Defaults.Exposed › الإعداد › DKIM

كيفية إعداد DKIM على AWS Route 53

انشر مفتاح DKIM الخاص بمزوّد بريدك في منطقة الاستضافة (hosted zone) على Route 53 حتى تحمل رسائلك توقيعاً يتعذّر العبث به.

لماذا يهم هذا عملك

DKIM (البريد المُعرَّف بمفاتيح النطاق) يضيف توقيعاً رقمياً غير مرئي إلى كل رسالة تُرسلها. يستخدم مزوّد البريد المستقبِل مفتاحاً عاماً نشرته في DNS الخاص بك للتأكّد من أمرين: أن الرسالة جاءت فعلاً من نطاقك، وأن لا أحد عبث بها في الطريق.

بعبارة بسيطة: DKIM هو ختم أصالة على بريدك. يجعل انتحال الشخصية أصعب ويُحسِّن فرصة وصول بريدك الحقيقي إلى صندوق الوارد بدلاً من مجلد الرسائل غير المرغوب فيها. ومثل الباقي، إنه مجاني وإعداده يتم لمرة واحدة.

مهم: DKIM له نصفان

DKIM هو السجل الوحيد الذي يهم فيه حقاً من يفعل ماذا:

• مزوّد بريدك يُولِّد المفتاح. Google Workspace أو Microsoft 365 أو Amazon SES أو أياً كان من يُدير إرسالك يُولِّد مفتاح DKIM لك، داخل وحدة تحكم مزوّدك. لا يمكنك اختلاق هذه القيمة — يجب أن تحصل على اسم المضيف والقيمة بالضبط منهم. لا يُولِّد Route 53 مفاتيح DKIM؛ فهو مُضيف DNS الخاص بك، وليس مزوّد صندوق بريدك.
• Route 53 ينشره. ثم تضيف ذلك المفتاح إلى DNS نطاقك في Route 53 (بافتراض أن Route 53 يُدير DNS الخاص بك — انظر أدناه).

إذن: تولّد في منصة البريد، وتنشر في مُضيف DNS.

أولاً، تأكّد من أن Route 53 يُدير DNS الخاص بك

لا يعمل سجل DKIM إلا إذا كان Route 53 يُجيب على DNS لنطاقك. في وحدة تحكم Route 53، افتح Hosted zones، واختر نطاقك، ولاحظ قيم NS (خوادم الأسماء) الأربع. يجب أن تطابق تلك القيم خوادم الأسماء المُحدَّدة لدى المُسجِّل. إذا سجّلت النطاق عبر Route 53 فهي عادةً متطابقة بالفعل؛ وإذا كان مُسجَّلاً في مكان آخر — أو كان لديك أكثر من منطقة استضافة للنطاق — فتحقّق بعناية. إذا كانت خوادم الأسماء الفعّالة تشير إلى مزوّد آخر، فأضف سجل DKIM هناك بدلاً من ذلك؛ لن يصبح فعّالاً في Route 53.

احصل على المفتاح من مزوّد بريدك

في منطقة الإدارة لدى مزوّد بريدك، ابحث عن إعداد DKIM أو مصادقة البريد وولّد/فعّل مفتاحاً. ما تحصل عليه يعتمد على المزوّد، وهو يُغيّر كيفية إدخاله في Route 53:

• Google Workspace يمنحك سجل TXT: اسم مُحدِّد مثل google._domainkey وقيمة طويلة تبدأ بـ v=DKIM1; k=rsa; p= متبوعة بسلسلة طويلة جداً.
• Microsoft 365 يمنحك سجلَّي CNAME، بمُحدِّدات مثل selector1._domainkey وselector2._domainkey، كلٌّ منهما يشير إلى مضيف Microsoft.
• Amazon SES يمنحك ثلاثة سجلات CNAME (ميزته “Easy DKIM”). إذا كان نطاقك في Route 53، فغالباً ما يستطيع SES عرض إضافتها لك تلقائياً — لكن يمكنك أيضاً إضافتها يدوياً.

