DMARC را تنظیم کنید

DMARC به سرورهای ایمیل گیرنده می‌گوید که چه اقدامی در مورد پیام‌های ارسالی از دامنه شما که از احراز هویت SPF یا DKIM عبور نمی‌کنند، انجام دهند. گزینه‌های این اقدام عبارتند از رد کردن، قرنطینه کردن یا تحویل پیام. همچنین می‌توانید گزارش‌هایی دریافت کنید که به شما در شناسایی مشکلات احراز هویت احتمالی و فعالیت‌های مخرب برای پیام‌های ارسالی از دامنه شما کمک می‌کند. DMARC را با اضافه کردن یک رکورد DMARC DNS TXT ( رکورد DMARC ) به دامنه خود تنظیم کنید.

یک رکورد DMARC یک خط متن است که شما طبق دستورالعمل‌های ارائه‌دهنده دامنه خود به دامنه خود اضافه می‌کنید. در اینجا یک نمونه از رکورد DMARC آورده شده است:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

وقتی سرورهای گیرنده، ایمیل‌هایی از دامنه شما دریافت می‌کنند که SPF یا DKIM را پاس نمی‌کنند، رکورد DMARC شما را بررسی می‌کنند تا مشخص کنند چه اقدامی روی پیام‌ها انجام دهند: رد، قرنطینه یا ارسال عادی.

در این صفحه

قبل از اینکه شروع کنی

  • قبل از اینکه بتوانید از DMARC استفاده کنید، باید SPF و/یا DKIM را برای دامنه خود فعال کنید. اگر SPF و/یا DKIM را تنظیم نکرده‌اید، به بخش «کمک به جلوگیری از جعل، فیشینگ و هرزنامه» بروید.
    • اگر قبل از فعال کردن DMARC، SPF و/یا DKIM را تنظیم نکنید، پیام‌های ارسالی از دامنه شما احتمالاً با مشکل تحویل مواجه خواهند شد.
    • پس از تنظیم SPF و/یا DKIM، ۴۸ ساعت صبر کنید و سپس DMARC را تنظیم کنید.
  • برای بررسی اینکه آیا DMARC از قبل برای دامنه شما تنظیم شده است یا خیر، از یکی از ابزارهای رایگان موجود در اینترنت استفاده کنید. اگر DMARC از قبل تنظیم شده است، باید گزارش‌های DMARC خود را بررسی کنید تا مطمئن شوید که DMARC به طور مؤثر پیام‌ها را تأیید می‌کند و آنها مطابق انتظار تحویل داده می‌شوند.
  • برای تنظیم DMARC نیازی به انجام کاری در کنسول گوگل ادمین خود ندارید. در عوض، با دنبال کردن دستورالعمل‌های این صفحه، رکورد DMARC خود را تعیین کنید. سپس، وارد هاست دامنه خود شوید و رکورد DMARC را با دنبال کردن دستورالعمل‌های DMARC هاست دامنه اضافه کنید.

مرحله ۱: یک گروه یا صندوق پستی برای گزارش‌ها تنظیم کنید

تعداد گزارش‌های DMARC که از طریق ایمیل دریافت می‌کنید می‌تواند متفاوت باشد و به میزان ایمیل ارسالی دامنه شما و تعداد دامنه‌هایی که به آنها ایمیل ارسال می‌کنید بستگی دارد. شما می‌توانید هر روز گزارش‌های زیادی دریافت کنید. سازمان‌های بزرگ ممکن است روزانه صدها یا حتی هزاران گزارش دریافت کنند. گوگل توصیه می‌کند که یک گروه یا یک صندوق پستی اختصاصی برای دریافت و مدیریت گزارش‌های DMARC ایجاد کنید.

مهم: معمولاً آدرس ایمیل گزارش‌ها در همان دامنه‌ای است که رکورد DMARC شما در آن قرار دارد. اگر آدرس ایمیل دامنه متفاوتی دارد، باید یک رکورد DNS در دامنه دیگر اضافه کنید. به بخش «ارسال گزارش‌ها به آدرس ایمیل در دامنه دیگر» در صفحه گزارش‌های DMARC مراجعه کنید.

مرحله ۲: مطمئن شوید ایمیل شخص ثالث احراز هویت شده است

اگر از یک سرویس شخص ثالث برای ارسال ایمیل برای سازمان خود استفاده می‌کنید، باید مطمئن شوید که پیام‌های ارسالی توسط سرویس‌های شخص ثالث احراز هویت شده و بررسی‌های SPF و DKIM را با موفقیت پشت سر می‌گذارند:

  • برای اطمینان از تنظیم صحیح SPF و DKIM با ارائه دهنده شخص ثالث خود تماس بگیرید.
  • مطمئن شوید که دامنه فرستنده پاکت ارائه دهنده با دامنه شما مطابقت دارد. آدرس IP سرورهای ارسال ایمیل ارائه دهنده را به رکورد SPF دامنه خود اضافه کنید.
  • با استفاده از تنظیمات سرویس رله SMTP، ایمیل‌های خروجی از ارائه‌دهنده را از طریق گوگل مسیریابی کنید.

