SPF، DKIM، DMARC: مکمل گائیڈ (2026)

ای میل تصدیق قابل اعتماد ای میل ڈیلیوری کی بنیاد ہے۔ SPF، DKIM، اور DMARC کی مناسب ترتیب کے بغیر، آپ کی احتیاط سے تیار کردہ ای میلز آپ کے صارفین کے ان باکسز تک کبھی نہ پہنچیں۔ بجائے اس کے، وہ سپیم فولڈرز میں ختم ہوتی یا مکمل طور پر رد ہو جاتی ہیں۔

یہ جامع گائیڈ وضاحت کرتی ہے کہ ہر ای میل تصدیق پروٹوکول کیا کرتا ہے، قدم بہ قدم DNS سیٹ اپ ہدایات فراہم کرتی ہے، عام مسائل کا ازالہ کرنا سکھاتی ہے، اور دکھاتی ہے کہ آپ کی ترتیب صحیح طریقے سے کام کر رہی ہے یا نہیں۔

ای میل تصدیق کیوں اہم ہے

ای میل ایسے دور میں ڈیزائن کی گئی تھی جب سیکیورٹی بنیادی تشویش نہیں تھی۔ اصل SMTP پروٹوکول میں یہ تصدیق کرنے کا کوئی بلٹ ان میکانزم نہیں کہ ای میل واقعی وہاں سے آئی ہے جہاں سے آنے کا دعوی کرتی ہے۔ یہ بنیادی کمزوری ای میل اسپوفنگ، فشنگ حملوں، اور سپیم کو ممکن بناتی ہے۔

ای میل تصدیق پروٹوکولز اس مسئلے کو ڈومین مالکان کو یہ بتانے کی اجازت دے کر حل کرتے ہیں:

• ان کی طرف سے ای میل بھیجنے کے لیے کون سے سرور مجاز ہیں (SPF)
• پیغامات کے اصل اور غیر تبدیل شدہ ہونے کا کریپٹوگرافک ثبوت (DKIM)
• تصدیق ناکام ہونے والے پیغامات کے ساتھ کیا کریں (DMARC)

ناقص تصدیق کا کاروباری اثر

مناسب ای میل تصدیق کے بغیر:

• کم ڈیلیوریبیلیٹی: Gmail، Microsoft، اور Yahoo جیسے بڑے فراہم کنندگان غیر تصدیق شدہ ای میلز کو زیادہ جارحانہ طریقے سے فلٹر کرتے ہیں
• زیادہ سپیم ریٹ: آپ کی جائز ای میلز آپ کے ڈومین کا استعمال کرتے ہوئے اسپوفڈ پیغامات سے مقابلہ کرتی ہیں
• برانڈ کو نقصان: آپ کے برانڈ کی نقالی کرنے والے فشنگ حملے صارف کا اعتماد ختم کرتے ہیں
• آمدنی کا نقصان: مارکیٹنگ مہمات ان سبسکرائبرز تک پہنچنے میں ناکام رہتی ہیں جنہوں نے انہیں پانے کے لیے سائن اپ کیا
• تعمیل کے خطرات: اب بہت سے ضابطوں کو مناسب ای میل تصدیق کی ضرورت ہے

تصدیق کا تثلیث

SPF، DKIM، اور DMARC ایک مکمل تصدیقی نظام کے طور پر مل کر کام کرتے ہیں:

ہر پروٹوکول مختلف حملے کے ویکٹرز کو حل کرتا ہے۔ SPF غیر مجاز سرورز کو آپ کے طور پر بھیجنے سے روکتا ہے۔ DKIM بھیجنے کے بعد پیغام میں تبدیلی سے روکتا ہے۔ DMARC انہیں ایک ساتھ باندھتا اور تصدیق کے نتائج میں مرئیت فراہم کرتا ہے۔

SPF (Sender Policy Framework) کو سمجھنا

SPF (Sender Policy Framework) ایک DNS پر مبنی ای میل تصدیق طریقہ ہے جو یہ بتاتا ہے کہ آپ کے ڈومین کی طرف سے ای میل بھیجنے کے لیے کون سے میل سرور مجاز ہیں۔

SPF کیسے کام کرتا ہے

جب کوئی ای میل وصول کنندہ سرور پر پہنچتی ہے، تو وہ سرور بھیجنے والے کے ڈومین SPF ریکارڈ کو تلاش کرتا ہے۔ پھر یہ چیک کرتا ہے کہ آیا وہ IP ایڈریس جس نے ای میل بھیجی وہ مجاز کے طور پر درج ہے۔ اگر IP مماثل ہو، SPF پاس ہوتا ہے۔ اگر نہیں، SPF ناکام ہوتا ہے۔

SPF تصدیق کا عمل:

1. آپ اپنے مارکیٹنگ پلیٹ فارم سے ای میل بھیجتے ہیں
2. وصول کنندہ سرور Return-Path (envelope sender) سے آپ کا ڈومین نکالتا ہے
3. سرور آپ کے ڈومین کے SPF ریکارڈ کے لیے DNS کو query کرتا ہے
4. وہ بھیجنے والے IP کا موازنہ آپ کے SPF ریکارڈ کی مجاز فہرست سے کرتا ہے
5. سرور پاس، ناکام، سافٹ فیل، یا غیر جانب دار نتیجہ ریکارڈ کرتا ہے

SPF ریکارڈ کا نحو

SPF ریکارڈ آپ کے ڈومین کے DNS میں TXT ریکارڈز کے طور پر شائع ہوتے ہیں۔ یہ بنیادی ساخت ہے:

v=spf1 [mechanisms] [qualifier]all

ورژن ٹیگ: ہمیشہ v=spf1 سے شروع ہوتا ہے

میکانزمز: یہ طے کرتے ہیں کہ کون بھیج سکتا ہے

کوالیفائرز: مماثلت کو کیسے سنبھالیں

all میکانزم: پچھلے میکانزمز سے مماثل نہ ہونے والی ہر چیز پر لاگو ہوتا ہے

SPF ریکارڈ مثالیں

ایک ای میل فراہم کنندہ کے ساتھ بنیادی ترتیب:

v=spf1 include:spf.brevo.com -all

یہ Brevo کو آپ کے ڈومین کے لیے ای میل بھیجنے کی اجازت دیتا اور باقی تمام بھیجنے والوں کو رد کرتا ہے۔

