تا اینجا، ما با استفاده از SPF و DKIM، هویت و اصالت ایمیلهای خود را تضمین کردهایم. DMARC (Domain-based Message Authentication, Reporting, and Conformance) لایه نهایی این پازل است. DMARC به شما اجازه میدهد تا یک خط مشی (Policy) برای دامنه خود تعریف کنید و به سرورهای گیرنده بگویید با ایمیلهایی که از آزمونهای SPF و DKIM مردود میشوند، دقیقاً چه کاری انجام دهند. همچنین، این سیستم به شما گزارشهایی ارزشمند از وضعیت ارسال ایمیلهایتان ارائه میدهد.
بخش ۹.۱: DMARC چیست؟
DMARC مانند یک مدیر ارشد عمل میکند که بر اساس گزارشهای دو کارمند خود (SPF و DKIM) تصمیمگیری میکند. وظایف اصلی DMARC عبارتند از:
- تعیین خط مشی: شما به سرورهای ایمیل در سراسر جهان میگویید که اگر ایمیلی به نام دامنه شما دریافت کردند اما آن ایمیل در آزمون SPF یا DKIM (یا هر دو) شکست خورد، چه اقدامی انجام دهند: آن را نادیده بگیرند، به پوشه اسپم منتقل کنند، یا به طور کامل رد کنند.
- گزارشدهی: شما میتوانید آدرس ایمیلی را مشخص کنید تا سرورهای گیرنده (مانند Gmail, Outlook, Yahoo) به صورت دورهای گزارشهای تجمیعی (Aggregate Reports) برایتان ارسال کنند. این گزارشها حاوی اطلاعاتی در مورد این هستند که کدام سرورها از طرف دامنه شما ایمیل ارسال میکنند و آیا این ایمیلها آزمونهای اعتبارسنجی را پشت سر گذاشتهاند یا خیر.
فعالسازی DMARC آخرین گام برای به حداکثر رساندن امنیت و تحویلپذیری (Deliverability) ایمیل است و به شدت توسط سرویسدهندههای بزرگ توصیه میشود.
بخش ۹.۲: پیشنیازها
نکته بسیار مهم: DMARC به تنهایی کار نمیکند. این سیستم کاملاً به SPF و DKIM متکی است. قبل از فعالسازی DMARC، باید ۱۰۰٪ مطمئن باشید که:
- رکورد SPF شما به درستی تنظیم شده و
Pass میشود. - پیکربندی DKIM شما کامل است و امضای ایمیلهای شما
Pass میشود.
اگر این دو مورد به درستی کار نکنند، فعالسازی یک خط مشی سختگیرانه در DMARC میتواند باعث شود ایمیلهای صحیح و قانونی شما نیز مسدود شوند.
بخش ۹.۳: فعالسازی DMARC در پنل Cloudflare
کلودفلر فرآیند ایجاد رکوردهای DNS را بسیار ساده کرده است. برای ایجاد رکورد DMARC، مراحل زیر را دنبال کنید.
وارد حساب کاربری Cloudflare خود شوید و دامنهی مورد نظر را انتخاب کنید. از منوی سمت چپ، به بخش DNS و سپس Records بروید. روی دکمه Add record کلیک کنید. فیلدهای رکورد جدید را به صورت زیر پر کنید:
- Type (نوع):
TXT را انتخاب کنید. - Name (نام):
_dmarc را تایپ کنید. (کلودفلر به صورت خودکار نام دامنه را به انتهای آن اضافه میکند تا به _dmarc.yourdomain.com تبدیل شود). - TTL: روی Auto باقی بگذارید.
- Value (مقدار): در این فیلد، رشته DMARC خود را وارد کنید. برای شروع، همیشه از یک خط مشی ساده و غیرم سختگیرانه استفاده کنید. مقدار زیر یک نقطه شروع عالی و امن است (آدرس ایمیل را با آدرس خودتان جایگزین کنید):
v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com- روی دکمه Save کلیک کنید.
تبریک! رکورد DMARC شما اکنون فعال است.
بخش ۹.۴: سیاستهای DMARC و گزارشگیری
بیایید رکوردی که ساختیم را تحلیل کنیم: v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com
v=DMARC1: نسخه DMARC را مشخص میکند که همیشه همین مقدار است.p=none (سیاست یا Policy): این مهمترین بخش است. p مخفف policy است و سه مقدار میتواند داشته باشد:p=none (حالت نظارت - Monitoring): این سیاست به سرورهای گیرنده میگوید: "حتی اگر ایمیلی آزمونها را رد کرد، هیچ اقدام خاصی روی آن انجام نده و طبق روال عادی خودت با آن برخورد کن. فقط لطفاً به من گزارش بده." شما باید همیشه کار را با این سیاست شروع کنید تا بتوانید گزارشها را برای چند هفته بررسی کرده و مطمئن شوید که ایمیلهای قانونی شما مشکلی ندارند.p=quarantine (حالت قرنطینه): این سیاست میگوید: "اگر ایمیلی رد شد، آن را به پوشه اسپم یا قرنطینه گیرنده منتقل کن." این یک گام میانی خوب پس از اطمینان از صحت تنظیمات است.p=reject (حالت رد کردن): این سیاست نهایی و سختگیرانهترین حالت است: "اگر ایمیلی رد شد، آن را به طور کامل مسدود کن و اصلاً به گیرنده تحویل نده." رسیدن به این سیاست، هدف نهایی برای حداکثر امنیت است.rua=mailto:dmarc-reports@yourdomain.com (گزارشگیری):rua مخفف Reporting URI for Aggregate data است. شما با این تگ مشخص میکنید که گزارشهای تجمیعی به کدام آدرس ایمیل ارسال شوند. این گزارشها که معمولاً روزانه ارسال میشوند، به فرمت XML هستند و حاوی اطلاعاتی درباره IPهایی هستند که از دامنه شما ایمیل ارسال کردهاند و نتایج SPF/DKIM برای آنها چه بوده است.
مسیر پیشرفت:
- با
p=none شروع کنید و گزارشها را برای ۱ تا ۲ هفته زیر نظر بگیرید. - اگر تمام ایمیلهای قانونی شما به درستی تأیید میشوند، سیاست را به
p=quarantine تغییر دهید. - پس از مدتی و اطمینان کامل، سیاست را به
p=reject ارتقا دهید تا دامنه خود را به طور کامل در برابر جعل ایمیل محافظت کنید.
تا اینجا شما با موفقیت یک سرور ایمیل Send-Only راهاندازی، آن را با SPF و DKIM امن، و با DMARC برای آن خط مشی تعیین کردید. اکنون شما دانش و مهارت لازم برای مدیریت یک زیرساخت ارسال ایمیل استاندارد و معتبر را در اختیار دارید.