Defaults.Exposed

Defaults.Exposedرفع اشکال‌هاGuides

راه‌اندازی ایمیل روی دامنه جدید: چک‌لیست ۲۰ دقیقه‌ای SPF، DKIM و DMARC (۲۰۲۶)

منتشرشده 2026-07-08

ارقام تا 2026-06-29 · روش‌شناسی v7. داده‌های آماری کل در 261 میلیون دامنه درجه‌بندی‌شده. ببینید چگونه درجه‌بندی می‌کنیم.

یک دامنه جدید قبل از اولین ایمیل به چهار چیز نیاز دارد: یک اسکن خط پایه، یک رکورد SPF که ارائه‌دهنده واقعی را نام می‌برد، امضای DKIM دامنه سفارشی، و یک رکورد DMARC با گزارش از روز اول. اکثر دامنه‌ها هرگز به آنجا نمی‌رسند — 46.4٪ (121,145,609 از 261,086,232 دامنه درجه‌بندی‌شده) اصلاً SPF ندارند، طبق سرشماری Defaults.Exposed (تا 2026-06-29).

انتشار همه چیز حدود ۲۰ دقیقه طول می‌کشد: برای یک خط پایه اسکن کنید، یک رکورد SPF اضافه کنید، DKIM دامنه سفارشی ارائه‌دهنده را روشن کنید، DMARC p=none با یک آدرس گزارش منتشر کنید، اختیاری MTA-STS اضافه کنید، سپس دوباره اسکن کرده و گزارش را نگه دارید. آنچه بیشتر طول می‌کشد چیزی است که هیچ چک‌لیستی نمی‌تواند تسریع کند — انتشار DNS و اعتبار ارسال — و این راهنما درباره هر دو صادق است.

آیا ۲۰ دقیقه واقعاً کافی است؟

برای انتشار رکوردها، بله — هر مرحله زیر یک ورودی DNS به علاوه چند کلیک در کنسول ادمین ارائه‌دهنده است. دو چیز بیشتر طول می‌کشند، و وانمود کردن خلاف آن نحوه‌ای است که دامنه‌های جدید در اسپم قرار می‌گیرند:

ادعای صادقانه: ۲۰ دقیقه احراز هویت درست منتشر شده می‌خرد. چند هفته بعدی ارسال معقول، تحویل می‌خرد.