متعدد ای میل سروسز:

v=spf1 include:spf.brevo.com include:_spf.google.com include:spf.protection.outlook.com -all

یہ Brevo، Google Workspace، اور Microsoft 365 کو مجاز قرار دیتا ہے۔

اپنا میل سرور شامل کرنا:

v=spf1 ip4:203.0.113.10 include:spf.brevo.com -all

یہ ایک مخصوص IP ایڈریس (آپ کا سرور) کے ساتھ Brevo کو مجاز قرار دیتا ہے۔

ٹیسٹنگ کے دوران سافٹ فیل سے شروع کرنا:

v=spf1 include:spf.brevo.com ~all

-all کی بجائے ~all استعمال کرنا ناکامیوں کو نشان لگاتا ہے لیکن رد نہیں کرتا۔ ابتدائی سیٹ اپ کے دوران مفید ہے۔

SPF ریکارڈ ترتیب دینا

قدم 1: اپنے بھیجنے کے ذرائع کی شناخت کریں

ہر وہ سروس درج کریں جو آپ کے ڈومین سے ای میل بھیجتی ہے:

• ای میل مارکیٹنگ پلیٹ فارمز (Brevo، Mailchimp، وغیرہ)
• ٹرانزیکشنل ای میل سروسز
• CRM سسٹمز
• ہیلپ ڈیسک سافٹ ویئر
• کمپنی ای میل (Google Workspace، Microsoft 365)
• آپ کے اپنے میل سرور

قدم 2: SPF include بیانات جمع کریں

ہر ای میل سروس فراہم کنندہ اپنے ضروری SPF include کی دستاویز کرتا ہے۔ عام مثالیں:

قدم 3: اپنا SPF ریکارڈ بنائیں

تمام includes کو ایک ریکارڈ میں ملائیں:

v=spf1 include:spf.brevo.com include:_spf.google.com -all

قدم 4: DNS ریکارڈ شامل کریں

اپنے DNS مینجمنٹ انٹرفیس میں:

• قسم: TXT
• Host/Name: @ (یا root ڈومین کے لیے خالی چھوڑیں)
• ویلیو: آپ کا مکمل SPF ریکارڈ
• TTL: 3600 (یا ڈیفالٹ)

قدم 5: ریکارڈ تصدیق کریں

تصدیق کے لیے DNS lookup ٹولز استعمال کریں:

dig TXT yourdomain.com

یا MXToolbox SPF Lookup جیسے آن لائن ٹولز استعمال کریں۔

SPF کی حدود اور بہترین طریقے

10 DNS lookup کی حد:

SPF میں زیادہ سے زیادہ 10 DNS lookups ہیں۔ ہر include: ایک lookup شمار ہوتا ہے، اور شامل ریکارڈز اپنے اندر مزید includes رکھ سکتے ہیں جو آپ کی حد کی طرف شمار ہوتے ہیں۔ اس سے تجاوز SPF permerror (مستقل غلطی) کا سبب بنتا ہے، تمام جانچیں ناکام کرتا ہے۔

حد کے اندر رہنے کی حکمت عملیاں:

• جہاں ممکن ہو IP ایڈریس براہ راست استعمال کریں (ip4: ایک lookup شمار نہیں ہوتا)
• ایک ہی فراہم کنندہ استعمال کرتے ہوئے سروسز کو ضم کریں
• SPF flattening سروسز استعمال کریں جو includes کو IP ایڈریس میں تبدیل کرتی ہیں
• پرانی سروسز کے غیر استعمال شدہ includes ہٹائیں

دیگر SPF بہترین طریقے:

• فی ڈومین صرف ایک SPF ریکارڈ (متعدد ریکارڈز ناکامیاں پیدا کرتے ہیں)
• سیٹ اپ کے دوران ~all (سافٹ فیل) سے شروع کریں، تصدیق کے بعد -all پر منتقل ہوں
• ای میل فراہم کنندگان تبدیل کرتے وقت SPF اپڈیٹ کریں
• فرسودہ ptr میکانزم استعمال نہ کریں
• ریکارڈز کو جتنا ممکن ہو سادہ رکھیں

عام SPF غلطیاں

متعدد SPF ریکارڈز:

غلط:
v=spf1 include:spf.brevo.com -all
v=spf1 include:_spf.google.com -all

درست:
v=spf1 include:spf.brevo.com include:_spf.google.com -all

DNS lookup کی حد سے تجاوز:

اگر آپ کے پاس بہت سے includes ہیں، اپنی کل lookup تعداد چیک کریں۔ تصدیق کریں کہ آپ 10 سے کم ہیں۔

فراہم کنندہ تبدیل کرنے کے بعد اپڈیٹ بھولنا:

ایک ای میل سروس سے دوسری پر جاتے وقت، پرانا include ہٹائیں اور نیا شامل کریں۔

+all استعمال کرنا:

+all کبھی استعمال نہ کریں کیونکہ یہ ہر کسی کو آپ کے ڈومین کے طور پر بھیجنے کی اجازت دیتا ہے۔

DKIM (DomainKeys Identified Mail) کو سمجھنا

DKIM (DomainKeys Identified Mail) آپ کی ای میلز میں ایک کریپٹوگرافک دستخط شامل کرتا ہے، یہ ثابت کرتا ہے کہ پیغام آپ کے ڈومین سے آیا اور ٹرانزٹ میں تبدیل نہیں کیا گیا۔

DKIM کیسے کام کرتا ہے

DKIM پبلک کی کریپٹوگرافی استعمال کرتا ہے:

1. آپ کا ای میل فراہم کنندہ پبلک/پرائیویٹ کی جوڑا تیار کرتا ہے
2. آپ DNS میں پبلک کی شائع کرتے ہیں
3. فراہم کنندہ پرائیویٹ کی سے نکلنے والی ای میلز پر دستخط کرتا ہے
4. وصول کنندہ سرور DNS سے آپ کی پبلک کی حاصل کرتے ہیں
5. وہ دستخط کی تصدیق کے لیے پبلک کی استعمال کرتے ہیں
6. درست دستخط صداقت اور سالمیت ثابت کرتا ہے

