Defaults.Exposed

Defaults.Exposedرفع اشکال‌هاGuides

ایمیل‌های Mailchimp، Brevo یا Klaviyo DMARC شکست می‌خورند؟ احراز هویت دامنه واقعی را روشن کنید (۲۰۲۶)

منتشرشده 2026-07-08

داده‌ها تا 2026-06-29 · روش‌شناسی v7. داده‌های سرشماری جمعی در 261 میلیون دامنه درجه‌بندی‌شده. ببینید چطور درجه‌بندی می‌کنیم.

پلتفرم‌های خبرنامه DMARC را شکست می‌دهند وقتی «از» دامنه شما ارسال می‌کنند بدون اینکه به عنوان دامنه شما احراز هویت کنند. رفع احراز هویت دامنه سفارشی پلتفرم است — CNAME های DKIM، به علاوه یک bounce domain سفارشی جایی که ارائه می‌شود. شکاف عادی است: از 740,321 دامنه‌ای که SendGrid را مجاز می‌دانند، فقط 18.0٪ DMARC را اجرا می‌کنند، بر اساس سرشماری Defaults.Exposed از 261,086,232 دامنه (2026-06-29).

رفع چند رکورد DNS و ده دقیقه در تنظیمات پلتفرم است. در ادامه: چرا احراز هویت مشترک پلتفرم در فوریه ۲۰۲۴ دیگر کافی نبود، کدام سوئیچ را در Mailchimp، Brevo، Klaviyo و SendGrid بزنید، و گام‌های رفع به ترتیب — از جمله انتقال از یک آدرس From freemail، که هیچ رکورد DNS نمی‌تواند نجات دهد.

چرا ایمیل‌های خبرنامه DMARC را شکست می‌دهند وقتی پلتفرم می‌گوید همه چیز تأیید شده؟

چون پلتفرم خودش را احراز هویت کرد، نه شما. از ابتدا، یک ESP کمپین‌های شما را با bounce domain خودش در Return-Path ارسال می‌کند، و اغلب DKIM را با دامنه خودش هم امضا می‌کند. گیرنده‌ها SPF را در مقابل دامنه Return-Path (RFC5321.MailFrom)، نه هدر From ارزیابی می‌کنند، پس SPF به خوبی تأیید می‌شود… برای دامنه پلتفرم.

DMARC اهمیتی نمی‌دهد که SPF یا DKIM به صورت انتزاعی تأیید شدند. می‌پرسد آیا یکی از آن‌ها برای دامنه در آدرس From شما تأیید شد — آن تطابق alignment نامیده می‌شود. تأیید SPF ESP روی bounce domain آن است، نه دامنه شما؛ بدون DKIM دامنه سفارشی، امضایش روی دامنه آن است، نه دامنه شما. هیچ چیز هم‌راستا نمی‌شود، پس دامنه From شما DMARC را شکست می‌دهد — در حالی که داشبورد پلتفرم تیک‌های سبز نشان می‌دهد، چون از جایی که ایستاده، احراز هویت کار می‌کند. روشن کردن احراز هویت دامنه سفارشی (DKIM امضا شده به عنوان دامنه شما) کل رفع است. برای مکانیک کامل alignment، DMARC شکست می‌خورد اما SPF و DKIM تأیید می‌شوند را ببینید.

چه چیزی در فوریه ۲۰۲۴ تغییر کرد؟

Google و Yahoo شروع به اجرای الزامات فرستنده انبوه کردند: احراز هویت هم‌راستا برای دامنه From، یک سیاست DMARC منتشر شده، unsubscribe تک‌کلیکی، و محدودیت‌های نرخ اسپم. میانبر shared-infrastructure — سوار بر احراز هویت ESP، از هر چیزی ارسال کنید — دیگر کار نکرد. دو نتیجه برای فرستنده‌های خبرنامه:

مجموعه الزامات کامل در مقاله داده ما در مورد الزامات فرستنده Google و Yahoo است.

این سوئیچ در Mailchimp، Brevo، Klaviyo و SendGrid چه نامیده می‌شود؟

هر پلتفرم ویژگی یکسانی با نام متفاوت دارد. آنچه همیشه تولید می‌کند یک مجموعه کوچک رکورد CNAME برای DNS شما است — به همین شکل آن را می‌شناسید، هر چه منو بگوید.

