حفظ اعتبار سرور ایمیل و تضمین رسیدن پیامها به اینباکس، به یکی از بزرگترین دغدغههای مدیران فناوری اطلاعات تبدیل شده است. امروزه مکانیزمهای فیلترینگ یا تنظیمات Antispam در پلتفرمهای پیشرفتهای مانند نسخه جدید SmarterMail، گوگل و مایکروسافت، به سمتی حرکت میکنند که بدون احراز هویت دقیق، ساختار ارتباطی سازمانها را با چالش مواجه کنند. در این مقاله کاربردی، بررسی خواهیم کرد که رکوردهای سهگانه امنیتی یعنی SPF، DKIM و DMARC چیست و چگونه پیکربندی صحیح آنها مانع از ریجکت یا بلاک شدن ایمیلهای حیاتی کسبوکار شما میشود.
چرا حفظ اعتبار سرور ایمیل برای سازمانها حیاتی است؟
چالشهای Deliverability و سختگیری سرویسهای بزرگ مانند گوگل و مایکروسافت
ارسال موفقیتآمیز ایمیل به اینباکس مخاطبان، فراتر از داشتن یک سرور قدرتمند است؛ ساختار فنی شما باید به طور مداوم فرآیند اعتمادسازی را طی کند. سرویسدهندگان بزرگ ایمیل و ISPها مانند Gmail و Office 365 هر روز قوانین سختگیرانهتری را برای پذیرش ایمیلهای ورودی وضع میکنند تا از کاربران خود در برابر هرزنامهها محافظت نمایند.
اگر زیرساخت شما فاقد رکوردهای هویتی معتبر باشد، این سرویسدهندهها به سرعت رفتار ارسالهای شما را مشکوک ارزیابی کرده و پیامها را کاملاً Reject میکنند یا با تأخیرهای طولانی (Delay) مواجه میسازند. این مسئله به طور مستقیم نرخ تحویل یا همان Deliverability ایمیلهای سازمانی را کاهش داده و ارتباطات تجاری را مختل میکند.
به همین دلیل، اتکا به روشهای سنتی ارسال ایمیل دیگر پاسخگوی نیازهای مدرن نیست و هرگونه کوتاهی در بهروزرسانی لایههای امنیتی، به سرعت به مسدود شدن آیپیهای سرور منجر خواهد شد.
نقش پروتکلهای امنیتی در کاهش نرخ اسپم و جلوگیری از Reject شدن ایمیلها
برای جلوگیری از بروز اختلال در تبادلات آنلاین، پیادهسازی مکانیزمهای احراز هویت تنها راهکار تضمینشده برای حفظ اعتبار سرور ایمیل است. این ابزارها به سرورهای دریافتکننده در سراسر جهان ثابت میکنند که فرستنده پیام، دقیقاً همان کسی است که ادعا میکند و هویت دامین او جعل نشده است.
وقتی رکوردهای امنیتی به درستی روی دیاناس دامین سازمان تنظیم شده باشند، فیلترهای آنتیاسپمِ مقصد با اطمینان بالا پیام را میپذیرند. این فرآیند مانع از آن میشود که ایمیلهای سالم و رسمی شما به اشتباه در پوشه Spam قرار بگیرند یا توسط فایروالهای لبهای شبکه ریجکت شوند.
سرمایهگذاری زمانی روی تنظیم دقیق این رکوردها، در واقع یک اقدام پیشگیرانه است که پایداری بلندمدت بستر ارتباطی دامینهای شما را در فضای وب تضمین خواهد کرد.
« پیشگیری بهتر از درمان است.» این جمله در دنیای مدیریت ایمیل و امنیت شبکه، بیش از هر جای دیگری حقیقت دارد؛ قرار دادن هر سه رکورد در جای خود نشان میدهد که دامین شما واقعاً همان چیزی است که ادعا میکند و شما به عنوان مدیر شبکه در جلوگیری از Spam، Phishing و مشکلات Email Security جدی هستید.
