آموزش کامل تنظیم رکورد DMARC برای دامنه‌ها
آموزش کامل تنظیم رکورد DMARC برای دامنه‌ها

آموزش کامل تنظیم رکورد DMARC برای دامنه‌ها

ارسال شده توسط توسط parsa akrami 9 دقیقه مطالعه

آشنایی با DMARC و نحوه راه‌اندازی آن

برای مقابله با اسپم و افزایش امنیت ایمیل‌ها، بسیاری از ارائه‌دهندگان خدمات ایمیل، فیلترهای جدیدی اضافه کرده‌اند و از سیاست ضداسپم DMARC استفاده می‌کنند.

مثلاً وقتی شما به یک آدرس @gmail.com ایمیل می‌فرستید، آن ایمیل از فیلترهای اسپم عبور می‌کند. اگر تنظیم رکورد DMARC به‌درستی انجام نشده باشند، ایمیل شما ممکن است در پوشه اسپم قرار بگیرد یا اصلاً به مقصد نرسد.

علاوه بر Gmail، سرویس‌هایی مانند Microsoft (Hotmail, Live, Outlook)، Yahoo، AOL، AT&T و سایر ارائه‌دهندگان بزرگ ایمیل نیز این سیاست را پیاده‌سازی کرده‌اند.

چرا DMARC اهمیت دارد؟

با توجه به اینکه بیش از نیمی از ایمیل‌های ارسالی در اینترنت شامل محتوای مخرب یا اسپم هستند، مقابله با این حجم اسپم تبدیل به چالش بزرگی برای سرورهای ایمیل شده است.
 تا چند سال پیش، بیشتر فیلترینگ‌ها با بررسی محتوا یا اعتبار IP انجام می‌شد، اما این روش‌ها کافی نبودند.

در اینجا بود که دو تکنولوژی SPF و DKIM معرفی شدند تا سرورهای گیرنده بتوانند اصالت ایمیل‌ها را بررسی کنند.

SPF چیست و چگونه کار می‌کند؟

SPF یا Sender Policy Framework مشخص می‌کند کدام IPها مجاز هستند از طرف یک دامنه ایمیل ارسال کنند.

اگر یک دامنه رکورد SPF نداشته باشد، اسپمر می‌تواند از هر سروری ایمیلی با آن دامنه جعل (Spoof) کند.

مثال ساده‌ای از یک رکورد SPF:

ini

CopyEdit

v=spf1 ip4:123.123.123.123 include:spf.ezhostingserver.com a mx -all

 

در این مثال، ایمیل فقط در صورتی معتبر است که از:

  • IP مشخص‌شده (123.123.123.123)

  • سرورهایی که در spf.ezhostingserver.com هستند

  • IP رکوردهای A و MX دامنه

ارسال شده باشد.
 اگر ایمیل از سرور دیگری ارسال شود، SPF ناموفق خواهد بود.

DKIM چیست و چگونه کار می‌کند؟

 یا DomainKeys Identified Mail مشابه SPF، برای اعتبارسنجی ایمیل‌ها استفاده می‌شود ولی بر پایه امضاهای دیجیتال عمل می‌کند.

نحوه عملکرد:

  • Signing (امضا):
     زمانی که DKIM فعال باشد، سرور فرستنده یک امضای دیجیتال داخل هدر ایمیل قرار می‌دهد.

  • Verifying (تأیید):
     سرور گیرنده، امضای DKIM را بررسی می‌کند و با استفاده از رکورد DNS مربوط به دامنه (مثلاً:
     default._domainKey.example.com) امضا را اعتبارسنجی می‌کند.

اگر امضا معتبر باشد، یعنی این ایمیل از طرف یک سرور مجاز ارسال شده است.

پس DMARC چیست و چه کار می‌کند؟

DMARC یا Domain-based Message Authentication, Reporting & Conformance، سیاستی است که تعیین می‌کند اگر ایمیلی در بررسی SPF یا DKIM مردود شد، سرور گیرنده چه برخوردی با آن انجام دهد.

سه حالت اصلی در DMARC:

  • Reject: ایمیل مردود شده حذف می‌شود.

