إعداد DMARC

يوجّه بروتوكول DMARC خوادم البريد الإلكتروني المستلِمة إلى الإجراء الذي يجب اتّخاذه بشأن الرسائل المُرسَلة من نطاقك والتي لا تجتاز مصادقة نظامَي SPF أو DKIM. وخيارات الإجراء هي رفض الرسالة أو عزلها أو تسليمها. يمكنك أيضًا الحصول على تقارير تساعدك في تحديد مشاكل المصادقة المحتمَلة والأنشطة الضارة للرسائل المُرسَلة من نطاقك. يمكنك إعداد DMARC عن طريق إضافة سجلّ TXT لنظام أسماء النطاقات (DNS) الخاص ببروتوكول DMARC (سجلّ DMARC) إلى نطاقك.

سِجلّ DMARC هو سطر نصي تضيفه إلى نطاقك من خلال اتّباع تعليمات موفِّر النطاق. في ما يلي مثال على سجلّ DMARC:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

عندما تتلقّى خوادم الاستلام رسائل إلكترونية من نطاقك لا تجتاز نظامَي SPF أو DKIM، فإنّها تتحقّق من سجلّ DMARC لتحديد الإجراء الذي يجب اتّخاذه بشأن الرسائل: رفضها أو عزلها أو تسليمها بشكلٍ طبيعي.

على هذه الصفحة

قبل البدء

  • قبل أن تتمكّن من استخدام DMARC، يجب تفعيل نظامَي SPF وDKIM في نطاقك. إذا لم يسبق لك إعداد نظامَي SPF وDKIM أو أيًا منهما، يُرجى الانتقال إلى مقالة المساعدة في منع الانتحال والتصيّد الاحتيالي والرسائل غير المرغوب فيها.
    • في حال عدم إعداد نظام التعرُّف على هوية المُرسِل (SPF) و/أو البريد المُعرَّف بمفاتيح النطاق (DKIM) قبل تفعيل مصادقة الرسائل والإبلاغ عنها ومطابقتها استنادًا إلى النطاق (DMARC)، من المحتمل أن تواجه الرسائل المُرسَلة من نطاقك مشاكل في التسليم.
    • بعد إعداد نظامَي SPF وDKIM أو أيًا منهما، يجب الانتظار لمدة 48 ساعة قبل إعداد DMARC.
  • للتحقّق مما إذا سبق أن تم إعداد بروتوكول DMARC في نطاقك، يمكنك استخدام إحدى الأدوات المجانية العديدة المتاحة على الإنترنت. إذا سبق أن تم إعداد DMARC، يُرجى مراجعة تقارير DMARC للتأكّد من أنّها تُجري مصادقة الرسائل بفعالية وأنّه يتم تسليمها على النحو المتوقّع.
  • لست بحاجة إلى اتخاذ أي إجراء في "وحدة تحكّم المشرف في Google" لإعداد بروتوكول DMARC. بدلاً من ذلك، يمكنك تحديد سجلّ DMARC من خلال اتّباع التعليمات الواردة في هذه الصفحة. بعد ذلك، يُرجى تسجيل الدخول إلى مضيف نطاقك وإضافة سجلّ DMARC من خلال اتّباع تعليمات DMARC الخاصة بمضيف النطاق.

الخطوة 1: إعداد مجموعة أو صندوق بريد إلكتروني للتقارير

يمكن أن يختلف عدد تقارير DMARC التي تتلقاها عبر البريد الإلكتروني، كما يعتمد ذلك على عدد الرسائل الإلكترونية التي يرسلها نطاقك وعدد النطاقات التي ترسل إليها الرسائل. قد تتلقى يوميًا العديد من التقارير. وقد تتلقى المؤسسات الكبيرة ما يصل إلى مئات أو حتى آلاف التقارير يوميًا. تنصحك Google بإنشاء مجموعة أو صندوق بريد إلكتروني مخصّص لتلقّي تقارير DMARC وإدارتها.

ملاحظة مهمة: يكون عنوان البريد الإلكتروني المخصّص للتقارير عادةً في النطاق نفسه الذي يستضيف سجلّ DMARC. إذا كان عنوان البريد الإلكتروني ينتمي إلى نطاق مختلف، يجب إضافة سجلّ "نظام أسماء النطاقات" إلى النطاق الآخر. يُرجى الانتقال إلى القسم إرسال التقارير إلى عنوان بريد إلكتروني في نطاق مختلف في صفحة تقارير DMARC.