مکانیزمهای سهگانه امنیت ایمیل؛ SPF، DKIM و DMARC چیست؟
راهکارهای نوین آنتیاسپم در میلسرورهای پیشرفته (مانند SmarterMail)
در نسلهای جدید میلسرورهای سازمانی، تغییرات ساختاری بزرگی در بخش فیلترینگ ورودی و خروجی اعمال شده است. به عنوان نمونه، در نسخههای اخیر SmarterMail، تنظیمات جدید به سمت سادهسازی حفاظت در برابر اسپم برای کاربران و Domain Administratorها و در عین حال افزایش کارایی بررسیهای پیشفرض حرکت کرده است.
این پلتفرمها با بهینهسازی فرآیندهای تحلیل در لبه شبکه، تلاش میکنند تا بخش عمدهای از ترافیک مخرب را در همان لحظه ورود شناسایی کنند. با این حال، کارایی این سیستمها زمانی به اوج خود میرسد که مکانیزمهای سهگانه احراز هویت دامین به طور کامل پیادهسازی شوند؛ ابزارهایی که با وجود اهمیت فزاینده، هنوز برای بسیاری از مدیران کمی گیجکننده هستند.
ترکیب هوشمندی فیلترهای لایه سرور با استانداردهای بینالمللی احراز هویت، ابزاری قدرتمند برای مقابله با تهدیدات سایبری و ارتقای امنیت کلی شبکه سازمان به وجود میآورد.
مفهوم کلی احراز هویت (Authentication) در سرورهای فرستنده و گیرنده
به زبان ساده، پروتکلهای SPF، DKIM و DMARC متدهایی برای Authenticate کردن میلسرور شما هستند. هدف نهایی آنها این است که به ISPها، سرویسهای ایمیل و سایر میلسرورهای دریافتکننده ثابت کنند فرستندگان پیام واقعاً مجاز به ارسال ایمیل از طرف آن دامین خاص هستند.
وقتی این سه مورد به درستی تنظیم شوند، در کنار یکدیگر اثبات میکنند که فرستنده معتبر است، هویت او به خطر نیفتاده و از طرف شخص دیگری ایمیل ارسال نمیکند. این اقدامات آنتیاسپم روز به روز اهمیت بیشتری پیدا میکنند و روزی فرا خواهد رسید که توسط تمامی ایمیل سرویسها اجباری شوند.
پیکربندی هر سه بررسی (Check) تضمین میکند که ایمیل شما Deliver میشود و به طور کامل Reject یا با Delayهای فنی مواجه نمیشود.
| پروتکل امنیتی | ماهیت عملکردی | هدف اصلی در شبکه |
|---|---|---|
| رکورد SPF | لیست متنی آیپیهای مجاز (TXT) | مشخص کردن سرورها و IPهای مجاز ارسالکننده دامین |
| رکورد DKIM | امضای دیجیتال مبتنی بر کلیدهای جفت الکترونیکی | تضمین عدم دستکاری محتوا و هدرهای ایمیل در طول مسیر |
| پروتکل DMARC | پلیسی، انطباق هویت و مکانیزم گزارشدهی | تطابق هدر Friendly From با رکوردها و تعیین تکلیف نهایی پیام |
بررسی عمیق رکورد SPF؛ اولین گام در تأیید هویت فرستنده
مکانیزم عملکرد Sender Policy Framework به زبان ساده
اصطلاح SPF مخفف Sender Policy Framework است. مانند سایر بررسیهای امنیتی، SPF یک رکورد متنی از نوع DNS TXT Record است که به طور دقیق مشخص میکند کدام IP Addressها و یا سرورها اجازه دارند از طرف آن Domain خاص ایمیل ارسال کنند.
این رکورد در واقع شبیه به آدرس فرستنده (Return Address) است که روی یک نامه یا کارتپستال فیزیکی درج میشود تا گیرنده بداند چه کسی پیام را ارسال کرده است. ایده این است که اگر گیرنده بداند چه کسی نامه را فرستاده، احتمال باز کردن آن بیشتر است. البته در این سازوکار، منظور از «گیرنده» همان میلسرور دریافتکننده است، نه فرد واقعی که ایمیل را باز میکند.