  • Quarantine: ایمیل به پوشه اسپم منتقل می‌شود.

  • None: ایمیل اجازه عبور دارد اما گزارشی ثبت می‌شود.

🔸 نکته: حتی اگر سیاست DMARC شما “None” باشد، برخی سرورها ممکن است همچنان ایمیل را اسپم تشخیص دهند.

مثال ساده از یک رکورد DMARC:

ini

CopyEdit

v=DMARC1; p=reject; pct=100; rua=mailto:example@example.com

 

این رکورد به سرورهای گیرنده می‌گوید:

  • اگر SPF یا DKIM شکست خورد، ایمیل را reject کن.

  • گزارش‌های آماری را به آدرس مشخص‌شده ارسال کن.

توصیه مهم:

هنگام راه‌اندازی اولیه DMARC بهتر است از p=quarantine استفاده کنید نه reject، تا پیام‌هایی که به‌درستی پیکربندی نشده‌اند حذف نشوند.
 قبل از فعال‌سازی کامل DMARC، مطمئن شوید که SPF و DKIM برای همه سرورهای ارسال ایمیل دامنه‌تان به‌درستی تنظیم شده‌اند.

DMARC

گزارش‌گیری Aggregate و Forensic در DMARC

گزارش‌های Aggregate (تجمیعی)

با استفاده از DMARC می‌توانید آدرس ایمیلی مشخص کنید تا گزارش‌هایی درباره شکست‌های SPF و DKIM به آن ارسال شود. این کار به شما کمک می‌کند تا متوجه شوید کدام سرورها به‌درستی پیکربندی نشده‌اند یا شاید اصلاً متوجه نبودید که دامنه شما از آن‌ها ایمیل ارسال می‌کند.

پارامتر pct= در رکورد DMARC تعیین می‌کند چه درصدی از شکست‌ها به آدرس ایمیل شما گزارش شوند.
 توجه داشته باشید که این گزارش‌ها از سمت سرورهای گیرنده ایمیل ارسال می‌شوند. بنابراین اگر پیکربندی اشتباهی داشته باشید یا دامنه‌تان توسط اسپمرها جعل شده باشد، ممکن است تعداد زیادی گزارش دریافت کنید.

به‌طور پیش‌فرض، گزارش‌های aggregate هر ۲۴ ساعت یک‌بار ارسال می‌شوند (این بازه با پارامتر ri= قابل تغییر است).

محتوای گزارش aggregate چیست؟
 این گزارش شامل اطلاعاتی مانند:

  • آدرس IP فرستنده

  • دامنه فرستنده

  • تعداد پیام‌های ارسالی

  • نتیجه بررسی SPF و DKIM

  • نتیجه نهایی بررسی DMARC

 گزارش‌های Forensic

گزارش‌های Forensic جزئیات بیشتری دارند و حتی ممکن است موضوع ایمیلهایی که شکست خورده‌اند را نیز نمایش دهند.
 در اغلب موارد، فعال‌سازی گزارش‌های aggregate کافی است، اما بسته به نیاز شما، می‌توانید forensic را هم فعال کنید.

 نکات مهم درباره گزارش‌گیری:

  • گزارش‌گیری اختیاری است، اما توصیه می‌شود در زمان راه‌اندازی اولیه DMARC آن را فعال کنید.

  • بعد از اطمینان از صحت پیکربندی SPF و DKIM، می‌توانید این گزارش‌گیری را غیرفعال کنید.

مثال ساده از رکورد DMARC بدون گزارش‌گیری:

ini

CopyEdit

v=DMARC1; p=quarantine

هماهنگی SPF و DKIM (Alignment)

در رکورد DMARC، دو پارامتر adkim= و aspf= مشخص می‌کنند که بررسی تطابق چگونه انجام شود:

  • Relaxed (پیش‌فرض):
     هم دامنه اصلی و هم زیردامنه‌ها مجاز هستند (مثلاً هم example.com و هم mail.example.com).
  • Strict:
     فقط دامنه اصلی مجاز به ارسال ایمیل است. زیردامنه‌ها مجاز نیستند.

