
في هذا المنشور، سنخبرك بكل ما تحتاج لمعرفته حول الاستفادة من DMARC لحماية سمعة بريدك الإلكتروني، ونقدم لك بعض النصائح حول كيفية إعدادها لمجالاتك.
أداة فعالة لمكافحة البريد الاحتيالي
غالبًا ما يُذكر في نفس السياق مع بروتوكولات مصادقة البريد الإلكتروني SPF و DKIM، DMARC، أو مصادقة الرسائل المستندة إلى النطاق، والإبلاغ والمطابقة، لكنه ليس بروتوكول مصادقة بحد ذاته. بدلاً من ذلك، فإن الغرض من DMARC هو السماح لنا، نحن مالكي النطاق، بحماية سمعة بريدنا الإلكتروني من خلال:
الإعلان عن ممارسات مصادقة البريد الإلكتروني،
طلب المعالجة للبريد الذي يفشل في اختبارات المصادقة، و
طلب تقارير حول البريد الذي يدعي أنه من نطاقه.
يمكن أن يكون DMARC أداة فعالة لنا لاستخدامها في معركتنا ضد البريد الاحتيالي الذي يستهدف اسم النطاق الخاص بنا (مثل التصيد والتزييف)، ويمكن أن يعزز الثقة العالية بين مستلمين بريدنا. بالنسبة للمنظمات التي تتطلب تشفير من النهاية إلى النهاية يتجاوز المصادقة، توفير تنفيذ S/MIME مع طرق فعالة لجمع المفاتيح العامة للمستلم طبقات إضافية من الأمان. هذه الثقة العالية يجب أن تؤدي، بدورها، إلى مشاركة أعلى مع بريدنا، والبريد المفتوح الذي يولد نقرات يدفع المبيعات وعائد الاستثمار (ROI) لحملات بريدنا الإلكتروني.
بالإضافة إلى حماية نطاقنا، نتوقع أن تنفيذ DMARC الآن سيكون وسيلة ممتازة لـ "حماية مستقبلية" لنطاقنا. هنا في Bird، نعتقد أنه مع انتقال الصناعة إلى IPv6، فإنه من شبه المؤكد أن تنتقل من نموذج السمعة القائم على IP إلى نموذج السمعة المستند إلى النطاق. ستتطلب السمعة المستندة إلى النطاق المصادقة المستندة إلى النطاق، وDMARC، بالتوازي مع DKIM و SPF، سيساعد النطاقات في تأسيس سمعة مستندة إلى النطاق قبل أن تصبح ضرورية تمامًا.
في هذا المنشور، سنخبرك بكل ما تحتاج إلى معرفته حول استخدام DMARC لحماية سمعة بريدك الإلكتروني ونقدم لك نصائح حول كيفية إعداده لنطاقاتك.
مصطلحات يجب معرفتها
كيف تعمل DMARC لحماية سمعة بريدك الإلكتروني
عندما نتحدث عن مزود صندوق بريد أو نطاق آخر يقوم بـ "التحقق من DMARC" أو "التحقق من صحة DMARC" أو "تطبيق سياسة DMARC"، فإن ما نعنيه هو أن النطاق الذي يستقبل الرسالة يقوم بالخطوات التالية:
تحديد نطاق RFC5322.From للرسالة
البحث عن سياسة DMARC لذلك النطاق في DNS
أداء التحقق من صحة التوقيع DKIM
أداء التحقق من صحة SPF
التحقق من توافق النطاق
تطبيق سياسة DMARC
لكي تمر الرسالة من التحقق من DMARC، يجب أن تجتاز الرسالة أحد فحوصات التحقق والتوافق فقط. لذلك، سيتم تمرير الرسالة من التحقق من DMARC إذا كان أي مما يلي صحيحًا:
الرسالة تجتاز فحوصات SPF وتكون نطاقات RFC5322.From و Return-Path في توافق، أو
الرسالة تجتاز التحقق من صحة DKIM وتكون نطاقات RFC5322.From و DKIM d= في توافق، أو
كلا الشرطين أعلاه صحيحان
جعل DMARC يعمل لصالح نطاقك
الآن بعد أن شرحنا آلية عمل DMARC، دعنا نتحدث عن كيفية جعل DMARC يعمل لصالحنا، مما يتضمن الخطوات الثلاثة التالية:
التحضير لاستلام تقارير DMARC
اتخاذ قرار بشأن سياسة DMARC المناسبة لنطاقك
نشر سجل DMARC الخاص بك
سنقوم بتغطية كل واحدة من هذه الخطوات بالتفصيل أدناه، ولكن سنخبرك مباشرة أن الخطوة 1 المذكورة أعلاه ستستهلك حوالي 95% من وقت تحضيرك.