پلتفرمنام ویژگی (تقریبی)چه چیزی به DNS اضافه می‌کنیدتوضیحات
MailchimpDomain authenticationCNAME های DKIM (k2._domainkey، k3._domainkey)فقط alignment DKIM — Mailchimp دیگر از یک include SPF استفاده نمی‌کند؛ یکی اضافه نکنید
BrevoAuthenticate your domainمجموعه CNAME DKIM + رکورد تأییدمجموعه رکورد فعلی را در مستندات Brevo در هنگام تنظیم بررسی کنید
KlaviyoDedicated sending domainCNAME های DKIM + subdomain bounce (Return-Path)دامنه اختصاصی alignment SPF هم به شما می‌دهد
SendGridDomain authentication (automated security)مجموعه CNAME (DKIM + return-path)هیچ include SPF نیاز نیست — CNAME ها آن را پوشش می‌دهند

دو الگوی ارزش توجه دارند. اول، هیچ‌کدام از این پلتفرم‌ها نمی‌خواهند یک include: به رکورد SPF شما اضافه شود — احراز هویت مدرن ESP از طریق CNAME delegate شده است، و یک include باقی‌مانده فقط بودجه DNS-lookup را می‌سوزاند. دوم، CNAME delegation یک ویژگی است: پلتفرم کلیدهای DKIM خود را پشت نام‌های delegate شده می‌چرخاند بدون اینکه شما دوباره DNS را لمس کنید.

چطور شکست‌های DMARC خبرنامه را گام به گام رفع کنید؟

۱. قبل از لمس DNS، اسکن رایگان در defaults.exposed را اجرا کنید. SPF، DKIM و DMARC زنده دامنه شما را نشان می‌دهد، پس می‌توانید شکاف alignment‌ای که می‌خواهید ببندید را ببینید. ۲. احراز هویت دامنه سفارشی را در پلتفرم روشن کنید (جدول بالا). رکوردهای CNAME خاص حساب شما را ایجاد می‌کند. ۳. CNAME ها را دقیقاً همان‌طور که داده شده به DNS اضافه کنید. اشتباه کلاسیک: پانل‌های DNS که zone را خودکار اضافه می‌کنند، k2._domainkey.yourdomain.com را به k2._domainkey.yourdomain.com.yourdomain.com تبدیل می‌کنند. فقط قسمت host را پیست کنید اگر پانل دامنه را اضافه می‌کند. اگر پلتفرم بعداً «no key for signature» گزارش می‌دهد، رکورد انتخابگر نشست نکرده — DKIM «no key for signature» را ببینید. ۴. bounce domain سفارشی (Return-Path) را جایی که پلتفرم ارائه می‌دهد تنظیم کنید. این پای SPF را هم هم‌راستا می‌کند و به DMARC دو راه برای تأیید می‌دهد. جایی که ارائه نمی‌شود (Mailchimp)، DKIM هم‌راستا به تنهایی یک تأیید کامل DMARC است — یک پای هم‌راستا تمام چیزی است که DMARC نیاز دارد. ۵. آدرس From را به دامنه خودتان منتقل کنید اگر هنوز روی freemail است. [email protected]، نه [email protected]. یک الزام، نه یک ترجیح. ۶. در پلتفرم تأیید کنید، سپس دوباره اسکن کنید. منتظر باشید بررسی پلتفرم سبز شود (DNS می‌تواند دقایقی تا چند ساعت طول بکشد)، برای خودتان یک کمپین ارسال کنید، و تأیید کنید هدرها نشان می‌دهند DKIM با دامنه شما امضا شده. سپس هر چیز دیگری که در صفحه رفع DMARC پرچم می‌خورد را کار کنید — اگر دامنه شما اصلاً هیچ رکورد DMARC ندارد، ده دقیقه بعدی آن است.

چه تعداد فرستنده خبرنامه واقعاً این را درست دارند؟

سرشماری آن را از طرف DNS می‌خواند: برای هر پلتفرم، چه تعداد دامنه آن را مجاز می‌دانند — و چه تعداد از آن‌ها دامنه‌ای که ارسال می‌کنند را محافظت می‌کنند، بر اساس سرشماری Defaults.Exposed از 261,086,232 دامنه (2026-06-29).

پلتفرم (هدف SPF)دامنه‌هایی که آن را مجاز می‌دانندDMARC-enforced
SendGrid (sendgrid.net)740,32118.0%
Mailgun (mailgun.org)1,306,69235.9%
Amazon SES (amazonses.com)551,44641.9%

داده‌ها تا سرشماری 2026-06-29. «DMARC-enforced» = دامنه مجاز‌کننده p=quarantine یا p=reject منتشر می‌کند.

حتی در بالای جدول، بیشتر فرستنده‌ها در پلتفرم‌های حرفه‌ای دامنه را محافظت نشده رها می‌کنند: 41.9٪ از 551,446 دامنه مجاز‌کننده Amazon SES DMARC را اجرا می‌کنند، 35.9٪ از 1,306,692 Mailgun — و فقط 18.0٪ از 740,321 SendGrid. زیرساخت حرفه‌ای است؛ محافظت دامنه اغلب نیست. league کامل ارائه‌دهنده — از جمله host های صندوق پستی — در کدام ارائه‌دهنده ایمیل قوی‌ترین SPF را دارد است.

پرسش‌های متداول

آیا باید Mailchimp را به رکورد SPF اضافه کنم؟ خیر — و نکنید. Mailchimp از alignment فقط DKIM از طریق CNAME های k2/k3 استفاده می‌کند و دیگر یک include SPF برای مشتریان منتشر نمی‌کند. یک include:servers.mcsv.net قدیمی برای DMARC هیچ کاری نمی‌کند و بودجه DNS-lookup را هدر می‌دهد؛ پای هم‌راستا اینجا DKIM است.

آیا احراز هویت دامنه خبرنامه‌هایم را از پوشه اسپم بیرون می‌آورد؟ بزرگترین علت را حذف می‌کند — ایمیل ناهم‌راستا روی یک دامنه با یک سیاست DMARC — و یک الزام سخت قوانین Google/Yahoo است. مشکلات کیفیت لیست را رفع نمی‌کند: نرخ‌های شکایت بالا و عدم وجود unsubscribe تک‌کلیکی ایمیل را حتی وقتی احراز هویت کامل است در اسپم نگه می‌دارد. ابتدا احراز هویت را رفع کنید؛ این بخشی است با یک پاسخ قطعی.

آیا می‌توانم از آدرس @gmail.com به کمپین ارسال ادامه دهم؟ خیر. ارائه‌دهندگان freemail سیاست‌های DMARC سخت‌گیرانه منتشر می‌کنند دقیقاً تا هیچ‌کس دیگری نتواند به عنوان آن‌ها ارسال کند، و ESP شما هرگز نمی‌تواند با gmail.com هم‌راستا شود. از فوریه ۲۰۲۴ آن ایمیل در مقیاس ریجکت یا اسپم می‌شود. یک آدرس From روی دامنه خودتان تنها راه است.

احراز هویت دامنه را روشن کردم — چرا DMARC همچنان شکست می‌خورد؟ معمولاً یکی از سه چیز: CNAME ها توسط یک پانل DNS zone-appending خراب شدند (گام ۳)، دامنه From کمپین با دامنه‌ای که احراز هویت کردید مطابقت ندارد، یا یک منبع ارسال متفاوت در کنار خبرنامه شکست می‌خورد. در تمام 261,086,232 دامنه در سرشماری 2026-06-29، فقط 10.59٪ اصلاً DMARC را اجرا می‌کنند — اگر دامنه شما اجرا می‌کند، نزدیک هستید؛ دوباره اسکن کنید و بخوانید کدام پا ناهم‌راستا است.

آیا این برای لیست‌های کوچک، کمتر از ۵۰۰۰ ایمیل در روز اعمال می‌شود؟ سخت‌ترین آستانه‌ها به طور رسمی برای فرستنده‌های انبوه هستند، اما گیرنده‌ها اصول پایه احراز هویت را برای همه اعمال می‌کنند، و ESP ها الان صرف نظر از حجم احراز هویت دامنه را الزامی می‌کنند. آن را اجباری در نظر بگیرید: چند رکورد DNS است، و از شکست کمپین‌هایتان وقتی لیستتان رشد می‌کند جلوگیری می‌کند.

گزارش را به صاحب ارسال کنید

اگر این را برای یک مشتری رفع می‌کنید — یا خبرنامه را دارید اما DNS را ندارید — کار را با شواهد تمام کنید. اسکن رایگان را بعد از نشست CNAME ها دوباره اجرا کنید و گزارش درجه‌بندی‌شده را برای صاحب کسب‌وکار ارسال کنید: با زبان ساده، تاریخ‌دار، alignment DMARC رفع شده. این همان چیزی است که به تمدید بیمه سایبری و پرسشنامه امنیتی بعدی مشتری پاسخ می‌دهد — یک قبل‌و‌بعد مستند، نه «روی چند دکمه در Mailchimp کلیک کردم».

دامنه‌تان را بررسی کنید ← · DMARC شکست می‌خورد اما SPF و DKIM تأیید می‌شوند ← · رفع DMARC ← · رفع DKIM ← · چطور درجه‌بندی می‌کنیم ← · فقط داده‌های جمعی. داده‌ها ذخیره و پردازش شده در اتحادیه اروپا.