Defaults.Exposed › رفع اشکال‌ها › DKIM

چطور DKIM را رفع کنید

DKIM مهر ضد دستکاری نامرئی روی هر ایمیلی است که کسب‌وکار شما ارسال می‌کند. به ارائه‌دهنده‌ی ایمیل دریافت‌کننده اجازه می‌دهد تأیید کند که ایمیل واقعاً از شما آمده و تغییری نخورده. بدون آن، ایمیل شما راحت‌تر جعل می‌شود، راحت‌تر تغییر می‌کند، و بسیار بیشتر احتمال دارد در اسپم قرار بگیرد.

نتیجه نهایی برای کسب‌وکار شما: بدون DKIM، ایمیل‌هایی که می‌فرستید می‌توانند در حین انتقال دستکاری شوند، جعل هویت توسط مجرمان آسان‌تر می‌شود، و احتمال بیشتری وجود دارد که فیلتر شوند یا رد شوند — که به‌آرامی شما را از معاملات، پرداخت‌ها و اعتمادی که هرگز نمی‌دانید از دست داده‌اید محروم می‌کند.

هزینه این برای شما

• فاکتوری که ایمیل کرده‌اید بین سرور شما و مشتری رهگیری می‌شود و جزئیات بانکی شما تغییر می‌کند. ایمیل همچنان از شما به نظر می‌رسد، مشتری پرداخت می‌کند — به حساب مجرم. بدون DKIM، هیچ‌چیزی نشان نمی‌دهد که پیام دستکاری شده.
• پیشنهادها، قراردادها و فاکتورهای واقعی شما به طور مداوم در پوشه‌ی اسپم مشتریان می‌افتند. فرض می‌کنید مشتری علاقه نداشت یا کس دیگری را انتخاب کرد — اما آن‌ها ایمیل شما را ندیدند.
• تیم امنیتی یا خرید یک مشتری بزرگ‌تر قبل از امضا دامنه‌ی شما را بررسی می‌کند، DKIM نمی‌بیند، و معامله را هفته‌ها به تأخیر می‌اندازد یا به آرامی تأمین‌کننده‌ای را انتخاب می‌کند که از آزمون رد شده.
• یک مجرم ایمیل‌های جعلی متقاعدکننده 'از شرکت شما' به مشتریانتان می‌فرستد. چون هیچ‌چیزی ثابت نمی‌کند کدام ایمیل‌ها واقعاً از شما هستند، جعلی‌ها به اندازه‌ی واقعی‌ها قابل باور هستند — و نام شما ضربه می‌خورد.
• ارائه‌دهندگان صندوق ایمیل بزرگ و بانک‌ها به طور فزاینده‌ای ایمیل بدون امضا را مشکوک می‌پندارند. با گذشت زمان، بیشتر ایمیل‌های تجاری روزمره‌ی شما محدود، اسپم‌گذاری یا برگشت داده می‌شود.

چرا اهمیت دارد. ایمیل هرگز برای اثبات فرستنده طراحی نشده، و جعل فرستنده بسیار آسان است. DKIM یک امضای رمزنگاری اضافه می‌کند که ارائه‌دهنده‌ی دریافت‌کننده به طور خودکار بررسی می‌کند — تأیید می‌کند که پیام واقعاً از دامنه‌ی شما آمده و در راه تغییر نخورده. یکی از سه چیزی است که هر ارائه‌دهنده‌ی ایمیل مدرن به دنبالش می‌گردد، مستقیماً بر اینکه آیا ایمیل شما قابل اعتماد است یا اسپم تأثیر می‌گذارد، و اصلاح آن رایگان است.

این چیست، به زبان ساده

هر ایمیلی که کسب‌وکار شما ارسال می‌کند قبل از رسیدن به صندوق ورودی از دست‌های متعددی می‌گذرد. به خودی خود، یک ایمیل هیچ مدرکی ندارد که واقعاً چه کسی آن را فرستاده یا آیا کسی آن را در راه تغییر داده — خط «از» فقط متنی است که هر کسی می‌تواند تایپ کند.

