروعاً (غالباً أداة نشرة بريدية أو فوترة) غير محاذٍ — فتبدأ بحظر بريدك أنت.
• نسيان سياسة النطاق الفرعي. p=reject قوي مع sp=none يترك باباً جانبياً مفتوحاً على مصراعيه؛ ينتحل المهاجمون نطاقاً فرعياً فحسب.
• عنوان تقارير معطوب. rua= مكتوب خطأً (أو يفتقد بادئة mailto:) يعني أن التقارير تذهب إلى لا مكان وتبقى بلا رؤية دون أن تدري. لا بد أن يكون التنسيق عنوان mailto: أو https: صالحاً، وإلا فلن تُسلَّم التقارير أبداً.
• “نحن لا نرسل بريداً فسنتخطّاه.” النطاق غير المُرسِل هدف أوّليّ تحديداً لأن لا أحد يراقبه. انشر سياسة reject صارمة لإغلاقه تماماً.

ملاحظة حول التقييم

فحص السياسة (p=) أحد أثقل البنود وزناً في التقييم كله — لأنه العامل الأكبر منفرداً في ما إذا كان نشاطك التجاري قابلاً للانتحال. reject يكسب الدرجة الكاملة؛ وquarantine يكسب نحو النصف؛ وnone والسجل المفقود يُقيَّمان كفشل. وسياسة نطاق فرعي أضعف أو إطلاق pct= جزئي يخفض الدرجة لتطابق مستوى الحماية الفعلي الذي تملكه حقاً.

فحص التقارير (rua=) يحمل وزناً حقيقياً أيضاً، لكن فكّر فيه أقل كخانة تُؤشّر عليها وأكثر كالأداة التي تتيح لك الوصول إلى reject بأمان. أعدّه في الوقت نفسه مع سجل المراقبة، وسيُؤتي ثماره برؤية واضحة في اليوم الأول.

أعدّه على مُضيفك

خطوة بخطوة لدى المزوّدين الشائعين:

• إعداد DMARC على GoDaddy
• إعداد DMARC على Namecheap
• إعداد DMARC على Cloudflare
• إعداد DMARC على Google Workspace
• إعداد DMARC على Microsoft 365
• إعداد DMARC على Squarespace
• إعداد DMARC على Wix
• إعداد DMARC على AWS Route 53
• إعداد DMARC على Hostinger
• إعداد DMARC على Porkbun
• إعداد DMARC على IONOS
• إعداد DMARC على Bluehost

الأسئلة الشائعة