چک‌لیست ۲۰ دقیقه‌ای

  1. ابتدا اسکن رایگان را در defaults.exposed اجرا کنید. دامنه جدید را قبل از دست زدن به DNS اسکن کنید. خط پایه درجه‌بندی شده “هیچ تنظیمی نیست” ثانیه‌ها برای ثبت می‌برد و گزارش بعدی را معنادار می‌کند — جفت قبل و بعد را می‌خواهید (مرحله ۶).
  2. یک رکورد SPF برای ارائه‌دهنده واقعی‌تان منتشر کنید. دقیقاً یک رکورد TXT که با v=spf1 شروع می‌شود، حاوی include ارائه‌دهنده — مثلاً v=spf1 include:_spf.google.com ~all برای Google Workspace، یا include:spf.protection.outlook.com برای مایکروسافت ۳۶۵؛ اگر DNS شما در یک پنل registrar است، راهنمای GoDaddy quirk‌های UI را پوشش می‌دهد. فقط یک رکورد: دو رکورد v=spf1 یک خطای دائمی است که SPF را کاملاً باطل می‌کند — حالتی که 1,013,416 دامنه در آن گیر کرده‌اند، تقریباً یکی از 138 دامنه‌ای که سعی به SPF می‌کنند (سرشماری تا 2026-06-29)، معمولاً باقیمانده مهاجرت. فقط “برای اطمینان” include‌ها اضافه نکنید: SPF DNS lookup را به ۱۰ محدود می‌کند، و حداقل 797,263 دامنه با زدن آن حد، رکوردشان را باطل کرده‌اند. و بدانید SPF واقعاً چه چیزی را بررسی می‌کند: گیرندگان آن را در برابر دامنه Return-Path (RFC5321.MailFrom) ارزیابی می‌کنند — آدرس bounce — نه header From که گیرندگانتان می‌بینند.
  3. امضای DKIM دامنه سفارشی را روشن کنید. ارائه‌دهنده شما در هر صورت ایمیل را امضا می‌کند؛ سوال این است که امضا کدام دامنه را نام می‌برد. تا این مرحله را تکمیل نکنید، Google Workspace با پیش‌فرض gappssmtp.com و مایکروسافت ۳۶۵ با onmicrosoft.com امضا می‌کند — امضاهایی که DKIM را pass می‌کنند اما با دامنه شما هم‌راستا نیستند، بنابراین DMARC هنوز شکست می‌خورد. کلید را در کنسول ادمین تولید کنید و آنچه ارائه‌دهنده می‌دهد را منتشر کنید: یک رکورد TXT 2048 بیتی برای Google، دو CNAME (selector1/selector2) برای مایکروسافت ۳۶۵. اگر یک رکورد در پنل DNS جا نمی‌شود، ببینید رفع DKIM — کلیدهای بلندی که توسط UI‌ها دستکاری شده‌اند یک مشکل کلاسیک هستند.
  4. از روز اول DMARC منتشر کنید — p=none با یک آدرس گزارش. یک رکورد TXT در _dmarc.yourdomain.com: v=DMARC1; p=none; rua=mailto:[email protected]. درباره آنچه این انجام می‌دهد روشن باشید: p=none هنوز هیچ چیز را محافظت نمی‌کند — این حالت نظارت است. اما هیچ هزینه‌ای ندارد، و گزارش‌های کل بعد از آن تاریخچه ارسال دامنه را از اولین پیام پوشش می‌دهند. دامنه‌های تثبیت شده هفته‌هایی از گزارش را صرف کشف فرستندگانی می‌کنند که فراموش کرده بودند داشتند؛ شما این دیدگاه را رایگان، از روز صفر می‌خرید. برای آناتومی رکورد ببینید رفع DMARC.
  5. اختیاری اما ارزان روی یک دامنه جدید: MTA-STS و TLS-RPT. MTA-STS به سرورهای ارسال‌کننده می‌گوید دامنه شما برای ایمیل ورودی TLS نیاز دارد (یک رکورد DNS به علاوه یک فایل سیاست hosted کوچک)؛ TLS-RPT خرابی‌های رمزگذاری تحویل را گزارش می‌دهد. روی یک دامنه تثبیت شده این‌ها به مراقبت نیاز دارند؛ روی یک دامنه جدید با یک ارائه‌دهنده ایمیل چیزی برای شکستن وجود ندارد، و mode: testing اساساً بدون ریسک است. آن‌ها را الان تنظیم کنید یا نادیده بگیرید — اما تصمیم بگیرید، موندن نکنید.
  6. دوباره اسکن کنید و گزارش را نگه دارید. اسکن را دوباره اجرا کنید — SPF، DKIM و DMARC باید همه سبز نشان دهند. گزارش درجه‌بندی‌شده را ذخیره کنید: مدرک به‌تاریخ از وضعیت دامنه در راه‌اندازی، و دقیقاً همان چیزی که یک بیمه‌گر یا پرسشنامه مشتری درخواست خواهد کرد.

چه تعداد از دامنه‌ها واقعاً این چک‌لیست را تکمیل می‌کنند؟

بسیار کم — و اکثر در اولین مانع می‌افتند. از 261,086,232 دامنه درجه‌بندی‌شده در سرشماری Defaults.Exposed (تا 2026-06-29):

نقطه عطف چک‌لیستواقعیت سرشماری (از 261,086,232 دامنه درجه‌بندی‌شده، تا 2026-06-29)
مرحله ۲ — انتشار هر رکورد SPF46.4٪ هرگز انجام نمی‌دهند: 121,145,609 دامنه اصلاً SPF ندارند
مرحله ۴+ — DMARC با سیاست اعمال کننده10.59٪ (27,640,987 دامنه)؛ 89.41٪ سیاست اعمال شده ندارند
سه‌گانه کامل — SPF + DKIM + DMARC اعمال شده3.87٪ (10,092,481 دامنه)

۲۰ دقیقه‌ای که این صفحه توصیف می‌کند یک دامنه کاملاً جدید را از تقریباً 96٪ اینترنت روی سه‌گانه کامل جلو می‌اندازد. مدل بلوغ پذیرش SPF هر پله از آن نردبان را تجزیه می‌کند.

یک دامنه جدید چقدر سریع می‌تواند به p=reject برسد؟

هفته‌ها، نه ماه‌ها — مزیت واقعی شروع از صفر. آنچه اعمال DMARC را در دامنه‌های تثبیت شده کند می‌کند میراث است: اتصال CRM فراموش شده، ابزار فاکتورزنی که کسی در ۲۰۱۹ وصل کرد، پلتفرم خبرنامه که کسی مستندسازی نکرد. هر کدام باید در گزارش‌ها پیدا شده و رفع شود قبل از اینکه سیاست بتواند سخت‌تر شود — از این رو rollout استاندارد ماه‌هاست.