اگر آیپی سرور فرستنده با مقادیر تعریفشده در این رکورد تطابق نداشته باشد، زنگ خطر فیلترهای اسپم مقصد به صدا در خواهد آمد.
راهنمای تنظیم SPF برای سابدامینها و محدودیتهای طول کاراکتر
در رابطه با زیردامنهها یا همان Subdomains، وبسایت تخصصی و مرجع OpenSPF (که اکنون غیرفعال است) یک توصیه بسیار مهم برای ناشران SPF دارد: شما باید یک رکورد SPF اختصاصی برای هر Subdomain یا Hostname که دارای A Record یا MX Record است اضافه کنید.
نکته فنی دیگر مربوط به دامنههایی است که از رکوردهای پیشفرض و همهمنظوره استفاده میکنند؛ سایتهایی با Wildcard A or MX Records نیز حتماً باید یک Wildcard SPF Record به این صورت در زون دیاناس خود داشته باشند: * IN TXT "v=spf1 -all".
علاوه بر این، در هنگام بهینهسازی و نوشتن زنجیره سرورها، لطفا توجه داشته باشید که یک SPF Record به طور کلی طبق استانداردهای شبکه نمیتواند از ۲۵۵ کاراکتر فراتر رود؛ فراتر رفتن از این محدودیت سبب نادیده گرفته شدن رکورد توسط سرورهای مقصد خواهد شد.
آناتومی و اجزای یک رکورد SPF استاندارد (مکانیزم تگهای ip4، include و all)
یک رکورد SPF یک رشته (String) بسیار ساده است که میتواند به راحتی توسط Domain Administrator ایجاد شده و به عنوان یک ورودی TXT به DNS Record آن Domain اضافه شود. وبسایتهای متعددی مانند MXToolbox ابزار SPF Record Generator را برای این کار ارائه میدهند. این رکورد بخشهای بسیار کمی دارد که شامل نسخه، آیپیهای مجاز، دامینهای ثالث مجاز (Includes) و تگ پایانی است.
بیایید نگاهی به یک SPF Record واقعی و معنای دقیق هر بخش از آن بیندازیم: v=spf1 ip4:22.23.24.25 include:another-domain-that-can-send-email-for-us.com -all. عبارت v=spf1 بیان میکند که نسخه ۱ از SPF در حال پیادهسازی است. در حال حاضر نسخه دیگری وجود ندارد، بنابراین این بخش همیشه باید ثابت بماند (در گذشته نسخه دیگری به نام SenderID وجود داشت که اکنون منسوخ یا Deprecated شده است).
بخش ip4:22.23.24.25 آیپی سروری است که مجاز به ارسال ایمیل برای دامین است. میتوان از چندین آیپی استفاده کرد؛ بنابراین اگر Email Provider شما رنج آیپی چرخشی دارد، میتوانید همه را به صورت جداگانه لیست کنید (ip4:12.13.14.15 ip4:22.23.24.25) یا از یک CIDR Range مشخص مانند ip4:22.23.24.0/20 استفاده کنید. توجه داشته باشید که اگر هر دو آدرس IPv4 و IPv6 توسط میلسرور استفاده میشوند، باید هر دو تگ در رکورد لیست شوند.
تگ include مشخصکننده یک سورس فرعی یا Secondary Domain است که مجاز است از طرف دامین اصلی ایمیل ارسال کند. اگر چندین دامین مجاز دارید، همه باید به عنوان Includes جداگانه لیست شوند؛ اما به یاد داشته باشید که حداکثر ۱۰ عدد Include برای هر فرستنده مجاز است. در نهایت تگ all به سرور دریافتکننده میگوید که اگر دامین را در هدر ببیند اما در رکورد شما لیست نشده باشد، با پیام چگونه رفتار کند. گزینهها توسط کاراکتر قبل از all تعیین میشوند:
- تگ -all (خط تیره all): این حالت یک Hard Fail است. یعنی سرورهای خارج از لیست به هیچ وجه مجاز نیستند و ایمیل باید توسط سرور دریافتکننده به طور کامل Reject شود.
