في هذا المنشور، سنخبرك بكل ما تحتاج لمعرفته حول الاستفادة من DMARC لحماية سمعة بريدك الإلكتروني، ونقدم لك بعض النصائح حول كيفية إعدادها لمجالاتك.
أداة فعالة لمكافحة البريد الاحتيالي
غالبًا ما يتم ذكره جنبًا إلى جنب مع بروتوكولات المصادقة البريدية SPF و DKIM، فإن DMARC، أو مصادقة الرسائل المستندة إلى النطاق والتقارير والمطابقة، ليس في حد ذاته بروتوكول مصادقة. بدلاً من ذلك، فإن الغرض من DMARC هو السماح لنا، أصحاب النطاقات، بحماية سمعة بريدنا الإلكتروني من خلال:
الإعلان عن ممارسات مصادقة البريد الإلكتروني،
طلب معالجة للبريد الذي يفشل في اختبارات المصادقة، و
طلب تقارير عن البريد الذي يدعي أنه من نطاقها.
يمكن أن يكون DMARC أداة فعالة لنا لاستخدامها في حربنا ضد البريد الاحتيالي الذي يستهدف اسم نطاقنا (مثل التصيد والاحتيال)، والذي يمكنه تعزيز الثقة العالية بين مستلمي بريدنا. بالنسبة للمؤسسات التي تتطلب تشفيرًا من البداية إلى النهاية يتجاوز المصادقة، يوفر تنفيذ S/MIME مع طرق جمع المفتاح العام للمستلمين طبقات أمان إضافية. هذه الثقة العالية يجب أن تؤدي بدورها إلى زيادة المشاركة مع بريدنا، والبريد الذي يتم فتحه ويولد نقرات يحقق مبيعات وعائد استثمار أعلى لحملات البريد الإلكتروني الخاصة بنا.
بالإضافة إلى حماية نطاقنا، نتوقع أن تنفيذ DMARC الآن سيكون طريقة رائعة لـ "حماية نطاقنا في المستقبل". هنا في Bird، نعتقد أنه مع انتقال الصناعة إلى IPv6، فمن المؤكد تقريبًا أن تنتقل من نموذج السمعة المستند إلى IP إلى نموذج السمعة المستند إلى النطاق. سيتطلب السمعة المستندة إلى النطاق مصادقة مستندة إلى النطاق، وDMARC، بالتعاون مع DKIM وSPF، سيساعد النطاقات في تأسيس سمعة مستندة إلى النطاق لفترة طويلة قبل أن يكون ذلك ضروريًا تمامًا.
في هذا المنشور، سنخبرك بكل ما تحتاج إلى معرفته حول استخدام DMARC لحماية سمعة بريدك الإلكتروني ونقدم لك نصائح حول كيفية إعداده لنطاقاتك.
مصطلحات يجب معرفتها
كيف تعمل DMARC لحماية سمعة بريدك الإلكتروني
عندما نتحدث عن مزود صندوق بريد أو نطاق آخر يقوم بـ "التحقق من DMARC" أو "التحقق من صحة DMARC" أو "تطبيق سياسة DMARC"، فإن ما نعنيه هو أن النطاق الذي يستقبل الرسالة يقوم بالخطوات التالية:
تحديد نطاق RFC5322.From للرسالة
البحث عن سياسة DMARC لذلك النطاق في DNS
أداء التحقق من صحة التوقيع DKIM
أداء التحقق من صحة SPF
التحقق من توافق النطاق
تطبيق سياسة DMARC
لكي تمر الرسالة من التحقق من DMARC، يجب أن تجتاز الرسالة أحد فحوصات التحقق والتوافق فقط. لذلك، سيتم تمرير الرسالة من التحقق من DMARC إذا كان أي مما يلي صحيحًا:
الرسالة تجتاز فحوصات SPF وتكون نطاقات RFC5322.From و Return-Path في توافق، أو
الرسالة تجتاز التحقق من صحة DKIM وتكون نطاقات RFC5322.From و DKIM d= في توافق، أو
كلا الشرطين أعلاه صحيحان
جعل DMARC يعمل لصالح نطاقك
الآن بعد أن شرحنا آلية عمل DMARC، دعنا نتحدث عن كيفية جعل DMARC يعمل لصالحنا، مما يتضمن الخطوات الثلاثة التالية:
التحضير لاستلام تقارير DMARC
اتخاذ قرار بشأن سياسة DMARC المناسبة لنطاقك
نشر سجل DMARC الخاص بك
سنقوم بتغطية كل واحدة من هذه الخطوات بالتفصيل أدناه، ولكن سنخبرك مباشرة أن الخطوة 1 المذكورة أعلاه ستستهلك حوالي 95% من وقت تحضيرك.