انسخ أسماء المضيفين والقيم بالضبط.

خطوة بخطوة على Route 53

1. سجّل الدخول إلى وحدة تحكم AWS وافتح Route 53.
2. في القائمة اليسرى، اختر Hosted zones، ثم انقر على اسم نطاقك.
3. انقر على Create record.
4. إذا ظهر معالج بخيارات التوجيه، فانتقل إلى النموذج البسيط (ابحث عن Quick create record).
5. في Record name، أدخل جزء المُحدِّد فقط — مثل google._domainkey أو selector1._domainkey. لا تُضِف اسم نطاقك في النهاية؛ يُلحق Route 53 المنطقة لك تلقائياً (يعرض نطاقك بجوار الحقل).
6. اضبط Record type على TXT أو CNAME ليطابق بالضبط ما منحك إياه مزوّدك (Google = TXT؛ Microsoft 365 وAmazon SES = CNAME).
7. في Value:
   • لمفتاح TXT، الصق القيمة الطويلة محاطة بعلامات اقتباس مزدوجة: "v=DKIM1; k=rsa; p=...".
   • لـ CNAME، الصق مضيف الهدف الذي منحك إياه مزوّدك، بدون علامات اقتباس (مثل selector1-yourdomain._domainkey.yourdomain.onmicrosoft.com).
8. اترك TTL على القيمة الافتراضية.
9. انقر على Create records. كرّر لكل سجل (يحتاج Microsoft 365 إلى اثنين؛ ويحتاج Amazon SES إلى ثلاثة).

مزالق Route 53 التي يخطئ فيها الناس

• مفاتيح TXT تحتاج علامات اقتباس مزدوجة؛ وCNAME لا تحتاجها. هذا يُربك الناس باستمرار. قيمة TXT لـ DKIM تُدخَل كـ "v=DKIM1; ... p=..." بعلامات الاقتباس. أما قيمة CNAME فهي مجرد مضيف الهدف العادي، بلا علامات اقتباس. الخلط بينهما يُعطِّل السجل.
• لا تضع النطاق الكامل في Record name. إذا أظهرت تعليمات مزوّدك selector1._domainkey.yourdomain.com، فأنت تُدخل selector1._domainkey فقط في Route 53 — والباقي يُضاف لك. تضمين النطاق مرة أخرى يُنشئ مضيفاً معطوباً selector1._domainkey.yourdomain.com.yourdomain.com.
• الصق المفتاح بالكامل — إنه طويل. مفاتيح TXT العامة لـ DKIM بمئات الأحرف. تأكّد من عدم اقتطاع أي شيء ومن عدم تسلّل مسافات أو فواصل أسطر غريبة أثناء النسخ واللصق.
• أضف كل سجل طلبه مزوّدك. لن يتحقّق Microsoft 365 إذا نُشر سجل CNAME واحد فقط من سجلَّيه؛ ويحتاج Amazon SES إلى الثلاثة جميعاً. المجموعة الناقصة تترك DKIM يفشل بصمت.
• TXT مقابل CNAME — اتّبع مزوّدك. لا تُحوِّل CNAME إلى TXT أو العكس. استخدم النوع الذي يُحدّدونه.
• المنطقة الصحيحة، الحساب الصحيح. مع وجود عدة مناطق أو حسابات AWS، من السهل تعديل المنطقة الخطأ. تأكّد من أن قيم NS الأربع للمنطقة تطابق خوادم أسمائك الفعّالة.
• امنحه وقتاً. قد تستغرق تغييرات DNS من دقائق إلى ساعتين للانتشار قبل أن يبدأ DKIM في التحقّق.

تحقّق من نجاح الإعداد

بعد الحفظ والسماح ببعض وقت الانتشار، شغّل الفحص المجاني على هذا الموقع. سيؤكّد بلغة واضحة ما إذا كان سجل DKIM لديك منشوراً وقابلاً للقراءة.

انتهيت؟ افحص نطاقك مجانًا لتأكيد نجاح العملية — ولمعرفة تقييمك الكامل عبر الفحوص الـ34 جميعها.