SPF وDKIM وDMARC: الدليل الشامل لمصادقة البريد الإلكتروني
أتقن مصادقة البريد الإلكتروني من خلال هذا الدليل الشامل لـ SPF وDKIM وDMARC. تعرّف على دور كل بروتوكول، وكيفية إعداد سجلات DNS، واستكشاف المشكلات الشائعة وحلها، وتحسين قابلية تسليم بريدك الإلكتروني.
يُعد مصادقة البريد الإلكتروني أساسًا لتوصيل بريد إلكتروني موثوق. بدون إعدادات SPF و DKIM و DMARC المناسبة، قد لا تصل رسائل البريد الإلكتروني التي صممتها بعناية أبدًا إلى صناديق بريد عملائك. بدلاً من ذلك، تنتهي في مجلدات البريد العشوائي أو يتم رفضها بالكامل.
يشرح هذا الدليل الشامل ما يفعله كل بروتوكول لمصادقة البريد الإلكتروني، ويقدم تعليمات إعداد DNS خطوة بخطوة، ويغطي استكشاف الأخطاء وإصلاحها للمشكلات الشائعة، ويظهر لك كيفية التحقق من أن إعداداتك تعمل بشكل صحيح.
لماذا Email Authentication Matters
صُمم البريد الإلكتروني في عصر لم يكن فيه الأمن مصدر قلق أساسي. لا يحتوي بروتوكول SMTP الأصلي على آلية تحقق مدمجة لتأكيد أن البريد الإلكتروني يأتي بالفعل من الشخص الذي يدعي أنه منه. هذه النقطة الضعف الأساسية تُمكّن انتحال البريد الإلكتروني، وهجمات التصيد الاحتيالي، والبريد العشوائي.
تحل بروتوكولات مصادقة البريد الإلكتروني هذه المشكلة من خلال السماح لأصحاب النطاقات بتحديد:
- ما هي الخوادم التي يمكنها إرسال البريد الإلكتروني نيابة عنهم (SPF)
- إثبات تشفيري بأن الرسائل أصلية ولم يتم تغييرها (DKIM)
- ماذا يجب فعله بالرسائل التي تفشل في المصادقة (DMARC)
التأثير التجاري لسوء المصادقة
بدون مصادقة بريد إلكتروني مناسبة:
- انخفاض قابلية التسليم: تقوم المنصات الرئيسية مثل Gmail و Microsoft و Yahoo بتصفية رسائل البريد الإلكتروني غير الموثقة بشكل أكثر صرامة
- ارتفاع معدلات البريد العشوائي: تتنافس رسائلك الشرعية مع الرسائل المنتحلة التي تستخدم نطاقك
- تضرر العلامة التجارية: تؤدي هجمات التصيد الاحتيالي التي تنتحل علامتك التجارية إلى تآكل ثقة العملاء
- خسارة الإيرادات: تفشل الحملات التسويقية في الوصول إلى المشتركين الذين اشتركوا لتلقيها
- مخاطر الامتثال: تتطلب العديد من اللوائح الآن مصادقة بريد إلكتروني مناسبة
ثلاثي المصادقة
تعمل SPF و DKIM و DMARC معًا كنظام مصادقة كامل:
| البروتوكول | ما يفعله | التشبيه |
|---|---|---|
| SPF | يسرد خوادم الإرسال المصرح بها | ترويسة شركة بمكاتب معتمدة |
| DKIM | يوقع الرسائل تشفيريًا | ختم شمعي يثبت الأصالة |
| DMARC | يحدد سياسة حالات الفشل + إعداد التقارير | تعليمات حول ما يجب فعله بالرسائل المشبوهة |
يعالج كل بروتوكول متجهات هجوم مختلفة. يمنع SPF الخوادم غير المصرح لها من الإرسال باسمك. يمنع DKIM العبث بالرسائل بعد الإرسال. يربط DMARC بينها ويوفر رؤية لنتائج المصادقة.
فهم SPF (إطار سياسة المرسل)
SPF (إطار سياسة المرسل) هو أسلوب مصادقة بريد إلكتروني قائم على DNS يحدد خوادم البريد التي يُسمح لها بإرسال البريد الإلكتروني نيابة عن نطاقك.
كيف يعمل SPF
عند وصول بريد إلكتروني إلى خادم استقبال، يقوم هذا الخادم بالبحث عن سجل SPF لنطاق المرسل. ثم يتحقق مما إذا كان عنوان IP الذي أرسل البريد الإلكتروني مدرجًا كمصرح به. إذا تطابق عنوان IP، ينجح SPF. إذا لم يتطابق، يفشل SPF.
عملية التحقق من SPF:
- ترسل بريدًا إلكترونيًا من منصة التسويق الخاصة بك
- يستخرج الخادم المستقبِل نطاقك من مسار الإرجاع (مرسل الظرف)
- يستعلم الخادم من DNS عن سجل SPF الخاص بنطاقك
- يقارن عنوان IP المرسل بالقائمة المصرح بها في سجل SPF الخاص بك
- يسجل الخادم نتيجة نجاح، أو فشل، أو فشل ناعم، أو محايد
بناء جملة سجل SPF
يتم نشر سجلات SPF كسجلات TXT في DNS الخاص بنطاقك. إليك الهيكل الأساسي:
v=spf1 [mechanisms] [qualifier]allعلامة الإصدار: تبدأ دائمًا بـ v=spf1
الآليات: تحدد من يمكنه الإرسال
| الآلية | الوصف | مثال |
|---|---|---|
| include: | يثق في SPF نطاق آخر | include:spf.brevo.com |
| ip4: | تفويض IPv4 محدد | ip4:192.168.1.1 |
| ip6: | تفويض IPv6 محدد | ip6:2001:db8::1 |
| a | السماح بعناوين IP لسجل A للنطاق | a |
| mx | السماح بعناوين IP لخادم بريد النطاق | mx |
| ptr | DNS العكسي (مهمل) | ptr:example.com |
| exists: | تحقق شرطي | exists:%{i}.spf.example.com |
المُعدِّلات (Qualifiers): تحدد كيفية التعامل مع التطابقات
| المُعدِّل | المعنى | النتيجة |
|---|---|---|
| + | نجاح (افتراضي) | مصرح به |
| - | فشل (صارم) | غير مصرح به، رفض |
| ~ | فشل ناعم | غير مصرح به، قبول ولكن مع علامة |
| ? | محايد | لا توجد سياسة |
آلية all: تُطبق على أي شيء لا يتطابق مع الآليات السابقة
أمثلة سجلات SPF
إعداد أساسي بمزود بريد إلكتروني واحد:
v=spf1 include:spf.brevo.com -allيصرح هذا بـ Brevo بإرسال البريد الإلكتروني لنطاقك ويرفض جميع المرسلين الآخرين.
خدمات بريد إلكتروني متعددة:
v=spf1 include:spf.brevo.com include:_spf.google.com include:spf.protection.outlook.com -allيصرح هذا بـ Brevo و Google Workspace و Microsoft 365.
بما في ذلك خادم البريد الخاص بك:
v=spf1 ip4:203.0.113.10 include:spf.brevo.com -allيصرح هذا بعنوان IP محدد (خادمك) بالإضافة إلى Brevo.
البدء بفشل ناعم أثناء الاختبار:
v=spf1 include:spf.brevo.com ~allاستخدام ~all بدلاً من -all يضع علامة على حالات الفشل ولكنه لا يرفض. مفيد أثناء الإعداد الأولي.
إعداد سجلات SPF
الخطوة 1: تحديد مصادر الإرسال الخاصة بك
قم بإدراج كل خدمة ترسل بريدًا إلكترونيًا من نطاقك:
- منصات التسويق عبر البريد الإلكتروني (Brevo، Mailchimp، إلخ)
- خدمات البريد الإلكتروني للمعاملات
- أنظمة إدارة علاقات العملاء (CRM)
- برامج مكتب المساعدة
- بريد الشركة (Google Workspace، Microsoft 365)
- خوادم البريد الخاصة بك
الخطوة 2: جمع عبارات تضمين SPF
توثق كل خدمة بريد إلكتروني مزود عبارة تضمين SPF المطلوبة. أمثلة شائعة:
| المزود | تضمين SPF |
|---|---|
| Brevo | include:spf.brevo.com |
| Google Workspace | include:_spf.google.com |
| Microsoft 365 | include:spf.protection.outlook.com |
| Amazon SES | include:amazonses.com |
| SendGrid | include:sendgrid.net |
| Mailgun | include:mailgun.org |
الخطوة 3: إنشاء سجل SPF الخاص بك
اجمع جميع التضمينات في سجل واحد:
v=spf1 include:spf.brevo.com include:_spf.google.com -allالخطوة 4: إضافة سجل DNS
في واجهة إدارة DNS الخاصة بك:
- النوع: TXT
- المضيف/الاسم: @ (أو اتركه فارغًا للنطاق الجذر)
- القيمة: سجل SPF الكامل الخاص بك
- TTL: 3600 (أو الافتراضي)
الخطوة 5: التحقق من السجل
استخدم أدوات البحث في DNS لتأكيد:
dig TXT yourdomain.comأو استخدم أدوات عبر الإنترنت مثل MXToolbox SPF Lookup.
قيود SPF وأفضل الممارسات
حد الـ 10 عمليات بحث DNS:
يحتوي SPF على حد أقصى يبلغ 10 عمليات بحث DNS. كل include: يُحتسب كبحث واحد، وقد تحتوي السجلات المضمنة على تضمينات خاصة بها، مما يساهم في حدك. تجاوز هذا يسبب خطأ SPF دائم (permanent error)، مما يفشل جميع عمليات التحقق.
استراتيجيات للبقاء تحت الحد:
- استخدم عناوين IP مباشرة عند الإمكان (ip4: لا يُحتسب كبحث)
- توحيد الخدمات باستخدام نفس المزود
- استخدام خدمات تسطيح SPF التي تحول التضمينات إلى عناوين IP
- إزالة التضمينات غير المستخدمة من الخدمات القديمة
أفضل الممارسات الأخرى لـ SPF:
- سجل SPF واحد فقط لكل نطاق (السجلات المتعددة تسبب فشلًا)
- ابدأ بـ
~all(فشل ناعم) أثناء الإعداد، وانتقل إلى-allبمجرد التأكيد - تحديث SPF عند تغيير مزودي البريد الإلكتروني
- لا تستخدم الآلية المهملة
ptr - إبقاء السجلات بسيطة قدر الإمكان
أخطاء SPF الشائعة
سجلات SPF متعددة:
Wrong:v=spf1 include:spf.brevo.com -allv=spf1 include:_spf.google.com -all
Correct:v=spf1 include:spf.brevo.com include:_spf.google.com -allتجاوز حد البحث في DNS:
إذا كان لديك العديد من التضمينات، فتحقق من إجمالي عدد عمليات البحث. استخدم محللات SPF للتحقق من أنك أقل من 10.
نسيان التحديث بعد تغيير المزودين:
عند التبديل من خدمة بريد إلكتروني إلى أخرى، قم بإزالة التضمين القديم وإضافة الجديد.
استخدام +all:
لا تستخدم أبدًا +all لأنه يمنح الجميع تفويض الإرسال باسم نطاقك.
فهم DKIM (البريد الإلكتروني الموثق بنطاق المفاتيح)
يضيف DKIM (البريد الإلكتروني الموثق بنطاق المفاتيح) توقيعًا تشفيريًا إلى رسائل البريد الإلكتروني الخاصة بك، مما يثبت أن الرسالة نشأت من نطاقك ولم يتم تعديلها أثناء النقل.
كيف يعمل DKIM
يستخدم DKIM تشفير المفتاح العام:
- يقوم مزود البريد الإلكتروني الخاص بك بإنشاء زوج مفاتيح عام/خاص
- تقوم بنشر المفتاح العام في DNS
- يقوم المزود بتوقيع رسائل البريد الإلكتروني الصادرة بالمفتاح الخاص
- تسترجع الخوادم المستقبلة مفتاحك العام من DNS
- يستخدمون المفتاح العام للتحقق من التوقيع
- يثبت التوقيع الصالح الأصالة والسلامة
ما يوقعه DKIM:
عادةً ما تغطي توقيعات DKIM رؤوسًا محددة ونص الرسالة:
- رأس From (مطلوب)
- رأس الموضوع
- رأس التاريخ
- نص الرسالة
- رؤوس أخرى حسب التكوين
يمنع هذا المهاجمين من تعديل هذه العناصر بعد الإرسال.
هيكل سجل DKIM
يتم نشر سجلات DKIM كسجلات TXT بتنسيق تسمية محدد:
selector._domainkey.yourdomain.comيُعد المُحدِّد (selector) معرفًا فريدًا يسمح لك بامتلاك مفاتيح DKIM متعددة. تستخدم خدمات البريد الإلكتروني المختلفة مُحدِّدات مختلفة (مثل brevo، google، s1، s2).
محتوى سجل DKIM:
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC...| العلامة | الوصف | مثال |
|---|---|---|
| v= | الإصدار (دائمًا DKIM1) | v=DKIM1 |
| k= | نوع المفتاح (عادةً rsa) | k=rsa |
| p= | المفتاح العام (base64) | p=MIGfMA0… |
| t= | الأعلام (اختياري) | t=s (وضع صارم) |
| h= | خوارزميات التجزئة (اختياري) | h=sha256 |
إعداد DKIM
الخطوة 1: إنشاء مفاتيح DKIM
عادةً ما يقوم مزود خدمة البريد الإلكتروني الخاص بك بإنشاء المفاتيح لك. في Brevo:
- انتقل إلى الإعدادات > المرسلون والنطاقات وعناوين IP المخصصة
- حدد نطاقك
- انتقل إلى قسم DKIM
- انسخ سجل DNS المقدم
بالنسبة لخوادم البريد المستضافة ذاتيًا، قم بإنشاء المفاتيح باستخدام OpenSSL:
openssl genrsa -out private.key 2048openssl rsa -in private.key -pubout -out public.keyالخطوة 2: إضافة سجل DNS الخاص بـ DKIM
في إدارة DNS الخاصة بك:
- النوع: TXT
- المضيف/الاسم: selector._domainkey (مثل brevo._domainkey)
- القيمة: سجل DKIM من مزودك
- TTL: 3600
الخطوة 3: تمكين توقيع DKIM
في إعدادات مزود البريد الإلكتروني الخاص بك، قم بتمكين توقيع DKIM لنطاقك. يخبر هذا المزود بتوقيع الرسائل الصادرة.
الخطوة 4: التحقق من الإعداد
أرسل بريدًا إلكترونيًا تجريبيًا وتحقق من الرؤوس بحثًا عن DKIM-Signature. استخدم أدوات مثل:
- mail-tester.com
- DKIM Validator
- MXToolbox DKIM Lookup
أفضل ممارسات DKIM
استخدام مفاتيح 2048 بت:
تعتبر مفاتيح 1024 بت القديمة ضعيفة. توصي معايير الأمان الحديثة بحد أدنى لمفاتيح RSA بحجم 2048 بت.
قم بتدوير المفاتيح بشكل دوري:
على الرغم من أنه ليس مطلوبًا بشكل صارم، إلا أن تدوير مفاتيح DKIM سنويًا هو ممارسة أمنية جيدة. أضف المفتاح الجديد قبل إزالة المفتاح القديم لتجنب الفجوات.
مراقبة اختراق المفاتيح:
إذا تم اختراق مفتاحك الخاص، يمكن للمهاجمين توقيع الرسائل باسمك. راقب أي أنماط مصادقة غير عادية.
استخدم محددات مختلفة لخدمات مختلفة:
يجب أن يستخدم كل مزود بريد إلكتروني محددًا فريدًا. يتيح ذلك إدارة مفاتيح مستقلة ولا يتعارض مع الخدمات الأخرى.
التحقق من انتشار DNS:
يمكن أن تكون مفاتيح DKIM طويلة. تأكد من أن مزود DNS الخاص بك يدعم سجلات TXT ذات طول كافٍ. تتطلب بعض المزودات تقسيم المفتاح إلى سلاسل متعددة.
قراءة رؤوس DKIM
عند استلام بريد إلكتروني، يعرض رأس DKIM-Signature ما يلي:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=brevo; h=from:to:subject:date:message-id; bh=base64hashofbody; b=base64signature;| العلامة | المعنى |
|---|---|
| v= | الإصدار (دائمًا 1) |
| a= | الخوارزمية (يوصى باستخدام rsa-sha256) |
| c= | التوحيد القياسي (relaxed يسمح بالتغييرات الطفيفة) |
| d= | نطاق التوقيع |
| s= | المحدد |
| h= | الرؤوس الموقعة |
| bh= | تجزئة الجسم |
| b= | التوقيع |
فهم DMARC (المصادقة وإعداد التقارير والامتثال المستند إلى النطاق)
يعتمد DMARC على SPF و DKIM لتوفير تطبيق للسياسات وإعداد التقارير. يخبر الخوادم المستقبلة بما يجب القيام به عند فشل المصادقة ويرسل لك تقارير حول نتائج المصادقة.