الخطوة 2: التأكّد من مصادقة البريد الإلكتروني التابع لجهة خارجية

إذا كنت تستخدم خدمة خارجية لإرسال الرسائل الإلكترونية في مؤسستك، يجب التأكّد من مصادقة الرسائل المُرسَلة من خلال الخدمات الخارجية واجتيازها عمليات التحقّق من نظامَي SPF وDKIM:

  • يُرجى التواصل مع مقدّم الخدمة التابع لجهة خارجية للتأكّد من إعداد نظامَي SPF وDKIM بشكلٍ صحيح.
  • تأكَّد من أنّ نطاق مُرسِل المغلّف التابع لمقدّم الخدمة يطابق نطاقك. أضِف عنوان IP لخوادم إرسال الرسائل والتابعة لهذا المقدّم إلى سجلّ SPF لنطاقك.
  • يمكنك توجيه الرسائل الإلكترونية الواردة من مقدّم الخدمة عبر Google باستخدام إعداد خدمة الإرسال عبر SMTP.

الخطوة 3: تحديد سجلّ DMARC

يتم تحديد سياسة مصادقة الرسائل والإبلاغ عنها ومطابقتها استنادًا إلى النطاق (DMARC) في سطر من قيم النصوص، يُسمى سجلّ DMARC. يحدِّد هذا السجلّ ما يلي:

  • مستوى عمليات تحقّق DMARC من الرسائل
  • الإجراءات المقترَحة لخادم الاستلام عند استلامه الرسائل التي لم تجتز عمليات المصادقة

مثال على سجلّ DMARC (استبدِل example.com بنطاقك):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

يجب إدراج العلامتين v وp أولاً. ويمكن إدراج العلامات الأخرى بأي ترتيب.

عند بدء استخدام DMARC، ننصحك بضبط خيار السياسة (p) على none. خلال فترة تعرُّفك على كيفية مصادقة خوادم الاستلام للرسائل الواردة من نطاقك، يمكنك تعديل سياستك. مع مرور الوقت، يمكنك تغيير سياسة المُستلِم إلى quarantine (أو reject). يُرجى الاطّلاع على الخطوات المقترَحة لطرح DMARC.

تعريفات وقيّم علامات سجلّ DMARC

العلامة الوصف والقيم
v

(مطلوبة) إصدار DMARC يجب أن تكون DMARC1.
p (مطلوبة) توجِّه هذه العلامة خادم الرسائل المُستلَمة للإجراء الواجب اتخاذه بشأن الرسائل التي لا تجتاز المصادقة.
  • none: عدم اتخاذ أي إجراء بشأن الرسالة وتسليمها إلى المُستلِم المقصود. ثم تسجيل الرسائل في تقرير يومي. يتم إرسال التقرير إلى عنوان البريد الإلكتروني المُحدَّد بالخيار rua في السجل.
  • quarantine—يمكنك وضع علامة على الرسائل كرسائل غير مرغوب فيها وإرسالها إلى مجلد الرسائل غير المرغوب فيها للمُستلِم. ويمكن للمُستلِمين مراجعة الرسائل غير المرغوب فيها لتحديد الرسائل الصحيحة.
  • reject—رفض الرسالة في حال استخدام هذا الخيار، عادةً ما يُرسل خادم الاستلام رسالة مرتدة إلى خادم الإرسال.

ملاحظة عن معيار BIMI: إذا كان نطاقك يستخدم BIMI، يجب إعداد الخيار p في DMARC على quarantine أو reject. لا يتوافق معيار BIMI مع سياسات DMARC التي تم ضبط خيار p لها على none.
pct

العلامة pct اختيارية، ولكن تنصحك Google بتضمينها في سجلّ DMARC عند طرح DMARC حتى تتمكّن من إدارة نسبة الرسائل الإلكترونية التي تنطبق عليها سياسة DMARC.

تحدّد هذه العلامة النسبة المئوية للرسائل التي لم تتم مصادقتها والتي تخضع لسياسة DMARC. عند نشر DMARC تدريجيًا، يمكنك البدء بنسبة صغيرة من الرسائل. وكلما اجتاز عدد أكبر من الرسائل الواردة من نطاقك مُصادقة خوادم الاستلام، يمكنك تعديل السجلّ بنسبة مئوية أعلى حتى تصل إلى 100 في المئة.

يجب أن تكون القيمة عددًا صحيحًا يتراوح بين 1 و100. إذا لم تستخدم هذا الخيار في السجل، يتم تطبيق سياسة DMARC على 100% من الرسائل المرسَلة من نطاقك.

ملاحظة عن معيار BIMI: إذا كان نطاقك يستخدم BIMI، يجب أن تحتوي سياسة DMARC على قيمة pct تبلغ 100. لا يتوافق معيار BIMI مع سياسات DMARC التي تم ضبط قيمة pct لها على رقم أقل من 100.
rua

علامة rua اختيارية، ولكن تنصحك Google بتضمينها دائمًا في سجلّ DMARC.