مرحله ۳: رکورد DMARC خود را تعیین کنید

سیاست DMARC شما در یک سطر از مقادیر متنی به نام رکورد DMARC تعریف می‌شود. این رکورد موارد زیر را تعریف می‌کند:

  • DMARC با چه دقتی باید پیام‌ها را بررسی کند؟
  • اقدامات توصیه‌شده برای سرور گیرنده، هنگامی که پیام‌هایی دریافت می‌کند که بررسی‌های احراز هویت آنها با شکست مواجه می‌شود

مثالی از یک رکورد DMARC (به جای example.com ، دامنه خود را قرار دهید):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

تگ‌های v و p باید اول فهرست شوند. تگ‌های دیگر را می‌توان به هر ترتیبی فهرست کرد.

وقتی شروع به استفاده از DMARC می‌کنید، توصیه می‌کنیم گزینه خط‌مشی ( p ) را روی هیچ‌کدام تنظیم کنید. همزمان با یادگیری نحوه احراز هویت پیام‌های دامنه شما توسط سرورهای گیرنده، خط‌مشی خود را به‌روزرسانی کنید. با گذشت زمان، خط‌مشی گیرنده را به قرنطینه (یا رد ) تغییر دهید. به بخش «راه‌اندازی پیشنهادی DMARC» مراجعه کنید.

تعاریف و مقادیر برچسب رکورد DMARC

برچسب توضیحات و مقادیر
وی

(الزامی) نسخه DMARC. باید DMARC1 باشد.

ص (الزامی) به سرور ایمیل گیرنده دستور می‌دهد که با پیام‌هایی که از مرحله احراز هویت عبور نمی‌کنند، چه کند.
  • none — هیچ اقدامی روی پیام انجام ندهید و آن را به گیرنده مورد نظر تحویل دهید. پیام‌ها را در یک گزارش روزانه ثبت کنید. گزارش به آدرس ایمیلی که با گزینه rua در رکورد مشخص شده است، ارسال می‌شود.
  • quarantine— پیام‌ها را به عنوان هرزنامه علامت‌گذاری کرده و به پوشه هرزنامه گیرنده ارسال می‌کند. گیرندگان می‌توانند پیام‌های هرزنامه را بررسی کنند تا پیام‌های معتبر را شناسایی کنند.
  • reject— پیام را رد کنید. با این گزینه، سرور گیرنده معمولاً یک پیام برگشتی به سرور فرستنده ارسال می‌کند.

نکته BIMI: اگر دامنه شما از BIMI استفاده می‌کند، گزینه DMARC p باید روی قرنطینه یا رد تنظیم شود. BIMI از سیاست‌های DMARC با گزینه p که روی هیچ تنظیم شده باشد، پشتیبانی نمی‌کند.

pct

تگ pct اختیاری است، اما گوگل توصیه می‌کند هنگام راه‌اندازی DMARC، آن را در رکورد DMARC خود وارد کنید تا بتوانید درصد ایمیل‌هایی را که سیاست DMARC شما روی آنها اعمال می‌شود، مدیریت کنید.

درصد پیام‌های احراز هویت نشده‌ای را که مشمول سیاست DMARC هستند، مشخص می‌کند. وقتی به تدریج DMARC را مستقر می‌کنید، ممکن است با درصد کمی از پیام‌های خود شروع کنید. با عبور پیام‌های بیشتر از دامنه شما از احراز هویت توسط سرورهای گیرنده، رکورد خود را با درصد بالاتری به‌روزرسانی کنید تا به ۱۰۰ درصد برسید.

باید یک عدد صحیح از ۱ تا ۱۰۰ باشد. اگر از این گزینه در رکورد استفاده نکنید، سیاست DMARC شما برای ۱۰۰٪ پیام‌های ارسالی از دامنه شما اعمال می‌شود.

نکته BIMI: اگر دامنه شما از BIMI استفاده می‌کند، خط‌مشی DMARC شما باید مقدار pct برابر با ۱۰۰ داشته باشد. BIMI از خط‌مشی‌های DMARC با مقدار pct کمتر از ۱۰۰ پشتیبانی نمی‌کند.

rua

تگ rua اختیاری است، اما گوگل توصیه می‌کند که همیشه آن را در رکورد DMARC خود وارد کنید.