كيف يعمل DMARC
يضيف DMARC قدرتين حيويتين:
- تطبيق السياسة: تحديد كيفية تعامل المستلمين مع حالات فشل المصادقة
- إعداد التقارير: تلقي بيانات حول من يرسل البريد الإلكتروني باستخدام نطاقك
عملية التحقق من DMARC:
- يتلقى خادم استقبال بريدًا إلكترونيًا يدعي أنه من نطاقك
- يتحقق من SPF (هل يتطابق عنوان IP المرسل؟)
- يتحقق من DKIM (هل التوقيع صالح؟)
- يتحقق من محاذاة DMARC (هل تتطابق النطاقات الموثقة مع رأس From؟)
- إذا فشلت المحاذاة، فإنه يطبق سياسة DMARC الخاصة بك
- يرسل لك تقارير مجمعة و/أو جنائية
محاذاة DMARC
يتطلب DMARC المحاذاة بين النطاق في رأس From والنطاقات التي تجتاز SPF أو DKIM:
محاذاة SPF: يجب أن يتطابق النطاق في Return-Path (المرسل المغلف) أو يكون نطاقًا فرعيًا لنطاق رأس From.
محاذاة DKIM: يجب أن يتطابق النطاق في توقيع DKIM (علامة d=) أو يكون نطاقًا فرعيًا لنطاق رأس From.
أوضاع المحاذاة:
| الوضع | الوصف |
|---|---|
| صارم (s) | مطلوب تطابق النطاق تمامًا |
| مرن (r) | يُسمح بالنطاقات الفرعية (افتراضي) |
مع المحاذاة المرنة، إذا أظهر رأس From الخاص بك [email protected] ووقع DKIM باستخدام brevo.example.com، فإن المحاذاة تمر لأن كلاهما يتشاركان النطاق التنظيمي example.com.
بناء جملة سجل DMARC
يتم نشر سجلات DMARC كسجلات TXT عند _dmarc.yourdomain.com:
v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100العلامات المطلوبة:
| العلامة | الوصف | القيم |
|---|---|---|
| v= | الإصدار | DMARC1 (دائمًا) |
| p= | السياسة | none, quarantine, reject |
العلامات الاختيارية:
| العلامة | الوصف | القيمة الافتراضية |
|---|---|---|
| rua= | عنوان التقرير المجمع | none |
| ruf= | عنوان التقرير الجنائي | none |
| pct= | النسبة المئوية لتطبيق السياسة | 100 |
| sp= | سياسة النطاق الفرعي | نفس p= |
| adkim= | وضع محاذاة DKIM | r (مرن) |
| aspf= | وضع محاذاة SPF | r (مرن) |
| fo= | خيارات التقرير الجنائي | 0 |
| ri= | فترة التقرير (بالثواني) | 86400 |
شرح سياسات DMARC
p=none (مراقبة فقط):
لا يتم اتخاذ أي إجراء في حالة الفشل. يتم تسليم رسائل البريد الإلكتروني بشكل طبيعي. استخدم هذا أثناء تحليل التقارير وإصلاح مشكلات المصادقة.
v=DMARC1; p=none; rua=mailto:[email protected]p=quarantine (مجلد الرسائل غير المرغوب فيها):
يتم إرسال رسائل البريد الإلكتروني الفاشلة إلى مجلد البريد العشوائي/المهملات. خطوة وسيطة جيدة قبل الرفض الكامل.
v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100p=reject (الحظر):
يتم رفض رسائل البريد الإلكتروني الفاشلة بالكامل. أقصى حماية ولكن تأكد من أن جميع المصادر المشروعة تمر أولاً.
v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100إعداد DMARC
الخطوة 1: التأكد من عمل SPF و DKIM
يعتمد DMARC على SPF و DKIM. تحقق من تكوين كليهما بشكل صحيح قبل إضافة DMARC.
الخطوة 2: البدء بالمراقبة (p=none)
ابدأ بالسياسة الأكثر تساهلاً لجمع البيانات دون التأثير على التسليم:
v=DMARC1; p=none; rua=mailto:[email protected]الخطوة 3: إضافة سجل DNS
في إدارة DNS الخاصة بك:
- النوع: TXT
- المضيف/الاسم: _dmarc
- القيمة: سجل DMARC الخاص بك
- TTL: 3600
الخطوة 4: تحليل التقارير لمدة 2-4 أسابيع
تصل تقارير DMARC المجمعة يوميًا كملفات XML. وهي تعرض:
- أي عناوين IP أرسلت بريدًا إلكترونيًا باستخدام نطاقك
- معدلات نجاح/فشل SPF و DKIM
- نتائج محاذاة DMARC
- إجراءات خادم الاستقبال
استخدم محللات تقارير DMARC لتصوير هذه البيانات:
- محلل DMARC
- Postmark DMARC
- Valimail
- dmarcian
الخطوة 5: إصلاح مشكلات المصادقة
مشكلات شائعة تكشفها التقارير:
- خدمات مشروعة مفقودة من SPF
- عدم تمكين DKIM لخدمة إرسال
- خدمات طرف ثالث ترسل بدون مصادقة مناسبة
- إعادة التوجيه يكسر محاذاة SPF
الخطوة 6: التطبيق التدريجي
بمجرد أن تمر المصادر المشروعة باستمرار:
- الانتقال إلى
p=quarantine; pct=10(وضع رسائل 10% من حالات الفشل في الحجر الصحي) - زيادة النسبة المئوية إلى 25، 50، 75، 100
- الانتقال إلى
p=reject; pct=10 - الزيادة إلى الرفض الكامل
الخطوة 7: الصيانة والمراقبة
استمر في مراجعة التقارير. يمكن أن تتسبب مصادر الإرسال الجديدة، أو تغييرات المزود، أو انحراف التكوين في فشل المصادقة.
