راهنماي گامبهگام ركورد DMARC و احراز هويت ايميل
آموزش كامل DMARC و نحوه تنظيم آن براي دامنه ها و ميل سرور
DMARC چيست و چرا براي ايميل شما ضروري است؟
در دنياي امروز، ايميل همچنان يكي از اصلي ترين ابزارهاي ارتباطي است؛ اما همين محبوبيت باعث شده كه مجرمان سايبري از
آن براي ارسال ايميل هاي جعلي، حملات فيشينگ و بدافزار استفاده كنند. يكي از مؤثرترين راه ها براي مقابله با اين تهديدات،
استفاده از DMARC است.
DMARC مخفف عبارت Domain-based Mesغير مجاز مي باشدe Authentication, Reporting, and Conformance است و به عنوان
يك پروتكل امنيتي ايميل عمل مي كند كه با استفاده از دو مكانيزم ديگر، يعني SPF و DKIM، اصالت ايميل را تأييد مي كند. به
زبان ساده، DMARC به گيرنده كمك مي كند تشخيص دهد كه آيا ايميل واقعاً از طرف دامنه اي كه ادعا مي كند ارسال شده يا خير.
چرا DMARC مهم است؟
بدون وجود DMARC، هر كسي مي تواند از نام دامنه شما براي ارسال ايميل هاي جعلي استفاده كند. اين موضوع نه تنها امنيت
كاربران شما را به خطر مي اندازد، بلكه به اعتبار برند شما نيز آسيب جدي وارد مي كند.
با تنظيم DMARC مي توانيد:
جلوگيري از جعل آدرس ايميل (Email Spoofing)
حفاظت از مشتريان و كاربران در برابر ايميل هاي فيشينگ
افزايش اعتماد گيرندگان به ايميل هاي شما
بهبود Deliverability و كاهش ورود ايميل ها به پوشه Spam
دريافت گزارش هاي دقيق از وضعيت ارسال ايميل هاي دامنه
نحوه كار DMARC
براي درك بهتر، بايد بدانيد DMARC به تنهايي كار نمي كند، بلكه بر پايه SPF و DKIM استوار است:
1. SPF (Sender Policy Framework): مشخص مي كند كدام سرورها اجازه ارسال ايميل از طرف دامنه شما را دارند.
2. DKIM (DomainKeys Identified Mail): يك امضاي ديجيتال به ايميل اضافه مي كند كه نشان مي دهد پيام در مسير
تغيير نكرده است.
3. DMARC: بررسي مي كند كه آيا ايميل هم SPF و هم DKIM را پاس كرده و دامنه آن ها با دامنه فرستنده همخواني دارد يا
نه. سپس بر اساس پاليسي شما (none، quarantine يا reject) تصميم مي گيرد چه اقدامي انجام دهد.
آموزش تنظيم ركورد DMARC براي دامنه ها
۱. آماده سازي قبل از تنظيم DMARC
قبل از هر چيز مطمئن شويد:
ركورد SPF شما به درستي تنظيم شده است.
DKIM براي دامنه فعال است و كليدهاي عمومي/خصوصي به درستي كار مي كنند.
ايميل هاي ارسالي شما از مسيرهاي قانوني انجام مي شوند (نه از IP يا سرويس ناشناس).
۲. ورود به پنل مديريت DNS
به بخش مديريت DNS دامنه خود وارد شويد. اين بخش ممكن است در:
كنترل پنل هاست (مثل cPanel يا DirectAdmin)
سرويس هاي DNS ابري (مثل Cloudflare)
يا پنل ثبت كننده دامنه شما باشد.
