Defaults.Exposed › الإعداد › DKIM

كيفية إعداد DKIM على Microsoft 365

انشر سجلَّي DKIM في DNS الخاص بك وشغّل DKIM في Microsoft 365 حتى تحمل رسائلك توقيعاً يتعذّر العبث به.

لماذا يهم هذا عملك

DKIM (البريد المُعرَّف بمفاتيح النطاق) يضيف توقيعاً رقمياً غير مرئي إلى كل رسالة تُرسلها. يستخدم مزوّد البريد المستقبِل مفتاحاً عاماً نشرته في DNS الخاص بك للتأكّد من أمرين: أن الرسالة جاءت فعلاً من نطاقك، وأن لا أحد عبث بها في الطريق.

بعبارة بسيطة: DKIM هو ختم أصالة على بريدك. يجعل انتحال الشخصية أصعب ويُحسِّن فرصة وصول بريدك الحقيقي إلى صندوق الوارد بدلاً من مجلد الرسائل غير المرغوب فيها. إنه مجاني وإعداده يتم لمرة واحدة.

مهم: DKIM على Microsoft 365 يُنفَّذ في مكانين

DKIM هو السجل الوحيد الذي يهم فيه حقاً من يفعل ماذا. كما أن Microsoft 365 ينفّذه بطريقة تختلف قليلاً عن معظم المزوّدين — من المفيد معرفة ذلك حتى لا تتعثّر:

• تستخدم Microsoft سجلَّي CNAME، وليس مفتاح TXT طويلاً. يمنحك معظم المزوّدين مفتاحاً عاماً ضخماً من نوع TXT. أما Microsoft فتجعلك تنشر سجلَّي CNAME قصيرين (يُسمَّيان selector1 وselector2) يشيران إلى Microsoft. تحتفظ Microsoft بالمفاتيح الفعلية ويمكنها تدويرها بأمان خلف تلك المؤشِّرات.
• مُضيف DNS الخاص بك ينشر سجلَّي CNAME. تضيفهما حيث تشير خوادم الأسماء لنطاقك — المُسجِّل، مُضيف الموقع، Cloudflare، إلخ. وهي عادةً ليست Microsoft (إلا إذا تركت Microsoft تُدير DNS الخاص بك).
• ثم تُشغِّل DKIM داخل Microsoft. نشر السجلات لا يكفي؛ هناك خطوة أخيرة في بوابة أمان Microsoft تُفعِّل فيها التوقيع.

إذن: انشر سجلَّي CNAME في مُضيف DNS الخاص بك، ثم ادخل إلى Microsoft وشغّل DKIM.

الخطوة 1 — احصل على قيمتَي السجلَّين من Microsoft

1. سجّل الدخول كمسؤول وافتح بوابة أمان Microsoft على security.microsoft.com.
2. انتقل إلى منطقة Email & collaboration وابحث عن Policies & rules ← Threat policies ← Email authentication settings ← DKIM (تنقل Microsoft هذه التسميات أحياناً — ابحث عن DKIM ضمن إعدادات مصادقة البريد أو مكافحة البريد المزعج).
3. اختر نطاقك.
4. ستعرض Microsoft السجلَّين اللذين تحتاج إلى إنشائهما. يبدوان هكذا، مع تعبئة نطاقك ورموزك الفريدة:
   • Host 1: selector1._domainkey ← يشير إلى selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
   • Host 2: selector2._domainkey ← يشير إلى selector2-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
5. انسخ كلتا قيمتَي الهدف بالضبط. لا يمكنك اختلاقهما — تُولِّدهما Microsoft لمستأجرك (tenant).

الخطوة 2 — انشر سجلَّي CNAME في مُضيف DNS الخاص بك

أولاً، تأكّد من أنك تعمل في الشركة التي تُدير DNS فعلاً. لا يعمل السجلان إلا إذا أُضيفا حيث تشير خوادم الأسماء لنطاقك. إذا لم تكن متأكداً، تحقّق من قسم Nameservers في حساب المُسجِّل لديك، أو اسأل من يُدير موقعك.

1. سجّل الدخول إلى مُضيف DNS الخاص بك وافتح إعدادات DNS لنطاقك (ابحث عن DNS / Records / Advanced DNS).
2. أضف سجلاً جديداً واختر CNAME (وليس TXT — هذا هو الجزء الذي يخطئ فيه الناس).
3. للسجل الأول، في حقل Name / Host أدخل selector1._domainkey فقط. لا تُضِف نطاقك في النهاية؛ يُلحقه مُضيف DNS تلقائياً.
4. في حقل Value / Points to / Target، الصق هدف Microsoft الأول، مثل selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com.
5. كرّر للسجل الثاني: Name = selector2._domainkey، Value = هدف Microsoft الثاني.
6. اترك TTL على القيمة الافتراضية.
7. احفظ كليهما.

الخطوة 3 — شغّل DKIM، بالعودة إلى Microsoft

نشر السجلات لا يكفي — عليك إخبار Microsoft أن تبدأ التوقيع.

1. عُد إلى صفحة DKIM في بوابة أمان Microsoft.
2. اختر نطاقك واضبط Sign messages for this domain with DKIM signatures على On (قد يكون المفتاح مُسمَّى Enable).
3. تتحقّق Microsoft من أن السجلَّين مرئيان في DNS الخاص بك. إذا لم تستطع العثور عليهما بعد، فامنح DNS بعض الوقت للانتشار (دقائق إلى ساعتين) وحاول مرة أخرى.

مزالق يخطئ فيها الناس

• CNAME، وليس TXT. يستخدم DKIM في Microsoft سجلَّي CNAME يشيران إلى Microsoft. محاولة لصق مفتاح TXT عام (كما يفعل المزوّدون الآخرون) لن تنجح هنا.
• كلا السجلين، ثم المفتاح. تحتاج إلى نشر selector1 وselector2، ثم خطوة التفعيل داخل Microsoft. تخطّي المفتاح يعني أن السجلين موجودان لكن Microsoft لا توقّع بريدك أبداً.
• لا تضع النطاق الكامل في Host. أدخل selector1._domainkey / selector2._domainkey فقط — والباقي يُضاف لك. تضمين نطاقك مرة أخرى يُنشئ مضيفاً معطوباً مثل selector1._domainkey.yourdomain.com.yourdomain.com.
• الصق الأهداف بالضبط. تحتوي أهداف onmicrosoft.com على اسم مستأجرك ورموز فريدة — حرف واحد خاطئ ولن يتحقّق DKIM.
• انتبه لعلامات الاقتباس. هدف CNAME هو اسم مضيف عادي؛ لا تُحطه بـ "...". علامات الاقتباس تخص سجلات TXT، وليس CNAME.
• امنحه وقتاً. قد تستغرق تغييرات DNS من دقائق إلى ساعتين قبل أن تتمكّن Microsoft من التأكيد ويبدأ DKIM في التحقّق.

تحقّق من نجاح الإعداد

بعد نشر السجلَّين، وتشغيل DKIM، والسماح ببعض وقت الانتشار، شغّل الفحص المجاني على Defaults.Exposed. سيؤكّد بلغة واضحة ما إذا كان DKIM لديك منشوراً وقابلاً للقراءة. تُعالَج بياناتك داخل الاتحاد الأوروبي.

انتهيت؟ افحص نطاقك مجانًا لتأكيد نجاح العملية — ولمعرفة تقييمك الكامل عبر الفحوص الـ34 جميعها.