SPF و DKIM قدم اول امنیت ایمیله، ولی DMARC اونیه که همه رو دور هم جمع میکنه. با DMARC، بلاخره میتونید کنترل کامل روی دامنهتون داشته باشید و از جعل ایمیل جلوگیری کنید. تو این مقاله همه چیز درباره DMARC رو یاد میگیرید.
DMARC چیه؟
DMARC مخفف Domain-based Message Authentication, Reporting and Conformance هست. کارش سه تاست:
۱. بررسی میکنه که SPF و DKIM ایمیل درسته یا نه
۲. اگه درست نبود، به گیرنده میگه چیکار کنه (Reject، Quarantine یا None)
۳. گزارشهای روزانه از ایمیلهای دامنه شما به شما میفرسته
چرا DMARC؟
SPF و DKIM هر کدوم یه چیز رو چک میکنن، ولی مشخص نمیکنن اگه چک fail شد، چیکار کنن. DMARC این خلا رو پر میکنه.
بدون DMARC، حتی اگه SPF و DKIM داشته باشید، سرورهای گیرنده ممکنه خودشون تصمیم بگیرن که چیکار کنن. DMARC به شما اجازه میده صریحاً بگید: هر ایمیلی که SPF یا DKIM رو رد کرد، رد بشه.
ساختار رکورد DMARC
DMARC یه رکورد TXT هست با نام مخصوص:
Name: _dmarc
Type: TXT
Value: v=DMARC1; p=quarantine; rua=mailto:reports@yourdomain.com
v=DMARC1
ورژن DMARC.
p=policy
مهمترین بخش. مشخص میکنه با ایمیل نامعتبر چیکار بشه:
- none: فقط گزارش بده، هیچ اقدامی نکن (برای شروع)
- quarantine: ایمیل به Spam بره
- reject: ایمیل کلاً رد بشه
rua=mailto:
آدرس ایمیل برای دریافت گزارشهای تجمعی روزانه. این گزارشها خیلی مفیدن.
ruf=mailto:
آدرس برای دریافت گزارشهای خطا (Forensic reports). بعضی سرورها اینو نمیفرستن.
pct=100
درصد ایمیلها که سیاست روشون اعمال بشه. برای شروع میتونید pct=10 بذارید تا فقط 10% اعمال بشه.
sp=policy
سیاست برای سابدامینها. اگه نذارید، همون p روی سابدامینها هم اعمال میشه.
سه مرحله پیادهسازی DMARC
DMARC رو یه دفعه با p=reject راه نندازید! این کار میتونه ایمیلهای واقعی شما رو هم رد کنه. سه مرحله برید:
مرحله ۱: Monitor (چند هفته)
v=DMARC1; p=none; rua=mailto:reports@yourdomain.com; pct=100
این فقط گزارش میده، هیچ اقدامی نمیکنه. چند هفته گزارشها رو بررسی کنید تا مطمئن بشید همه سرورهای مجاز شما ایمیل رو درست میفرستن.
مرحله ۲: Quarantine (چند هفته)
v=DMARC1; p=quarantine; rua=mailto:reports@yourdomain.com; pct=100
حالا ایمیلهای نامعتبر به Spam میرن. باز چند هفته بررسی کنید.
مرحله ۳: Reject (نهایی)
v=DMARC1; p=reject; rua=mailto:reports@yourdomain.com; pct=100
حالا ایمیلهای جعلی کلاً رد میشن. این حداکثر امنیته.
گزارشهای DMARC چه چیزی نشون میدن؟
هر روز از هر سرور گیرنده (Gmail، Outlook و...) یه گزارش XML میگیرید که شامل:
- تعداد ایمیلها از هر IP
- نتیجه SPF و DKIM هر ایمیل
- تصمیم گرفته شده (delivered، quarantined، rejected)
- IP و ISP فرستنده
این گزارشها XML خام هستن که خوندنشون سخته. از ابزارهای رایگان مثل DMARCian، dmarc.postmarkapp.com، یا Valimail استفاده کنید.
ابزارهای رایگان DMARC
DMARCian
یکی از بهترین ابزارها. رایگان تا حجم کم، گزارشهای خوانا و راهنمای مرحله به مرحله.
Postmark DMARC
ساده و سریع، ایمیل هفتگی برای شما میفرسته.
MXToolbox
برای بررسی رکورد DMARC و درست بودنش.
خطاهای رایج DMARC
Missing Alignment
DMARC هم SPF و هم DKIM رو چک میکنه، ولی چک alignment هم داره. یعنی دامنهای که تو From نوشته میشه باید با دامنه SPF/DKIM یکی باشه.
3rd Party Services
وقتی از سرویسهای خارجی مثل Mailchimp استفاده میکنید، حتماً همه شون رو تو SPF و DKIM اضافه کنید، وگرنه DMARC ایمیلهای اونا رو رد میکنه.
سیاست سختگیرانه بدون تست
هرگز مستقیم p=reject نذارید. حتماً از none شروع کنید.
DMARC و اعتبار دامنه
DMARC یکی از سیگنالهای اعتباره برای Gmail و Outlook. دامنههایی که DMARC دارن، ایمیلهاشون معمولاً به Inbox میرسن.
ضمناً DMARC از دامنه شما در برابر جعل محافظت میکنه. اگه یه کلاهبردار از دامنه شما ایمیل جعلی بفرسته، DMARC اونو رد میکنه و اعتبار شما حفظ میشه.
BIMI: مکمل DMARC
BIMI (Brand Indicators for Message Identification) یه رکورد جدیده که به دامنههای با DMARC قوی اجازه میده لوگوی خودشون رو کنار ایمیل تو Gmail نشون بدن. این خیلی به اعتبار برند کمک میکنه، ولی نیاز به DMARC با p=quarantine یا p=reject داره.
DMARC در cPanel و WHM
اگه از cPanel استفاده میکنید:
۱. وارد cPanel بشید
۲. Zone Editor یا DNS Manager رو باز کنید
۳. یه رکورد TXT جدید بسازید با نام _dmarc
۴. مقدارش رو بذارید مطابق مرحلهای که هستید
WHM هم تنظیمات کلی DMARC برای همه دامنهها داره.
DMARC و ایمیل مارکتینگ
اگه ایمیل خبرنامه با Mailchimp یا SendGrid میفرستید، DMARC ممکنه بدون تنظیم درست، ایمیلهای اونا رو رد کنه.
راهحل: از این سرویسها بخواید که تنظیمات domain authentication رو کامل انجام بدن. رکوردهای DKIM اونا رو تو DNS اضافه کنید تا alignment درست بشه.
MTA-STS: تکمیل کننده DMARC
MTA-STS یه استاندارد جدیده که سرورهای ایمیل رو مجبور میکنه ایمیلها رو با TLS بفرستن. با DMARC ترکیب بشه، امنیت کامل ایمیل رو تضمین میکنه.
جمعبندی
DMARC آخرین قطعه پازل امنیت ایمیله. با پیادهسازی مرحلهای، از دامنهتون محافظت میکنید و اعتبار ایمیلهاتون بالا میره.
یادتون باشه، DMARC رو تنها نذارید، حتماً با SPF و DKIM ترکیب کنید. سباهاست تو تنظیم همه اینا کمکتون میکنه، فقط لازمه یه تیکت بزنید.