بريدٌ مزعج من نطاقٍ لم يعد يملكه أحد

بقلم فريق زمام · 12 May 2026 · حُدّث 29 May 2026

الخلاصة

مدخل `include:` منسيّ في SPF يشير إلى نطاق منتهي الصلاحية أتاح للمهاجمين إعادة تسجيله وإرسال بريد مُصادَق بالكامل باسم علامات موثوقة.
في ذروتها أرسلت عملية SubdoMailing ما يُقدَّر بخمسة ملايين رسالة يومياً من نحو 8,000 نطاق مختطَف.
ما كان الفحص الخارجي سيُظهره: مدخل `include:` معلّق يحلّ إلى نطاق غير مسجّل، ظاهرٌ في DNS العام، وإصلاحه مجاني.

في هذه الصفحة

في فبراير 2024، لاحظ باحثون في Guardio Labs شيئاً كان ينبغي أن يكون مستحيلاً. كان البريد المزعج يصل إلى صناديق الوارد مرتدياً اعتماد بعضٍ من أكثر الأسماء ثقةً على الإنترنت — MSN و McAfee و eBay و VMware و The Economist وجامعة Cornell، وحتى UNICEF. ولم يكن يزيّف ذلك الاعتماد؛ كان يجتاز كل فحص. سجلّ سياسة المُرسِل¹: نجاح. سياسة المطابقة²: مطابَقة. كان البريد، بكل مقياس تقنيٍّ يستخدمه صندوقك، مصرّحاً به فعلاً من العلامات التي ادّعى أنه منها.

والعلامات نفسها لم تكن تدري. لم تُخترَق، ولم تُسرَق منها كلمة مرور، ولم يُختَرق لها خادم. كل ما في الأمر أن المهاجمين وجدوا المفاتيح التي تركتها هذه الشركات في الباب قبل سنوات ثم نسيتها.

البابان المنسيّان

أطلقت Guardio على العملية اسم SubdoMailing وعلى الفاعل وراءها ResurrecAds. في ذروتها كانت الحملة ترسل ما يُقدَّر بـ خمسة ملايين رسالة يومياً من نحو 8,000 نطاق و13,000 نطاق فرعي مختطَف، بحسب تحليل Guardio. ونجحت باستغلال نوعين من إهمال DNS يكاد لا تخلو منهما مؤسسة كبيرة.

الباب الأول هو include: المعلّق في سجلّ سياسة المُرسِل. فحين تشترك شركة مع مزوّد بريد — منصّة تسويق، أو أداة استبيان، أو نظام تذاكر — تضيفه إلى سجلّها بسطر include:، يقول: “البريد من خوادم هذا المزوّد مسموح له باستخدام نطاقي”. وبعد سنوات تتوقف الشركة عن استخدام المزوّد، لكن لا أحد يزيل ذلك السطر. فإن انتهت صلاحية نطاق ذلك المزوّد، أمكن المهاجم أن يعيد تسجيله. وهكذا يصير يتحكم في نطاق يثق به سجلّ الضحية الحيّ صراحةً — وكل ما يصرّح به ذلك النطاق تصرّح به الضحية معه. وقد وجدت Guardio ضحيةً واحدة وسّع سجلّها، بالكامل، تصريحاً متكرّراً لـ 17,826 عنوان IP.

أمّا الباب الثاني فهو الاسم المستعار³ المعلّق الكلاسيكي. نطاق فرعي مثل promo.brand.com يُوجَّه عبر CNAME إلى خدمة خارجية. تُغلَق الخدمة، ويُترك CNAME في مكانه، فيُسجّل المهاجم الهدف غير المُطالَب به، ويصير النطاق الفرعي له يُرسِل منه. وقد ظلّ نطاق فرعي في تقرير Guardio يشير بهدوء إلى مضيف مهجور منذ 2001.

اجمع البابين، فتحصل على بنية بريد تملكها على الورق شركات Fortune 500 وجامعات كبرى — بينما تُشغّلها في الواقع عصابة بريد مزعج تمرّ عبر آلاف عناوين IP لوكلاء سكنيّين. وقدّر تقريرٌ ثانوي من BleepingComputer و SecurityWeek، تلخيصاً لـ Guardio، أسطول الإرسال بنحو 22,000 عنوان IP فريد.

لماذا مرّرتها مرشّحاتك

هنا الجزء المقلق. تعتمد مرشّحات البريد المزعج اعتماداً كبيراً على المصادقة، فالرسالة التي تجتاز سجلّ سياسة المُرسِل وتطابق السياسة ترث سمعة النطاق المُرسِل. وكان جوهر SubdoMailing استعارة سُمعٍ استغرق بناؤها عقوداً. لم يحتج البريد إلى أن يتسلّل من المرشّحات؛ كانت المرشّحات تؤدي عملها بالضبط، لكنّ المدخلات التي وثقت بها كانت قد سُمِّمت في المنبع، في سجلات DNS كفّت العلامات عن النظر إليها.

ولا CVE لهذا. لم يكن شيء “مُعرَّضاً” بالمعنى البرمجي. إنه إخفاق دورة حياة — الاهتراء البطيء لـ DNS النطاق عبر سنوات من الاندماجات وتبديل الموردين والمشاريع المهجورة.

ماذا كان المنظور الخارجي سيُظهِر

هنا ما يجعل SubdoMailing الحجّة المثالية للنظر إلى نطاقك من الخارج: كل شرط من هذه الشروط كان ظاهراً في DNS العام، مجاناً، قبل أن يصل المهاجمون.

يُكتشَف include: المعلّق بأن تحلّ كل مدخل في السجلّ حلّاً متكرّراً، وتتحقق هل كل نطاق مُضمَّن لا يزال مسجّلاً ولا يزال يستجيب. وinclude: يحلّ إلى نطاق غير مسجّل أو منتهٍ هو استيلاء بانتظار حدوثه.
يُكتشَف CNAME المعلّق بأن تتابع اسم كل نطاق فرعي المستعار إلى هدفه، وتتحقق هل الهدف لا يزال موجوداً. و CNAME يشير إلى لا شيء هو استيلاء على نطاق فرعي بانتظار حدوثه.
أمّا أن يتوسّع السجلّ إلى آلاف عناوين IP المصرّح بها، أو يتجاوز حدّ العشر عمليات بحث الذي يفرضه المعيار، فهو رايةٌ حمراء بذاته.

لا يُرسِل أيٌّ من هذه الفحوص رسالةً واحدة، ولا يلمس خادماً واحداً؛ إنها تقرأ سجلات يراها الإنترنت كله أصلاً. وهذا بالضبط نوع المراجعة التي يُجريها زمام، ونوع النتيجة التي — إن اكتُشِفت مبكراً — لا تكلّف شيئاً لإصلاحها وتكلّف كل شيء لتجاهلها.

وإن أردت خلفيةً عن كيف تعمل هذه السجلات فعلاً، فابدأ بـ شرح SPF و DKIM و DMARC و سجلات DNS التي تؤثّر في أمانك .

المصادر

Guardio Labs، “SubdoMailing” (26 فبراير 2024): https://guard.io/labs/subdomailing-thousands-of-hijacked-major-brand-subdomains-found-bombarding-users-with-millions
BleepingComputer، “Hijacked subdomains of major brands used in massive spam campaign”: https://www.bleepingcomputer.com/news/security/hijacked-subdomains-of-major-brands-used-in-massive-spam-campaign/
SecurityWeek، “Domains once owned by major firms help millions of spam emails bypass security”: https://www.securityweek.com/domains-once-owned-by-major-firms-help-millions-of-spam-emails-bypass-security/
Red Sift، “Decoding the tricks: an analysis of poisoned domains in the SubdoMailing attack”: https://blog.redsift.com/email/decoding-the-tricks-an-analysis-of-poisoned-domains-in-the-subdomailing-attack/

الهامش

SPF — Sender Policy Framework، إطار سياسة المُرسِل. ↩︎
DMARC — Domain-based Message Authentication, Reporting and Conformance، سياسة مصادقة الرسائل والمطابقة. ↩︎
CNAME — Canonical Name، سجلّ “الاسم المستعار” الذي يوجّه نطاقاً فرعياً إلى اسم آخر. ↩︎