فهم تقارير DMARC
التقارير المجمعة (rua):
ملخصات XML يومية تعرض:
- المنظمة المُبلِّغة
- نطاق التاريخ
- سياستك المنشورة
- نتائج المصادقة حسب عنوان IP المصدر
- حجم رسائل البريد الإلكتروني
مقتطف توضيحي:
<record> <source_ip>203.0.113.10</source_ip> <count>1250</count> <policy_evaluated> <disposition>none</disposition> <dkim>pass</dkim> <spf>pass</spf> </policy_evaluated></record>التقارير الجنائية (ruf):
تفاصيل الرسائل الفردية للحالات الفاشلة. أكثر تفصيلاً ولكنه حساس للخصوصية. لا ترسل العديد من المستلمين تقارير جنائية.
أفضل ممارسات DMARC
ابدأ دائمًا بـ p=none:
القفز مباشرة إلى الرفض يمكن أن يحظر البريد الإلكتروني المشروع. راقب أولاً.
استخدم عنوان بريد إلكتروني مخصصًا للتقارير:
يمكن أن تكون تقارير DMARC ضخمة. استخدم عنوانًا مخصصًا أو خدمة طرف ثالث.
تعيين سياسة النطاق الفرعي (sp=):
إذا لم تقم بإرسال بريد إلكتروني من نطاقات فرعية، فقم بتعيين sp=reject لحمايتها من انتحال الهوية.
استخدام النسبة المئوية (pct=) للإطلاق التدريجي:
تسمح لك علامة pct بتطبيق السياسة على نسبة مئوية من حالات الفشل مع مراقبة الباقي.
النظر في خدمات DMARC مخصصة:
بالنسبة للمؤسسات الكبيرة، توفر خدمات مثل Valimail و dmarcian أو Postmark DMARC تحليل تقارير أفضل من ملفات XML الخام.
إعداد سجل DNS: دليل شامل
يتطلب إعداد مصادقة البريد الإلكتروني إضافة سجلات DNS محددة. يوفر هذا القسم دليلاً شاملاً لمزودي DNS الرئيسيين.
جمع القيم المطلوبة
قبل البدء، اجمع هذه القيم من مزودي البريد الإلكتروني الخاصين بك:
لـ SPF:
- جميع عبارات التضمين (مثل include:spf.brevo.com)
- أي عناوين IP محددة تحتاج إلى تفويضها
لـ DKIM:
- اسم المحدد (مثل brevo، google، s1)
- قيمة مفتاح DKIM الكاملة
لـ DMARC:
- عنوان البريد الإلكتروني الخاص بالتقارير الخاص بك
إضافة السجلات في مزودي DNS الشائعين
Cloudflare:
- تسجيل الدخول إلى لوحة تحكم Cloudflare
- تحديد نطاقك
- الانتقال إلى DNS > Records
- النقر على إضافة سجل
- لـ SPF: النوع=TXT، الاسم=@، المحتوى=سجل SPF الخاص بك
- لـ DKIM: النوع=TXT، الاسم=selector._domainkey، المحتوى=مفتاح DKIM
- لـ DMARC: النوع=TXT، الاسم=_dmarc، المحتوى=سجل DMARC
- النقر على حفظ
Google Domains/Squarespace:
- الانتقال إلى إعدادات DNS لنطاقك
- التمرير إلى السجلات المخصصة
- النقر على إدارة السجلات المخصصة
- إضافة كل سجل بالنوع والمضيف والبيانات المناسبة
- لـ SPF: المضيف=@، النوع=TXT، البيانات=سجل SPF
- لـ DKIM: المضيف=selector._domainkey، النوع=TXT، البيانات=مفتاح DKIM
- لـ DMARC: المضيف=_dmarc، النوع=TXT، البيانات=سجل DMARC
GoDaddy:
- الانتقال إلى المنتجات الخاصة بي > النطاقات
- النقر على DNS بجوار نطاقك
- التمرير إلى قسم السجلات
- النقر على إضافة لكل سجل جديد
- تحديد TXT للنوع
- إدخال الاسم (@ لـ SPF، selector._domainkey لـ DKIM، _dmarc لـ DMARC)
- إدخال القيمة
- حفظ
Namecheap:
- الانتقال إلى قائمة النطاقات > إدارة
- النقر على DNS المتقدم
- إضافة سجل جديد لكل منها
- تحديد سجل TXT
- المضيف: @ لـ SPF، selector._domainkey لـ DKIM، _dmarc لـ DMARC
- القيمة: محتوى السجل الخاص بك
- حفظ جميع التغييرات
انتشار DNS
بعد إضافة السجلات، يستغرق التغيير وقتًا للانتشار عالميًا. يستغرق هذا عادةً:
- 5-30 دقيقة للرؤية الأولية
- حتى 48 ساعة للانتشار العالمي الكامل
استخدم dig أو nslookup للتحقق:
dig TXT yourdomain.comdig TXT selector._domainkey.yourdomain.comdig TXT _dmarc.yourdomain.comأو استخدم أدوات عبر الإنترنت مثل whatsmydns.net للتحقق من الانتشار في جميع أنحاء العالم.
إعداد كامل توضيحي
لنطاق يستخدم Brevo و Google Workspace:
سجل SPF (TXT عند @):
v=spf1 include:spf.brevo.com include:_spf.google.com -allسجل DKIM لـ Brevo (TXT عند brevo._domainkey):
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA... [key from Brevo dashboard]سجل DKIM لـ Google (TXT عند google._domainkey):
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BA... [key from Google Admin]سجل DMARC (TXT عند _dmarc):
v=DMARC1; p=none; rua=mailto:[email protected]استكشاف الأخطاء وإصلاحها للمشكلات الشائعة
حتى مع الإعداد الدقيق، قد يفشل مصادقة البريد الإلكتروني. فيما يلي المشكلات الشائعة وكيفية حلها.
