Defaults.Exposed › رفع اشکالها › Guides
راهاندازی ایمیل روی دامنه جدید: چکلیست ۲۰ دقیقهای SPF، DKIM و DMARC (۲۰۲۶)
منتشرشده 2026-07-08
ارقام تا 2026-06-29 · روششناسی v7. دادههای آماری کل در 261 میلیون دامنه درجهبندیشده. ببینید چگونه درجهبندی میکنیم.
یک دامنه جدید قبل از اولین ایمیل به چهار چیز نیاز دارد: یک اسکن خط پایه، یک رکورد SPF که ارائهدهنده واقعی را نام میبرد، امضای DKIM دامنه سفارشی، و یک رکورد DMARC با گزارش از روز اول. اکثر دامنهها هرگز به آنجا نمیرسند — 46.4٪ (121,145,609 از 261,086,232 دامنه درجهبندیشده) اصلاً SPF ندارند، طبق سرشماری Defaults.Exposed (تا 2026-06-29).
انتشار همه چیز حدود ۲۰ دقیقه طول میکشد: برای یک خط پایه اسکن کنید، یک رکورد SPF اضافه کنید، DKIM دامنه سفارشی ارائهدهنده را روشن کنید، DMARC p=none با یک آدرس گزارش منتشر کنید، اختیاری MTA-STS اضافه کنید، سپس دوباره اسکن کرده و گزارش را نگه دارید. آنچه بیشتر طول میکشد چیزی است که هیچ چکلیستی نمیتواند تسریع کند — انتشار DNS و اعتبار ارسال — و این راهنما درباره هر دو صادق است.
آیا ۲۰ دقیقه واقعاً کافی است؟
برای انتشار رکوردها، بله — هر مرحله زیر یک ورودی DNS به علاوه چند کلیک در کنسول ادمین ارائهدهنده است. دو چیز بیشتر طول میکشند، و وانمود کردن خلاف آن نحوهای است که دامنههای جدید در اسپم قرار میگیرند:
- Propagation. رکوردهای جدید معمولاً ظرف دقایق resolve میشوند، اما resolverها بر اساس TTL cache میکنند و یک دامنه تازه delegate شده میتواند ساعتها برای پاسخدادن ثابت باشد. با
digتأیید کنید؛ در حالی که cacheها به روز میشوند وحشتزده ویرایش نکنید. - Warm-up. یک دامنه جدید صفر اعتبار ارسال دارد، و احراز هویت پیششرط اعتبار است، نه جایگزین آن. با حجم پایین در مقیاس انسانی شروع کنید و در طول هفتهها به تدریج افزایش دهید.
ادعای صادقانه: ۲۰ دقیقه احراز هویت درست منتشر شده میخرد. چند هفته بعدی ارسال معقول، تحویل میخرد.
چکلیست ۲۰ دقیقهای
- ابتدا اسکن رایگان را در defaults.exposed اجرا کنید. دامنه جدید را قبل از دست زدن به DNS اسکن کنید. خط پایه درجهبندی شده “هیچ تنظیمی نیست” ثانیهها برای ثبت میبرد و گزارش بعدی را معنادار میکند — جفت قبل و بعد را میخواهید (مرحله ۶).
- یک رکورد SPF برای ارائهدهنده واقعیتان منتشر کنید. دقیقاً یک رکورد TXT که با
v=spf1شروع میشود، حاوی include ارائهدهنده — مثلاًv=spf1 include:_spf.google.com ~allبرای Google Workspace، یاinclude:spf.protection.outlook.comبرای مایکروسافت ۳۶۵؛ اگر DNS شما در یک پنل registrar است، راهنمای GoDaddy quirkهای UI را پوشش میدهد. فقط یک رکورد: دو رکوردv=spf1یک خطای دائمی است که SPF را کاملاً باطل میکند — حالتی که 1,013,416 دامنه در آن گیر کردهاند، تقریباً یکی از 138 دامنهای که سعی به SPF میکنند (سرشماری تا 2026-06-29)، معمولاً باقیمانده مهاجرت. فقط “برای اطمینان” includeها اضافه نکنید: SPF DNS lookup را به ۱۰ محدود میکند، و حداقل 797,263 دامنه با زدن آن حد، رکوردشان را باطل کردهاند. و بدانید SPF واقعاً چه چیزی را بررسی میکند: گیرندگان آن را در برابر دامنه Return-Path (RFC5321.MailFrom) ارزیابی میکنند — آدرس bounce — نه header From که گیرندگانتان میبینند. - امضای DKIM دامنه سفارشی را روشن کنید. ارائهدهنده شما در هر صورت ایمیل را امضا میکند؛ سوال این است که امضا کدام دامنه را نام میبرد. تا این مرحله را تکمیل نکنید، Google Workspace با پیشفرض