DKIM کیا دستخط کرتا ہے:

DKIM دستخط عام طور پر مخصوص headers اور پیغام body کا احاطہ کرتے ہیں:

• From ہیڈر (ضروری)
• Subject ہیڈر
• Date ہیڈر
• پیغام body
• دیگر headers جیسا ترتیب دیا گیا ہو

یہ حملہ آوروں کو بھیجنے کے بعد ان عناصر کو تبدیل کرنے سے روکتا ہے۔

DKIM ریکارڈ کی ساخت

DKIM ریکارڈ مخصوص نامکاری شکل کے ساتھ TXT ریکارڈز کے طور پر شائع ہوتے ہیں:

selector._domainkey.yourdomain.com

selector ایک منفرد شناخت کنندہ ہے جو آپ کو متعدد DKIM کیز رکھنے کی اجازت دیتا ہے۔ مختلف ای میل سروسز مختلف selectors استعمال کرتی ہیں (مثلاً brevo، google، s1، s2)۔

DKIM ریکارڈ مواد:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC...

DKIM ترتیب دینا

قدم 1: DKIM کیز تیار کریں

آپ کا ای میل سروس فراہم کنندہ عام طور پر آپ کے لیے کیز تیار کرتا ہے۔ Brevo میں:

1. Settings > Senders, Domains & Dedicated IPs پر جائیں
2. اپنا ڈومین منتخب کریں
3. DKIM سیکشن پر جائیں
4. فراہم کردہ DNS ریکارڈ کاپی کریں

خود میزبان میل سرورز کے لیے، OpenSSL استعمال کرتے ہوئے کیز تیار کریں:

openssl genrsa -out private.key 2048
openssl rsa -in private.key -pubout -out public.key

قدم 2: DKIM DNS ریکارڈ شامل کریں

اپنے DNS مینجمنٹ میں:

• قسم: TXT
• Host/Name: selector._domainkey (مثلاً brevo._domainkey)
• ویلیو: آپ کے فراہم کنندہ سے DKIM ریکارڈ
• TTL: 3600

قدم 3: DKIM دستخط فعال کریں

اپنے ای میل فراہم کنندہ کی سیٹنگز میں، اپنے ڈومین کے لیے DKIM دستخط فعال کریں۔ یہ فراہم کنندہ کو نکلنے والے پیغامات پر دستخط کرنے کا حکم دیتا ہے۔

قدم 4: سیٹ اپ تصدیق کریں

ایک ٹیسٹ ای میل بھیجیں اور DKIM-Signature کے لیے headers چیک کریں۔ ٹولز استعمال کریں جیسے:

• mail-tester.com
• DKIM Validator
• MXToolbox DKIM Lookup

DKIM کے بہترین طریقے

2048-بٹ کیز استعمال کریں:

پرانی 1024-بٹ کیز کمزور سمجھی جاتی ہیں۔ جدید سیکیورٹی معیارات کم از کم 2048-بٹ RSA کیز تجویز کرتے ہیں۔

کیز کو وقتاً فوقتاً گھمائیں:

سختی سے ضروری نہ ہو، لیکن سالانہ DKIM کیز گھمانا اچھی سیکیورٹی عمل ہے۔ خلا سے بچنے کے لیے پرانی کی ہٹانے سے پہلے نئی کی شامل کریں۔

کی سمجھوتے کی نگرانی کریں:

اگر آپ کی پرائیویٹ کی سمجھوتہ ہو جائے، حملہ آور آپ کے طور پر پیغامات پر دستخط کر سکتے ہیں۔ غیر معمولی تصدیق نمونوں کی نگرانی کریں۔

مختلف سروسز کے لیے مختلف selectors استعمال کریں:

ہر ای میل فراہم کنندہ کو منفرد selector استعمال کرنا چاہیے۔ یہ آزادانہ کی مینجمنٹ کی اجازت دیتا اور دوسری سروسز سے تعارض نہیں کرتا۔

DNS propagation چیک کریں:

DKIM کیز لمبی ہو سکتی ہیں۔ یقینی بنائیں کہ آپ کا DNS فراہم کنندہ کافی لمبائی کے TXT ریکارڈز کی حمایت کرتا ہے۔ کچھ فراہم کنندگان کی کو متعدد strings میں تقسیم کرنا ضروری ہے۔

DKIM ہیڈرز پڑھنا

جب آپ ای میل وصول کرتے ہیں، DKIM-Signature ہیڈر دکھاتا ہے:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=example.com; s=brevo;
  h=from:to:subject:date:message-id;
  bh=base64hashofbody;
  b=base64signature;

DMARC (Domain-based Message Authentication, Reporting, and Conformance) کو سمجھنا

DMARC پالیسی نافذ کرنے اور رپورٹنگ فراہم کرنے کے لیے SPF اور DKIM پر بناتا ہے۔ یہ وصول کنندہ سرورز کو بتاتا ہے کہ تصدیق ناکام ہونے پر کیا کریں اور آپ کو تصدیق کے نتائج کے بارے میں رپورٹیں بھیجتا ہے۔

DMARC کیسے کام کرتا ہے

DMARC دو اہم صلاحیتیں شامل کرتا ہے:

1. پالیسی نافذ کرنا: متعین کریں کہ وصول کنندگان تصدیق ناکامیوں کو کیسے سنبھالیں
2. رپورٹنگ: اس بارے میں ڈیٹا پائیں کہ آپ کے ڈومین کا استعمال کرتے ہوئے کون ای میل بھیج رہا ہے

DMARC تصدیق کا عمل:

1. ایک وصول کنندہ سرور آپ کے ڈومین سے ہونے کا دعوی کرنے والی ای میل پاتا ہے
2. وہ SPF چیک کرتا ہے (کیا بھیجنے والا IP مماثل ہے؟)
3. وہ DKIM چیک کرتا ہے (کیا دستخط درست ہے؟)
4. وہ DMARC alignment چیک کرتا ہے (کیا تصدیق شدہ ڈومین From ہیڈر سے مماثل ہیں؟)
5. اگر alignment ناکام ہو، وہ آپ کی DMARC پالیسی لاگو کرتا ہے
6. یہ آپ کو aggregate اور/یا forensic رپورٹیں بھیجتا ہے