- تگ ~all (تیلدا all): این حالت یک Soft Fail است. به این معنی که سرور در لیست نیست، اما نباید پیام به طور کامل ریجکت شود، بلکه به عنوان Possible Spam علامتگذاری میگردد.
- تگ +all (مثبت all): این حالت به هیچ عنوان توصیه نمیشود؛ چرا که به این معنی است که هر سروری در دنیا مجاز به ارسال از طرف دامین شماست، حتی اگر در رکورد لیست نشده باشد.
رکورد DKIM چیست و چگونه از دستکاری محتوای ایمیل جلوگیری میکند؟
تفاوت ساختاری SPF و DomainKeys Identified Mail (مفهوم Certified Mail)
اصطلاح DKIM مخفف DomainKeys Identified Mail است. این قابلیت فنی در زیرساخت شبکههای سازمانی به عنوان Email Signing یا امضای دیجیتال ایمیل نیز شناخته میشود. دقیقاً مانند رکورد اسپیاف، قابلیت DKIM نیز یک TXT Record است که به دیاناس دامین متصل میشود.
اگر SPF مانند रिटर्न آدرس روی یک پاکت نامه باشد، فعالسازی DKIM مانند ارسال آن نامه از طریق سرویس رسید تایید شده یا Certified Mail است؛ زیرا این پروتکل اعتماد به مراتب قویتر و پیشرفتهتری میان سرور فرستنده و سرور دریافتکننده ایجاد میکند.
دلیل اصلی این سطح از اعتماد بالا این است که هدف اصلی DKIM، اثبات این مسئله است که محتوای یک Email Message در طول مسیر دستکاری نشده، هدرهای اصلی (Message Headers) تغییر نکردهاند (مثلاً آدرس From جعلی اضافه نشده) و فرستنده واقعاً مالک دامینی است که رکورد به آن متصل است.
رمزنگاری کلید عمومی و خصوصی (Public & Private Keys) در DKIM
برخلاف مکانیزم ساده و متنی اسپیاف، قابلیت DKIM از یک Encryption Algorithm (الگوریتم رمزنگاری) برای ایجاد یک جفت کلید الکترونیکی استفاده میکند: یک Public Key (کلید عمومی) و یک Private Key (کلید خصوصی) که کل این فرآیند اعتمادسازی را مدیریت میکنند.
کلید Private Key روی سروری که در آن ایجاد شده است (که همان میلسرور اختصاصی شماست) به صورت کاملاً محرمانه باقی میماند و فاش نمیشود. کلید Public Key همان رشته متنی است که در DNS TXT Record قرار میگیرد. به دلیل وجود این رابطه رمزنگاری، رکوردهای DKIM به طور کلی باید توسط Domain Administrators ایجاد و مدیریت شوند.
در حالی که کلید خصوصی مخفی نگه داشته میشود، کلید عمومی توسط ابزاری در میلسرور تولید شده و میتواند به راحتی کپی شده و در تنظیمات زون دیاناس نزد DNS Provider شما (مانند GoDaddy، eNom، DynDNS و…) قرار گیرد. مدیران بر روی تمام تنظیمات این بخش کنترل دارند و در صورت نیاز به تعویض کلیدها، رکورد جدید صرفاً باید مجدداً در DNS جایگزین شود.
آشنایی با تگهای اصلی رکورد DKIM
در حالت ایدهآل، میلسرور شما ابزاری را ارائه میدهد که به شما امکان میدهد اطلاعات را مستقیماً روی سرور ایجاد کنید. به عنوان مثال برای کاربران SmarterMail، اطلاعات فنی مربوط به تنظیمات Email Signing به طور کامل در مستندات راهنمای سیستم در دسترس است. صرف نظر از نحوه تولید، پارامترهای زیر بخشهای اصلی تشکیلدهنده یک رکورد دیکیم هستند:
- تگ s (Selector): این بخش نشاندهنده سلکتور یا انتخابگر است؛ نام رکوردی که همراه با Domain برای مکانیابی Public Key در DNS استفاده میشود. فرستنده این نام را به طور خودکار یا دستی ایجاد میکند.