التحضير لتلقي تقارير DMARC
يجب أن يستعد أي نطاق ينشر سياسة DMARC أولاً لتلقي التقارير المتعلقة بنطاقه. سيتم إنشاء هذه التقارير بواسطة أي نطاق يقوم بالتحقق من صحة DMARC ويرى بريدًا يُزعم أنه من نطاقنا، وسيتم إرسالها إلينا على أساس يومي على الأقل. ستأتي التقارير بصيغتين:
تقارير مجمعة، وهي مستندات XML تعرض بيانات إحصائية حول كمية البريد التي تمت رؤيتها بواسطة مقدم التقرير من كل مصدر، وما كانت نتائج المصادقة، وكيف تم التعامل مع الرسائل بواسطة مقدم التقرير. صُممت التقارير المجمعة ليتم تحليلها آليًا، مع تخزين بياناتها في مكان ما للسماح بتحليل حركة المرور العامة، وتدقيق تدفقات الرسائل في نطاقنا، وربما تحديد الاتجاهات في مصادر البريد غير المصدق، والذي يمكن أن يكون احتياليًا.
تقارير جنائية، وهي نسخ فردية من الرسائل التي فشلت في المصادقة، ولكل منها مرفق رسالة بريد إلكتروني كاملة باستخدام صيغة تسمى AFRF. من المفترض أن تحتوي التقارير الجنائية على رؤوس كاملة وأجسام الرسائل، لكن العديد من مقدمي التقارير يجردون أو يحجبون بعض المعلومات بسبب مخاوف الخصوصية. ومع ذلك، يمكن أن يكون التقرير الجنائي مفيدًا لتشخيص مشكلات المصادقة الخاصة بنطاقنا ولتحديد، من عناوين URL في أجسام الرسائل، النطاقات والمواقع الضارة المستخدمة للاحتيال على عملاء مالك نطاقنا.
تشمل التحضير لتلقي هذه التقارير أولًا إنشاء صندوقين للبريد في نطاقنا لمعالجة هذه التقارير، مثل agg_reports@ourdomain.com وafrf_reports@ourdomain.com. لاحظ أن أسماء صناديق البريد تلك تعسفية تمامًا، ولا توجد متطلبات لتسمية الجزء المحلي من صندوق البريد؛ نحن أحرار في اختيار أي أسماء نرغب بها، ولكن يجب أن نحافظ على صندوقين منفصلين لتسهيل المعالجة.
بمجرد اختيار أسماء صناديق البريد وإنشائها في نطاقنا، يتمثل الشيء التالي في وضع أدوات لقراءة هذه الصناديق البريدية واستخدام البيانات، وخاصةً تقارير البيانات المجمعة، التي صُممت ليتم تحليلها آليًا، بدلاً من قراءتها بواسطة الإنسان. من ناحية أخرى، قد تكون التقارير الجنائية قابلة للإدارة ببساطة من خلال قراءتها بأنفسنا، ولكن تعتمد قدرتنا على القيام بذلك على فهم عميل البريد لدينا لكيفية عرض الرسائل بصيغة AFRF وعلى حجم التقارير التي نستلمها.
بينما من الممكن لنا كتابة أدوات خاصة لمعالجة تقارير DMARC، حتى توفر Bird مثل هذه الخدمات لعملاء bird.com (وهو شيء نأخذه بعين الاعتبار، ولكن لا نعد به حتى الآن)، نوصي بأن نستخدم الأدوات المتاحة بالفعل لهذه المهمة.