استكشاف أخطاء SPF وإصلاحها
لم يتم العثور على سجل SPF:
الأعراض: تظهر فحوصات SPF “none” أو “no record”
الأسباب:
- لم تتم إضافة السجل إلى DNS
- تمت إضافة السجل إلى الموقع الخاطئ (نطاق فرعي بدلاً من الجذر)
- لم يكتمل انتشار DNS
الحلول:
- تحقق من وجود السجل باستخدام
dig TXT yourdomain.com - تحقق من حقل الاسم/المضيف (يجب أن يكون @ أو فارغًا للنطاق الجذر)
- انتظر انتشار DNS (حتى 48 ساعة)
خطأ SPF (عدد كبير جدًا من عمليات البحث):
الأعراض: تظهر نتائج SPF “permerror”
الأسباب:
- أكثر من 10 عمليات بحث DNS في سجل SPF الخاص بك
- التضمينات المتداخلة المفرطة في التضمينات التي تحتوي على include
Solutions:
- تدقيق التضمينات وإزالة غير المستخدمة
- استبدال التضمينات بـ ip4: حيثما أمكن
- استخدام خدمات تسطيح SPF
- توحيد الخدمات على عدد أقل من المزودين
SPF SoftFail أو Fail للبريد الإلكتروني الشرعي:
الأعراض: فشل رسائل البريد الإلكتروني الشرعية في SPF
الأسباب:
- خدمة الإرسال غير مدرجة في SPF
- الإرسال من عنوان IP غير مصرح به
- استخدام مرحل يغير مُرسِل المغلف
الحلول:
- إضافة التضمين المفقود لخدمة الإرسال الخاصة بك
- التحقق من عنوان IP الذي أرسل البريد الإلكتروني فعليًا (من الرؤوس)
- الاتصال بمزود البريد الإلكتروني الخاص بك للحصول على إعدادات SPF الصحيحة
سجلات SPF متعددة:
الأعراض: يُظهر SPF خطأ دائم أو فشل عشوائي
الأسباب:
- سجلان أو أكثر من سجلات TXT تحتوي على v=spf1
الحلول:
- دمج جميع الآليات في سجل SPF واحد
- حذف سجلات SPF المكررة
استكشاف أخطاء DKIM وإصلاحها
توقيع DKIM مفقود:
الأعراض: عدم وجود رأس DKIM-Signature في رسائل البريد الإلكتروني
الأسباب:
- لم يتم تمكين توقيع DKIM في مزود البريد الإلكتروني
- لم يكتمل التحقق من النطاق
- الإرسال عبر مسار غير DKIM
الحلول:
- تمكين DKIM في إعدادات مزودك
- إكمال خطوات التحقق من النطاق
- التحقق من وثائق المزود لإعداد DKIM
فشل التحقق من DKIM:
الأعراض: يُظهر DKIM “فشل” في نتائج المصادقة
الأسباب:
- لم يتم نشر سجل DNS أو هو غير صحيح
- استخدام محدد خاطئ
- عدم تطابق المفتاح بين DNS والتوقيع
- تعديل الرسالة أثناء النقل
الحلول:
- التحقق من وجود سجل DNS في selector._domainkey.domain
- مقارنة المحدد في رأس DKIM-Signature مع DNS
- إعادة إنشاء المفاتيح إذا كان هناك اشتباه في عدم التطابق
- التحقق من وجود مرشحات بريد أو مرحلات تعدل الرسائل
مفتاح DKIM طويل جدًا لـ DNS:
الأعراض: لا يمكن حفظ سجل DKIM، أخطاء اقتطاع
الأسباب:
- مفاتيح 2048 بت تتجاوز طول سجل TXT المفرد
- مزود DNS لديه حدود أحرف
الحلول:
- تقسيم المفتاح إلى سلاسل اقتباس متعددة (تتعامل معظم المزودات مع هذا تلقائيًا)
- التحقق مما إذا كان مزود DNS الخاص بك يدعم سجلات TXT الطويلة
- استخدام مفاتيح 1024 بت مؤقتًا (أقل أمانًا)
مثال على سجل DKIM مقسم:
"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...""...continuation of key..."استكشاف أخطاء DMARC وإصلاحها
فشل محاذاة DMARC:
الأعراض: ينجح SPF و DKIM ولكن يفشل DMARC
الأسباب:
- النطاق الموثق لا يتطابق مع نطاق رأس From
- خدمة إرسال طرف ثالث تستخدم نطاقها الخاص
- مُرسِل مغلف مُعد بشكل خاطئ
الحلول:
- التأكد من أن مزود البريد الإلكتروني الخاص بك يوقع باستخدام نطاقك (DKIM مخصص)
- تكوين Return-Path/مُرسِل مغلف مخصص
- استخدام وضع المحاذاة المرن (adkim=r; aspf=r)
عدم استلام تقارير DMARC:
الأعراض: عدم وصول تقارير مجمعة
الأسباب:
- عنوان rua غير صحيح
- عنوان البريد الإلكتروني لا يمكنه استقبال بريد إلكتروني خارجي
- تذهب التقارير إلى البريد العشوائي
- خوادم الاستقبال لا ترسل التقارير
الحلول:
- التحقق من بناء جملة rua:
rua=mailto:[email protected] - اختبار إمكانية استقبال عنوان الإبلاغ للبريد الخارجي
- التحقق من مجلد البريد العشوائي للتقارير
- ملاحظة: لا يستلم جميع المستلمين تقارير DMARC
لم يتم العثور على سجل DMARC:
الأعراض: تظهر فحوصات DMARC “لا يوجد سجل”
الأسباب:
- نشر السجل في الموقع الخاطئ