یک دامنه جدید فرستنده میراثی ندارد: هر منبع ارسالی را خودتان، این هفته، پیکربندی کردید، و گزارش‌های مرحله ۴ آن را تأیید می‌کند. p=none را برای دو تا چهار هفته ارسال واقعی اجرا کنید، بررسی کنید گزارش‌ها همه چیزی که واقعاً استفاده می‌کنید را پوشش می‌دهند (صندوق‌های پستی، فاکتورها، رسیدها، فرم تماس وب‌سایت)، سپس به p=quarantine و بعد به p=reject بروید وقتی تمیز اجرا می‌شوند. مکانیک‌های مرحله‌ای — ramp کردن pct، سیاست subdomain، چه چیزی را مشاهده کنید — در از p=none به p=reject هستند؛ روی یک دامنه جدید با سرعت از آن‌ها عبور می‌کنید، به جایی که تنها 10.59٪ از دامنه‌های درجه‌بندی‌شده رسیده‌اند.

در مورد دامنه قدیمی که جایگزین می‌کنید چی؟

اگر این دامنه جدید بخشی از یک rebrand است، دامنه‌ای که پشت سر می‌گذارید الان بزرگ‌ترین ریسک ایمیل شماست: هنوز متعلق به شماست، هنوز توسط طرف‌های تجاری مورد اعتماد است، دیگر تحت نظر نیست. آن را رها نکنید — صراحتاً قفلش کنید. آن یک کار کوتاه جداگانه است: آن دامنه قدیمی از rebrand شما دری است که باز گذاشتید.

پرسش‌های متداول

آیا می‌توانم این رکوردها را قبل از انتخاب ارائه‌دهنده ایمیل منتشر کنم؟ DMARC، بله — p=none با rua مستقل از ارائه‌دهنده است، پس روز ثبت منتشر کنید. SPF به include ارائه‌دهنده نیاز دارد؛ تا انتخاب نکرده‌اید، v=spf1 -all منتشر کنید (هیچ‌چیز مجاز به ارسال نیست) و در مرحله ۲ جایگزین کنید. این قطعاً بهتر از حالت بدون رکوردی است که 121,145,609 دامنه در آن هستند (46.4٪ از 261,086,232 درجه‌بندی‌شده، تا 2026-06-29).

آیا اگر SPF pass کند به DKIM نیاز دارم؟ بله. SPF طبق طراحی زیر forwarding شکست می‌خورد، و دامنه Return-Path را که برای بسیاری از ابزارها متعلق به شما نیست تأیید می‌کند — DKIM هم‌راستا تنها بخشی است که از هر دو جان سالم به در می‌برد. تنها 3.87٪ از دامنه‌های درجه‌بندی‌شده سه‌گانه SPF+DKIM+DMARC-اعمال‌شده کامل را تکمیل می‌کنند (سرشماری تا 2026-06-29)؛ DKIM گامی است که اکثر بازنشستگان از آن می‌گذرند. اگر اسکن آن را علامت زد در رفع DKIM شروع کنید.

آیا یک دامنه جدید باید از ~all یا -all استفاده کند؟ روی یک دامنه تثبیت شده، ~all انتخاب محتاطانه است در حالی که فرستندگان فراموش شده را پیدا می‌کنید. یک دامنه جدید هیچ‌کدامی برای یافتن ندارد: وقتی include ارائه‌دهنده وارد شد و DKIM امضا می‌کند، -all خیلی زودتر امن است. می‌خواهید کمربند و بند؟ ابتدا با دو هفته تمیز از گزارش‌های DMARC تأیید کنید.

هر سه رکورد pass می‌کنند — چرا ایمیلم هنوز به اسپم می‌رود؟ چون احراز هویت و اعتبار چیزهای متفاوتی هستند: رکوردهای pass‌شده به گیرندگان می‌گوید می‌توانند تأیید کنند ایمیل متعلق به شماست، نه اینکه هنوز به شما اعتماد دارند. دامنه‌های جدید با ارسال ایمیل ثابت، خواسته شده و کم‌حجم و افزایش تدریجی اعتماد می‌کسبند. اگر ایمیل به جای رفتن به اسپم، بررسی‌ها را شکست می‌خورد، در رفع SPF شروع کنید و نتایج اسکن را دنبال کنید.

گزارش را به صاحب سایت بفرستید

اگر این دامنه را برای یک مشتری تنظیم می‌کنید، کار را با مدرک ببندید. بعد از مرحله ۶ اسکن رایگان را دوباره اجرا کرده و گزارش درجه‌بندی‌شده را به صاحب کسب‌وکار بدهید: SPF، DKIM و DMARC pass، به زبان ساده، به‌تاریخ در راه‌اندازی. مدرکی است که برای تمدید بیمه سایبری و پرسشنامه امنیتی تأمین‌کننده بعدی نیاز خواهند داشت — و ثابت می‌کند دامنه به شیوه‌ای زندگی خود را آغاز کرده که 96٪ اینترنت هرگز موفق نمی‌شود.

دامنه‌تان را بررسی کنید ← · از p=none به p=reject بدون از دست دادن ایمیل قانونی ← · فقط داده‌های جمعی. داده‌ها در اتحادیه اروپا ذخیره و پردازش می‌شوند.