Defaults.Exposed › الإعداد › SPF

كيفية إعداد SPF على AWS Route 53

أضف سجل SPF في منطقة الاستضافة (hosted zone) على Route 53 حتى يتمكن مزوّدو البريد من تمييز بريدك الحقيقي عن المزيّف.

لماذا يهم هذا عملك

SPF (إطار سياسة المُرسِل) هو ملاحظة قصيرة في DNS نطاقك تُحدِّد أي خوادم البريد مسموح لها بإرسال البريد الإلكتروني باسمك. عندما يستقبل أحدهم رسالة يُزعَم أنها منك، يتحقق مزوّد بريده من تلك القائمة. إذا لم يكن خادم الإرسال مُدرَجاً فيها، تبدو الرسالة مريبة — فتقع إما في مجلد الرسائل غير المرغوب فيها أو تُحجب.

بعبارة بسيطة: SPF يجعل من الأصعب انتحال شخصية عملك عبر البريد، ويساعد رسائلك الحقيقية على الوصول إلى صندوق الوارد بدلاً من مجلد البريد المزعج. إنه سجل واحد، مجاني، ويستغرق بضع دقائق.

قبل أن تبدأ: هل يُدير Route 53 فعلاً DNS الخاص بك؟

هذه هي الخطوة التي يخطئ فيها معظم الناس. لا يعمل سجل DNS إلا إذا كان Route 53 هو من يُجيب على استعلامات DNS لنطاقك.

Route 53 مُضيف DNS وليس مزوّد بريد — فهو يُجيب على DNS لكنه لا يُدير صناديق بريدك. هناك أمران مهمان هنا:

• يجب أن تكون منطقة الاستضافة هي المنطقة الفعّالة. في وحدة تحكم Route 53، افتح Hosted zones واختر نطاقك. لاحظ قيم NS (خوادم الأسماء) الأربع المعروضة لتلك المنطقة.
• يجب أن تشير خوادم أسماء نطاقك إلى تلك القيم. إذا سجّلت النطاق عبر Route 53 (ضمن Registered domains)، فعادةً ما يكون هذا مُهيّأً بالفعل. لكن إذا سجّلته في مكان آخر، أو كان لديك أكثر من منطقة استضافة لنفس النطاق، فقد تشير خوادم الأسماء الفعّالة إلى مكان آخر تماماً — وأي شيء تضيفه هنا لن يفعل شيئاً. تحقّق من خوادم الأسماء لدى المُسجِّل وتأكّد من مطابقتها لقيم NS الأربع في منطقة الاستضافة هذه. إذا لم تتطابق، فأضف سجل SPF حيث يوجد DNS الخاص بك فعلاً بدلاً من ذلك.

ابحث عن حقيقة واحدة أولاً: من يُرسل بريدك؟

يجب أن يُسمّي SPF كل خدمة تُرسل بريداً باسم نطاقك. الأمثلة الشائعة هي Google Workspace أو Microsoft 365 أو أي مزوّد يستضيف صناديق بريدك. كل واحد منها ينشر قيمة لوضعها في سجل SPF (غالباً شيء مثل include:_spf.google.com لـ Google أو include:spf.protection.outlook.com لـ Microsoft 365). راجع صفحات المساعدة لدى مزوّد بريدك للحصول على القيمة الدقيقة — فهذا هو الجزء الذي يجب أن تضبطه بدقة.

إذا كنت تُرسل عبر Amazon SES (خدمة إرسال البريد الخاصة بـ Amazon)، فإن SES يستخدم آلية مختلفة افتراضياً وSPF لـ SES اختياري — لكن إذا أعددت نطاق MAIL FROM مخصّصاً في SES، فاتّبع تعليمات SES الدقيقة لذلك. SES خدمة منفصلة عن Route 53؛ يُخزّن Route 53 سجل DNS فقط.

خطوة بخطوة على Route 53

1. سجّل الدخول إلى وحدة تحكم AWS وافتح Route 53.
2. في القائمة اليسرى، اختر Hosted zones، ثم انقر على اسم نطاقك.
3. انقر على Create record.
4. إذا رأيت معالجاً بخيارات سياسة التوجيه، فانتقل إلى النموذج البسيط (ابحث عن Quick create record) — لا يحتاج SPF إلى أي من التوجيه المتقدّم.
5. اترك حقل Record name فارغاً. الاسم الفارغ يعني “النطاق نفسه”. تعرض وحدة التحكم نطاقك بجوار الحقل، فلا داعي لإعادة كتابته.
6. اضبط Record type على TXT.
7. في حقل Value، أدخل نص SPF محاطاً بعلامات اقتباس مزدوجة: "v=spf1 include:_spf.google.com ~all" استبدل جزء include: بالقيمة (أو القيم) التي يخبرك بها مزوّد بريدك الفعلي. علامات الاقتباس المحيطة مطلوبة في Route 53 — راجع المزالق أدناه.
8. اترك TTL على القيمة الافتراضية (300 ثانية مناسبة).
9. انقر على Create records.

مزالق Route 53 التي يخطئ فيها الناس

• يجب أن تكون قيم TXT بين علامات اقتباس مزدوجة. بخلاف بعض مُضيفي DNS الذين يضعون علامات الاقتباس نيابةً عنك، يتوقع Route 53 أن تكتب علامات الاقتباس بنفسك. أدخل "v=spf1 ... ~all"، وليس v=spf1 ... ~all. ترك علامات الاقتباس هو الخطأ الأكثر شيوعاً في Route 53.
• اترك Record name فارغاً للنطاق الجذري. الاسم الفارغ يعني النطاق نفسه. إذا كتبت اسم نطاقك الكامل في حقل Name، فسيُلحق Route 53 المنطقة مرة أخرى وينتهي بك الأمر بـ yourdomain.com.yourdomain.com — سجل لا يُفحَص أبداً.
• سجل SPF واحد فقط لكل نطاق. لا يمكن أن يكون لديك سجلَّا v=spf1 من نوع TXT — سيعتبره مزوّدو البريد معطوباً. إذا كان سجل TXT موجوداً بالفعل عند الجذر، فعدّله لإضافة الخدمة الجديدة بدلاً من إنشاء سجل SPF ثانٍ.
• المنطقة الصحيحة، الحساب الصحيح. إذا كان لديك عدة مناطق استضافة (أو عدة حسابات AWS)، فمن السهل تعديل المنطقة الخطأ. تأكّد من أن المنطقة التي تُعدّلها هي تلك التي تتطابق قيم NS الخاصة بها مع خوادم أسمائك الفعّالة.
• ~all مقابل -all. ~all (الفشل اللين) تعني “أي شيء غير مُدرَج مريب”؛ و-all (الفشل الصارم) تعني “ارفض أي شيء غير مُدرَج”. ابدأ بـ ~all بينما تتأكد من أن كل شيء يُرسَل بشكل صحيح، ثم شدّدها إلى -all بمجرد تيقّنك من اكتمال قائمتك.
• التغييرات ليست فورية. قد يستغرق انتشار تحديثات DNS من بضع دقائق إلى ساعتين.

تحقّق من نجاح الإعداد

بمجرد حفظ السجل ومنحه بعض الوقت ليصبح فعّالاً، تحقّق منه عبر الفحص المجاني على هذا الموقع. سيخبرك بلغة واضحة ما إذا كان سجل SPF لديك موجوداً ومُكوَّناً بشكل صحيح.

انتهيت؟ افحص نطاقك مجانًا لتأكيد نجاح العملية — ولمعرفة تقييمك الكامل عبر الفحوص الـ34 جميعها.