DKIM این را رفع می‌کند. یک مهر نامرئی و ضد دستکاری روی هر پیامی که کسب‌وکار شما می‌فرستد می‌گذارد. وقتی ایمیل می‌رسد، ارائه‌دهنده‌ی ایمیل دریافت‌کننده مهر را با کلیدی که در دامنه‌ی خود منتشر کرده‌اید بررسی می‌کند. اگر مطابقت داشته باشد، ارائه‌دهنده دو چیز را با اطمینان می‌داند: ایمیل واقعاً از دامنه‌ی شما آمده، و حتی یک کاراکتر در حین انتقال تغییر نکرده.

این چقدر ممکن است برای شما هزینه داشته باشد

• فاکتور تغییر یافته. یک مشتری فاکتور ایمیل می‌کنید. جایی بین سرور شما و مشتری، یک مهاجم آن را رهگیری می‌کند و اطلاعات بانکی شما را با اطلاعات خودش عوض می‌کند. ایمیل همچنان از شما به نظر می‌رسد، مشتری پرداخت می‌کند — به حساب مجرم. بدون DKIM، هیچ‌چیزی نشان نمی‌دهد که پیام دستکاری شده.
• معاملاتی که در اسپم مردند. پیشنهادها، طرح‌ها و پیگیری‌های شما به طور مداوم در پوشه‌ی اسپم مشتریان می‌افتند. ایمیل بدون امضا یک سیگنال قوی اسپم است.
• قرارداد از دست رفته. تیم خرید یا امنیتی یک مشتری بزرگ‌تر دامنه‌ی شما را قبل از امضا بررسی می‌کند. هیچ DKIM نمی‌بینند و آن را به عنوان پرچم قرمز تلقی می‌کنند.
• نام شما علیه مشتریان خودتان استفاده شد. یک کلاهبردار ایمیل‌های جعلی متقاعدکننده «از شرکت شما» به پایگاه مشتریانتان می‌فرستد.
• خفگی آرام ایمیل شما. بانک‌ها، ارائه‌دهندگان بزرگ صندوق ایمیل و فیلترهای شرکتی به طور فزاینده‌ای ایمیل بدون امضا را بی‌اعتماد می‌پندارند.

در واقع چیست

DKIM مخفف DomainKeys Identified Mail است. اینگونه مهر کار می‌کند:

• شما یک کلید عمومی در دامنه‌ی خود (در تنظیمات DNS) منتشر می‌کنید. هر کسی می‌تواند آن را بخواند — این هدف است.
• ارائه‌دهنده‌ی ایمیل شما کلید خصوصی متناظر را نگه می‌دارد و از آن برای امضای هر ایمیلی که می‌فرستید استفاده می‌کند.
• وقتی ایمیل می‌رسد، ارائه‌دهنده‌ی دریافت‌کننده کلید عمومی شما را می‌گیرد، امضا را با پیام بررسی می‌کند، و تأیید می‌کند که واقعی و تغییرنخورده است.

چند اصطلاح که ممکن است از IT بشنوید:

• Selector — برچسبی که به یک کلید خاص اشاره می‌کند، مثلاً selector1._domainkey.yourdomain. ارائه‌دهنده‌ی شما این را راه‌اندازی می‌کند.
• قدرت کلید — کلیدهای DKIM در اندازه‌های مختلف هستند. پایه‌ی مدرن 2048-bit RSA است؛ کلیدهای 4096-bit RSA یا Ed25519 قوی‌تر هستند. کلیدهای 1024-bit هنوز کار می‌کنند اما بر اساس استانداردهای امروز ضعیف تلقی می‌شوند.

«خوب» چه شکلی است: یک کلید DKIM معتبر در یک selector برای دامنه‌ی شما منتشر شده، ایمیل خروجی شما با آن امضا می‌شود، و کلید 2048-bit یا قوی‌تر است.

چگونه آن را رفع کنیم (رایگان، ~۱۵ دقیقه)

این بخش برای هر کسی است که ایمیل یا دامنه‌ی شما را مدیریت می‌کند. اصلاح رایگان است.

شکل کلی همه جا یکسان است: DKIM را در ارائه‌دهنده‌ی ایمیل خود روشن کنید، کلیدی که تولید می‌کند را بگیرید، در DNS خود منتشر کنید، سپس تأیید کنید که فعال است.

