التكنولوجيا

شرح SPF و DKIM و DMARC بطريقة مبسطة

أسبوعين ago

دليل إعداد SPF و DKIM و DMARC: حماية بريدك الإلكتروني من الانتحال والاختراق

لماذا يجب عليك الاهتمام بأمان بريدك الإلكتروني؟

هل سبق أن تلقيت رسالة بريد إلكتروني تبدو وكأنها صادرة من شركة موثوقة، ثم اكتشفت لاحقًا أنها رسالة احتيالية؟ هذا بالضبط ما يحدث عندما لا يكون نطاقك محميًا بشكل صحيح. إعداد SPF و DKIM و DMARC ليس خيارًا ترفيهيًا للمطورين المتقدمين، بل هو ضرورة حقيقية لكل من يمتلك نطاقًا إلكترونيًا ويرسل رسائل بريد إلكتروني باحترافية. إذا كنت تدير موقعًا، أو تمتلك متجرًا إلكترونيًا، أو حتى مدونة بسيطة، فأنت بحاجة ماسة إلى حماية البريد من الانتحال لضمان وصول رسائلك إلى المستلمين وليس إلى مجلد الرسائل المزعجة.

ما الذي تحتاج معرفته قبل البدء؟

قبل أن نخوض في التفاصيل التقنية، دعني أشرح لك الصورة الكاملة بأسلوب مبسط. عندما ترسل بريدًا إلكترونيًا من نطاقك، لا يعرف خادم الاستقبال تلقائيًا ما إذا كانت الرسالة صادرة فعلًا منك أم من شخص آخر يتظاهر بأنه أنت. هنا يأتي دور ثلاثة بروتوكولات أساسية:

SPF (Sender Policy Framework): سجل DNS يحدد الخوادم المصرح لها بإرسال البريد باسم نطاقك.
DKIM (DomainKeys Identified Mail): يضيف توقيعًا رقميًا مشفرًا لكل رسالة، يثبت أن المحتوى لم يُعدَّل.
DMARC (Domain-based Message Authentication Reporting & Conformance): يربط SPF و DKIM معًا ويحدد ما يجب فعله بالرسائل الفاشلة.

الثلاثة معًا يشكلون درعًا متكاملة لنطاقك البريدي، وكل واحد منهم يؤدي دورًا مختلفًا لا غنى عنه.

الأدوات والمتطلبات الأساسية للبدء

قبل أن تبدأ في التطبيق الفعلي، تأكد من توفر ما يلي:

1. الوصول إلى لوحة تحكم DNS لنطاقك
سواء كنت تستخدم Cloudflare أو GoDaddy أو Namecheap أو أي مزود آخر، ستحتاج إلى صلاحية تعديل سجلات DNS.

2. معرفة مزود خدمة البريد الإلكتروني
– Google Workspace
– Microsoft 365
– Zoho Mail
– أو خادم بريد مخصص (cPanel / Plesk)

3. أدوات التحقق المجانية
MXToolbox (mxtoolbox.com): لفحص سجلات SPF و DKIM و DMARC
DMARC Analyzer: لتحليل تقارير DMARC
Google Admin Toolbox: مفيد جدًا لمستخدمي Google Workspace
Mail-Tester (mail-tester.com): لاختبار نقاط جودة بريدك الإلكتروني

4. حساب بريد إلكتروني للاختبار
يُفضل أن يكون على نطاق مختلف أو خدمة مثل Gmail للتحقق من نتائج الإعدادات.

متى تحتاج فعلًا إلى تطبيق هذه الإعدادات؟

الجواب المختصر: الآن، وليس غدًا. لكن دعني أوضح السيناريوهات الأكثر إلحاحًا:

عند إطلاق موقع جديد: إذا كنت تُعدّ نطاقًا جديدًا وتريد إرسال رسائل ترحيبية أو تأكيد بريد إلكتروني للعملاء، فالإعداد الصحيح من البداية يوفر عليك متاعب كثيرة لاحقًا.

عند ملاحظة مشاكل في التسليم: إذا كانت رسائلك تصل إلى مجلد الرسائل المزعجة (Spam) بشكل متكرر، فهذا مؤشر واضح أن نطاقك يفتقر إلى التحقق الصحيح.

