Defaults.Exposed › الإصلاحات › Guides
إعداد البريد الإلكتروني على نطاق جديد: قائمة تحقق SPF وDKIM وDMARC في 20 دقيقة (2026)
نُشر 2026-07-08
أرقام بتاريخ 2026-06-29 · منهجية v7. بيانات إحصائية شاملة عبر 261 مليون نطاق مُقيَّم. اطّلع على آلية التقييم.
يحتاج النطاق الجديد أربعة أشياء قبل أول بريد إلكتروني: فحص خط الأساس، وسجل SPF واحد يُسمّي مزوّدك الحقيقي، وتوقيع DKIM بالنطاق المخصّص، وسجل DMARC مع تقارير من اليوم الأول. معظم النطاقات لا تصل إلى هناك قط — 46.4% (121,145,609 من 261,086,232 نطاق مُقيَّم) لا تملك SPF إطلاقاً، وفقاً لإحصاء Defaults.Exposed (بتاريخ 2026-06-29).
نشر كل شيء يستغرق نحو 20 دقيقة: فحص خط الأساس، إضافة سجل SPF واحد، تفعيل DKIM بالنطاق المخصّص لمزوّدك، نشر DMARC p=none مع عنوان تقارير، اختيارياً إضافة MTA-STS، ثم إعادة الفحص والاحتفاظ بالتقرير. ما يستغرق وقتاً أطول لا تستطيع قائمة تحقق تسريعه — انتشار DNS وسمعة الإرسال — وهذا الدليل صادق بشأن كليهما.
هل 20 دقيقة كافية حقاً؟
لـنشر السجلات، نعم — كل خطوة أدناه هي إدخال DNS وبضع نقرات في وحدة تحكم مزوّدك. شيئان يستغرقان وقتاً أطول، والادعاء بخلاف ذلك هو ما يجعل النطاقات الجديدة تهبط في الرسائل غير المرغوب فيها:
- الانتشار. عادةً تنحلّ السجلات الجديدة في غضون دقائق، لكن المُحوِّلات تُخزِّن مؤقتاً وفق TTL، ونطاق مفوَّض حديثاً قد يستغرق ساعات للإجابة باتساق. تحقق بـ
dig؛ لا تُعدّل بذعر بينما تلحق ذاكرة التخزين المؤقت. - التدفئة. النطاق الجديد لا يملك أيّ سمعة إرسال، والمصادقة هي شرط السمعة لا بديلها. ابدأ بحجم منخفض على مستوى بشري وارتقِ تدريجياً على مدى أسابيع.
الادعاء الصادق: 20 دقيقة تشتري مصادقة منشورة بشكل صحيح. الأسابيع القليلة التالية من الإرسال الواعي تشتري قابلية التسليم.
قائمة التحقق في 20 دقيقة
- شغّل الفحص المجاني على defaults.exposed أولاً. افحص النطاق الجديد قبل لمس DNS. خط الأساس المُقيَّم “لا شيء مُعدَّ” يستغرق ثوانٍ لتسجيله ويجعل التقرير اللاحق ذا معنى — ستريد الزوج قبل-وبعد (الخطوة 6).
- انشر سجل SPF واحداً لمزوّدك الفعلي. سجل TXT واحد بالضبط يبدأ بـ
v=spf1، يحتوي على include الخاص بمزوّدك — مثلاًv=spf1 include:_spf.google.com ~allلـGoogle Workspace، أوinclude:spf.protection.outlook.comلـMicrosoft 365؛ إذا كان DNS الخاص بك في لوحة تحكم مُسجِّل، يُغطّي دليل GoDaddy تفاصيل الواجهة. سجل واحد فقط: سجلّاv=spf1خطأ دائم يُلغي SPF كلياً — الحال التي علق فيها 1,013,416 نطاق، نحو واحد من كل 138 من النطاقات التي تحاول SPF (إحصاء بتاريخ 2026-06-29)، وعادةً بقية هجرة. لا تُضف includes “للاحتياط”: SPF يحدّ DNS lookups بـ10، وعلى الأقل 797,263 نطاق ألغت سجلها بتجاوز تلك الحدّ. واعرف ما يفحصه SPF فعلاً: يُقيّمه المستقبِلون وفق نطاق Return-Path (RFC5321.MailFrom) — عنوان الارتداد — لا ترويسة From التي يراها مستلموك. - فعّل توقيع DKIM بالنطاق المخصّص. يوقّع مزوّدك البريد بأيّ حال؛ السؤال هو أيّ نطاق تُسمّيه التواقيع. حتى تُكمل هذه الخطوة، تُوقّع Google Workspace بافتراضي
