عنوان:

‫نصب و پیکربندی Postfix برای ارسال ایمیل - قسمت ۹ - فعال‌سازی DMARC با استفاده از Cloudflare


نویسنده: وحید نصیری
تاریخ: ۱۴۰۴/۰۴/۲۳ ۰۸:۱۰
آدرس: www.dntips.ir
تا اینجا، ما با استفاده از SPF و DKIM، هویت و اصالت ایمیل‌های خود را تضمین کرده‌ایم. DMARC (Domain-based Message Authentication, Reporting, and Conformance) لایه نهایی این پازل است. DMARC به شما اجازه می‌دهد تا یک خط مشی (Policy) برای دامنه خود تعریف کنید و به سرورهای گیرنده بگویید با ایمیل‌هایی که از آزمون‌های SPF و DKIM مردود می‌شوند، دقیقاً چه کاری انجام دهند. همچنین، این سیستم به شما گزارش‌هایی ارزشمند از وضعیت ارسال ایمیل‌هایتان ارائه می‌دهد.

بخش ۹.۱: DMARC چیست؟

DMARC مانند یک مدیر ارشد عمل می‌کند که بر اساس گزارش‌های دو کارمند خود (SPF و DKIM) تصمیم‌گیری می‌کند. وظایف اصلی DMARC عبارتند از:
  • تعیین خط مشی: شما به سرورهای ایمیل در سراسر جهان می‌گویید که اگر ایمیلی به نام دامنه شما دریافت کردند اما آن ایمیل در آزمون SPF یا DKIM (یا هر دو) شکست خورد، چه اقدامی انجام دهند: آن را نادیده بگیرند، به پوشه اسپم منتقل کنند، یا به طور کامل رد کنند.
  • گزارش‌دهی: شما می‌توانید آدرس ایمیلی را مشخص کنید تا سرورهای گیرنده (مانند Gmail, Outlook, Yahoo) به صورت دوره‌ای گزارش‌های تجمیعی (Aggregate Reports) برایتان ارسال کنند. این گزارش‌ها حاوی اطلاعاتی در مورد این هستند که کدام سرورها از طرف دامنه شما ایمیل ارسال می‌کنند و آیا این ایمیل‌ها آزمون‌های اعتبارسنجی را پشت سر گذاشته‌اند یا خیر.

فعال‌سازی DMARC آخرین گام برای به حداکثر رساندن امنیت و تحویل‌پذیری (Deliverability) ایمیل است و به شدت توسط سرویس‌دهنده‌های بزرگ توصیه می‌شود.

بخش ۹.۲: پیش‌نیازها

نکته بسیار مهم: DMARC به تنهایی کار نمی‌کند. این سیستم کاملاً به SPF و DKIM متکی است. قبل از فعال‌سازی DMARC، باید ۱۰۰٪ مطمئن باشید که:
  • رکورد SPF شما به درستی تنظیم شده و Pass می‌شود.
  • پیکربندی DKIM شما کامل است و امضای ایمیل‌های شما Pass می‌شود.
اگر این دو مورد به درستی کار نکنند، فعال‌سازی یک خط مشی سخت‌گیرانه در DMARC می‌تواند باعث شود ایمیل‌های صحیح و قانونی شما نیز مسدود شوند.

بخش ۹.۳: فعال‌سازی DMARC در پنل Cloudflare

کلودفلر فرآیند ایجاد رکوردهای DNS را بسیار ساده کرده است. برای ایجاد رکورد DMARC، مراحل زیر را دنبال کنید.
وارد حساب کاربری Cloudflare خود شوید و دامنه‌ی مورد نظر را انتخاب کنید. از منوی سمت چپ، به بخش DNS و سپس Records بروید. روی دکمه Add record کلیک کنید. فیلدهای رکورد جدید را به صورت زیر پر کنید:
  • Type (نوع):TXT را انتخاب کنید.
  • Name (نام):_dmarc را تایپ کنید. (کلودفلر به صورت خودکار نام دامنه را به انتهای آن اضافه می‌کند تا به _dmarc.yourdomain.com تبدیل شود).
  • TTL: روی Auto باقی بگذارید.
  • Value (مقدار): در این فیلد، رشته DMARC خود را وارد کنید. برای شروع، همیشه از یک خط مشی ساده و غیرم سخت‌گیرانه استفاده کنید. مقدار زیر یک نقطه شروع عالی و امن است (آدرس ایمیل را با آدرس خودتان جایگزین کنید):
  • v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com
  • روی دکمه Save کلیک کنید.

تبریک! رکورد DMARC شما اکنون فعال است.

بخش ۹.۴: سیاست‌های DMARC و گزارش‌گیری

بیایید رکوردی که ساختیم را تحلیل کنیم: v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com
  • v=DMARC1: نسخه DMARC را مشخص می‌کند که همیشه همین مقدار است.
  • p=none (سیاست یا Policy): این مهم‌ترین بخش است. p مخفف policy است و سه مقدار می‌تواند داشته باشد:
  • p=none (حالت نظارت - Monitoring): این سیاست به سرورهای گیرنده می‌گوید: "حتی اگر ایمیلی آزمون‌ها را رد کرد، هیچ اقدام خاصی روی آن انجام نده و طبق روال عادی خودت با آن برخورد کن. فقط لطفاً به من گزارش بده." شما باید همیشه کار را با این سیاست شروع کنید تا بتوانید گزارش‌ها را برای چند هفته بررسی کرده و مطمئن شوید که ایمیل‌های قانونی شما مشکلی ندارند.
  • p=quarantine (حالت قرنطینه): این سیاست می‌گوید: "اگر ایمیلی رد شد، آن را به پوشه اسپم یا قرنطینه گیرنده منتقل کن." این یک گام میانی خوب پس از اطمینان از صحت تنظیمات است.
  • p=reject (حالت رد کردن): این سیاست نهایی و سخت‌گیرانه‌ترین حالت است: "اگر ایمیلی رد شد، آن را به طور کامل مسدود کن و اصلاً به گیرنده تحویل نده." رسیدن به این سیاست، هدف نهایی برای حداکثر امنیت است.
  • rua=mailto:dmarc-reports@yourdomain.com (گزارش‌گیری):rua مخفف Reporting URI for Aggregate data است. شما با این تگ مشخص می‌کنید که گزارش‌های تجمیعی به کدام آدرس ایمیل ارسال شوند. این گزارش‌ها که معمولاً روزانه ارسال می‌شوند، به فرمت XML هستند و حاوی اطلاعاتی درباره IPهایی هستند که از دامنه شما ایمیل ارسال کرده‌اند و نتایج SPF/DKIM برای آن‌ها چه بوده است.

مسیر پیشرفت:
  • با p=none شروع کنید و گزارش‌ها را برای ۱ تا ۲ هفته زیر نظر بگیرید.
  • اگر تمام ایمیل‌های قانونی شما به درستی تأیید می‌شوند، سیاست را به p=quarantine تغییر دهید.
  • پس از مدتی و اطمینان کامل، سیاست را به p=reject ارتقا دهید تا دامنه خود را به طور کامل در برابر جعل ایمیل محافظت کنید.

تا اینجا شما با موفقیت یک سرور ایمیل Send-Only راه‌اندازی، آن را با SPF و DKIM امن، و با DMARC برای آن خط مشی تعیین کردید. اکنون شما دانش و مهارت لازم برای مدیریت یک زیرساخت ارسال ایمیل استاندارد و معتبر را در اختیار دارید.