- استخدام التنسيق الخاطئ (يجب أن يكون TXT في نطاق _dmarc)
الحلول:
- يجب أن يكون السجل في _dmarc.yourdomain.com
- التحقق باستخدام
dig TXT _dmarc.yourdomain.com
أدوات استكشاف الأخطاء العامة
المدققون عبر الإنترنت:
- MXToolbox (mxtoolbox.com) - البحث عن SPF و DKIM و DMARC
- Mail Tester (mail-tester.com) - إرسال بريد اختبار لإجراء تحليل كامل
- DMARC Analyzer - تصور التقارير
- Google Admin Toolbox - التحقق من MX و SPF و DKIM
أدوات سطر الأوامر:
# Check SPFdig TXT yourdomain.com
# Check DKIMdig TXT selector._domainkey.yourdomain.com
# Check DMARCdig TXT _dmarc.yourdomain.com
# Check from specific DNS serverdig @8.8.8.8 TXT yourdomain.comتحليل رؤوس البريد الإلكتروني:
تحقق من رأس Authentication-Results في رسائل البريد الإلكتروني المستلمة:
Authentication-Results: mx.google.com; dkim=pass header.d=example.com header.s=brevo; spf=pass smtp.mailfrom=example.com; dmarc=pass action=none header.from=example.comالمصادقة على البريد الإلكتروني و Brevo
توفر Brevo دعمًا شاملاً لمصادقة البريد الإلكتروني، مما يسهل تكوين SPF و DKIM و DMARC لنطاقات الإرسال الخاصة بك.
إعداد المصادقة في Brevo
الخطوة 1: إضافة نطاقك
- تسجيل الدخول إلى حساب Brevo الخاص بك
- الانتقال إلى الإعدادات > المرسلون والنطاقات وعناوين IP المخصصة
- النقر على إضافة نطاق
- إدخال اسم النطاق الخاص بك
الخطوة 2: تكوين SPF
توفر Brevo تضمين SPF لإضافته إلى DNS الخاص بك:
include:spf.brevo.comأضف هذا إلى سجل SPF الحالي أو أنشئ سجلًا جديدًا:
v=spf1 include:spf.brevo.com -allالخطوة 3: تكوين DKIM
تقوم Brevo بتوليد مفاتيح DKIM تلقائيًا. انسخ السجل المقدم:
- الانتقال إلى إعدادات النطاق الخاص بك في Brevo
- العثور على قسم DKIM
- نسخ اسم وقيمة سجل DNS
- إضافة سجل TXT إلى DNS الخاص بك
الخطوة 4: التحقق من التكوين
تقوم Brevo تلقائيًا بالتحقق من سجلات DNS الخاصة بك. تشير علامات الصح الخضراء إلى تكوين ناجح.
الفوائد of Proper Brevo Authentication
عندما تقوم بتكوين المصادقة بشكل صحيح مع Brevo:
- موقع أعلى في صندوق الوارد: تثق Gmail و Microsoft والمزودون الآخرون بالرسائل الموثقة
- حماية العلامة التجارية: يمنع DMARC انتحال نطاقك
- تحليلات أفضل: تتبع دقيق لمرات الفتح والنقر
- بناء السمعة: يبني المصادقة المتسقة سمعة المُرسل
مزايا تكامل Tajo
يوفر استخدام Tajo لربط متجر Shopify الخاص بك بـ Brevo مزايا إضافية:
- المزامنة التلقائية للعملاء: تتدفق بيانات العملاء بسلاسة للبريد الإلكتروني المخصص
- تتبع الأحداث: تؤدي أحداث الشراء والتصفح وعربة التسوق إلى رسائل معاملات موثقة
- التنسيق متعدد القنوات: الحفاظ على مصادقة متسقة عبر البريد الإلكتروني و SMS و WhatsApp
- تحليلات موحدة: تتبع أداء البريد الإلكتروني جنبًا إلى جنب مع مقاييس التسويق الأخرى
يضمن الجمع بين المصادقة الصحيحة للبريد الإلكتروني ومزامنة بيانات العملاء في الوقت الفعلي أن تصل رسائل البريد الإلكتروني الخاصة بك إلى صندوق الوارد فحسب، بل يتردد صداها لدى كل مستلم.
الأسئلة الشائعة
ما هو the difference between SPF, DKIM, and DMARC?
يحدد SPF الخوادم التي يمكنها إرسال البريد الإلكتروني لنطاقك. يضيف DKIM توقيعًا تشفيريًا يثبت أصالة الرسالة. يحدد DMARC السياسة لكيفية تعامل المستلمين مع فشل المصادقة ويوفر التقارير. يعمل الثلاثة معًا لمصادقة بريد إلكتروني كاملة.
هل أحتاج إلى الثلاثة (SPF و DKIM و DMARC)؟
نعم، لتحقيق أفضل قابلية تسليم وأمان. SPF وحده عرضة للانتحال. DKIM وحده لا يحدد السياسة. يتطلب DMARC وجود SPF أو DKIM ليعمل. معًا، توفر حماية شاملة وأفضل معدلات وصول إلى صندوق الوارد.
كم من الوقت يستغرق عمل مصادقة البريد الإلكتروني؟
عادةً ما تنتشر تغييرات DNS في غضون 30 دقيقة إلى 48 ساعة. بمجرد الانتشار، يتم تطبيق المصادقة على الفور. ومع ذلك، فإن بناء سمعة المُرسل بناءً على المصادقة المتسقة يستغرق أسابيع إلى أشهر.