- تگ d (Domain): این تگ Domain مورد استفاده فرستنده را نشان میدهد که با رکورد Selector به صورت ترکیبی استفاده میشود و به یافتن کلید عمومی کمک میکند.
- تگ p (Public Key): این تگ همان Public Key یا کلید عمومی واقعی است که در DNS منتشر میشود. این رشته شبیه مجموعهای تصادفی از حروف بزرگ و کوچک، اعداد و برخی علائم نگارشی به نظر میرسد.
این تگها سه بخش اساسی یک رکورد DKIM معمولی را تشکیل میدهند: 2B8U4DAB93D58YR._domainKey.yourdomain.com; p=MIGfMA0GCSqGSIb.... تگهای اختیاری دیگری نیز وجود دارند اما این سه تگ بیشترین کاربرد را در معماری شبکه دارند.
پروتکل DMARC چیست؛ لایه نهایی سیاستگذاری و گزارشدهی هوشمند
مفهوم تطابق هویت (Identifier Alignment) و اتصال SPF به DKIM
اصطلاح DMARC مخفف Domain-based Message Authentication, Reporting and Conformance است. این ابزار یک پروتکل احراز هویت، سیاستگذاری و گزارشدهی ایمیل است که در واقع حول محور هر دو قابلیت فنی SPF و DKIM ساخته شده و کار میکند.
از آنجا که دیمارک از هر دو پروتکل قبلی استفاده میکند، ممکن است تعجب کنید که چرا اصلاً به آن نیاز است. پاسخ ساده است: DMARC اساساً بر پایه SPF و DKIM شکل میگیرد تا اطمینان حاصل کند که هنگام دریافت ایمیل، اطلاعات موجود در هر دو رکورد با دامین فرستندهای که کاربر به طور عادی در ظاهر ایمیل میبیند (Friendly From مانند me@my-domain.com) و آدرس فرستندهای که در کدهای تکمیلی یا Message Header وجود دارد، کاملاً مطابقت داشته باشد؛ فرآیندی فنی که متخصصان شرکت Dmarcian آن را تطابق فنی هویت یا Identifier Alignment نامیدهاند.
سیاستهای سهگانه DMARC (None، Quarantine و Reject)
زمانی که هر دو رکورد SPF و DKIM را در اختیار داشتید، وقت تنظیم DMARC Record است. سادهترین راه استفاده از یک DMARC Wizard در سایتهای مرجع مانند MXToolbox، DMARC Analyzer یا Dmarcian است. سایت Dmarc.org نیز لیستی از ابزارها را برای Generation، جستجو و Parsing، به همراه Message Validation ارائه میدهد. یک رکورد دیمارک تگهای متعددی دارد، اما تنها وجود ۲ تگ در آن کاملاً الزامی است:
- تگ v (Version): تگ نسخه است که حتماً باید مقدار آن
DMARC1باشد و به عنوان اولین تگ در رکورد لیست شود. - تگ p (Policy): تگ سیاستگذاری است و به سرور دریافتکننده میگوید چه سیاستی را برای پیامی که در ارزیابی شکست خورده است اعمال کند. این تگ شامل سه حالت
none(هیچ کاری با پیام انجام نده)،quarantine(پیام را قرنطینه و به پوشه اسپم بفرست) یاreject(پیام را کاملاً رد و مسدود کن) میباشد. - تگ pct (Percentage): یک تگ اختیاری است که درصد پیامهای مشکوکی که سیاست دیمارک روی آنها اعمال میشود را مشخص میکند (مقدار پیشفرض آن ۱۰۰ است).
