Defaults.Exposed › الإصلاحات › Guides
DKIM ينجح لكن DMARC يفشل: فخ التوقيع الافتراضي gappssmtp.com / onmicrosoft.com (2026)
نُشر 2026-07-08
الأرقام بتاريخ 2026-06-29 · المنهجية v7. بيانات إحصاء مجمّعة عبر 261 مليون نطاق مُصنَّف. اطلع على طريقة التصنيف.
بريدك ينجح في DKIM بالتوقيع الافتراضي للمزوّد — d= ينتهي بـ gappssmtp.com (Google Workspace) أو onmicrosoft.com (Microsoft 365) — لكن ذلك النطاق لا يتطابق مع نطاق From، فلا يحصل DMARC على تجاوز متوافق. فعّل التوقيع بنطاق مخصص لإصلاحه. من 12,145,313 نطاق يُفوِّض خوادم Google، 18.5% فقط يُطبِّق DMARC، وفقاً لإحصاء Defaults.Exposed لـ 261,086,232 نطاق مُصنَّف.
الإصلاح من أنظف الإصلاحات في مصادقة البريد: شغّل توقيع DKIM بنطاق مخصص. على Google Workspace هي شاشة “Authenticate email” في لوحة Admin — أنشئ المفتاح، انشر سجل TXT واحداً، شغّله. على Microsoft 365 هي صفحة DKIM في بوابة Defender — انشر CNAME لمُحدِّدَين، فعّل. عشرون دقيقة من العمل، ويحصل DMARC أخيراً على التجاوز المتوافق الذي كان ينتظره.
لماذا ينجح DKIM لكن DMARC لا يزال يفشل؟
لأن DMARC لا يسأل “هل يوجد توقيع DKIM صالح؟” — بل يسأل “هل يوجد توقيع DKIM صالح لنطاق يتطابق مع نطاق ترويسة From؟” هذا الشرط الثاني يُسمى التوافق، وهو نقطة DMARC كلها: إثبات أن النطاق الذي يراه متلقّيك هو النطاق الذي وقَّع.
بصورة افتراضية، يُوقِّع Google Workspace بريدك بنطاق مثل yourdomain-com.20230601.gappssmtp.com (الطابع الزمني يختلف لكل نطاق) وMicrosoft 365 يُوقِّع بـ yourtenant.onmicrosoft.com. كلا التوقيعَين صالحَان تشفيرياً — أدوات التحقق من DKIM تقول pass — لكن نطاق d= ينتمي لـ Google أو Microsoft، لا لك. حتى في وضع التوافق relaxed لـ DMARC، الذي يشترط فقط تطابق النطاقات المؤسسية، gappssmtp.com ليست yourdomain.com. لا تطابق، لا تجاوز متوافق، وإن لم يتوافق SPF أيضاً (كثيراً ما لا يستطيع — المستقبِلون يُقيِّمون SPF مقابل نطاق Return-Path لا ترويسة From، والتوجيه يكسره كلياً)، يفشل DMARC.
هذا هو الفخ المُحدِّد لافتراضيات المزوّدين: الافتراضي يمنحك قابلية التسليم لا الحماية — التوافق هو دورة المفتاح المفقودة. الإحصاء يُظهر كم المرسلين الذين يتوقفون عند الافتراضي: من 12,145,313 نطاق يُفوِّض خوادم Google عبر _spf.google.com (من 138,927,207 ناشر SPF عالمياً)، 18.5% فقط يُطبِّق DMARC. صورة Microsoft على نفس الشكل: 10,205,070 نطاق يُفوِّض spf.protection.outlook.com، 85.0% يحمل سجل SPF الصارم الذي يُسلِّمه إعداد M365 — و21.7% فقط يُطبِّق DMARC. المقارنة الكاملة في جدول مزوّدي البريد لـ SPF.
الفخ غير مرئي في الاستخدام اليومي: البريد يُسلَّم، اختبارات صندوق الوارد تبدو جيدة، لا أخطاء — حتى تنشر سياسة DMARC ويبدأ بريدك الخاص بالفشل فيها. فحصنا المجاني يكشف هذه الفجوة تحديداً.