گزارش‌های DMARC را به یک آدرس ایمیل ارسال کنید. آدرس ایمیل باید شامل mailto: باشد.
برای مثال: mailto:dmarc-reports@example.com (به جای example.com دامنه خود را قرار دهید).

  • برای ارسال گزارش‌های DMARC به چندین ایمیل، هر آدرس ایمیل را با کاما از هم جدا کنید و قبل از هر آدرس، پیشوند mailto: را اضافه کنید. برای مثال: mailto:dmarc-reports@example.com ، mailto:dmarc-admin@example.com (به جای example.com، دامنه خود را قرار دهید).
  • این گزینه می‌تواند به طور بالقوه منجر به حجم زیادی از ایمیل‌های گزارش شود. ما استفاده از آدرس ایمیل خودتان را توصیه نمی‌کنیم. در عوض، استفاده از یک صندوق پستی اختصاصی، یک گروه یا یک سرویس شخص ثالث که در گزارش‌های DMARC تخصص دارد را در نظر بگیرید.
  • برای ارسال گزارش‌های DMARC به آدرس ایمیلی که در دامنه‌ای متفاوت از دامنه‌ای است که رکورد DMARC شما را میزبانی می‌کند، یک رکورد TXT به DNS دامنه ایمیل اضافه کنید. برای جزئیات بیشتر، به «ارسال گزارش‌ها به یک آدرس ایمیل در دامنه‌ای متفاوت » در صفحه گزارش‌های DMARC مراجعه کنید.
ruf

(پشتیبانی نمی‌شود) جیمیل از تگ ruf که برای ارسال گزارش‌های خرابی استفاده می‌شود، پشتیبانی نمی‌کند. به گزارش‌های خرابی، گزارش‌های جرم‌شناسی نیز گفته می‌شود.

اسپ (اختیاری) سیاست مربوط به پیام‌های دریافتی از زیردامنه‌های دامنه اصلی شما را تنظیم می‌کند. اگر می‌خواهید از سیاست DMARC متفاوتی برای زیردامنه‌های خود استفاده کنید، از این گزینه استفاده کنید.
  • none Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantine پیام‌ها را به عنوان هرزنامه علامت‌گذاری کرده و به پوشه هرزنامه گیرنده ارسال می‌کند. گیرندگان می‌توانند پیام‌های هرزنامه را بررسی کنند تا پیام‌های معتبر را شناسایی کنند.
  • reject پیام را رد کنید. با این گزینه، سرور گیرنده باید یک پیام برگشتی به سرور فرستنده ارسال کند.

اگر از این گزینه در رکورد استفاده نکنید، زیردامنه‌ها از سیاست DMARC تنظیم‌شده برای دامنه‌ی والد ارث‌بری می‌کنند.

adkim (اختیاری) سیاست ترازبندی را برای DKIM تنظیم می‌کند، که مشخص می‌کند اطلاعات پیام تا چه حد باید با امضاهای DKIM مطابقت داشته باشد. نحوه‌ی ترازبندی را (بعداً در همین صفحه) بیاموزید.
  • s ترازبندی دقیق. نام دامنه فرستنده باید دقیقاً با نام دامنه d= مربوطه در هدرهای ایمیل DKIM مطابقت داشته باشد.
  • r Relaxed alignment (default). Allows partial matches. Any valid subdomain of d= domain in the DKIM mail headers is accepted.
aspf (اختیاری) سیاست هم‌ترازی را برای SPF تنظیم می‌کند، که مشخص می‌کند اطلاعات پیام تا چه حد باید با امضاهای SPF مطابقت داشته باشند. نحوه‌ی کار هم‌ترازی را (بعداً در همین صفحه) بیاموزید.
  • s ترازبندی دقیق. سربرگ پیام From: باید دقیقاً با نام دامنه در دستور SMTP MAIL FROM مطابقت داشته باشد.
  • r ترازبندی آرام (پیش‌فرض). تطابق جزئی را مجاز می‌داند. هر زیردامنه معتبری از نام دامنه پذیرفته می‌شود.

ترازبندی DMARC

DMARC بر اساس میزان تطابق دامنه موجود در سرآیند From: با دامنه ارسال مشخص شده توسط SPF یا DKIM، یک پیام را تایید یا رد می‌کند. به این عمل، هم‌ترازی (alignment) می‌گویند.

شما می‌توانید از بین دو حالت ترازبندی یکی را انتخاب کنید: دقیق (strict) یا راحت (released). شما می‌توانید حالت ترازبندی را برای SPF و DKIM در رکورد DMARC با استفاده از تگ‌های رکورد aspf و adkim DMARC تنظیم کنید.