عند إطلاق حملة تسويق بريدي: قبل إرسال آلاف الرسائل، تأكد من أن نطاقك موثوق في نظر خوادم الاستقبال.

عند اكتشاف محاولات انتحال: إذا بلغك أحد العملاء أنه تلقى رسالة باسمك لم ترسلها أنت، فهذا يعني أن نطاقك يُستغل في هجمات انتحالية.

عند الانتقال إلى مزود بريد جديد: كل مرة تغير فيها خدمة البريد، تحتاج إلى مراجعة وتحديث سجلات SPF و DKIM.

دليل خطوة بخطوة: كيفية إعداد SPF و DKIM و DMARC

الآن وصلنا إلى القلب العملي لهذا المقال. سأشرح لك كل خطوة بالتفصيل مع الأمثلة الفعلية.

الخطوة الأولى: إعداد سجل SPF

1. سجّل الدخول إلى لوحة تحكم DNS لنطاقك.

2. أنشئ سجلًا جديدًا من نوع TXT.

3. في حقل الاسم (Name/Host)، ضع @ أو اسم نطاقك الكامل.

4. في حقل القيمة (Value)، أدخل قيمة SPF المناسبة لمزود بريدك. على سبيل المثال:
– لـ Google Workspace: `v=spf1 include:_spf.google.com ~all`
– لـ Microsoft 365: `v=spf1 include:spf.protection.outlook.com ~all`
– لـ Zoho: `v=spf1 include:zoho.com ~all`

تحذير مهم: لا تنشئ أكثر من سجل SPF واحد لنفس النطاق، وإلا سيتعطل الإعداد كليًا. إذا كنت تستخدم أكثر من مزود، ادمج الكل في سجل واحد.

5. احفظ السجل وانتظر من 15 دقيقة إلى 48 ساعة حتى ينتشر عبر الإنترنت.

الخطوة الثانية: تفعيل DKIM

لمستخدمي Google Workspace:
1. سجّل الدخول إلى لوحة تحكم Google Admin.
2. انتقل إلى التطبيقات > Google Workspace > Gmail > المصادقة على البريد الإلكتروني.
3. اختر نطاقك وانقر على إنشاء سجل جديد.
4. انسخ قيمة السجل TXT الظاهرة.
5. أضفها في لوحة تحكم DNS الخاصة بك كسجل TXT جديد.
6. عُد إلى لوحة Google Admin وانقر على بدء المصادقة.

لمستخدمي cPanel:
1. انتقل إلى Email > Email Deliverability.
2. ستجد النطاق مع زر Repair أو Manage.
3. انقر على Manage وستظهر سجلات DKIM الجاهزة.
4. انسخها وأضفها في DNS إذا كانت خارج خوادم الاستضافة.

الخطوة الثالثة: إعداد DMARC

بعد التأكد من عمل SPF و DKIM بشكل صحيح، حان وقت إضافة DMARC.

1. أنشئ سجلًا TXT جديدًا في DNS.

2. في حقل الاسم، أدخل: `_dmarc`

3. في حقل القيمة، أدخل:

“`
v=DMARC1; p=none; rua=mailto:[email protected]
“`

شرح المعاملات:
– `p=none`: مرحلة المراقبة فقط (لا يُرفض شيء)
– `p=quarantine`: الرسائل المشبوهة تذهب لمجلد السبام
– `p=reject`: الرسائل المشبوهة تُرفض كليًا
– `rua=mailto:`: عنوان البريد الذي تصله تقارير DMARC

نصيحة: ابدأ دائمًا بـ `p=none` لمدة أسبوعين على الأقل، وراجع التقارير قبل الانتقال إلى `p=quarantine` أو `p=reject`.

الخطوة الرابعة: التحقق من الإعدادات

استخدم موقع MXToolbox أو mail-tester.com للتأكد من أن إعداد SPF و DKIM و DMARC يعمل بشكل صحيح. أرسل رسالة تجريبية وتحقق من Headers البريد للتأكد من ظهور DKIM=pass و SPF=pass و DMARC=pass.