اهمیت تگهای کاربردی rua و fo در مانیتورینگ سلامت سرور
پروتکل دیمارک علاوه بر سیاستگذاری، مکانیزم مانیتورینگ فوقالعادهای دارد. تگ rua=mailto:address@company.com به سرورهای دریافتکننده میگوید که Aggregate Reports (گزارشهای مجموعهای) را به کجا ارسال کنند. این گزارشها دید بینظیری از وضعیت سلامت سرور فرستنده و فعالیتهای مخرب یا Phishing ارائه میدهند.
این گزارشها روزانه ارسال میشوند، بنابراین بهتر است آنها را به آدرس ایمیلی ارسال کنید که دقیقاً برای این کار تنظیم شده است، نه به حساب کاربری اصلی Domain Administrator یا ایمیلهای معمولی کاربران نهایی سازمان. تگ اختیاری دیگر fo (Failure Options) است که اعلام میکند نمونه پیامهایی که شکست خوردهاند باید به فرستنده بازگردانده شوند. چهار گزینه برای مقدار این تگ وجود دارد:
مقدار 0 در تگ fo یعنی اگر هر دو ابزار SPF و DKIM نتوانند نتیجه Pass تولید کنند گزارش ایجاد کن (این حالت پیشفرض است). مقدار 1 یعنی اگر هر کدام از ابزارهای SPF یا DKIM نتوانند Pass شوند، گزارش فنی شکست را ایجاد کن که این گزینه بسیار توصیه شده است. مقادیر d و s نیز به ترتیب گزارشهای اختصاصی خرابی امضای دیکیم یا خطای اسپیاف را صادر میکنند.
آیا پیادهسازی هر سه پروتکل برای حفظ اعتبار سرور ایمیل الزامی است؟
بررسی رویکرد گامبهگام پیادهسازی برای جلوگیری از اختلال در ارسالها
ابتداییترین پاسخ به این سوال هم “بله” و هم “خیر” است. در حالی که SPF و DKIM در حال پذیرش بسیار گستردهتری در سطح اینترنت هستند، DMARC هنوز پروتکلی است که مدتی طول میکشد تا به طور کامل جا بیفتد. برای درک نحوه پیادهسازی گامبهگام، بیایید نگاهی به رکورد رسمی دامین شرکت SmarterTools بیندازیم: v=DMARC1; p=none; rua=mailto:fbl@smartertools.com; fo=1.
همانطور که میبینید، آنها هر دو تگ اجباری را تنظیم کردهاند اما برای تگ سیاست (p) مقدار آن را روی none قرار دادهاند. این یعنی دامین در حال جمعآوری بازخوردها و گزارشها درباره پیامهاست اما جریان ارسال پیامها را مختل نمیکند، حتی اگر آنها در SPF و یا DKIM شکست بخورند.
از دیدگاه پیادهسازی گامبهگام دیمارک، این یک مسیر اقدام بسیار هوشمندانه است؛ زیرا دامینهای زیادی در دنیا هنوز ساختارهای خود را آپدیت نکردهاند و مانیتور کردن وضعیت بدون حذف فیزیکی پیامها، بهترین راه برای شروع پیادهسازی بدون ریسک است.
آینده امنیت ایمیل و مقابله با حملات Phishing و Spoofing
مدیران ایمیل هوشیار و آیندهنگر، از همین امروز هر سه مورد را برای دامینهایی که مدیریت میکنند راهاندازی خواهند کرد؛ چرا که ISPها و ایمیل پرووایدرهای بیشتری در حال آغاز اجرای سختگیرانه هر سه فرآیند به صورت همزمان هستند.
پیکربندی کامل و قرار دادن هر سه رکورد در جای خود، به شبکه جهانی ثابت میکند که دامینهای شما دقیقاً همان چیزی هستند که ادعا میکنند. این امر نشان میدهد که شما به عنوان یک مدیر شبکه، در رعایت Best Practiceها و ایفای نقش خود در جلوگیری از Spam، Phishing و سوءاستفادههای سایبری کاملاً جدی هستید.