gappssmtp.comو مایکروسافت ۳۶۵ باonmicrosoft.comامضا میکند — امضاهایی که DKIM را pass میکنند اما با دامنه شما همراستا نیستند، بنابراین DMARC هنوز شکست میخورد. کلید را در کنسول ادمین تولید کنید و آنچه ارائهدهنده میدهد را منتشر کنید: یک رکورد TXT 2048 بیتی برای Google، دو CNAME (selector1/selector2) برای مایکروسافت ۳۶۵. اگر یک رکورد در پنل DNS جا نمیشود، ببینید رفع DKIM — کلیدهای بلندی که توسط UIها دستکاری شدهاند یک مشکل کلاسیک هستند. - از روز اول DMARC منتشر کنید —
p=noneبا یک آدرس گزارش. یک رکورد TXT در_dmarc.yourdomain.com:v=DMARC1; p=none; rua=mailto:[email protected]. درباره آنچه این انجام میدهد روشن باشید:p=noneهنوز هیچ چیز را محافظت نمیکند — این حالت نظارت است. اما هیچ هزینهای ندارد، و گزارشهای کل بعد از آن تاریخچه ارسال دامنه را از اولین پیام پوشش میدهند. دامنههای تثبیت شده هفتههایی از گزارش را صرف کشف فرستندگانی میکنند که فراموش کرده بودند داشتند؛ شما این دیدگاه را رایگان، از روز صفر میخرید. برای آناتومی رکورد ببینید رفع DMARC. - اختیاری اما ارزان روی یک دامنه جدید: MTA-STS و TLS-RPT. MTA-STS به سرورهای ارسالکننده میگوید دامنه شما برای ایمیل ورودی TLS نیاز دارد (یک رکورد DNS به علاوه یک فایل سیاست hosted کوچک)؛ TLS-RPT خرابیهای رمزگذاری تحویل را گزارش میدهد. روی یک دامنه تثبیت شده اینها به مراقبت نیاز دارند؛ روی یک دامنه جدید با یک ارائهدهنده ایمیل چیزی برای شکستن وجود ندارد، و
mode: testingاساساً بدون ریسک است. آنها را الان تنظیم کنید یا نادیده بگیرید — اما تصمیم بگیرید، موندن نکنید. - دوباره اسکن کنید و گزارش را نگه دارید. اسکن را دوباره اجرا کنید — SPF، DKIM و DMARC باید همه سبز نشان دهند. گزارش درجهبندیشده را ذخیره کنید: مدرک بهتاریخ از وضعیت دامنه در راهاندازی، و دقیقاً همان چیزی که یک بیمهگر یا پرسشنامه مشتری درخواست خواهد کرد.
چه تعداد از دامنهها واقعاً این چکلیست را تکمیل میکنند؟
بسیار کم — و اکثر در اولین مانع میافتند. از 261,086,232 دامنه درجهبندیشده در سرشماری Defaults.Exposed (تا 2026-06-29):
| نقطه عطف چکلیست | واقعیت سرشماری (از 261,086,232 دامنه درجهبندیشده، تا 2026-06-29) |
|---|---|
| مرحله ۲ — انتشار هر رکورد SPF | 46.4٪ هرگز انجام نمیدهند: 121,145,609 دامنه اصلاً SPF ندارند |
| مرحله ۴+ — DMARC با سیاست اعمال کننده | 10.59٪ (27,640,987 دامنه)؛ 89.41٪ سیاست اعمال شده ندارند |
| سهگانه کامل — SPF + DKIM + DMARC اعمال شده | 3.87٪ (10,092,481 دامنه) |
۲۰ دقیقهای که این صفحه توصیف میکند یک دامنه کاملاً جدید را از تقریباً 96٪ اینترنت روی سهگانه کامل جلو میاندازد. مدل بلوغ پذیرش SPF هر پله از آن نردبان را تجزیه میکند.
یک دامنه جدید چقدر سریع میتواند به p=reject برسد؟
هفتهها، نه ماهها — مزیت واقعی شروع از صفر. آنچه اعمال DMARC را در دامنههای تثبیت شده کند میکند میراث است: اتصال CRM فراموش شده، ابزار فاکتورزنی که کسی در ۲۰۱۹ وصل کرد، پلتفرم خبرنامه که کسی مستندسازی نکرد. هر کدام باید در گزارشها پیدا شده و رفع شود قبل از اینکه سیاست بتواند سختتر شود — از این رو rollout استاندارد ماههاست.