فوائد وأهمية هذه الإعدادات

لماذا يستحق هذا الجهد التقني كل هذا الوقت؟ إليك الفوائد الحقيقية:

1. تحسين معدل وصول البريد الإلكتروني (Deliverability): الرسائل المصادق عليها تصل إلى صندوق الوارد، وليس مجلد السبام.

2. حماية سمعة نطاقك: منع المحتالين من استخدام نطاقك في إرسال رسائل احتيالية، مما يحفظ ثقة عملائك.

3. تعزيز الثقة مع مزودي البريد الكبار: Google وMicrosoft يمنحان أولوية أعلى للنطاقات ذات المصادقة الكاملة.

4. الحصول على تقارير تفصيلية: DMARC يوفر تقارير يومية تُظهر من يرسل بريدًا باسم نطاقك، وهو معلومة ذهبية لأمن البريد الإلكتروني.

5. الامتثال لمتطلبات Google وYahoo: منذ عام 2024، أصبح إعداد SPF و DKIM و DMARC شرطًا إلزاميًا للمرسلين الكبار على هذين المزودين.

نصائح إضافية وممارسات أفضل

راجع سجلاتك كل 6 أشهر: خاصة إذا غيرت مزود البريد أو أضفت خدمة تسويق جديدة.

استخدم خدمة DMARC مُدارة: مثل Postmark أو Dmarcian أو EasyDMARC لتحليل التقارير بسهولة دون الحاجة لفهم XML.

لا تنسَ البريد الإلكتروني للنماذج والتنبيهات: إذا كان موقعك يرسل رسائل عبر SMTP مخصص أو خدمة مثل SendGrid، أضف نطاقها إلى سجل SPF.

استخدم DKIM بطول مفتاح 2048 بت: بدلًا من 1024 بت القديمة للحصول على أمان أعلى.

فعّل BIMI إذا أمكن: وهو بروتوكول أحدث يعرض شعار شركتك بجانب رسائلك في Gmail، لكنه يتطلب DMARC بسياسة `quarantine` أو `reject`.

أخطاء شائعة يجب تجنبها

1. إنشاء أكثر من سجل SPF واحد
هذا الخطأ وحده كفيل بتعطيل كل إعداداتك. تذكر: سجل SPF واحد فقط، ودمج جميع المزودين فيه.

2. الانتقال المتسرع إلى `p=reject` في DMARC
إذا قفزت مباشرة إلى سياسة الرفض دون مراجعة التقارير أولًا، قد تحجب رسائلك الشرعية أيضًا.

3. نسيان تحديث SPF بعد تغيير مزود البريد
عند الانتقال من Zoho إلى Google Workspace مثلًا، كثيرون ينسون حذف السجل القديم وتحديثه.

4. عدم التحقق من DKIM بعد الإعداد
يُعدّ الإعداد ناجحًا في ظنهم، لكن في الواقع التوقيع لا يعمل لأن السجل لم ينتشر بعد أو أن هناك خطأ في النسخ.

5. إهمال التقارير
DMARC يرسل تقارير يومية بصيغة XML. تجاهلها يعني أنك تضيع معلومات ثمينة عن محاولات انتحال نطاقك.

6. استخدام `~all` بدلًا من `-all` في SPF إلى الأبد
`~all` تعني “فشل ناعم” وهي مناسبة للبداية، لكن على المدى البعيد يُفضل الانتقال إلى `-all` (فشل صارم) بعد التأكد من اكتمال الإعداد.

نصائح للتحسين المستمر على المدى البعيد

راقب نقاط Sender Reputation نطاقك عبر أدوات مثل Google Postmaster Tools وMicrosoft SNDS. هذه الأدوات تعطيك صورة واضحة عن مدى ثقة مزودي البريد الكبار في نطاقك.

حافظ على قائمة بريدية نظيفة: حتى مع أفضل إعداد تقني، إذا كانت معدلات الارتداد (Bounce Rate) ومعدلات البلاغات (Spam Complaints) عالية، ستتدهور سمعة نطاقك.

وثّق إعداداتك: احتفظ بملف يتضمن جميع سجلات DNS، ومزودي البريد المستخدمين، وتواريخ آخر تحديث. هذا سيوفر عليك وقتًا طويلًا عند الحاجة إلى استكشاف الأخطاء.