روش احراز هویت هم‌ترازی دقیق ترازبندی آرام
SPF تطابق دقیق بین دامنه موجود در آدرس Envelope-Sender (که به آن Return-Path یا Bounce نیز گفته می‌شود) و دامنه موجود در آدرس From: سربرگ. دامنه موجود در آدرس سرآیندِ From: باید با دامنه موجود در آدرس Envelope-Sender (که به آن Return-Path یا bounce نیز گفته می‌شود) مطابقت داشته باشد یا زیردامنه آن باشد.
دی‌کیم تطابق دقیق بین دامنه DKIM مربوطه و دامنه موجود در آدرس سربرگ From:. دامنه موجود در آدرس سرآیند From: باید با دامنه مشخص شده در تگ d= امضای DKIM مطابقت داشته باشد یا زیردامنه آن باشد.

در موارد خاص، گوگل توصیه می‌کند که برای افزایش محافظت در برابر جعل، تغییر به ترازبندی دقیق را در نظر بگیرید:

  • ایمیل از زیردامنه ای خارج از کنترل شما برای دامنه شما ارسال می شود.
  • شما زیردامنه‌هایی دارید که توسط نهاد دیگری مدیریت می‌شوند.
مهم: ترازبندی ساده معمولاً محافظت کافی در برابر جعل را فراهم می‌کند. ترازبندی دقیق می‌تواند منجر به رد شدن یا ارسال پیام‌های زیردامنه‌های مرتبط به هرزنامه شود.

برای عبور از DMARC، یک پیام باید حداقل یکی از این بررسی‌ها را با موفقیت پشت سر بگذارد:

  • احراز هویت SPF و تنظیم SPF
  • احراز هویت DKIM و تنظیم DKIM

اگر پیام در هر دو مورد زیر با شکست مواجه شود، بررسی DMARC با شکست مواجه می‌شود:

  • SPF (یا ترازبندی SPF)
  • DKIM (یا ترازبندی DKIM)

مرحله ۴: رکورد DMARC خود را به دامنه خود اضافه کنید

مهم: برای این مرحله از مستندات راهنمای DMARC میزبان دامنه خود استفاده کنید. مراحل افزودن رکورد DMARC بسته به میزبان دامنه متفاوت است.

رکورد خود را اضافه یا به‌روزرسانی کنید

مهم: قبل از تنظیم DMARC، مطمئن شوید که DKIM و SPF را تنظیم کرده‌اید. DKIM و SPF باید حداقل ۴۸ ساعت قبل از روشن کردن DMARC، پیام‌ها را احراز هویت کنند.

  1. فایل متنی یا خط مربوط به رکورد DMARC خود را آماده داشته باشید.
  2. وارد میزبان دامنه خود شوید، معمولاً جایی که نام دامنه خود را خریداری کرده‌اید. اگر مطمئن نیستید میزبان دامنه شما کیست، به بخش شناسایی ثبت‌کننده دامنه خود مراجعه کنید.
  3. به صفحه‌ای که در آن رکوردهای DNS TXT را برای دامنه خود به‌روزرسانی می‌کنید، بروید. برای یافتن این صفحه، مستندات مربوط به دامنه خود را بررسی کنید.

  4. رکورد TXT را با این اطلاعات اضافه یا به‌روزرسانی کنید (به مستندات دامنه خود مراجعه کنید):

    نام فیلد مقدار برای وارد کردن
    نوع نوع رکورد TXT است.
    میزبان (نام، نام میزبان، نام مستعار) این مقدار باید _dmarc.example.com باشد (به جای example.com نام دامنه خود را قرار دهید).
    ارزش رشته‌ای که رکورد TXT را تشکیل می‌دهد. برای مثال: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s . برای جزئیات بیشتر، به تعیین رکورد DMARC خود (قبلاً در همین صفحه) مراجعه کنید.

    توجه : برخی از میزبان‌های دامنه به طور خودکار نام دامنه را اضافه می‌کنند. پس از اضافه کردن یا به‌روزرسانی رکورد TXT، نام دامنه را در رکورد DMARC تأیید کنید تا مطمئن شوید که به درستی قالب‌بندی شده است.

  5. تغییرات خود را ذخیره کنید.
  6. اگر DMARC را برای بیش از یک دامنه تنظیم می‌کنید، این مراحل را برای هر دامنه انجام دهید. هر دامنه می‌تواند سیاست و گزینه‌های گزارش متفاوتی داشته باشد، همانطور که در رکورد تعریف شده است.
  7. برای تأیید اینکه DMARC برای دامنه شما تنظیم شده است، از یکی از ابزارهای رایگان موجود در اینترنت استفاده کنید.


گوگل، گوگل ورک‌اسپیس و علامت‌ها و لوگوهای مرتبط، علائم تجاری شرکت گوگل هستند. سایر نام‌های شرکت‌ها و محصولات، علائم تجاری شرکت‌هایی هستند که با آنها مرتبط هستند.