gappssmtp.comومicrosoft 365 بـonmicrosoft.com— تواقيع تجتاز DKIM لكن لا تتوافق مع نطاقك، لذا يفشل DMARC. أنشئ المفتاح في وحدة التحكم وانشر ما يمنحك إياه المزوّد: سجل TXT بـ2048 بت لـGoogle، CNAME زوجان (selector1/selector2) لـMicrosoft 365. إذا لم يتّسع سجل ما في لوحة DNS، راجع إصلاح DKIM — المفاتيح الطويلة التي تُتلفها الواجهات مشكلة كلاسيكية. - انشر DMARC من اليوم الأول —
p=noneمع عنوان تقارير. سجل TXT واحد في_dmarc.yourdomain.com:v=DMARC1; p=none; rua=mailto:[email protected]. كن واضحاً حول ما يفعله:p=noneلا يحمي شيئاً بعدُ — إنه وضع المراقبة. لكنه لا يكلّف شيئاً، والتقارير الإجمالية تُغطّي تاريخ إرسال نطاقك من أول رسالة. النطاقات الراسخة تقضي أسابيع تقارير فقط تكتشف مُرسِلين نسيتهم؛ أنت تشتري تلك الرؤية مجاناً من اليوم صفر. راجع إصلاح DMARC لتشريح السجل. - اختياري لكن رخيص على نطاق جديد: MTA-STS وTLS-RPT. يُخبر MTA-STS خوادم الإرسال أن نطاقك يشترط TLS للبريد الوارد (سجل DNS وملف سياسة مُستضاف صغير)؛ وTLS-RPT يُبلّغ عن إخفاقات تشفير التسليم. على نطاق راسخ تحتاج هذه العناية؛ على نطاق جديد بمزوّد بريد واحد لا شيء قابل للكسر، و
mode: testingشبه آمن. أعدّهما الآن أو تجاهلهما — لكن قرِّر، لا تترك الأمر عشوائياً. - أعِد الفحص واحتفظ بالتقرير. شغّل الفحص مجدداً — يجب أن يُظهر SPF وDKIM وDMARC اللون الأخضر. احفظ التقرير المُقيَّم: دليل مؤرَّخ على حالة النطاق عند الإطلاق، وبالضبط ما سيطلبه مؤمِّن أو استبيان عميل.
كم نطاقاً يُكمل هذه القائمة فعلاً؟
القليل جداً — ومعظمها يتعثّر عند أول عقبة. من 261,086,232 نطاق مُقيَّم في إحصاء Defaults.Exposed (بتاريخ 2026-06-29):
| منقطة قائمة التحقق | واقع الإحصاء (من 261,086,232 نطاق مُقيَّم، بتاريخ 2026-06-29) |
|---|---|
| الخطوة 2 — نشر أيّ سجل SPF | 46.4% لا تفعل ذلك أبداً: 121,145,609 نطاق بلا SPF إطلاقاً |
| الخطوة 4+ — DMARC بسياسة تطبيق | 10.59% (27,640,987 نطاق)؛ 89.41% بلا سياسة مُطبَّقة |
| الثلاثية الكاملة — SPF + DKIM + DMARC مُطبَّق | 3.87% (10,092,481 نطاق) |
ما تصفه هذه الصفحة في 20 دقيقة يضع نطاقاً جديداً تماماً متقدّماً على نحو 96% من الإنترنت في الثلاثية الكاملة. نموذج نضج اعتماد SPF يُحلّل كل درجة في ذلك السلّم.
كم يستغرق نطاق جديد للوصول إلى p=reject؟
أسابيع، لا أشهر — الميزة الحقيقية للبداية من الصفر. ما يُبطّئ تطبيق DMARC على النطاقات الراسخة هو الموروث: موصّل CRM المنسي، أداة الفوترة التي ربطها أحدهم عام 2019، منصة الرسائل الإخبارية التي لم يُوثّقها أحد. كلٌّ منها يجب اكتشافه في التقارير وإصلاحه قبل تشديد السياسة — ومن هنا تأتي عمليات الطرح القياسية الممتدة لأشهر.