یک دامنه جدید فرستنده میراثی ندارد: هر منبع ارسالی را خودتان، این هفته، پیکربندی کردید، و گزارشهای مرحله ۴ آن را تأیید میکند. p=none را برای دو تا چهار هفته ارسال واقعی اجرا کنید، بررسی کنید گزارشها همه چیزی که واقعاً استفاده میکنید را پوشش میدهند (صندوقهای پستی، فاکتورها، رسیدها، فرم تماس وبسایت)، سپس به p=quarantine و بعد به p=reject بروید وقتی تمیز اجرا میشوند. مکانیکهای مرحلهای — ramp کردن pct، سیاست subdomain، چه چیزی را مشاهده کنید — در از p=none به p=reject هستند؛ روی یک دامنه جدید با سرعت از آنها عبور میکنید، به جایی که تنها 10.59٪ از دامنههای درجهبندیشده رسیدهاند.
در مورد دامنه قدیمی که جایگزین میکنید چی؟
اگر این دامنه جدید بخشی از یک rebrand است، دامنهای که پشت سر میگذارید الان بزرگترین ریسک ایمیل شماست: هنوز متعلق به شماست، هنوز توسط طرفهای تجاری مورد اعتماد است، دیگر تحت نظر نیست. آن را رها نکنید — صراحتاً قفلش کنید. آن یک کار کوتاه جداگانه است: آن دامنه قدیمی از rebrand شما دری است که باز گذاشتید.
پرسشهای متداول
آیا میتوانم این رکوردها را قبل از انتخاب ارائهدهنده ایمیل منتشر کنم؟
DMARC، بله — p=none با rua مستقل از ارائهدهنده است، پس روز ثبت منتشر کنید. SPF به include ارائهدهنده نیاز دارد؛ تا انتخاب نکردهاید، v=spf1 -all منتشر کنید (هیچچیز مجاز به ارسال نیست) و در مرحله ۲ جایگزین کنید. این قطعاً بهتر از حالت بدون رکوردی است که 121,145,609 دامنه در آن هستند (46.4٪ از 261,086,232 درجهبندیشده، تا 2026-06-29).
آیا اگر SPF pass کند به DKIM نیاز دارم؟ بله. SPF طبق طراحی زیر forwarding شکست میخورد، و دامنه Return-Path را که برای بسیاری از ابزارها متعلق به شما نیست تأیید میکند — DKIM همراستا تنها بخشی است که از هر دو جان سالم به در میبرد. تنها 3.87٪ از دامنههای درجهبندیشده سهگانه SPF+DKIM+DMARC-اعمالشده کامل را تکمیل میکنند (سرشماری تا 2026-06-29)؛ DKIM گامی است که اکثر بازنشستگان از آن میگذرند. اگر اسکن آن را علامت زد در رفع DKIM شروع کنید.
آیا یک دامنه جدید باید از ~all یا -all استفاده کند؟
روی یک دامنه تثبیت شده، ~all انتخاب محتاطانه است در حالی که فرستندگان فراموش شده را پیدا میکنید. یک دامنه جدید هیچکدامی برای یافتن ندارد: وقتی include ارائهدهنده وارد شد و DKIM امضا میکند، -all خیلی زودتر امن است. میخواهید کمربند و بند؟ ابتدا با دو هفته تمیز از گزارشهای DMARC تأیید کنید.
هر سه رکورد pass میکنند — چرا ایمیلم هنوز به اسپم میرود؟ چون احراز هویت و اعتبار چیزهای متفاوتی هستند: رکوردهای passشده به گیرندگان میگوید میتوانند تأیید کنند ایمیل متعلق به شماست، نه اینکه هنوز به شما اعتماد دارند. دامنههای جدید با ارسال ایمیل ثابت، خواسته شده و کمحجم و افزایش تدریجی اعتماد میکسبند. اگر ایمیل به جای رفتن به اسپم، بررسیها را شکست میخورد، در رفع SPF شروع کنید و نتایج اسکن را دنبال کنید.
گزارش را به صاحب سایت بفرستید
اگر این دامنه را برای یک مشتری تنظیم میکنید، کار را با مدرک ببندید. بعد از مرحله ۶ اسکن رایگان را دوباره اجرا کرده و گزارش درجهبندیشده را به صاحب کسبوکار بدهید: SPF، DKIM و DMARC pass، به زبان ساده، بهتاریخ در راهاندازی. مدرکی است که برای تمدید بیمه سایبری و پرسشنامه امنیتی تأمینکننده بعدی نیاز خواهند داشت — و ثابت میکند دامنه به شیوهای زندگی خود را آغاز کرده که 96٪ اینترنت هرگز موفق نمیشود.
دامنهتان را بررسی کنید ← · از p=none به p=reject بدون از دست دادن ایمیل قانونی ← · فقط دادههای جمعی. دادهها در اتحادیه اروپا ذخیره و پردازش میشوند.