Defaults.Exposed › الإعداد › DMARC

كيفية إعداد DMARC على Google Workspace

أضف سجل DMARC في DNS الخاص بك لتُخبر المستقبِلين بما يجب فعله بالبريد الذي يفشل في اجتياز فحوصات SPF و DKIM.

لماذا يهمّ هذا عملك

DMARC هو السياسة التي تربط بين SPF و DKIM. تُخبر خوادم البريد المستقبِلة بما تفعله عندما تفشل رسالة تدّعي أنها من نطاقك في اجتياز تلك الفحوصات — تجاهلها، أو إرسالها إلى البريد العشوائي، أو رفضها تماماً — ويمكنها أن تُرسل إليك تقارير تكشف من يُرسل (ويزوّر) بريداً باسمك. بعبارة بسيطة: DMARC هو ما يوقف فعلياً المجرمين عن انتحال نطاقك للاحتيال على عملائك وموظفيك. إنه مجاني، ويحوّل SPF و DKIM من “حسن أن تمتلكه” إلى حماية حقيقية.

أنجِز SPF و DKIM أولاً

يعتمد DMARC على SPF و DKIM. أعدّهما قبل DMARC أو إلى جانبه. فسجل DMARC وحده — بلا SPF/DKIM يعملان — قد يتسبّب في حجب بريدك المشروع. ابدأ بلطف (انظر ملاحظة السياسة أدناه) وأحكِم القبضة مع الوقت.

مهم: أين يُنجَز هذا

كما هو الحال مع SPF، فإن DMARC سجل DNS، لا إعداد داخل وحدة تحكّم Google Admin. يُدير Google Workspace بريدك، لكن سجل DMARC يُضاف حيثما يقيم DNS نطاقك — لدى مُسجّل النطاق، أو مزوّد الاستضافة، أو Cloudflare، أو أياً كان من يتحكّم في خوادم أسمائك. لا يوجد شيء لتشغيله داخل Google من أجل DMARC؛ فدور Google ببساطة هو أن يكون SPF و DKIM يعملان (يُعدّان على حدة) هما ما يعتمد عليه DMARC.

أولاً: أي شركة تُدير DNS الخاص بك؟

لا ينجح سجل DMARC إلا إذا أُضيف حيثما تشير خوادم الأسماء (nameservers) لنطاقك. إن لم تكن متأكداً، فتحقّق من قسم Nameservers في حساب مُسجّل نطاقك، أو اسأل من أعدّ موقعك. أضِف السجل في إعدادات DNS لدى تلك الشركة (ابحث عن DNS / Records / Advanced DNS).

ما الذي ستُضيفه

سجل TXT واحد عند اسم مضيف خاص: _dmarc.

قيمة بداية آمنة، تُراقب فقط ولا تحجب شيئاً، هي:

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = مراقبة فقط؛ لا يُحجب شيء بعد. مناسب للأسابيع الأولى.
• rua=mailto:... = الوجهة التي تُرسَل إليها التقارير الملخّصة. استخدم صندوق بريد حقيقياً تتفقّده.
• بمجرد أن تتأكّد (عبر التقارير والفحص المجاني) أن بريدك الحقيقي ينجح، يمكنك إحكام السياسة إلى p=quarantine (إرسال الفاشل إلى البريد العشوائي) ثم لاحقاً p=reject (رفض الفاشل تماماً).

الخطوات

1. سجّل الدخول إلى مضيف DNS الخاص بك (مُسجّل النطاق، أو مزوّد الاستضافة، أو مزوّد DNS — لا وحدة تحكّم Google Admin).
2. افتح إعدادات DNS لنطاقك (ابحث عن DNS / Records / Advanced DNS).
3. أضِف سجلاً جديداً واختر TXT.
4. في حقل Name / Host، أدخل بالضبط _dmarc (مع الشرطة السفلية في البداية). لا تكتب _dmarc.yourdomain.com — فمضيف DNS يُلحق نطاقك تلقائياً.
5. في حقل Value، الصق سلسلة DMARC الخاصة بك، مثلاً v=DMARC1; p=none; rua=mailto:[email protected] (استبدل البريد بعنوان حقيقي تُراقبه).
6. اترك TTL على القيمة الافتراضية.
7. احفظ.

أخطاء يقع فيها الناس

• ليس في وحدة تحكّم Google Admin. يبحث الناس في إعدادات Google عن “DMARC” — وهو ليس هناك. مكانه في مضيف DNS الخاص بك.
• اسم المضيف هو _dmarc بالشرطة السفلية. إسقاط الشرطة السفلية، أو كتابة النطاق الكامل بعدها، يضع السجل في المكان الخطأ ولن يُعثر على DMARC.
• انتبه للاقتباس. الصق القيمة صِرفةً؛ فمعظم مضيفي DNS يُضيفون الاقتباس نيابةً عنك. لا تُحطها بـ "..." بنفسك.
• سجل DMARC واحد فقط. يجب أن يكون هناك سجل TXT واحد بالضبط عند _dmarc. إن وُجد سجل، فعدّله بدلاً من إضافة ثانٍ.
• ابدأ بـ p=none. القفز مباشرةً إلى p=reject قبل أن يكون SPF/DKIM متيناً قد يحجب فواتيرك وعروض أسعارك. راقب أولاً، ثم أحكِم لاحقاً.
• استخدم صندوق بريد تقارير حقيقياً. يجب أن يكون عنوان rua صندوقاً يمكنك الاستلام عليه فعلاً.
• اترك وقتاً. قد تستغرق تغييرات DNS من دقائق إلى ساعتين حتى تسري في كل مكان.

تحقّق من نجاح العملية

بعد الحفظ، أكّد أن سجل DMARC حيّ وسليم عبر الفحص المجاني على Defaults.Exposed. أدخل نطاقك وسيُخبرك بلغة واضحة ما إذا كان DMARC مُعدّاً بشكل صحيح وما الخطوة التالية. تُعالَج بياناتك في الاتحاد الأوروبي.

انتهيت؟ افحص نطاقك مجانًا لتأكيد نجاح العملية — ولمعرفة تقييمك الكامل عبر الفحوص الـ34 جميعها.