۳. ايجاد ركورد TXT براي DMARC
يك ركورد جديد از نوع TXT ايجاد كنيد با مشخصات زير:
Host / Name:
nginx
CopyEdit
_dmarc
Value / Content (نمونه استاندارد):
ini
CopyEdit
v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-
forensic@yourdomain.com; pct=100; aspf=s;
توضيح پارامترها:
v=DMARC1 → نسخه پروتكل
p= → پاليسي اصلي (none، quarantine، reject)
rua= → آدرس دريافت گزارش هاي تجميعي (Aggregate Reports)
ruf= → آدرس دريافت گزارش هاي فورِنسيك (Forensic Reports)
pct= → درصد ايميل هايي كه پاليسي روي آن ها اعمال مي شود
aspf= → سختگيري بررسي SPF (s سختگيرانه، r منعطف)
۴. انتخاب پاليسي مناسب
none → فقط گزارش گيري، بدون جلوگيري از ارسال
quarantine → قرنطينه كردن ايميل هاي مشكوك (ورود به Spam)
reject → رد كامل ايميل هاي غيرمعتبر
�� توصيه حرفه اي: ابتدا با none شروع كنيد، گزارش ها را بررسي كنيد، سپس به quarantine و در نهايت reject تغيير دهيد.
۵. ذخيره و انتشار ركورد
پس از ذخيره ركورد، انتشار آن در اينترنت ممكن است بين چند دقيقه تا ۲۴ ساعت طول بكشد.
۶. بررسي صحت ركورد DMARC
از ابزارهايي مثل:
MXToolbox DMARC Lookup
Google Admin Toolbox CheckMX
DMARC Analyzer
براي اطمينان از صحت تنظيمات استفاده كنيد.
تنظيم ركورد DMARC در ميل سرور براي احراز هويت ايميل
تنظيم DMARC در DNS كافي نيست؛ ميل سرور شما هم بايد از آن پشتيباني كند.
۱. فعال سازي SPF و DKIM در ميل سرور
در cPanel: از بخش Email → Authentication گزينه SPF و DKIM را فعال كنيد.
در SmarterMail: از بخش Settings → Domain Settings → Email Authentication هر دو را تنظيم كنيد.
در Postfix / Exim / Exchange: بايد از ابزارها يا افزونه هاي مربوطه استفاده كنيد.
۲. پشتيباني از DMARC
برخي ميل سرورها قابليت بررسي مستقيم DMARC را دارند. اگر ميل سرور شما اين قابليت را ندارد، مي توانيد از سرويس هاي
خارجي براي مانيتورينگ استفاده كنيد.
۳. بررسي گزارش هاي DMARC
گزارش هاي Aggregate و Forensic را كه به ايميل هاي تعريف شده در ركورد ارسال مي شوند بررسي كنيد. اين گزارش ها
شامل اطلاعات مهمي مثل:
آدرس IP ارسال كننده
نتيجه SPF و DKIM
تاريخ و ساعت ارسال
دامنه From و Return-Path
هستند كه به شما كمك مي كنند منابع غيرمجاز ارسال ايميل را شناسايي كنيد.
۴. سخت گيري تدريجي
اگر از همان ابتدا پاليسي reject را اعمال كنيد، ممكن است برخي ايميل هاي سالم شما هم مسدود شوند. بنابراين مراحل زير را طي
كنيد:
1. شروع با none براي گزارش گيري
2. تغيير به quarantine براي تست عملي
3. در نهايت اعمال reject براي حفاظت كامل
نكات و هشدارهاي مهم
اگر SPF يا DKIM شما اشتباه پيكربندي شده باشد، فعال سازي DMARC مي تواند باعث عدم تحويل ايميل هاي سالم شود.
هميشه آدرس هاي ايميل گزارش گيري را روي دامنه اي قرار دهيد كه قابليت دريافت و تحليل گزارش ها را دارد.
از ابزارهاي تجزيه و تحليل گزارش DMARC استفاده كنيد تا به جاي خواندن فايل هاي XML خام، گزارش ها را به
صورت نموداري و قابل فهم ببينيد.
تغييرات را مرحله اي اعمال كنيد و بعد از هر تغيير حداقل يك هفته منتظر بمانيد تا داده هاي كافي جمع آوري شود.
برچسب:
