SPF و DKIM قدم اول امنیت ایمیله، ولی DMARC اونیه که همه رو دور هم جمع میکنه. با DMARC، بلاخره میتونید کنترل کامل روی دامنه‌تون داشته باشید و از جعل ایمیل جلوگیری کنید. تو این مقاله همه چیز درباره DMARC رو یاد میگیرید.

DMARC چیه؟

DMARC مخفف Domain-based Message Authentication, Reporting and Conformance هست. کارش سه تاست:

۱. بررسی میکنه که SPF و DKIM ایمیل درسته یا نه
۲. اگه درست نبود، به گیرنده میگه چیکار کنه (Reject، Quarantine یا None)
۳. گزارش‌های روزانه از ایمیل‌های دامنه شما به شما میفرسته

چرا DMARC؟

SPF و DKIM هر کدوم یه چیز رو چک میکنن، ولی مشخص نمیکنن اگه چک fail شد، چیکار کنن. DMARC این خلا رو پر میکنه.

بدون DMARC، حتی اگه SPF و DKIM داشته باشید، سرورهای گیرنده ممکنه خودشون تصمیم بگیرن که چیکار کنن. DMARC به شما اجازه میده صریحاً بگید: هر ایمیلی که SPF یا DKIM رو رد کرد، رد بشه.

ساختار رکورد DMARC

DMARC یه رکورد TXT هست با نام مخصوص:

Name: _dmarc
Type: TXT
Value: v=DMARC1; p=quarantine; rua=mailto:reports@yourdomain.com

v=DMARC1

ورژن DMARC.

p=policy

مهم‌ترین بخش. مشخص میکنه با ایمیل نامعتبر چیکار بشه:

- none: فقط گزارش بده، هیچ اقدامی نکن (برای شروع)
- quarantine: ایمیل به Spam بره
- reject: ایمیل کلاً رد بشه

rua=mailto:

آدرس ایمیل برای دریافت گزارش‌های تجمعی روزانه. این گزارش‌ها خیلی مفیدن.

ruf=mailto:

آدرس برای دریافت گزارش‌های خطا (Forensic reports). بعضی سرورها اینو نمیفرستن.

pct=100

درصد ایمیل‌ها که سیاست روشون اعمال بشه. برای شروع میتونید pct=10 بذارید تا فقط 10% اعمال بشه.

sp=policy

سیاست برای ساب‌دامین‌ها. اگه نذارید، همون p روی ساب‌دامین‌ها هم اعمال میشه.

سه مرحله پیاده‌سازی DMARC

DMARC رو یه دفعه با p=reject راه نندازید! این کار میتونه ایمیل‌های واقعی شما رو هم رد کنه. سه مرحله برید:

مرحله ۱: Monitor (چند هفته)

v=DMARC1; p=none; rua=mailto:reports@yourdomain.com; pct=100

این فقط گزارش میده، هیچ اقدامی نمیکنه. چند هفته گزارش‌ها رو بررسی کنید تا مطمئن بشید همه سرورهای مجاز شما ایمیل رو درست میفرستن.

مرحله ۲: Quarantine (چند هفته)

v=DMARC1; p=quarantine; rua=mailto:reports@yourdomain.com; pct=100

حالا ایمیل‌های نامعتبر به Spam میرن. باز چند هفته بررسی کنید.

مرحله ۳: Reject (نهایی)

v=DMARC1; p=reject; rua=mailto:reports@yourdomain.com; pct=100

حالا ایمیل‌های جعلی کلاً رد میشن. این حداکثر امنیته.

گزارش‌های DMARC چه چیزی نشون میدن؟

هر روز از هر سرور گیرنده (Gmail، Outlook و...) یه گزارش XML میگیرید که شامل:

- تعداد ایمیل‌ها از هر IP
- نتیجه SPF و DKIM هر ایمیل
- تصمیم گرفته شده (delivered، quarantined، rejected)
- IP و ISP فرستنده

این گزارش‌ها XML خام هستن که خوندنشون سخته. از ابزارهای رایگان مثل DMARCian، dmarc.postmarkapp.com، یا Valimail استفاده کنید.

ابزارهای رایگان DMARC

DMARCian

یکی از بهترین ابزارها. رایگان تا حجم کم، گزارش‌های خوانا و راهنمای مرحله به مرحله.

Postmark DMARC

ساده و سریع، ایمیل هفتگی برای شما میفرسته.

MXToolbox

برای بررسی رکورد DMARC و درست بودنش.

خطاهای رایج DMARC

Missing Alignment

DMARC هم SPF و هم DKIM رو چک میکنه، ولی چک alignment هم داره. یعنی دامنه‌ای که تو From نوشته میشه باید با دامنه SPF/DKIM یکی باشه.

3rd Party Services

وقتی از سرویس‌های خارجی مثل Mailchimp استفاده میکنید، حتماً همه شون رو تو SPF و DKIM اضافه کنید، وگرنه DMARC ایمیل‌های اونا رو رد میکنه.

سیاست سختگیرانه بدون تست

هرگز مستقیم p=reject نذارید. حتماً از none شروع کنید.

DMARC و اعتبار دامنه

DMARC یکی از سیگنال‌های اعتباره برای Gmail و Outlook. دامنه‌هایی که DMARC دارن، ایمیل‌هاشون معمولاً به Inbox میرسن.

ضمناً DMARC از دامنه شما در برابر جعل محافظت میکنه. اگه یه کلاهبردار از دامنه شما ایمیل جعلی بفرسته، DMARC اونو رد میکنه و اعتبار شما حفظ میشه.

BIMI: مکمل DMARC

BIMI (Brand Indicators for Message Identification) یه رکورد جدیده که به دامنه‌های با DMARC قوی اجازه میده لوگوی خودشون رو کنار ایمیل تو Gmail نشون بدن. این خیلی به اعتبار برند کمک میکنه، ولی نیاز به DMARC با p=quarantine یا p=reject داره.

DMARC در cPanel و WHM

اگه از cPanel استفاده میکنید:

۱. وارد cPanel بشید
۲. Zone Editor یا DNS Manager رو باز کنید
۳. یه رکورد TXT جدید بسازید با نام _dmarc
۴. مقدارش رو بذارید مطابق مرحله‌ای که هستید

WHM هم تنظیمات کلی DMARC برای همه دامنه‌ها داره.

DMARC و ایمیل مارکتینگ

اگه ایمیل خبرنامه با Mailchimp یا SendGrid میفرستید، DMARC ممکنه بدون تنظیم درست، ایمیل‌های اونا رو رد کنه.

راه‌حل: از این سرویس‌ها بخواید که تنظیمات domain authentication رو کامل انجام بدن. رکوردهای DKIM اونا رو تو DNS اضافه کنید تا alignment درست بشه.

MTA-STS: تکمیل کننده DMARC

MTA-STS یه استاندارد جدیده که سرورهای ایمیل رو مجبور میکنه ایمیل‌ها رو با TLS بفرستن. با DMARC ترکیب بشه، امنیت کامل ایمیل رو تضمین میکنه.

جمع‌بندی

DMARC آخرین قطعه پازل امنیت ایمیله. با پیاده‌سازی مرحله‌ای، از دامنه‌تون محافظت میکنید و اعتبار ایمیل‌هاتون بالا میره.

یادتون باشه، DMARC رو تنها نذارید، حتماً با SPF و DKIM ترکیب کنید. سباهاست تو تنظیم همه اینا کمکتون میکنه، فقط لازمه یه تیکت بزنید.