DMARC Alignment

DMARC کو From ہیڈر میں ڈومین اور SPF یا DKIM پاس کرنے والے ڈومینز کے درمیان alignment کی ضرورت ہے:

SPF Alignment: Return-Path (envelope sender) میں ڈومین From ہیڈر ڈومین سے مماثل یا اس کا subdomain ہونا چاہیے۔

DKIM Alignment: DKIM دستخط میں ڈومین (d= ٹیگ) From ہیڈر ڈومین سے مماثل یا اس کا subdomain ہونا چاہیے۔

Alignment موڈز:

relaxed alignment کے ساتھ، اگر آپ کا From ہیڈر [email protected] دکھائے اور DKIM brevo.example.com سے دستخط کرے، alignment پاس ہوتا ہے کیونکہ دونوں example.com تنظیمی ڈومین شیئر کرتے ہیں۔

DMARC ریکارڈ کا نحو

DMARC ریکارڈ _dmarc.yourdomain.com پر TXT ریکارڈز کے طور پر شائع ہوتے ہیں:

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

ضروری ٹیگز:

اختیاری ٹیگز:

DMARC پالیسیوں کی وضاحت

p=none (صرف نگرانی):

ناکامیوں پر کوئی کارروائی نہیں۔ ای میلز عام طور پر ڈیلیور ہوتی ہیں۔ رپورٹوں کا تجزیہ کرنے اور تصدیق کے مسائل ٹھیک کرنے کے دوران یہ استعمال کریں۔

v=DMARC1; p=none; rua=mailto:[email protected]

p=quarantine (سپیم فولڈر):

ناکام ای میلز سپیم/جنک فولڈر میں بھیجی جاتی ہیں۔ مکمل rejection سے پہلے ایک اچھا درمیانی قدم۔

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100

p=reject (بلاک):

ناکام ای میلز مکمل طور پر رد کی جاتی ہیں۔ زیادہ سے زیادہ تحفظ لیکن پہلے یقینی بنائیں کہ تمام جائز ذرائع پاس ہوتے ہیں۔

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

DMARC ترتیب دینا

قدم 1: یقینی بنائیں کہ SPF اور DKIM کام کر رہے ہیں

DMARC SPF اور DKIM پر منحصر ہے۔ DMARC شامل کرنے سے پہلے دونوں کو صحیح طریقے سے ترتیب دینے کی تصدیق کریں۔

قدم 2: نگرانی سے شروع کریں (p=none)

ڈیلیوری متاثر کیے بغیر ڈیٹا جمع کرنے کے لیے سب سے پرانت پالیسی سے شروع کریں:

v=DMARC1; p=none; rua=mailto:[email protected]

قدم 3: DNS ریکارڈ شامل کریں

اپنے DNS مینجمنٹ میں:

• قسم: TXT
• Host/Name: _dmarc
• ویلیو: آپ کا DMARC ریکارڈ
• TTL: 3600

قدم 4: 2-4 ہفتوں تک رپورٹوں کا تجزیہ کریں

DMARC aggregate رپورٹیں روزانہ XML فائلوں کے طور پر آتی ہیں۔ وہ دکھاتی ہیں:

• کون سے IPs نے آپ کے ڈومین کا استعمال کرتے ہوئے ای میل بھیجی
• SPF اور DKIM پاس/ناکام شرحیں
• DMARC alignment کے نتائج
• وصول کنندہ سرور کی کارروائیاں

اس ڈیٹا کو بصری بنانے کے لیے DMARC رپورٹ analyzers استعمال کریں:

• DMARC Analyzer
• Postmark DMARC
• Valimail
• dmarcian

قدم 5: تصدیق کے مسائل ٹھیک کریں

رپورٹوں سے ظاہر ہونے والے عام مسائل:

• SPF سے جائز سروسز غائب
• بھیجنے والی سروس کے لیے DKIM فعال نہیں
• تھرڈ پارٹی سروسز مناسب تصدیق کے بغیر بھیج رہی ہیں
• فارورڈنگ SPF alignment توڑ رہی ہے

قدم 6: بتدریج نافذ کریں

جب جائز ذرائع مسلسل پاس ہوں:

1. p=quarantine; pct=10 پر جائیں (ناکامیوں کا 10% quarantine کریں)
2. pct کو 25، 50، 75، 100 تک بڑھائیں
3. p=reject; pct=10 پر جائیں
4. مکمل rejection تک بڑھائیں

قدم 7: برقرار رکھیں اور نگرانی کریں

رپورٹوں کا جائزہ جاری رکھیں۔ نئے بھیجنے کے ذرائع، فراہم کنندہ تبدیلیاں، یا ترتیب میں بہاؤ تصدیق کی ناکامیاں پیدا کر سکتا ہے۔

DMARC رپورٹوں کو سمجھنا

Aggregate رپورٹیں (rua):

روزانہ XML خلاصے جو دکھاتے ہیں:

• رپورٹنگ تنظیم
• تاریخ کی حد
• آپ کی شائع کردہ پالیسی
• ماخذ IP کے مطابق تصدیق کے نتائج
• ای میلز کا حجم

مثال کا اقتباس:

<record>
  <source_ip>203.0.113.10</source_ip>
  <count>1250</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>pass</spf>
  </policy_evaluated>
</record>

Forensic رپورٹیں (ruf):

ناکامیوں کے لیے انفرادی پیغام کی تفصیلات۔ زیادہ تفصیلی لیکن پرائیویسی سے حساس۔ بہت سے وصول کنندگان forensic رپورٹیں نہیں بھیجتے۔

DMARC کے بہترین طریقے

ہمیشہ p=none سے شروع کریں:

reject پر براہ راست جانا جائز ای میل بلاک کر سکتا ہے۔ پہلے نگرانی کریں۔

رپورٹوں کے لیے سرشار ای میل پتہ استعمال کریں:

DMARC رپورٹیں بہت زیادہ ہو سکتی ہیں۔ سرشار پتہ یا تھرڈ پارٹی سروس استعمال کریں۔

Subdomain پالیسی مقرر کریں (sp=):

اگر آپ subdomains سے ای میل نہیں بھیجتے، انہیں spoofing سے بچانے کے لیے sp=reject مقرر کریں۔

