سجلات DNS التي تؤثّر في أمانك
في هذه الصفحة
نظام أسماء النطاقات1 هو دفتر عناوين الإنترنت، ودفترك منه منشورٌ ليقرأه العالم. وهذا الانفتاح مقصود — فبه يهتدي الجميع إلى خوادمك — لكنه يعني أيضاً أن حفنةً من السجلات تقرّر بهدوء مدى صعوبة انتحالك أو اختطافك. تضبط معظم المؤسسات هذه السجلات مرةً واحدة ولا تعود إليها، وهذا بالضبط كيف تختلّ.
السجلات التي تحمي بريدك
ثلاثة من أهمّ السجلات الأمنية هي سجلات نصّية تحكم البريد:
- سجلّ سياسة المُرسِل2 يذكر من يجوز له الإرسال باسم نطاقك.
- البريد المُعرَّف بمفاتيح النطاق3 ينشر المفتاح العام الذي يتحقق من بريدك الموقَّع.
- سياسة المطابقة4 (عند
_dmarc) تضبط طريقة الفرض.
تجد شرحها الكامل في شرح SPF و DKIM و DMARC .
CAA: من يحقّ له إصدار شهاداتك
سجلّ تفويض سلطة الشهادات5 يذكر أيّ سلطات الشهادات يُسمح لها بإصدار شهادات لنطاقك. وبدونه تستطيع أي سلطة عامة أن تُصدِر شهادةً باسمك، حتى إن المهاجم الذي يختطف DNS لديك ولو لبرهة يستطيع الحصول على شهادة صالحة لنسخة تصيّد مقنِعة. وهنا يأتي دور هذا السجلّ المُقيِّد: يضيّق تلك النافذة.
السجلات المعلّقة واقتصاد الاستيلاء
أخطر مشكلات DNS هي أيضاً أكثرها مللاً: سجلات نسيت حذفها. فالسجلّ “المعلّق” يشير إلى خدمة لم تعد تستخدمها — اسم مستعار6 موجَّه إلى حاوية تخزين سحابية، أو تطبيق خدمي، أو شبكة توزيع محتوى7 أغلقتها. فإن استطاع غيرك أن يعيد المطالبة بذلك المورد، أمكنه أن يقدّم محتوى تحت نطاقك الفرعي. هذا استيلاء على نطاق فرعي، وليس أمراً نظرياً: فقد حوّلت حملتا Hazy Hawk و Sitting Ducks هذا الخطأ بالضبط إلى بنية تحتية واسعة، فاختطفت نطاقات فرعية لمراكز مكافحة الأمراض، وجامعات كبرى، وشركات عالمية، دون أن يُخترَق أيٌّ منها بالمعنى التقليدي. وفي حادثة قريبة من 2026، أفضى اختطافٌ على مستوى السجلّ إلى استنزاف 1.2 مليون دولار من مستخدمي نطاق واحد.
نظافة عامة تستحقّ ثمنها
- احذف سجلات المضيفين والخدمات المُوقَفة فور إيقافها.
- احتفظ بجردٍ لنطاقاتك الفرعية، فالمنسيّ منها هو الخطير.
- احمِ حساب مزوّد DNS بمصادقة قوية مقاوِمة للتصيّد، فالتحكم في DNS تحكّمٌ في نطاقك نفسه.
- فعّل قفل المُسجِّل أو السجلّ على النطاقات عالية القيمة.
- فكّر في تفعيل DNSSEC حيث يدعمه مزوّدك، للحماية من تزييف DNS.
كيف يساعد زمام
يراجع زمام DNS العام لديك ضمن فحصه الخارجي: يفحص مصادقة البريد، ويُبرز النطاقات الفرعية والسجلات الظاهرة للعامة، ويُشير إلى ثغرات النظافة التي تقود إلى الاستيلاء. ولا يقرأ سوى DNS العام، ولا يغيّر شيئاً.
ذات صلة
- شرح SPF و DKIM و DMARC
- كيف تتحقق من شهادة SSL/TLS
- من المدوّنة: مراكز مكافحة الأمراض كانت تقدّم برمجيات خبيثة، ولم تُخترَق
الهامش
DNS — Domain Name System، نظام أسماء النطاقات. ↩︎
SPF — Sender Policy Framework، إطار سياسة المُرسِل. ↩︎
DKIM — DomainKeys Identified Mail، البريد المُعرَّف بمفاتيح النطاق. ↩︎
DMARC — Domain-based Message Authentication, Reporting and Conformance. ↩︎
CAA — Certification Authority Authorization، تفويض سلطة الشهادات. ↩︎
CNAME — Canonical Name، سجلّ “الاسم المستعار” الذي يوجّه نطاقاً فرعياً إلى اسم آخر. ↩︎
CDN — Content Delivery Network، شبكة توزيع المحتوى. ↩︎
— قراءة