كيف تعالج نتيجة DMARC عند p=none

بقلم فريق زمام ·

في هذه الصفحة

إذا أبلغ الفحص أن سجل DMARC1 موجود لكنه عند p=none، فنطاقك مُراقَب لكنه غير محميّ. سياسة p=none تطلب من خوادم البريد المستقبِلة أن تُبلِغ عن البريد الفاشل في المصادقة، لا أن تتصرّف حياله — فيظلّ بإمكان المهاجم إرسال بريد مقنِع باسم نطاقك الظاهر. والإصلاح هو الانتقال، بحذر، من المراقبة إلى الفرض.

يفترض هذا الدليل أن لديك SPF2 و DKIM3 أصلاً. وإن لم يكن، فابدأ بـ شرح SPF و DKIM و DMARC .

لماذا p=none خطّ البداية فقط

p=none المكان الصحيح لبدء تفعيل DMARC، لأنه لا يكسر شيئاً بينما تتعرّف على من يرسل باسم نطاقك. ويصبح مشكلةً حين يُترك النطاق عنده إلى الأبد: تجمع تقارير لا يقرؤها أحد، ولا تنال شيئاً من الحماية من الانتحال التي وُجِد DMARC لأجلها.

ملاحظة عن pct

كانت الأدلة القديمة تطلب منك التدرّج عبر وسم pct (مثل pct=25). لا تعتمد عليه: فقد أزاله RFC 9989 ، معيار DMARC لعام 2026، لأن المستقبِلين طبّقوه على نحو غير متسق. وإن أردت الإشارة إلى تجربة غير مُلزِمة، يضيف RFC 9989 الوسم t=y لوضع الاختبار بدلاً منه. أمّا الطريقة الموثوقة للتدرّج فتشغيلية، كما يلي.

خطوة بخطوة

1. اقرأ تقاريرك التجميعية

ينبغي أن يحوي سجل p=none لديك عنوان إبلاغ أصلاً:

v=DMARC1; p=none; rua=mailto:[email protected]

في غضون يوم أو يومين يرسل المستقبِلون تقارير XML تجميعية إلى ذلك العنوان. استخدم أداة عرض لتقارير DMARC لقراءتها — فهي تسرد كل مصدر يرسل باسم نطاقك وهل يجتاز مطابقة SPF و DKIM. وهدفك قائمةٌ كاملة بمُرسِليك الشرعيين.

2. أصلِح المرسِلين الشرعيين

لكل مُرسِل حقيقي يفشل، أصلِحه: أضِفه إلى SPF، أو فعّل توقيع DKIM له، أو كليهما. ولا تتقدّم حتى يجتاز بريدك الحقيقي باستمرار. هذه الخطوة هي العمل الفعلي؛ وتغيير السياسة في النهاية تافهٌ بالمقارنة.

3. انتقل إلى الحجر (quarantine)

ما إن يجتاز البريد الشرعي بثبات، شدّد السياسة كي يذهب البريد الفاشل إلى صندوق الإزعاج:

v=DMARC1; p=quarantine; rua=mailto:[email protected]

راقِب التقارير أسبوعين. وإن ظهر مُرسِل شرعي فاتك، فأصلِحه قبل المضيّ أبعد.

4. انتقل إلى الرفض (reject)

حين تصبح التقارير نظيفة، افرِض السياسة كاملةً:

v=DMARC1; p=reject; rua=mailto:[email protected]

عند p=reject يرفض المستقبِلون البريد الذي يفشل في المصادقة — وهو الخطّ الذي يوقف المهاجم فعلاً عن انتحال نطاقك. ولاحظ أن DMARC يصف تفضيلك في التعامل؛ وقد يطبّق المستقبِلون تحليلهم الخاص أيضاً.

تحقّق وأعد الفحص

بعد كل تغيير في DNS، امهِل وقتاً للانتشار، ثم أعد فحصاً خارجياً لتأكيد السياسة المنشورة. وينبغي أن تختفي النتيجة بمجرد أن تبلغ p= قيمة quarantine أو reject ويظلّ بريدك الشرعي ناجحاً.

ذات صلة

الهامش

  1. DMARC — Domain-based Message Authentication, Reporting and Conformance، سياسة مصادقة الرسائل والمطابقة وإعداد التقارير. ↩︎

  2. SPF — Sender Policy Framework، إطار سياسة المُرسِل. ↩︎

  3. DKIM — DomainKeys Identified Mail، البريد المُعرَّف بمفاتيح النطاق. ↩︎