بتدریج rollout کے لیے فیصد (pct=) استعمال کریں:

pct ٹیگ آپ کو باقی کی نگرانی کرتے ہوئے ناکامیوں کے فیصد پر پالیسی نافذ کرنے دیتا ہے۔

سرشار DMARC سروسز پر غور کریں:

بڑی تنظیمات کے لیے، Valimail، dmarcian، یا Postmark DMARC جیسی سروسز خام XML فائلوں سے بہتر رپورٹ تجزیہ فراہم کرتی ہیں۔

DNS ریکارڈ سیٹ اپ: مکمل ووکتھرو

ای میل تصدیق ترتیب دینے کے لیے مخصوص DNS ریکارڈ شامل کرنے کی ضرورت ہے۔ یہ سیکشن بڑے DNS فراہم کنندگان کے لیے مکمل walkthrough فراہم کرتا ہے۔

اپنی ضروری ویلیوز جمع کرنا

شروع کرنے سے پہلے، اپنے ای میل فراہم کنندگان سے یہ ویلیوز جمع کریں:

SPF کے لیے:

• تمام include بیانات (مثلاً include:spf.brevo.com)
• کوئی بھی مخصوص IP ایڈریس جو آپ کو مجاز کرنے کی ضرورت ہے

DKIM کے لیے:

• Selector کا نام (مثلاً brevo، google، s1)
• مکمل DKIM کی ویلیو

DMARC کے لیے:

• آپ کا رپورٹنگ ای میل پتہ

عام DNS فراہم کنندگان میں ریکارڈ شامل کرنا

Cloudflare:

1. Cloudflare Dashboard میں لاگ ان کریں
2. اپنا ڈومین منتخب کریں
3. DNS > Records پر جائیں
4. Add Record پر کلک کریں
5. SPF کے لیے: Type=TXT، Name=@، Content=آپ کا SPF ریکارڈ
6. DKIM کے لیے: Type=TXT، Name=selector._domainkey، Content=DKIM کی
7. DMARC کے لیے: Type=TXT، Name=_dmarc، Content=DMARC ریکارڈ
8. Save پر کلک کریں

Google Domains/Squarespace:

1. اپنے ڈومین کے لیے DNS سیٹنگز پر جائیں
2. Custom Records تک سکرول کریں
3. Manage Custom Records پر کلک کریں
4. مناسب قسم، host، اور data کے ساتھ ہر ریکارڈ شامل کریں
5. SPF کے لیے: Host=@، Type=TXT، Data=SPF ریکارڈ
6. DKIM کے لیے: Host=selector._domainkey، Type=TXT، Data=DKIM کی
7. DMARC کے لیے: Host=_dmarc، Type=TXT، Data=DMARC ریکارڈ

GoDaddy:

1. My Products > Domains پر جائیں
2. اپنے ڈومین کے آگے DNS پر کلک کریں
3. Records سیکشن تک سکرول کریں
4. ہر نئے ریکارڈ کے لیے Add پر کلک کریں
5. Type کے لیے TXT منتخب کریں
6. Name درج کریں (SPF کے لیے @، DKIM کے لیے selector._domainkey، DMARC کے لیے _dmarc)
7. Value درج کریں
8. Save

Namecheap:

1. Domain List > Manage پر جائیں
2. Advanced DNS پر کلک کریں
3. ہر ایک کے لیے Add New Record
4. TXT Record منتخب کریں
5. Host: SPF کے لیے @، DKIM کے لیے selector._domainkey، DMARC کے لیے _dmarc
6. Value: آپ کا ریکارڈ مواد
7. Save All Changes

DNS Propagation

ریکارڈ شامل کرنے کے بعد، تبدیلیاں عالمی سطح پر پھیلنے میں وقت لگتا ہے۔ یہ عام طور پر لیتا ہے:

• ابتدائی نمائش کے لیے 5-30 منٹ
• مکمل عالمی propagation کے لیے 48 گھنٹے تک

تصدیق کے لیے dig یا nslookup استعمال کریں:

dig TXT yourdomain.com
dig TXT selector._domainkey.yourdomain.com
dig TXT _dmarc.yourdomain.com

یا دنیا بھر میں propagation چیک کرنے کے لیے whatsmydns.net جیسے آن لائن ٹولز استعمال کریں۔

مکمل سیٹ اپ کی مثال

Brevo اور Google Workspace استعمال کرنے والے ڈومین کے لیے:

SPF ریکارڈ (@ پر TXT):

v=spf1 include:spf.brevo.com include:_spf.google.com -all

Brevo کے لیے DKIM ریکارڈ (brevo._domainkey پر TXT):

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA... [Brevo ڈیش بورڈ سے کی]

Google کے لیے DKIM ریکارڈ (google._domainkey پر TXT):

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BA... [Google Admin سے کی]

DMARC ریکارڈ (_dmarc پر TXT):

v=DMARC1; p=none; rua=mailto:[email protected]

عام مسائل کا ازالہ

محتاط سیٹ اپ کے ساتھ بھی، ای میل تصدیق ناکام ہو سکتی ہے۔ یہاں عام مسائل اور انہیں کیسے حل کریں ہیں۔

SPF کا ازالہ

SPF ریکارڈ نہیں ملا:

علامات: SPF جانچیں “none” یا “کوئی ریکارڈ نہیں” دکھاتی ہیں

وجوہات:

• DNS میں ریکارڈ شامل نہیں کیا گیا
• غلط جگہ (root کی بجائے subdomain) پر ریکارڈ شامل کیا گیا
• DNS propagation مکمل نہیں

حل:

• dig TXT yourdomain.com سے ریکارڈ موجود ہونے کی تصدیق کریں
• Name/Host فیلڈ چیک کریں (root ڈومین کے لیے @ یا خالی ہونا چاہیے)
• DNS propagation کا انتظار کریں (48 گھنٹے تک)

SPF PermError (بہت زیادہ lookups):

علامات: SPF نتائج “permerror” دکھاتے ہیں

وجوہات:

• SPF ریکارڈ میں 10 سے زیادہ DNS lookups
• Includes میں ضرورت سے زیادہ nested includes

حل:

• اپنے includes کا آڈٹ کریں اور غیر استعمال شدہ ہٹائیں
• جہاں ممکن ہو ip4: entries سے includes تبدیل کریں
• SPF flattening سروسز استعمال کریں
• کم فراہم کنندگان پر سروسز ضم کریں