أي سياسة DMARC يجب استخدامها
يوفر مواصفات DMARC ثلاثة خيارات لمالكي النطاقات لاستخدامها لتحديد تفضيلاتهم في التعامل مع البريد الذي يفشل في اجتياز فحوصات التحقق من صحة DMARC. الخيارات هي:
لا شيء، مما يعني معالجة البريد بنفس الطريقة التي يُعالج بها دون فحوصات تحقق DMARC
حجر، مما يعني قبول البريد ولكن وضعه في مكان آخر غير صندوق الوارد للمستلم (عادةً مجلد البريد المزعج)
رفض، مما يعني رفض الرسالة تماماً
من المهم أن يوضع في الاعتبار أن مالك النطاق يمكنه فقط طلب مثل هذا المعاملة في سجله DMARC؛ ويقع على عاتق المستلم أن يقرر ما إذا كان سيحترم السياسة المطلوبة أم لا. قد يقوم البعض بذلك، بينما قد يكون البعض الآخر أكثر مرونة قليلاً في تطبيق السياسة، مثل وضع البريد فقط في مجلد البريد المزعج عندما تكون سياسة النطاق هي الرفض.
ننصح جميع عملائنا بأن يبدأوا بسياسة من نوع لا شيء، فقط لتكونوا في أمان. بينما نحن واثقون من قدرتنا على مصادقة بريدك بشكل صحيح من خلال توقيع DKIM، لا يزال من الأفضل أن تأخذ بعض الوقت لفحص التقارير حول نطاقك قبل أن تصبح أكثر شراسة في سياسة DMARC الخاصة بك.
نشر سياسة DMARC الخاصة بك
يتم الإعلان عن سياسة DMARC الخاصة بالمجال من خلال نشر سجل DNS TXT في مكان معين في نطاق DNS، وهو “_dmarc.domainname.tld” (لاحظ الشرطة السفلية الرائدة). قد يبدو سجل سياسة DMARC الأساسي لمجالنا المثال من السابق، joesbaitshop.com، كما يلي:
بفحص هذا السجل، لدينا:
v=DMARC1 يحدد إصدار DMARC (1 هو الخيار الوحيد حاليًا)
p=none يحدد المعالجة المفضلة، أو سياسة DMARC
rua=mailto:agg_reports@joesbait.com هو صندوق البريد الذي يجب إرسال التقارير الإجمالية إليه
ruf=mailto:afrf_reports@joesbait.com هو صندوق البريد الذي يجب إرسال التقارير الجنائية إليه
pct=100 هي النسبة المئوية للبريد الذي يرغب مالك المجال في تطبيق سياسته عليه. قد ترغب المجالات التي بدأت للتو مع DMARC، خاصة تلك التي من المحتمل أن تولد حجمًا كبيرًا من التقارير، في البدء بعدد أقل بكثير هنا لمعرفة كيف تقاوم عمليات معالجة تقاريرها الحمل.
هناك خيارات تكوين أخرى متاحة لمالك المجال لاستخدامها في سجل سياسة DMARC الخاص به أيضًا، ولكن النصائح التي قدمناها يجب أن تكون بداية جيدة.
ملخص
هناك الكثير لتفحصه في المعلومات أعلاه! نأمل أن تجد الإرشادات حول كيفية إنشاء سجل سياسة DMARC مفيدة. كما نأمل أن يساعدك توضيحنا لأهمية DMARC في توضيح سبب بدء استخدامك لهذا الأداة الهامة لحماية سمعة بريدك الإلكتروني.
بالطبع، هذا ليس وثيقة كاملة أو سلطوية حول الموضوع. إذا كنت ترغب في الاستزادة أو تحتاج إلى مزيد من المساعدة، فإن مكانًا رائعًا للبدء هو الأسئلة الشائعة الرسمية لـ DMARC. وكما لا يخفى عليك، فإن فريق دعم Bird جاهز لمساعدتك في تجهيز حسابك على Bird لـ DMARC أيضًا.
شكراً للقراءة—وابدأ في حماية نطاقاتك باستخدام DMARC اليوم!