التحضير لتلقي تقارير DMARC
أي نطاق ينشر سياسة DMARC يجب أن يستعد أولاً لتلقي التقارير المتعلقة بنطاقه. ستولد هذه التقارير من قبل أي نطاق يقوم بالتحقق من صحة DMARC ويرى بريدًا يدعي أنه من نطاقنا، وسترسل إلينا على الأقل بشكل يومي. سوف تأتي التقارير في شكلين:
تقارير مجمعة، وهي مستندات XML تُظهر البيانات الإحصائية لكمية البريد التي شاهدها المراسل من كل مصدر، وما كانت نتائج المصادقة، وكيف تم التعامل مع الرسائل من قبل المراسل. تم تصميم التقارير المجمعة لتتم قراءتها آليًا، مع تخزين بياناتها في مكان ما للسماح بتحليل حركة المرور الشاملة، مراجعة تدفقات رسائل نطاقنا، وربما تحديد الاتجاهات في مصادر البريد الإلكتروني غير المصدق عليها والمحتمل أن يكون احتياليًا.
تقارير جنائية، وهي نسخ فردية من الرسائل التي فشلت في المصادقة، كل منها مغلق في رسالة بريد إلكتروني كاملة باستخدام صيغة تسمى AFRF. يُفترض أن تتضمن التقارير الجنائية الرؤوس الكاملة وأجسام الرسائل، لكن العديد من المراسلين يقومون بإزالة أو تنقيح بعض المعلومات بسبب مخاوف الخصوصية. ومع ذلك، لا تزال التقارير الجنائية مفيدة سواء في حل مشكلات المصادقة الخاصة بنطاقنا أو في تحديد، من عناوين URI في أجسام الرسائل، النطاقات والمواقع الضارة المستخدمة لخداع عملاء مالك نطاقنا.
يتضمن الاستعداد لتلقي هذه التقارير أولاً إنشاء صندوقي بريد في نطاقنا لمعالجة هذه التقارير، مثل agg_reports@ourdomain.com و afrf_reports@ourdomain.com. لاحظ أن أسماء صناديق البريد هذه عشوائية تمامًا، ولا توجد متطلبات لتسمية الجزء المحلي من صندوق البريد؛ نحن أحرار في اختيار أي أسماء نريد، ولكن نحتفظ بالصندوقين منفصلين للتسهيل في المعالجة.
بمجرد اختيار أسماء صناديق البريد وإنشائها في نطاقنا، الشيء التالي الذي يجب القيام به هنا هو وضع أدوات لقراءة هذه الصناديق والاستفادة من البيانات، خاصة تقارير البيانات المجمعة، المصممة مرة أخرى لتُقرأ آليًا، بدلاً من قراءتها من قبل إنسان. أما بالنسبة للتقارير الجنائية، فقد يكون من الممكن إدارتها ببساطة عن طريق قراءتنا لها بأنفسنا، لكن قدرتنا على القيام بذلك ستعتمد على كل من فهم عميل بريدنا لكيفية عرض الرسائل بصيغة AFRF وحجم التقارير التي نحصل عليها.
بينما يمكننا كتابة أدواتنا الخاصة لمعالجة تقارير DMARC، حتى ذلك الوقت الذي تقدم فيه Bird مثل هذه الخدمات لعملاء bird.com (شيء نعتبره، ولكن لا نعد به بعد)، نوصي باستخدام الأدوات المتاحة بالفعل لهذه المهمة.