هل سيمنع إعداد DMARC بـ p=reject رسائلي الشرعية؟
يمكن أن يفعل ذلك إذا تم تكوينه بشكل غير صحيح. لهذا السبب يجب أن تبدأ دائمًا بـ p=none (مراقبة)، وتحلل التقارير لمدة 2-4 أسابيع، وتصلح أي مشكلات، ثم تنتقل تدريجياً إلى الحجر ورفض. لا تتجاوز أبدًا مرحلة المراقبة.
ما هو SPF alignment vs DKIM alignment?
المحاذاة تعني تطابق النطاق الموثق مع نطاق رأس From المرئي. يقارن SPF نطاق Return-Path. يقارن DKIM نطاق التوقيع (علامة d=). يتطلب DMARC محاذاة واحد على الأقل.
هل يمكنني الحصول على مفاتيح DKIM متعددة لنطاق واحد؟
نعم. يمكن لكل خدمة بريد إلكتروني استخدام محدد مختلف (مثل brevo._domainkey، google._domainkey). يتيح ذلك لخدمات متعددة التوقيع باستخدام DKIM بشكل مستقل. لا يوجد حد لعدد محددات DKIM.
لماذا do my emails still go to spam after setting up authentication?
المصادقة ضرورية ولكنها ليست كافية لوضع صندوق الوارد. تشمل العوامل الأخرى سمعة المُرسل، وجودة المحتوى، ومعدلات التفاعل، ونظافة القائمة. تضمن لك المصادقة تجاوز المرشح الأول؛ وتحدد الممارسات الجيدة التموضع النهائي.
كيف أقرأ تقارير DMARC المجمعة؟
تقارير DMARC المجمعة هي ملفات XML. استخدم أدوات مثل dmarcian أو Postmark DMARC أو DMARC Analyzer لتحليلها وتصورها. تعرض هذه الأدوات عناوين IP التي ترسل البريد الإلكتروني باسم نطاقك ومعدلات نجاح/فشل المصادقة الخاصة بها.
ماذا يحدث إذا تجاوزت حد البحث 10 لـ SPF؟
يعيد SPF خطأ دائمًا (permerror)، ويفشل جميع فحوصات SPF. لإصلاح هذا، قم بإزالة التضمينات غير المستخدمة، واستبدال التضمينات بعناوين IP حيثما أمكن، أو استخدام خدمات تسطيح SPF.
هل يجب أن أستخدم -all أم ~all في سجل SPF الخاص بي؟
استخدم ~all (فشل ناعم) أثناء الاختبار وبناء الثقة. بمجرد تأكيد أن جميع المصادر الشرعية تمر، قم بالتبديل إلى -all (فشل صارم) لحماية أقوى. يشير الفشل الناعم إلى الإخفاقات ولكنه لا يرفض؛ والفشل الصارم يخول الرفض.
كم مرة يجب أن أقوم بتدوير مفاتيح DKIM؟
لا يوجد متطلب صارم، ولكن التدوير السنوي هو ممارسة أمنية جيدة. عند التدوير، أضف المفتاح الجديد أولاً، وانتظر انتشار DNS، وقم بتمكين التوقيع بالمفتاح الجديد، ثم قم بإزالة المفتاح القديم بعد فترة انتقالية.
هل تحتاج النطاقات الفرعية إلى مصادقة منفصلة؟
SPF: نعم، يحتاج كل نطاق فرعي إلى سجل SPF خاص به إذا كان يرسل بريدًا إلكترونيًا منه. DKIM: يمكن مشاركة المفاتيح أو أن تكون منفصلة لكل نطاق فرعي. DMARC: ترث النطاقات الفرعية السياسة الأصلية ما لم يتم تعيين sp= أو كان للنطاق الفرعي سجل DMARC خاص به.
الخلاصة
لم يعد المصادقة عبر SPF و DKIM و DMARC خيارًا للشركات التي تعتمد على الاتصالات عبر البريد الإلكتروني. تحمي هذه البروتوكولات علامتك التجارية من الانتحال، وتحسن قابلية التسليم، وتبني الثقة اللازمة للتسويق الفعال عبر البريد الإلكتروني.
النقاط الرئيسية:
- SPF يخول خوادم الإرسال عبر DNS
- DKIM يثبت أصالة الرسالة بتوقيعات تشفيرية
- DMARC يفرض السياسة ويوفر الرؤية من خلال التقارير
- ابدأ بالمراقبة (p=none) قبل فرض الرفض
- يجب تكوين جميع مصادر الإرسال الشرعية بشكل صحيح
- يمنع المراقبة المنتظمة انحراف التكوين
بالنسبة للشركات التجارية الإلكترونية التي تستخدم Shopify، فإن الجمع بين المصادقة المناسبة عبر البريد الإلكتروني وتكامل بيانات العملاء من خلال Tajo و Brevo يخلق أساسًا قويًا. تصل رسائل البريد الإلكتروني الخاصة بالمعاملات الخاصة بك إلى العملاء بشكل موثوق، وتحقق حملاتك التسويقية وصولاً أفضل إلى صندوق الوارد، ويبقى علامتك التجارية محمية من هجمات انتحال الشخصية.
هل أنت مستعد لتحسين قابلية تسليم بريدك الإلكتروني؟ ابدأ بتدقيق إعداد المصادقة الحالي الخاص بك باستخدام الأدوات المذكورة في هذا الدليل، ثم قم بتكوين SPF و DKIM و DMARC بشكل منهجي باتباع التعليمات خطوة بخطوة المقدمة.
تعلم كيف يتكامل Tajo مع Brevo لتوفير مصادقة بريد إلكتروني سلسة إلى جانب مزامنة بيانات العملاء في الوقت الفعلي لمتجر Shopify الخاص بك.