إرسال تقارير DMARC إلى عنوان بريد إلكتروني يجب أن يتضمّن عنوان البريد الإلكتروني mailto:.
على سبيل المثال: mailto:dmarc-reports@example.com (استبدِل example.com بنطاقك).

  • لإرسال تقارير DMARC إلى عدة رسائل إلكترونية، افصل بين كل عنوان بريد إلكتروني بفاصلة وأضِف البادئة mailto: قبل كل عنوان. على سبيل المثال: mailto:dmarc-reports@example.com، mailto:dmarc-admin@example.com (استبدِل example.com بنطاقك).
  • من الممكن أن يؤدي هذا الخيار إلى عدد كبير من رسائل البريد الإلكتروني التي تحتوي على تقارير. لا ننصح باستخدام عنوان بريدك الإلكتروني. وبدلاً من ذلك، يمكنك استخدام صندوق بريد إلكتروني مخصَّص أو مجموعة أو خدمة جهة خارجية متخصصة في تقارير DMARC.
  • لإرسال تقارير DMARC إلى عنوان بريد إلكتروني في نطاق مختلف عن النطاق الذي يستضيف سجلّ DMARC، يمكنك إضافة سجلّ TXT إلى "نظام أسماء النطاقات" الخاص بنطاق البريد الإلكتروني. لمعرفة التفاصيل، يُرجى الانتقال إلى القسم إرسال التقارير إلى عنوان بريد إلكتروني في نطاق مختلف في صفحة تقارير DMARC.
ruf

(غير متاحة) لا يتيح Gmail العلامة ruf التي يتم استخدامها لإرسال تقارير الأعطال. تُسمّى تقارير عدم التسليم أيضًا تقارير المناظرة.
sp (اختيارية) تضبط هذه العلامة السياسة للرسائل من النطاقات الفرعية لنطاقك الأساسي. يمكنك استخدام هذا الخيار في حال كنت تريد استخدام سياسة DMARC مختلفة لنطاقاتك الفرعية.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantineيمكنك وضع علامة على الرسائل كرسائل غير مرغوب فيها وإرسالها إلى مجلد الرسائل غير المرغوب فيها للمُستلِم. ويمكن للمُستلِمين مراجعة الرسائل غير المرغوب فيها لتحديد الرسائل الصحيحة.
  • rejectرفض الرسالة في حال استخدام هذا الخيار، يجب أن يُرسل خادم الاستلام رسالة مرتدة إلى خادم الإرسال.

وإذا لم تستخدم هذا الخيار في السجل، ستكتسب النطاقات الفرعية سياسة DMARC التي تم إعدادها للنطاق الرئيسي.
adkim (اختيارية) تضبط هذه العلامة سياسة توافق DKIM، والتي تحدد مدى مطابقة معلومات الرسالة لتوقيعات DKIM. تعرَّف على كيفية عمل التوافق (لاحقًا في هذه الصفحة).
  • sتوافق كامل. يجب أن يتطابق اسم نطاق المُرسِل تمامًا مع d=domainname المقابل له في عناوين البريد في DKIM.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (اختيارية) تضبط هذه العلامة سياسة التوافق لنظام SPF، والتي تحدد مدى مطابقة معلومات الرسالة لتوقيعات نظام SPF. تعرَّف على كيفية عمل التوافق (لاحقًا في هذه الصفحة).
  • sتوافق كامل. يجب أن يتطابق الرأس "من:" في الرسالة تمامًا مع اسم النطاق في الأمر SMTP MAIL FROM.
  • rتوافق جزئي (تلقائي). تسمح بالتطابقات الجزئية. ويتم قبول أي نطاق فرعي من اسم النطاق.

مطابقة DMARC

تجتاز الرسالة سياسة DMARC أو لا تجتازها بناءً على مدى تطابق النطاق في رأس الرسالة من: مع نطاق الإرسال المحدَّد بواسطة SPF أو DKIM. يُطلق على ذلك اسم التوافق.

يمكنك الاختيار بين وضعي التوافق: كامل أو جزئي. يمكنك ضبط وضع التوافق لنظام SPF وDKIM في سجلّ DMARC باستخدام علامتَي سجلّ DMARC، وهما aspf وadkim.

طريقة المصادقة توافق كامل توافق جزئي
نظام التعرف على هوية المرسل (SPF) مطابقة تامة بين النطاق في عنوان "مُرسِل المغلف" (المعروف أيضًا باسم "مسار الإرجاع" أو عنوان الرسائل المرتدة) والنطاق في العنوان الوارد في الرأس من: يجب أن يتطابق النطاق في العنوان المذكور برأس الرسالة من: مع النطاق في عنوان "مُرسِل المغلف" (المعروف أيضًا باسم "مسار الإرجاع" أو عنوان الرسائل المرتدة) أو أن يكون نطاقًا فرعيًا منه.
DKIM مطابقة تامة بين نطاق DKIM ذي الصلة والنطاق في العنوان المذكور برأس الرسالة من:. يجب أن يتطابق النطاق في العنوان المذكور برأس الرسالة من: مع النطاق المُحدّد في علامة DKIM‫ d= أو أن يكون نطاقًا فرعيًا منه.

تنصح Google بالتفكير في التغيير إلى وضع التوافق الكامل لزيادة الحماية من الانتحال، وذلك في بعض الحالات، مثل:

  • في حال إرسال رسالة في نطاقك من نطاق فرعي خارج سيطرتك
  • في حال كان لديك نطاقات فرعية يديرها كيان آخر
ملاحظة مهمة: يوفّر التوافق الجزئي الحماية اللازمة من الانتحال. قد يؤدي التوافق الكامل إلى رفض الرسائل المرتبطة بالنطاقات الفرعية أو إرسالها إلى مجلد الرسائل غير المرغوب فيها.

لاجتياز مصادقة DMARC، يجب أن تجتاز الرسالة إحدى عمليتي التحقُّق التاليتين على الأقل:

  • مصادقة SPF وتوافق SPF
  • مصادقة DKIM وتوافق DKIM

يتعذَّر اجتياز الرسالة لعملية تحقُّق DMARC، في حال تعذُّر اجتياز عمليتي التحقُّق التاليتين:

  • مصادقة SPF (أو توافق SPF)
  • مصادقة DKIM أو (توافق DKIM)

الخطوة 4: إضافة سجلّ DMARC إلى نطاقك

ملاحظة مهمة: يجب استخدام مستندات مساعدة DMARC الخاصة بمضيف نطاقك لتنفيذ هذه الخطوة. تختلف خطوات إضافة سجلّ DMARC حسب مضيف النطاق.

إضافة السجل أو تعديله

ملاحظة مهمة: احرص على إعداد DKIM وSPF قبل إعداد DMARC. يجب أن تتم مصادقة DKIM وSPF للرسائل خلال 48 ساعة على الأقل قبل تفعيل DMARC.

  1. احرِص على تجهيز الملف النصي أو السطر المخصّصَين لسجلّ DMARC.
  2. يُرجى تسجيل الدخول إلى مضيف نطاقك، وهو عادةً ما يكون مكان شراء اسم النطاق. إذا لم تكن متأكدًا من هوية مضيف نطاقك، يُرجى الاطِّلاع على تحديد جهة تسجيل النطاق.
  3. انتقِل إلى الصفحة التي يتم من خلالها تعديل سجلّات TXT لنظام أسماء النطاقات المتعلقة بنطاقك. للحصول على مساعدة في العثور على هذه الصفحة، يُرجى مراجعة مستندات نطاقك.

  4. إضافة سجلّ TXT أو تعديله باستخدام المعلومات التالية (يُرجى مراجعة مستندات نطاقك):

    اسم الحقل القيمة التي سيتم إدخالها
    النوع نوع السجلّ هو TXT.
    المضيف (الاسم أو اسم المضيف أو الاسم المستعار) يجب أن تكون القيمة _dmarc.example.com (استبدِل example.com باسم نطاقك).
    القيمة السلسلة التي تشكّل سجلّ TXT. على سبيل المثال: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. لمعرفة التفاصيل، يُرجى الاطّلاع على القسم تحديد سجلّ DMARC (أعلاه في هذه الصفحة).

    ملاحظة: يضيف بعض مضيفي النطاقات اسم النطاق تلقائيًا. بعد إضافة سجلّ TXT أو تعديله، يجب التحقّق من اسم النطاق في سجلّ DMARC للتأكّد من صحة تنسيقه.

  5. احفظ التغييرات.
  6. في حال إعداد DMARC لأكثر من نطاق واحد، يُرجى إكمال هذه الخطوات لكل نطاق. ويمكن أن يكون لكل نطاق سياسة مختلفة، بالإضافة إلى خيارات مختلفة للتقارير، وذلك كما هو محدَّد في السجل.
  7. للتأكّد من إعداد بروتوكول DMARC في نطاقك، يمكنك استخدام إحدى الأدوات المجانية العديدة المتاحة على الإنترنت.


إنّ Google وGoogle Workspace والعلامات والشعارات المرتبطة بها هي علامات تجارية مسجَّلة مملوكة من قِبل شركة Google LLC. وجميع أسماء الشركات والمنتجات الأخرى هي علامات تجارية تملكها الشركات ذات الصلة بها.