كيف تُعدّ DMARC خطوة بخطوة

بقلم فريق زمام ·

في هذه الصفحة

لتفعيل سياسة مصادقة الرسائل1 طريقان لا ثالث لهما. أمّا الطريق المتهوّر فهو أن تنشر p=reject في أول يوم، ثم تكتشف من المكالمات الغاضبة أيّ أنظمتك قطعتَها عن صندوق الوارد للتوّ. وأمّا الطريق الآمن فيستغرق أسابيع قليلة، لا يحجب شيئاً على حين غِرّة، وينتهي بك إلى الوجهة نفسها تماماً. وهذا الدليل عن الطريق الآمن.

تُبنى هذه السياسة على سجلّ سياسة المُرسِل والبريد المُعرَّف بمفاتيح النطاق، فتأكّد من وجودهما أولاً — راجع شرح SPF و DKIM و DMARC .

الخطوة 1 — ابدأ بالإنصات

انشر سجلّاً نصّياً واحداً عند _dmarc.example.com لا يتّخذ أي إجراء، ويكتفي بطلب التقارير:

v=DMARC1; p=none; rua=mailto:[email protected]

لا يستطيع p=none أن يكسر شيئاً؛ كل ما يفعله أنه يطلب من مزوّدي البريد في العالم أن يبدؤوا بإرسال تقارير تجميعية إليك عمّن يُرسِل باسم نطاقك. هذه الخطوة بلا مخاطر، وتجاوزها هو بالضبط كيف يكسر الناس بريدهم بأيديهم.

الخطوة 2 — اقرأ ما يعود إليك

في غضون يوم أو يومين تبدأ التقارير بالوصول بصيغة XML، تُظهر كل مصدر يُرسِل باسم نطاقك وهل يجتاز المطابقة. وقراءة هذه الملفات الخام مؤلمة، فاستعِن بأداة عرض للتقارير. هدفك هنا حصرٌ كامل لمُرسِليك الشرعيين: منصّة البريد، ونظام إدارة العملاء، ومكتب الدعم، ونظام الفوترة، وتلك الخدمة التسويقية التي نسي الجميع وجودها.

هذا الحصر هو العمل الحقيقي في الأمر كله. وتكاد كل عملية تفعيل مؤلمة تتعثّر هنا، لا في صياغة السجلّ.

الخطوة 3 — عالِج الثغرات

كلّما فشل مُرسِل شرعي، عالِجه: أضِفه إلى سجلّ سياسة المُرسِل، أو فعّل توقيعه بمفاتيح النطاق، أو كليهما. ولا تتقدّم خطوةً واحدة حتى يجتاز بريدك الحقيقي المصادقة باستمرار.

الخطوة 4 — الحجر

ما إن يستقرّ بريدك الشرعي على النجاح، شدّد السياسة كي تذهب الإخفاقات إلى صندوق الإزعاج:

v=DMARC1; p=quarantine; rua=mailto:[email protected]

كانت بعض الأدلة القديمة تقترح استخدام الوسم pct للتدرّج في فرض السياسة، لكن لا تعتمد عليه اليوم: فقد أزاله RFC 9989 (معيار DMARC لعام 2026) لأن تطبيقه لم يكن متسقاً بين المستقبِلين. التدرّج الآمن الآن تشغيليٌّ لا نسبيّ — راقِب التقارير التجميعية في كل خطوة، ولا تتقدّم إلا حين يجتاز بريدك الشرعي بنظافة. وإن أردت الإشارة إلى تجربة غير مُلزِمة، يضيف RFC 9989 الوسم t=y لوضع الاختبار.

الخطوة 5 — الرفض

وحين تصبح التقارير نظيفة، افرِض السياسة كاملةً:

v=DMARC1; p=reject; rua=mailto:[email protected]

عند p=reject يرفض المستقبِلون كل بريد يفشل في المصادقة. هذا هو الخطّ الذي يوقف المهاجم فعلاً عن انتحال نطاقك، وهو نفسه الخطّ الذي لا تعبره معظم المؤسسات قط. فاستطلاعات القطاع تجد باستمرار أن غالبية النطاقات التي لديها هذه السياسة عالقةٌ عند p=none: تراقب إلى الأبد، ولا تحمي شيئاً.

كيف يساعد زمام

يبلّغك زمام بسياستك الحالية ويُبرز التوقّف الكلاسيكي: نطاق عالق عند p=none بعد طول إعداد، يجمع التقارير بينما يبقى مكشوفاً تماماً للانتحال. والفحص قراءة فقط، يعتمد على DNS العام وحده.

ذات صلة

الهامش

  1. DMARC — Domain-based Message Authentication, Reporting and Conformance، سياسة مصادقة الرسائل والمطابقة وإعداد التقارير. ↩︎