كيف أكتشف فخ التوقيع الافتراضي في Authentication-Results؟
افتح رسالة أرسلتها (إلى صندوق بريد Gmail أو Outlook)، اعرض المصدر الأصلي/الخام، وابحث عن ترويسة Authentication-Results. الدليل هو DKIM بـ pass مع d= الخاطئ — مثال مُستلَم بـ Gmail يبدو هكذا:
Authentication-Results: mx.google.com;
dkim=pass [email protected];
spf=pass smtp.mailfrom=yourdomain.com;
dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=yourdomain.com
اقرأها كثلاثة أسئلة:
| مقطع الترويسة | ما تعنيه | الحكم |
|---|---|---|
dkim=pass header.d=yourdomain.com | التوقيع صالح ويتطابق مع نطاق From | متوافق — هذا هو الهدف |
dkim=pass header.d=…gappssmtp.com أو …onmicrosoft.com | التوقيع صالح لكنه نطاق المزوّد الافتراضي — DMARC يتجاهله للتوافق | الفخ: نجاح بدون حماية |
dkim=fail (أي d=) | التوقيع غير صالح — مشكلة مختلفة | انظر كيف تُصلح DKIM |
في البريد المُستلَم بـ Microsoft، تظهر القصة ذاتها كـ dkim=pass (signature was verified) header.d=yourtenant.onmicrosoft.com جانباً لـ compauth=fail — النمط المُغطى في دليل رفض Outlook.
إن أظهرت ترويستك بدلاً من ذلك كلاً من dkim=pass وspf=pass مع فشل DMARC، أنت في الحالة الأوسع للتوافق — دليل DMARC يفشل لكن SPF وDKIM ينجحان يُفصِّل التوافق relaxed مقابل الصارم بالكامل.
كيف أُفعِّل توقيع DKIM بنطاق مخصص؟
- شغّل الفحص المجاني على defaults.exposed قبل أن تلمس أي شيء. يُظهر هل لنطاقك DKIM متوافق، ما سياسة DMARC فعلياً، وهل أي شيء آخر (SPF، صيغة سجل DMARC) سيظل يعيقك بعد هذا الإصلاح — فتنجز العمل كاملاً مرة واحدة.
- حدِّد أي توقيع افتراضي تستخدمه. افحص
header.d=في Authentication-Results كما أعلاه:gappssmtp.comيعني افتراضي Google Workspace،onmicrosoft.comيعني افتراضي Microsoft 365. - Google Workspace: أنشئ مفتاحك الخاص وانشره. في لوحة Admin اذهب إلى Apps → Google Workspace → Gmail → Authenticate email، اختر نطاقك وانقر Generate New Record (2048-bit ما لم يعجز مضيف DNS لديك عن تخزينه). انشر سجل TXT الذي يمنحك على
google._domainkey.yourdomain.com، انتظر DNS (حتى 48 ساعة)، ثم — الخطوة التي يُغفلها الناس — انقر Start authentication. إنشاء السجل لا يفعل شيئاً حتى تُشغِّل التوقيع. الدليل الكامل: إعداد DKIM على Google Workspace. - Microsoft 365: انشر CNAME الخاصَين بالمُحدِّدَين وفعّل. في بوابة Defender اذهب إلى Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM، اختر نطاقك المخصص وأنشئ المفاتيح. انشر كلا الـ CNAME —
selector1._domainkeyوselector2._domainkey، مُشيرَين إلى الأهداف التي يُظهرها لك Microsoft (انسخ الأهداف بالضبط من البوابة — النطاقات المُفعَّلة قبل مايو 2025 تنتهي في.onmicrosoft.comللمستأجر؛ الأحدث تنتهي في.dkim.mail.microsoft) — ثم شغّل التوقيع. مُحدِّدان ليسا اختيارياً: Microsoft يُدوِّر المفاتيح بينهما. الدليل الكامل: إعداد DKIM على Microsoft 365. - تحقق من التوقيع الجديد. أرسل رسالة جديدة إلى صندوق بريد خارجي وأعد فحص Authentication-Results:
dkim=passيجب أن يُظهر الآنheader.d=yourdomain.com. إن ألصقت لوحة DNS منطقتك بهدف CNAME أو شوَّهت قيمة TXT الطويلة، لن يتبدل التوقيع — تفاصيل اللوحة لا المزوّد هي مصدر معظم الأخطاء هنا. - أعد الفحص واستثمر التجاوز المتوافق. تأكد من أن الفحص يُظهر DKIM متوافقاً، ثم استخدمه: سياسة DMARC بـ
p=noneلا تحمي شيئاً. عبر جميع 261,086,232 نطاق مُصنَّف، 10.59% فقط يُطبِّق DMARC (البيانات بتاريخ 2026-06-29) — DKIM المتوافق هو ما يجعل تطبيق التشديد آمناً. ابدأ من كيف تُصلح DMARC.