أي سياسة DMARC يجب استخدامها
يوفر مواصفات DMARC ثلاثة خيارات لمالكي النطاقات لاستخدامها لتحديد تفضيلاتهم في التعامل مع البريد الذي يفشل في اجتياز فحوصات التحقق من صحة DMARC. الخيارات هي:
لا شيء، مما يعني معالجة البريد بنفس الطريقة التي يُعالج بها دون فحوصات تحقق DMARC
حجر، مما يعني قبول البريد ولكن وضعه في مكان آخر غير صندوق الوارد للمستلم (عادةً مجلد البريد المزعج)
رفض، مما يعني رفض الرسالة تماماً
من المهم أن يوضع في الاعتبار أن مالك النطاق يمكنه فقط طلب مثل هذا المعاملة في سجله DMARC؛ ويقع على عاتق المستلم أن يقرر ما إذا كان سيحترم السياسة المطلوبة أم لا. قد يقوم البعض بذلك، بينما قد يكون البعض الآخر أكثر مرونة قليلاً في تطبيق السياسة، مثل وضع البريد فقط في مجلد البريد المزعج عندما تكون سياسة النطاق هي الرفض.
ننصح جميع عملائنا بأن يبدأوا بسياسة من نوع لا شيء، فقط لتكونوا في أمان. بينما نحن واثقون من قدرتنا على مصادقة بريدك بشكل صحيح من خلال توقيع DKIM، لا يزال من الأفضل أن تأخذ بعض الوقت لفحص التقارير حول نطاقك قبل أن تصبح أكثر شراسة في سياسة DMARC الخاصة بك.
نشر سياسة DMARC الخاصة بك
سياسة DMARC لمجال ما تُعلن عن طريق نشر سجل DNS TXT في مكان محدد في فضاء أسماء DNS، وهو “_dmarc.domainname.tld” (لاحظ الشرطة السفلية في البداية). قد يبدو سجل سياسة DMARC الأساسي لمجال مثالنا السابق، joesbaitshop.com، كما يلي:
_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"
بتفكيك هذا السجل، لدينا:
v=DMARC1 يحدد إصدار DMARC (1 هو الخيار الوحيد الآن)
p=none يحدد المعالجة المفضلة، أو سياسة DMARC
rua=mailto:agg_reports@joesbait.com هو صندوق البريد الذي يجب إرسال التقارير الإجمالية إليه
ruf=mailto:afrf_reports@joesbait.com هو صندوق البريد الذي يجب إرسال التقارير الجنائية إليه
pct=100 هو النسبة المئوية للبريد الذي يرغب مالك المجال في تطبيق سياسته عليه. قد ترغب المجالات التي بدأت للتو مع DMARC، وخاصةً تلك التي يُحتمل أن تُنتج حجمًا كبيرًا من التقارير، في البدء برقم أقل بكثير هنا لرؤية كيف تتحمل عمليات معالجة تقاريرها على الحمل.
هناك خيارات تكوين أخرى متاحة لمالك المجال لاستخدامها في سجل سياسة DMARC أيضًا، لكن النصائح التي قدمناها يجب أن تكون بداية جيدة.
ملخص
هناك الكثير لفهمه في المعلومات أعلاه! نأمل أن تجد دليل إنشاء سجل سياسة DMARC مفيدًا. كما نأمل أن تساعدك توضيحاتنا حول لماذا يهم DMARC في توضيح سبب يجب أن تبدأ في استخدام هذه الأداة الهامة لحماية سمعة بريدك الإلكتروني.
بالطبع، هذه ليست وثيقة كاملة أو موثوقة في هذا الموضوع. إذا كنت ترغب في التعمق أكثر أو تريد المزيد من المساعدة، فإن مكان رائع للبدء هو الأسئلة الشائعة الرسمية لـ DMARC. وبالطبع، فإن فريق دعم Bird جاهز لمساعدتك في تهيئة حسابك على Bird لـ DMARC أيضًا.
شكرًا على القراءة وابدأ في حماية نطاقاتك مع DMARC اليوم!