قم بمراجعة دورية كل عام: تتغير متطلبات المصادقة مع مرور الوقت، وما كان كافيًا عام 2022 قد لا يكفي في 2025 وما بعدها.

تعلّم قراءة تقارير DMARC: حتى لو استخدمت أداة تحليل، فهم البنية الأساسية لتقارير XML يجعلك أكثر استقلالية في تشخيص المشاكل.

الخلاصة: نطاقك يستحق هذه الحماية

إذا وصلت إلى هنا، فأنت الآن تمتلك كل ما تحتاجه لتطبيق إعداد SPF و DKIM و DMARC على نطاقك بشكل صحيح واحترافي. لا تتأخر في تطبيق هذه الخطوات، فكل يوم يمر دون هذه الحماية هو يوم يكون فيه نطاقك عرضة للاستغلال والانتحال.

ابدأ بمرحلة المراقبة في DMARC، راجع التقارير، ثم شدّد السياسات تدريجيًا. حماية البريد من الانتحال ليست عملية معقدة إذا اتبعت الخطوات الصحيحة واحدة تلو الأخرى. وإذا واجهت أي مشكلة، فأدوات الفحص المجانية المذكورة في هذا المقال ستكون دليلك الأمين.

شارك هذا المقال مع أي شخص يدير نطاقًا أو يرسل بريدًا إلكترونيًا باحترافية، فهو يستحق أن يعرف هذه المعلومات.

الأسئلة الشائعة

س1: هل يمكنني تطبيق هذه الإعدادات على الاستضافة المشتركة (Shared Hosting)؟
نعم تمامًا. معظم خدمات الاستضافة المشتركة مثل Hostinger وBluehost وSiteGround توفر أدوات مدمجة لإعداد SPF و DKIM تلقائيًا من خلال لوحة cPanel أو Plesk. ما تحتاجه هو فقط صلاحية الوصول إلى إعدادات DNS.

س2: كم من الوقت يستغرق انتشار سجلات DNS بعد الإضافة؟
يتفاوت الأمر بين بضع دقائق وحتى 48 ساعة، وهو ما يُعرف بـ DNS Propagation. في أغلب الحالات العملية، تجد أن التغييرات تنعكس خلال 15 إلى 60 دقيقة.

س3: ماذا يحدث إذا أعددت DMARC بسياسة reject دون إعداد SPF و DKIM أولًا؟
ستُرفض جميع رسائلك الشرعية! DMARC يعتمد على SPF و DKIM للتحقق، فإذا فشلا جميعًا وكانت السياسة reject، فلن يصل أي بريد من نطاقك. لهذا السبب الترتيب الصحيح هو: SPF أولًا، ثم DKIM، ثم DMARC بـ `p=none` في البداية.

س4: هل هذه الإعدادات تضمن عدم وصول رسائلي إلى مجلد السبام؟
هي تُحسّن فرصك بشكل كبير، لكنها ليست الضمان الوحيد. معدلات الارتداد، وعدد البلاغات، وجودة محتوى الرسائل، وسمعة عنوان IP، كلها عوامل تؤثر في قرار التصفية النهائي لمزودي البريد.

س5: هل أحتاج إلى متخصص تقني لتطبيق هذه الإعدادات؟
لا بالضرورة. الخطوات موضحة بشكل واضح في هذا المقال، وأغلب مزودي الاستضافة والبريد يقدمون توثيقًا تفصيليًا بلغات متعددة. لكن إذا كنت تدير بيئة بريدية معقدة أو مؤسسية، فاستشارة متخصص قد توفر عليك أخطاء مكلفة.

أسبوعين ago

مقالات ذات صلة

best-wordpress-plugins

أفضل إضافات ووردبريس لتحسين الأداء والأمان

08/03/2026
gemini-new-features-2026

أهم مزايا Gemini الجديدة التي تستحق التجربة

12/03/2026
nginx vs apache

الفرق بين Nginx و Apache: أيهما أفضل لموقعك؟

3 أسابيع ago
what is dns

ما هو DNS وكيف يعمل الإنترنت من خلاله

3 أسابيع ago

أضف تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

Captcha Plus loading...

Back to top button