Google Workspace (Gmail)

1. کنسول Admin → Apps → Google Workspace → Gmail → Authenticate email.
2. دامنه‌ی خود را انتخاب کنید و روی Generate new record کلیک کنید (طول کلید 2048-bit را انتخاب کنید).
3. Google یک رکورد DNS به شما می‌دهد. آن را در DNS host خود به عنوان رکورد TXT اضافه کنید.
4. صبر کنید تا پروپاگیشن شود، سپس به همان صفحه برگردید و روی Start authentication کلیک کنید.

Microsoft 365 (Outlook / Exchange Online)

1. پورتال Microsoft Defender → Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM.
2. دامنه‌ی خود را انتخاب کنید. Microsoft دو رکورد CNAME برای انتشار به شما نشان می‌دهد.
3. هر دو رکورد CNAME را دقیقاً همانطور که نشان داده شده در DNS host خود اضافه کنید.
4. در صفحه‌ی DKIM، امضای DKIM را برای دامنه Enabled کنید.

Zoho Mail

1. Control Panel → Email Authentication → DKIM.
2. یک کلید تولید کنید، سپس رکورد TXT ارائه شده را در DNS خود اضافه کنید.

سایر ارائه‌دهندگان / سرور ایمیل خودتان الگو یکسان است: ارائه‌دهنده یک جفت کلید تولید می‌کند، ایمیل خروجی شما را با کلید خصوصی امضا می‌کند، و یک رکورد عمومی برای انتشار به شما می‌دهد.

تأیید کنید که کار می‌کند: یک ایمیل آزمایشی به حساب Gmail بفرستید، آن را باز کنید، Show original را انتخاب کنید، و تأیید کنید که DKIM: PASS ظاهر می‌شود.

اشتباهات رایج

• فرض کردن که یک ارائه‌دهنده‌ی بزرگ به طور پیش‌فرض آن را دارد. بسیاری از دامنه‌ها روی Google یا Microsoft هنوز نیاز به روشن کردن DKIM و انتشار رکورد دارند.
• تولید کلید ضعیف 1024-bit. برخی ارائه‌دهندگان همچنان به طور پیش‌فرض 1024-bit ارائه می‌دهند. هنگام انتخاب 2048-bit را انتخاب کنید.
• انتشار رکورد اما عدم فعال‌سازی امضا. اضافه کردن رکورد DNS نیمی از کار است. اگر امضا را در ارائه‌دهنده روشن نکنید، ایمیل همچنان بدون امضا می‌رود.
• اشتباه تایپ یا کوتاه کردن کلید. کلیدهای DKIM طولانی هستند. مقداری که اشتباه کپی شده یک مهر شکسته تولید می‌کند.
• فراموش کردن سایر فرستندگان. اگر از طریق یک ابزار خبرنامه، CRM، برنامه‌ی فاکتورنویسی ارسال می‌کنید، هر کدام ممکن است نیاز به کلید و selector DKIM خودشان داشته باشند.

نکته‌ای درباره‌ی DKIM، SPF و DMARC

DKIM به ندرت به تنهایی کار می‌کند. یکی از سه تنظیمی است که با هم ایمیل شما را قابل اعتماد می‌کنند:

• SPF می‌گوید کدام سرورها مجاز هستند برای دامنه‌ی شما ایمیل بفرستند.
• DKIM (این صفحه) مهر ضد دستکاری است که ثابت می‌کند پیام واقعاً از شما است.
• DMARC دستورالعملی است که به ارائه‌دهندگان می‌گوید با هر چیزی که شکست می‌خورد چه کنند.

اگر DKIM را رفع می‌کنید، ارزش دارد که SPF و DMARC را هم بررسی کنید. با هم هستند که جعل هویت را متوقف می‌کنند و ایمیل واقعی شما را در جای مناسب نگه می‌دارند.

آن را در هاست خود راه‌اندازی کنید

گام‌به‌گام برای ارائه‌دهندگان محبوب:

• راه‌اندازی DKIM در GoDaddy
• راه‌اندازی DKIM در Namecheap
• راه‌اندازی DKIM در Cloudflare
• راه‌اندازی DKIM در Google Workspace
• راه‌اندازی DKIM در Microsoft 365
• راه‌اندازی DKIM در Squarespace
• راه‌اندازی DKIM در Wix
• راه‌اندازی DKIM در AWS Route 53
• راه‌اندازی DKIM در Hostinger
• راه‌اندازی DKIM در Porkbun
• راه‌اندازی DKIM در IONOS
• راه‌اندازی DKIM در Bluehost

پرسش‌های متداول