 بهترین روش پیشنهادی در شروع:

زمانی که برای اولین‌بار تنظیم رکورد DMARC انجام دهید، توصیه می‌شود ابتدا آن را روی p=none قرار دهید و ۲۴ تا ۴۸ ساعت صبر کنید. در این بازه گزارش‌هایی دریافت می‌کنید که به شما کمک می‌کند SPF و DKIM را به‌درستی پیکربندی کنید.

مثال واقعی:
 برای یکی از مشتریان، این روش کمک کرد تا متوجه شود فراموش کرده MailChimp را به SPF اضافه کند و DKIM مربوط به آن را فعال کند. اگر از همان ابتدا DMARC روی reject تنظیم شده بود، ایمیل‌های ارسالی از MailChimp به مقصد نمی‌رسیدند.

مرحله 1: فعال‌سازی SPF

اگر DNS را از طریق WCP مدیریت می‌کنید:

  1. وارد کنترل پنل WCP شوید.
  2. روی DNS Manager کلیک کنید.
  3. اگر رکورد SPF ندارید، روی Add Record بزنید.
  4. نام رکورد را خالی بگذارید.
  5. نوع رکورد را روی TXT تنظیم کنید.
  6. مقدار رکورد را وارد کرده و ذخیره کنید.

اگر از cPanel استفاده می‌کنید:

  1. وارد cPanel شوید.
  2. به بخش Email Deliverability بروید.
  3. کنار دامنه مورد نظر روی Manage کلیک کنید.
  4. رکورد SPF را بررسی، ویرایش و ذخیره کنید.

 مرحله 2: فعال‌سازی DKIM

در WCP با SmarterMail:

  1. وارد WCP شوید.
  2. از بخش Email > Advanced، وارد تب Domain Keys شوید.
  3. روی Enable DKIM کلیک کنید.
  4. رکورد به‌صورت خودکار در DNS ایجاد می‌شود. اگر DNS شما در جایی دیگر است، متن رکورد را کپی کرده و یک TXT رکورد برای _default._domainkey.yourdomain.com بسازید.

در cPanel:

  1. وارد cPanel شوید.
  2. به Email Deliverability بروید.
  3. کنار دامنه مورد نظر روی Manage بزنید.
  4. در بخش DKIM، روی Enable کلیک کنید یا رکورد پیشنهاد‌شده را دستی در DNS وارد نمایید.

در سرویس‌های خارجی مانند MailChimp یا GSuite:

  1. وارد داشبورد سرویس شوید.
  2. DKIM رکوردی که سرویس ارائه می‌دهد را دریافت کنید.
  3. رکورد را به DNS دامنه خود اضافه کنید.
     (در صورت نیاز، با پشتیبانی سرویس تماس بگیرید.)

مرحله 3: راه‌اندازی رکورد DMARC

پیشنهاد ما:

برای راحتی و امنیت بیشتر، از ابزار رایگان dmarcian یا Dmarc Analyzer استفاده کنید.

🔸 توجه: Dmarc Analyzer گزارش‌ها را روی داشبورد گرافیکی نمایش می‌دهد ولی ممکن است اطلاعات حساسی را هم دریافت کند. استفاده از ابزارهای ساده، امن‌تر و قابل‌اعتمادتر است.

اگر DNS را در WCP مدیریت می‌کنید:

  1. وارد WCP شوید.
  2. به DNS Manager بروید.
  3. روی Add Record کلیک کنید.
  4. نام رکورد را خالی بگذارید (برای دامنه اصلی).
  5. نوع رکورد را روی TXT بگذارید.
  6. رکورد DMARC را وارد و ذخیره کنید.

اگر از cPanel استفاده می‌کنید:

  1. وارد cPanel شوید.
  2. از بخش Domains > Zone Editor، روی Manage کلیک کنید.
  3. گزینه Add DMARC Record را انتخاب کنید.
  4. نوع سیاست (None, Quarantine, Reject) را تعیین کرده یا به‌صورت دستی رکورد را وارد کنید.
Rate this post