النطاق الجديد لا يملك مُرسِلين موروثين: أنت ضبطت كل مصدر إرسال بنفسك هذا الأسبوع، وتقارير الخطوة 4 ستُؤكّد ذلك. شغّل p=none لأسبوعَيْن إلى أربعة من الإرسال الحقيقي، تحقق من أن التقارير تُغطّي كل ما تستخدمه فعلاً (صناديق البريد، الفواتير، الإيصالات، نموذج اتصال الموقع)، ثم انتقل إلى p=quarantine ومنها إلى p=reject بمجرد نظافتها. الميكانيكية المتدرّجة — ترقية pct، سياسة النطاق الفرعي، ما يجب مراقبته — موضّحة في من p=none إلى p=reject؛ على نطاق جديد ستتنقل عبرها بسرعة، إلى مكان لم يصله سوى 10.59% من النطاقات المُقيَّمة.
ماذا عن النطاق القديم الذي تستبدله؟
إذا كان هذا النطاق الجديد جزءاً من إعادة تسمية، فالنطاق الذي تتركه وراءك هو أكبر مخاطر بريدك الإلكتروني الآن: لا يزال لك، لا يزال موثوقاً لدى الأطراف، لكنه لم يعد مُراقَباً. لا تتخلَّ عنه — أغلقه صراحةً. ذلك عمل قصير مستقل: ذلك النطاق القديم من إعادة تسمية علامتك التجارية بابٌ تركته مفتوحاً.
الأسئلة الشائعة
هل يمكنني نشر هذه السجلات قبل اختيار مزوّد بريد؟
DMARC نعم — p=none مع rua مستقل عن المزوّد، انشره يوم التسجيل. SPF يحتاج include مزوّدك؛ حتى تختاره، انشر v=spf1 -all (لا أحد مُخوَّل للإرسال) واستبدله في الخطوة 2. ذلك أفضل بكثير من حالة بلا سجل التي يجلس فيها 121,145,609 نطاق (46.4% من 261,086,232 مُقيَّم، بتاريخ 2026-06-29).
هل أحتاج DKIM إذا كان SPF يجتاز بالفعل؟ نعم. SPF يتعطّل عند إعادة التوجيه بتصميم، ويتحقق من نطاق Return-Path الذي كثيراً ما لا يكون نطاقك لأدوات عديدة — DKIM المتوافق هو الخطوة التي تنجو من كليهما. لا تُكمل سوى 3.87% من النطاقات المُقيَّمة الثلاثية الكاملة SPF+DKIM+DMARC مُطبَّق (إحصاء بتاريخ 2026-06-29)؛ DKIM هي الخطوة التي يتخطّاها معظم المتوقفين. ابدأ من إصلاح DKIM إذا أشار الفحص إليها.
هل يجب أن يستخدم نطاق جديد ~all أم -all؟
على نطاق راسخ، ~all هو الاختيار الحذر بينما تبحث عن مُرسِلين منسيّين. النطاق الجديد لا يملك من تبحث عنه: بمجرد وجود include مزوّدك وتوقيع DKIM، -all آمن بكثير أبكر. تريد ضماناً مضاعفاً؟ تأكّد بأسبوعَيْن نظيفَيْن من تقارير DMARC أولاً.
السجلات الثلاثة تجتاز — لماذا لا يزال بريدي يذهب إلى الرسائل غير المرغوب فيها؟ لأن المصادقة والسمعة شيئان مختلفان: السجلات الناجحة تعني أن المستقبِلين يستطيعون التحقق من أن البريد لك، لا أنهم يثقون بك بعد. النطاقات الجديدة تكتسب الثقة بالإرسال المتسق والمرغوب وذي الحجم المنخفض والمتصاعد تدريجياً. إذا كانت الرسائل تفشل في الفحوصات لا تذهب فقط إلى الرسائل غير المرغوب فيها، ابدأ من إصلاح SPF وسِر نزولاً عبر نتائج الفحص.
أرسل التقرير لصاحبه
إذا كنت تُعدّ هذا النطاق لعميل، أغلق العمل بدليل. أعِد تشغيل الفحص المجاني بعد الخطوة 6 وأرسل التقرير المُقيَّم لصاحب العمل: SPF وDKIM وDMARC ناجحة، بلغة واضحة، مؤرَّخة عند الإطلاق. إنه الأثر الذي سيحتاجه لتجديد تأمين الفضاء الإلكتروني واستبيان أمان الموردين التالي — ويُثبت أن النطاق بدأ حياته بالطريقة التي لم تستطع 96% من الإنترنت تحقيقها.
افحص نطاقك ← · من p=none إلى p=reject دون فقدان البريد الشرعي ← · بيانات إجمالية فقط. البيانات مخزّنة ومعالَجة في الاتحاد الأوروبي.