Defaults.Exposed › الإعداد › DMARC

كيفية إعداد DMARC على AWS Route 53

أضف سجل DMARC في المنطقة المستضافة (hosted zone) بـ Route 53 لتُخبر مزوّدي البريد بما يجب فعله بالرسائل التي تفشل في اجتياز فحوصاتك.

لماذا يهمّ هذا عملك

يربط DMARC بين SPF و DKIM ويضيف التعليمات المفقودة: ماذا ينبغي لمزوّد البريد المستقبِل أن يفعل عندما تفشل رسالة تدّعي أنها منك في اجتياز الفحوصات؟ بدون DMARC، يُخمّن كل مزوّد بنفسه. ومعه، أنت من يقرّر — ويمكنك أن تطلب منهم إرسال تقارير تكشف لك من يُرسل بريداً باسمك.

بعبارة بسيطة: DMARC هو ما يوقف فعلياً المجرمين عن انتحال نطاقك للاحتيال على عملائك أو موظفيك. إنه السياسة التي تُبنى فوق الأقفال التي يوفّرها SPF و DKIM — مجاني، ويستحق تماماً الدقائق المعدودة التي يتطلبها.

أعدّ SPF و DKIM أولاً

يعمل DMARC عبر فحص نتائج SPF و DKIM. إن لم تكن قد أضفتهما بعد، فابدأ بهما — فسياسة DMARC بلا أساس تحتها لا يوجد ما تفرضه.

تأكّد أن Route 53 هو من يُدير DNS الخاص بك

كما هو الحال مع أي سجل DNS، لا ينجح هذا إلا إذا كان Route 53 هو من يُجيب عن استعلامات DNS لنطاقك. فـ Route 53 هو مضيف DNS الخاص بك، لا مزوّد صندوق بريدك. في وحدة تحكّم Route 53، افتح Hosted zones، واختر نطاقك، ولاحظ قيم NS (خوادم الأسماء) الأربع؛ إذ يجب أن تطابق خوادم الأسماء المضبوطة لدى مُسجّل نطاقك. إن سجّلت النطاق عبر Route 53 فهي عادةً متطابقة بالفعل؛ وإن كان مُسجّلاً في مكان آخر — أو كان لديك أكثر من منطقة مستضافة للنطاق — فتحقّق بعناية. إن كانت خوادم الأسماء الحيّة تشير إلى جهة أخرى، فأضف سجل DMARC لدى المزوّد الذي يُدير DNS فعلياً بدلاً من ذلك.

خطوة بخطوة على Route 53

1. سجّل الدخول إلى وحدة تحكّم AWS وافتح Route 53.
2. من القائمة الجانبية، اختر Hosted zones، ثم انقر اسم نطاقك.
3. انقر Create record.
4. إن ظهر معالج بخيارات التوجيه، فانتقل إلى النموذج البسيط (ابحث عن Quick create record).
5. في Record name، أدخل بالضبط: _dmarc لا تكتب اسم نطاقك بعده — فـ Route 53 يُلحق النطاق نيابةً عنك (يُظهر نطاقك بجوار الحقل).
6. اضبط Record type على TXT.
7. في Value، ابدأ بلطف بسياسة للمراقبة فقط، محاطةً بعلامتي اقتباس مزدوجتين: "v=DMARC1; p=none; rua=mailto:[email protected]" استبدل العنوان بصندوق بريد تقرأه فعلاً. هذا يطلب من المزوّدين إرسال تقارير ملخّصة إليك دون تغيير طريقة معاملة أي رسالة بعد.
8. اترك TTL على القيمة الافتراضية.
9. انقر Create records.

اختيار سياستك (جزء p=)

• p=none — مراقبة فقط. لا يُحجب شيء؛ تتلقّى التقارير وحسب. ابدأ من هنا.
• p=quarantine — أرسل الرسائل الفاشلة إلى البريد العشوائي/المهملات.
• p=reject — ارفض الرسائل الفاشلة تماماً (أقوى حماية).

شغّل p=none لبضعة أسابيع، واقرأ التقارير للتأكّد أن كل بريدك المشروع ينجح، ثم ارتقِ إلى quarantine وأخيراً reject. القفز مباشرةً إلى reject قبل مراجعة التقارير يُخاطر بحجب بريدك الحقيقي.

أخطاء يقع فيها الناس مع Route 53

• يجب أن تكون القيمة بين علامتي اقتباس مزدوجتين. يتوقّع Route 53 أن تكتب علامتي الاقتباس بنفسك: "v=DMARC1; p=none; ...". وإسقاطهما هو أكثر أخطاء Route 53 شيوعاً.
• اسم السجل هو _dmarc بالشرطة السفلية. من الأخطاء الشائعة إسقاط الشرطة السفلية، أو كتابة _dmarc.yourdomain.com — في Route 53 تُدخل _dmarc فقط ويُلحَق النطاق نيابةً عنك. وكتابة النطاق الكامل تُنشئ مضيفاً معطوباً _dmarc.yourdomain.com.yourdomain.com لا يُفحَص أبداً.
• سجل DMARC واحد فقط. كما هو الحال مع SPF، يجب أن يكون هناك سجل DMARC TXT واحد عند _dmarc. إن وُجد سجل، فعدّله بدلاً من إضافة ثانٍ.
• استخدم صندوق بريد تقارير حقيقياً. ينبغي أن يكون العنوان بعد rua=mailto: صندوقاً تتفقّده فعلاً، وإلا ضاعت التقارير. ويمكن أن يكون على النطاق نفسه أو نطاق مختلف. (إن وجّهت التقارير إلى نطاق لا تتحكّم فيه، فعلى ذلك النطاق أن يأذن بذلك — أما لنطاقك أنت فلا مشكلة.)
• المنطقة المستضافة الصحيحة، والحساب الصحيح. مع وجود عدة مناطق أو حسابات AWS، يسهُل تعديل الخطأ منها. تأكّد أن قيم NS الأربع للمنطقة تطابق خوادم أسمائك الحيّة.
• امنحه وقتاً. قد تستغرق تغييرات DNS من بضع دقائق إلى ساعتين حتى تسري.

تحقّق من نجاح العملية

بعد الحفظ والانتشار، شغّل الفحص المجاني على هذا الموقع. سيُخبرك بلغة واضحة ما إذا كان سجل DMARC موجوداً وما السياسة التي ضبطتها.

انتهيت؟ افحص نطاقك مجانًا لتأكيد نجاح العملية — ولمعرفة تقييمك الكامل عبر الفحوص الـ34 جميعها.