جائز میل کے لیے SPF SoftFail یا Fail:

علامات: جائز ای میلز SPF ناکام کر رہی ہیں

وجوہات:

• SPF میں بھیجنے والی سروس شامل نہیں
• غیر مجاز IP سے بھیجنا
• ایسا relay استعمال کرنا جو envelope sender تبدیل کرے

حل:

• اپنی بھیجنے والی سروس کے لیے غائب include شامل کریں
• چیک کریں کہ کون سے IP نے دراصل ای میل بھیجی (headers سے)
• صحیح SPF سیٹنگز کے لیے اپنے ای میل فراہم کنندہ سے رابطہ کریں

متعدد SPF ریکارڈز:

علامات: SPF permerror یا بے ترتیب ناکامیاں دکھاتا ہے

وجوہات:

• دو یا زیادہ TXT ریکارڈز جن میں v=spf1 ہو

حل:

• تمام میکانزمز کو ایک SPF ریکارڈ میں ملائیں
• نقل SPF ریکارڈز حذف کریں

DKIM کا ازالہ

DKIM دستخط غائب:

علامات: ای میلز میں کوئی DKIM-Signature ہیڈر نہیں

وجوہات:

• ای میل فراہم کنندہ میں DKIM دستخط فعال نہیں
• ڈومین تصدیق مکمل نہیں
• غیر DKIM راستے سے بھیجنا

حل:

• اپنے فراہم کنندہ کی سیٹنگز میں DKIM فعال کریں
• ڈومین تصدیق کے اقدامات مکمل کریں
• DKIM سیٹ اپ کے لیے فراہم کنندہ کی دستاویز چیک کریں

DKIM تصدیق ناکام:

علامات: تصدیق کے نتائج میں DKIM “fail” دکھاتا ہے

وجوہات:

• DNS ریکارڈ شائع نہیں یا غلط ہے
• غلط selector استعمال کیا
• DNS اور دستخط کے درمیان کی کا عدم مماثلت
• ٹرانزٹ میں پیغام تبدیل کیا گیا

حل:

• تصدیق کریں کہ DNS ریکارڈ selector._domainkey.domain پر موجود ہے
• DKIM-Signature ہیڈر میں selector کا DNS سے موازنہ کریں
• اگر عدم مماثلت کا شبہ ہو تو کیز دوبارہ تیار کریں
• پیغامات تبدیل کرنے والے mail filters یا relays چیک کریں

DNS کے لیے DKIM کی بہت لمبی:

علامات: DKIM ریکارڈ محفوظ نہیں کر سکتے، truncation errors

وجوہات:

• 2048-بٹ کیز ایک TXT ریکارڈ کی لمبائی سے تجاوز کرتی ہیں
• DNS فراہم کنندہ کی کریکٹر حدود ہیں

حل:

• کی کو متعدد quoted strings میں تقسیم کریں (زیادہ تر فراہم کنندگان یہ خودبخود سنبھالتے ہیں)
• چیک کریں کہ آپ کا DNS فراہم کنندہ لمبے TXT ریکارڈز کی حمایت کرتا ہے
• عارضی طور پر 1024-بٹ کیز استعمال کریں (کم محفوظ)

تقسیم شدہ DKIM ریکارڈ کی مثال:

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."
"...key کا تسلسل..."

DMARC کا ازالہ

DMARC alignment ناکامیاں:

علامات: SPF اور DKIM پاس لیکن DMARC ناکام

وجوہات:

• تصدیق شدہ ڈومین From ہیڈر ڈومین سے مماثل نہیں
• تھرڈ پارٹی بھیجنے والی سروس اپنے ڈومین کا استعمال کر رہی ہے
• غلط طریقے سے ترتیب شدہ envelope sender

حل:

• یقینی بنائیں کہ آپ کا ای میل فراہم کنندہ آپ کے ڈومین سے دستخط کرتا ہے (custom DKIM)
• Custom Return-Path/envelope sender ترتیب دیں
• relaxed alignment موڈ استعمال کریں (adkim=r; aspf=r)

DMARC رپورٹیں نہیں مل رہیں:

علامات: کوئی aggregate رپورٹیں نہیں آ رہیں

وجوہات:

• rua پتہ غلط
• ای میل پتہ بیرونی ای میل وصول نہیں کر سکتا
• رپورٹیں سپیم میں جا رہی ہیں
• وصول کنندہ سرور رپورٹیں نہیں بھیج رہے

حل:

• rua نحو تصدیق کریں: rua=mailto:[email protected]
• ٹیسٹ کریں کہ رپورٹنگ پتہ بیرونی ای میل وصول کر سکتا ہے
• رپورٹوں کے لیے سپیم فولڈر چیک کریں
• نوٹ: سبھی وصول کنندگان DMARC رپورٹیں نہیں بھیجتے

DMARC ریکارڈ نہیں ملا:

علامات: DMARC جانچیں “کوئی ریکارڈ نہیں” دکھاتی ہیں

وجوہات:

• ریکارڈ غلط جگہ پر شائع
• غلط شکل استعمال کی (لازمی ہے کہ _dmarc subdomain پر TXT ہو)

حل:

• ریکارڈ _dmarc.yourdomain.com پر ہونا چاہیے
• dig TXT _dmarc.yourdomain.com سے تصدیق کریں

عام ازالہ ٹولز

آن لائن validators:

• MXToolbox (mxtoolbox.com) - SPF، DKIM، DMARC lookups
• Mail Tester (mail-tester.com) - مکمل تجزیہ کے لیے ٹیسٹ ای میل بھیجیں
• DMARC Analyzer - رپورٹ بصری کاری
• Google Admin Toolbox - MX، SPF، DKIM چیک کریں

کمانڈ لائن ٹولز:

# SPF چیک کریں
dig TXT yourdomain.com

# DKIM چیک کریں
dig TXT selector._domainkey.yourdomain.com

# DMARC چیک کریں
dig TXT _dmarc.yourdomain.com

# مخصوص DNS سرور سے چیک کریں
dig @8.8.8.8 TXT yourdomain.com

ای میل ہیڈر تجزیہ:

وصول شدہ ای میلز میں Authentication-Results ہیڈر چیک کریں:

Authentication-Results: mx.google.com;
  dkim=pass header.d=example.com header.s=brevo;
  spf=pass smtp.mailfrom=example.com;
  dmarc=pass action=none header.from=example.com

ای میل تصدیق اور Brevo

Brevo جامع ای میل تصدیق سپورٹ فراہم کرتا ہے، آپ کے بھیجنے والے ڈومینز کے لیے SPF، DKIM، اور DMARC ترتیب دینا آسان بناتا ہے۔

Brevo میں تصدیق ترتیب دینا

قدم 1: اپنا ڈومین شامل کریں

1. اپنے Brevo اکاؤنٹ میں لاگ ان کریں
2. Settings > Senders, Domains & Dedicated IPs پر جائیں
3. Add a Domain پر کلک کریں
4. اپنا ڈومین نام درج کریں

قدم 2: SPF ترتیب دیں

Brevo آپ کے DNS میں شامل کرنے کے لیے SPF include فراہم کرتا ہے:

include:spf.brevo.com

اپنے موجودہ SPF ریکارڈ میں شامل کریں یا نیا بنائیں:

v=spf1 include:spf.brevo.com -all

قدم 3: DKIM ترتیب دیں

Brevo خودبخود DKIM کیز تیار کرتا ہے۔ فراہم کردہ ریکارڈ کاپی کریں:

1. Brevo میں اپنے ڈومین سیٹنگز پر جائیں
2. DKIM سیکشن تلاش کریں
3. DNS ریکارڈ نام اور ویلیو کاپی کریں
4. TXT ریکارڈ اپنے DNS میں شامل کریں

قدم 4: ترتیب کی تصدیق کریں

Brevo خودبخود آپ کے DNS ریکارڈ چیک کرتا ہے۔ سبز چیک مارکس کامیاب ترتیب ظاہر کرتے ہیں۔

Brevo کی مناسب تصدیق کے فوائد

جب آپ Brevo کے ساتھ مناسب طریقے سے تصدیق ترتیب دیتے ہیں:

• زیادہ ان باکس placement: Gmail، Microsoft، اور دیگر فراہم کنندگان تصدیق شدہ پیغامات پر اعتماد کرتے ہیں
• برانڈ تحفظ: DMARC آپ کے ڈومین کی spoofing روکتا ہے
• بہتر تجزیات: اوپنز اور کلکس کی درست ٹریکنگ
• شہرت سازی: مستقل تصدیق سینڈر شہرت بناتی ہے

Tajo انضمام کے فوائد

اپنے Shopify اسٹور کو Brevo سے جوڑنے کے لیے Tajo استعمال کرنا اضافی فوائد فراہم کرتا ہے:

• خودکار صارف ہم آہنگی: ذاتی نوعیت کی ای میلز کے لیے کسٹمر ڈیٹا بے رکاوٹ بہتا ہے
• ایونٹ ٹریکنگ: خریداری، براؤز، اور کارٹ ایونٹس تصدیق شدہ ٹرانزیکشنل ای میلز کو متحرک کرتے ہیں
• ملٹی چینل کوآرڈینیشن: ای میل، SMS، اور WhatsApp میں مستقل تصدیق برقرار رکھیں
• یکساں تجزیات: دیگر مارکیٹنگ میٹرکس کے ساتھ ای میل کارکردگی ٹریک کریں

مناسب ای میل تصدیق اور حقیقی وقت کسٹمر ڈیٹا ہم آہنگی کا مجموعہ یقینی بناتا ہے کہ آپ کی ای میلز نہ صرف ان باکس تک پہنچیں بلکہ ہر وصول کنندہ کے ساتھ گونجیں بھی۔

اکثر پوچھے گئے سوالات

SPF، DKIM، اور DMARC میں کیا فرق ہے؟

SPF یہ بتاتا ہے کہ آپ کے ڈومین کے لیے کون سے سرور ای میل بھیج سکتے ہیں۔ DKIM پیغام کی صداقت ثابت کرنے والا کریپٹوگرافک دستخط شامل کرتا ہے۔ DMARC اس بارے میں پالیسی مقرر کرتا ہے کہ وصول کنندگان تصدیق ناکامیوں کو کیسے سنبھالیں اور رپورٹنگ فراہم کرتا ہے۔ تینوں مکمل ای میل تصدیق کے لیے مل کر کام کرتے ہیں۔

کیا مجھے تینوں (SPF، DKIM، اور DMARC) کی ضرورت ہے؟

بہترین ڈیلیوریبیلیٹی اور سیکیورٹی کے لیے، ہاں۔ SPF اکیلا spoofing کا شکار ہے۔ DKIM اکیلا پالیسی متعین نہیں کرتا۔ DMARC کو کام کرنے کے لیے SPF یا DKIM کی ضرورت ہے۔ مل کر، وہ جامع تحفظ اور بہترین ان باکس placement ریٹ فراہم کرتے ہیں۔

ای میل تصدیق کام کرنے میں کتنا وقت لگتا ہے؟

DNS تبدیلیاں عام طور پر 30 منٹ سے 48 گھنٹوں میں propagate ہوتی ہیں۔ Propagate ہونے کے بعد، تصدیق فوری طور پر لاگو ہوتی ہے۔ تاہم، مستقل تصدیق کی بنیاد پر سینڈر شہرت بنانے میں ہفتوں سے مہینے لگتے ہیں۔

کیا p=reject کے ساتھ DMARC ترتیب دینے سے میری جائز ای میلز بلاک ہو جائیں گی؟

اگر غلط طریقے سے ترتیب دیا جائے تو ہو سکتی ہیں۔ اسی لیے آپ کو ہمیشہ p=none (نگرانی) سے شروع کرنا چاہیے، 2-4 ہفتے رپورٹوں کا تجزیہ کریں، مسائل ٹھیک کریں، پھر بتدریج quarantine اور reject کی طرف بڑھیں۔ نگرانی کا مرحلہ کبھی نہ چھوڑیں۔

SPF alignment بمقابلہ DKIM alignment کیا ہے؟

Alignment کا مطلب ہے کہ تصدیق شدہ ڈومین نظر آنے والے From ہیڈر ڈومین سے مماثل ہو۔ SPF alignment Return-Path ڈومین کا موازنہ کرتی ہے۔ DKIM alignment دستخط کرنے والے ڈومین (d= ٹیگ) کا موازنہ کرتی ہے۔ DMARC کے لیے کم از کم ایک مماثل ہونا ضروری ہے۔

