كيف تتحقق من سجل SPF
في هذه الصفحة
سجلّ سياسة المُرسِل1 ليس سرّاً؛ إنه سجلّ نصّي2 عام يعيش في نظام أسماء النطاقات3 الخاص بنطاقك. ومعنى ذلك أنك تقرؤه من أي حاسوب في ثوانٍ، تماماً كما يقرؤه كل من يدرس نطاقك تمهيداً لانتحاله. وأن تقرأه بنفسك وتعرف كيف يبدو “الجيّد” منه، هو أرخص فحص أمني ستجريه في حياتك.
نسخة الثلاثين ثانية
أي أداة تعرض سجلات DNS من النوع النصّي ستُظهِر سجلّك. ابحث عن “أداة فحص سجل SPF”، أدخِل
نطاقك، وتتبّع السطر الذي يبدأ بـ v=spf1. هذا كل ما في الأمر؛ فإن كنت ممّن لا يقتربون من
سطر الأوامر، فلا داعي للمضيّ أبعد من هنا.
عبر dig (على macOS و Linux)
dig +short TXT example.com
ابحث عن القيمة التي تبدأ بـ v=spf1. ولتقليل الضجيج:
dig TXT example.com | grep spf1
عبر nslookup (على Windows)
nslookup -type=txt example.com
سجلّك هو النص الذي يبدأ بـ v=spf1.
كيف تقرأ النتيجة بعين المدافع
السجلّ السليم يذكر كل مُرسِل شرعي وينتهي بفشل صارم:
v=spf1 include:_spf.google.com include:servers.mcsv.net -all
وتكاد أربع مشكلات وحدها تفسّر كل إخفاقات هذا السجلّ في الواقع:
- لا سجلّ إطلاقاً. ليس لدى المستقبِلين ما يتحققون منه، فيصبح نطاقك سهل الانتحال.
- نهاية ليّنة. تخبر
~allأو?allالمستقبِلين بألّا يأخذوا البريد غير المصرّح به على محمل الجدّ، والأرجح أنك تريد-allبدلاً منها. - عمليات بحث أكثر من اللازم. الحدّ المسموح به عشر عمليات بحث في DNS وهو يوسّع سلاسل
include:، فمتى تجاوزته أرجع السجلّ خطأً دائماً تقرؤه الخوادم على أنه فشل — انقطاع ذاتيّ مختبئ داخل سجلّ يبدو سليماً. include:معلّق. حين يشيرinclude:إلى نطاق منتهي الصلاحية فهو ليس مجرد عبء؛ إنه بالضبط ناقل الاستيلاء وراء حملة SubdoMailing . فكل نطاق تضعه فيinclude:هو نطاق تثق بأنه ما زال ملكاً لمن تظنّه.
وهناك خطأ خامس، أندر لكنه قاتل: أن يحمل نطاق واحد سجلَّين اثنين. يسمح المعيار بسجلّ واحد لا غير، والاثنان خطأ.
كيف يساعد زمام
يحلّل زمام سجلّك تماماً كما يفعل الخادم المستقبِل: يوسّع مدخلات include، ويَعُدّ عمليات البحث، ويتحقق هل كل نطاق مُضمَّن لا يزال قائماً، ثم يبلّغك بسجلّ مفقود، أو نهاية ضعيفة، أو تجاوزٍ لحدّ عمليات البحث، أو include معلّق، إلى جانب نتائج البريد المُعرَّف بمفاتيح النطاق وسياسة المطابقة، لترى الصورة كاملةً دفعةً واحدة.
ذات صلة
الهامش
— قراءة