هل تفعيل DKIM المخصص سيكسر أي شيء؟
لا — هذا من نادر إصلاحات مصادقة البريد التي لا تكاد يكون لها نطاق ضرر: البريد الذي كان يخرج بالتوقيع الافتراضي يخرج ببساطة بتوقيع أفضل، والمزوّد يستمر في إدارة المفاتيح (Microsoft يُدوِّر بين المُحدِّدَين تلقائياً). حالة الفشل الحقيقية هي إتمام النصف — نشر TXT الخاص بـ Google دون النقر على Start authentication، أو نشر مُحدِّد M365 واحد بدلاً من كليهما. ولا تحذف سجلات DNS لاحقاً “للترتيب”؛ التوقيع يتوقف لحظة اختفاء المفتاح.
ملاحظة نطاق: هذا يُصلح البريد المُرسَل عبر Google أو Microsoft. أدوات النشرات وCRM تُوقِّع بافتراضياتها الخاصة أيضاً، وكل منها يحتاج تفعيل DKIM بنطاق مخصص — هذا النمط، وقواعد مرسلي Gmail بالجملة التي تشترطه الآن، مُغطاة في دليل 550-5.7.26.
الأسئلة الشائعة
DKIM يُظهر “pass” في كل أداة اختبار — لماذا يحتاج شيء للإصلاح؟
لأن الأدوات تُجيب عن سؤال أضيق مما يسأله DMARC. التوقيع صالح — لكنه تابع لـ gappssmtp.com أو onmicrosoft.com، لا لك، فلا يُحتسب في توافق DMARC. لهذا كثير من المرسلين يتوقفون عند الافتراضي: من 12,145,313 نطاق يُفوِّض Google، 18.5% فقط يُطبِّق DMARC (البيانات بتاريخ 2026-06-29).
هل يُتيح التوافق relaxed لـ DMARC تمرير التوقيع الافتراضي؟
لا. التوافق relaxed يُرخي المطابقة فقط إلى النطاقات المؤسسية — mail.yourdomain.com يتوافق مع yourdomain.com. النطاق المؤسسي للتوقيع الافتراضي هو gappssmtp.com أو onmicrosoft.com، الذي لا يشترك بشيء مع نطاقك. لا وضع توافق يُنقذ d= لطرف ثالث.
هل توقيع gappssmtp.com / onmicrosoft.com سيئ؟ هل أُزيله؟ ليس سيئاً — يضمن حمل بريدك لبعض التوقيع الصالح، مما يُساعد تصفية البريد العشوائي. لكنه ليس توقيعك. لا تُزيله؛ تستبدله بتفعيل التوقيع بنطاق مخصص.
نطاقي على Microsoft 365 مع SPF صارم — هل أنا محمي؟
على الأرجح لا: ذلك السجل الصارم هو الافتراضي لـ M365 يؤدي وظيفته الواحدة. من 10,205,070 نطاق يُفوِّض spf.protection.outlook.com، 85.0% لديه SPF صارم لكن 21.7% فقط يُطبِّق DMARC (البيانات بتاريخ 2026-06-29). SPF ينكسر أيضاً تحت التوجيه، لأنه يُقيَّم مقابل Return-Path لا ترويسة From — DKIM المتوافق هو الركيزة التي تصمد، وهذا بالضبط لماذا يهم هذا الإصلاح.
كم يستغرق الإصلاح؟ عمل اللوحة دقائق لكل مزوّد. DNS هو الانتظار: Google تقول السماح بـ 48 ساعة قبل بدء المصادقة؛ CNAMEs الخاصة بـ Microsoft عادةً تكون حية خلال ساعات. ضع في الحسبان يوم عمل من البداية للنهاية، معظمه انتظار.
أرسل للمالك التقرير
إن كنت تُصلح هذا لعميل أو صاحب عمل، أغلق الحلقة بالدليل. أعد الفحص المجاني بمجرد أن يكون التوقيع الجديد حياً وأرسل التقرير المُصنَّف لصاحب العمل: مؤرَّخ، لغة بسيطة، يُظهر DKIM متوافقاً مع نطاقه. هذه هي الوثيقة لتجديد تأمين الإنترنت واستبيان أمان المورد القادم — دليل على أن النطاق يُصادق كنفسه، لا كمستأجر فرعي لـ gappssmtp.com.
افحص توافق DKIM مجاناً
اعرف هل يُوقِّع بريدك بنطاقك الخاص — وما الذي يجب إصلاحه بالضبط — بخصوصية تامة ومقتصرة على المالك.
افحص نطاقك ← · DMARC يفشل لكن SPF وDKIM ينجحان ← · إصلاح DKIM ← · إعداد DKIM على Google Workspace ← · بيانات إجمالية فقط. البيانات مخزّنة ومعالَجة في الاتحاد الأوروبي.