کیا میں ایک ڈومین کے لیے متعدد DKIM کیز رکھ سکتا ہوں؟

ہاں۔ ہر ای میل سروس مختلف selector استعمال کر سکتی ہے (مثلاً brevo._domainkey، google._domainkey)۔ یہ متعدد سروسز کو آزادانہ طور پر DKIM سے دستخط کرنے کی اجازت دیتا ہے۔ DKIM selectors کی تعداد پر کوئی حد نہیں۔

تصدیق ترتیب دینے کے بعد میری ای میلز ابھی بھی سپیم میں کیوں جاتی ہیں؟

تصدیق ان باکس placement کے لیے ضروری لیکن کافی نہیں۔ دیگر عوامل میں سینڈر شہرت، مواد کا معیار، مشغولیت کی شرح، اور فہرست کی صفائی شامل ہیں۔ تصدیق پہلے فلٹر سے گزرتی ہے؛ اچھے طریقے حتمی placement متعین کرتے ہیں۔

DMARC aggregate رپورٹیں کیسے پڑھوں؟

DMARC aggregate رپورٹیں XML فائلیں ہیں۔ انہیں parse اور بصری بنانے کے لیے dmarcian، Postmark DMARC، یا DMARC Analyzer جیسے ٹولز استعمال کریں۔ یہ ٹولز دکھاتے ہیں کہ کون سے IPs آپ کے ڈومین کے طور پر ای میل بھیجتے ہیں اور ان کی تصدیق پاس/ناکام شرحیں۔

اگر میں SPF کی 10 lookup حد سے تجاوز کروں تو کیا ہوگا؟

SPF مستقل غلطی (permerror) واپس کرتا اور تمام SPF جانچیں ناکام ہو جاتی ہیں۔ اسے ٹھیک کرنے کے لیے، غیر استعمال شدہ includes ہٹائیں، جہاں ممکن ہو includes کو IP ایڈریس سے تبدیل کریں، یا SPF flattening سروسز استعمال کریں۔

کیا میں SPF ریکارڈ میں -all یا ~all استعمال کروں؟

ٹیسٹنگ اور اعتماد بناتے وقت ~all (softfail) استعمال کریں۔ جب تمام جائز ذرائع پاس ہونے کی تصدیق ہو جائے، مضبوط تحفظ کے لیے -all (hard fail) پر جائیں۔ Softfail ناکامیوں کو نشان لگاتا لیکن رد نہیں کرتا؛ hard fail rejection کی اجازت دیتا ہے۔

مجھے DKIM کیز کتنی بار گھمانی چاہئیں؟

کوئی سخت ضرورت نہیں، لیکن سالانہ گھمانا اچھی سیکیورٹی عمل ہے۔ گھماتے وقت پہلے نئی کی شامل کریں، DNS propagation کا انتظار کریں، نئی کی سے دستخط فعال کریں، پھر منتقلی کی مدت کے بعد پرانی کی ہٹائیں۔

کیا subdomains کو الگ تصدیق کی ضرورت ہے؟

SPF: ہاں، اگر اس سے ای میل بھیج رہے ہیں تو ہر subdomain کو اپنا SPF ریکارڈ چاہیے۔ DKIM: کیز subdomain کے مطابق مشترک یا الگ ہو سکتی ہیں۔ DMARC: Subdomains والدین کی پالیسی وراثت میں لیتے ہیں جب تک sp= مقرر نہ ہو یا subdomain کا اپنا DMARC ریکارڈ نہ ہو۔

نتیجہ

SPF، DKIM، اور DMARC کے ذریعے ای میل تصدیق اب ان کاروباروں کے لیے اختیاری نہیں جو ای میل مواصلات پر انحصار کرتے ہیں۔ یہ پروٹوکولز آپ کے برانڈ کو spoofing سے بچاتے ہیں، ڈیلیوریبیلیٹی بہتر کرتے ہیں، اور مؤثر ای میل مارکیٹنگ کے لیے ضروری اعتماد بناتے ہیں۔

اہم نکات:

• SPF DNS کے ذریعے بھیجنے والے سرورز کو مجاز قرار دیتا ہے
• DKIM کریپٹوگرافک دستخطوں سے پیغام کی صداقت ثابت کرتا ہے
• DMARC رپورٹوں کے ذریعے پالیسی نافذ کرتا اور مرئیت فراہم کرتا ہے
• rejection نافذ کرنے سے پہلے نگرانی (p=none) سے شروع کریں
• تمام جائز بھیجنے کے ذرائع مناسب طریقے سے ترتیب دیے جانے چاہئیں
• باقاعدہ نگرانی ترتیب کے بہاؤ کو روکتی ہے

Shopify استعمال کرنے والے ای کامرس کاروباروں کے لیے، Tajo اور Brevo کے ذریعے کسٹمر ڈیٹا انضمام کے ساتھ مناسب ای میل تصدیق کو ملانا ایک طاقتور بنیاد بناتا ہے۔ آپ کی ٹرانزیکشنل ای میلز قابل اعتماد طریقے سے صارفین تک پہنچتی ہیں، آپ کی مارکیٹنگ مہمات بہتر ان باکس placement حاصل کرتی ہیں، اور آپ کا برانڈ spoofing حملوں سے محفوظ رہتا ہے۔

اپنی ای میل ڈیلیوریبیلیٹی بہتر کرنے کے لیے تیار ہیں؟ اس گائیڈ میں بتائے گئے ٹولز سے اپنی موجودہ تصدیق کی ترتیب کا آڈٹ کریں، پھر فراہم کردہ قدم بہ قدم ہدایات کے مطابق SPF، DKIM، اور DMARC منظم طریقے سے ترتیب دیں۔

جانیں کہ Tajo Brevo کے ساتھ کیسے ضم ہوتا ہے تاکہ آپ کے Shopify اسٹور کے لیے حقیقی وقت کسٹمر ڈیٹا ہم آہنگی کے ساتھ بے رکاوٹ ای میل تصدیق فراہم کی جا سکے۔