تأمين بريدك الإلكتروني عبر الويب باستخدام SPF و DMARC و DKIM: دليل مفصل

تأمين بريدك الإلكتروني عبر الويب باستخدام  SPF DMARC DKIM Mail

يُعد البريد الإلكتروني أداة اتصال أساسية، لكنه أيضًا عرضة لتهديدات مثل الاحتيال الإلكتروني والتصيد الاحتيالي. يمكن تطبيق بروتوكولات مصادقة البريد الإلكتروني لحماية بريدك الإلكتروني عبر الويب. يوضح هذا الدليل كيفية تهيئة SPF و DMARC و DKIM لتحسين الأمان.

مقدمة

توفر خدمات البريد الإلكتروني عبر الويب مثل Gmail و Outlook و Yahoo إمكانية الوصول المريح للبريد الإلكتروني من أي جهاز أو حاسوب. ومع ذلك، فإن هذا يقدم أيضًا مخاطر إذا لم يتم اتخاذ احتياطات أمنية.

يعتمد أمن البريد الإلكتروني على المصادقة لمنع:

  • تزوير البريد الإلكتروني – تمويه البريد الإلكتروني ليبدو كما لو أنه قادم من شخص آخر
  • الاحتيال الإلكتروني – رسائل البريد الإلكتروني الاحتيالية التي تحاول سرقة المعلومات
  • اختراق حسابات البريد الإلكتروني – الجهات الفاعلة الخبيثة التي تكتسب حسابات

لحسن الحظ، يمكن لبروتوكولات مصادقة البريد الإلكتروني المأسسة أن تؤمن بريدك الإلكتروني عبر الويب عند تنفيذها بشكل صحيح:

  • SPF (إطار سياسة المُرسل) يتحقق من خوادم البريد المعتمدة
  • DMARC (المصادقة القائمة على النطاق، والإبلاغ، والالتزام) يعتمد على SPF و DKIM لمنع تزوير البريد الإلكتروني
  • DKIM (البريد المحدد بمفاتيح النطاق) يوقع رقميًا على البريد الإلكتروني للتأكد من عدم تعديله

يوفر هذا الدليل تعليمات مفصلة لتهيئة هذه البروتوكولات لحماية بريدك الإلكتروني عبر الويب. اتباع أفضل الممارسات هذه يصادق على المرسلين المشروعين ويحظر الرسائل الإلكترونية الخبيثة.

SPF – إيقاف تزوير عنوان المُرسل

يمنع SPF تزوير عنوان المُرسِل عن طريق السماح للنطاقات بتحديد خوادم البريد المعتمدة. فيما يلي كيفية إعداده:

1. حدد خوادم البريد الخاصة بك

أولاً، حدد الخوادم وعناوين IP المصرح لها بإرسال البريد الإلكتروني لنطاقك.

  • توفر خدمات البريد الإلكتروني مثل Gmail هذه المعلومات في مستندات المساعدة الخاصة بها.
  • بالنسبة للخوادم المحلية، سجل الدخول إلى لوحة تحكم إدارة الخادم البريدي الخاص بك.
  • قد تكون لديك عناوين IP منفصلة للبريد الوارد والصادر.

2. أنشئ سجل TXT SPF

أضف سجل TXT إلى إعدادات DNS لنطاقك باستخدام الخوادم المعتمدة لديك.

تنسيقات السجل الشائعة:

v=spf1 ip4:192.0.2.1 ip4:198.51.100.206 -all
v=spf1 include:spf.webmail.com -all

وهذا يحدد:

  • v=spf1 – يشير إلى إصدار SPF 1
  • ip4 – يسرد عناوين IPv4 المسموح بها
  • include – يستورد القواعد من سجل SPF آخر
  • -all – يرفض أي مرسلين غير مصرّح لهم

3. صحّح سجل SPF الخاص بك

استخدم أداة فحص سجلات SPF للتأكد من صحة التركيب قبل تمكينه. وهذا يتجنب اضطرابات البريد غير المقصودة.

أدوات التحقق من صحة SPF الموصى بها:

قم بإصلاح أي أخطاء ذكرتها هذه الأدوات قبل المتابعة.

4. حدّث خوادم الأسماء وانتظر الانتشار

أخيرًا، حدّث خوادم الأسماء الخاصة بك لنشر سجل SPF الجديد عبر DNS. قد يستغرق الأمر ما يصل إلى 48 ساعة للانتشار بالكامل.

بمجرد وضعه في مكانه، يمكن لخوادم البريد الأخرى مطابقة عناوين IP المُرسِلة مع سجل SPF الخاص بك ورفض أي مُرسلين غير صالحين.

DMARC – إيقاف تزوير البريد الإلكتروني

يعمل DMARC مع SPF و DKIM لمصادقة البريد الوارد ومنع التزوير. اتبع هذه الخطوات:

1. أنشئ سجل DMARC

أضف سجل TXT لـ _dmarc في إعدادات DNS الخاصة بك. ابدأ بسياسة p=none:

v=DMARC1; p=none; rua=mailto:[email protected]

وهذا يحدد:

  • v=DMARC1 – إصدار DMARC 1
  • p=none – سياسة لا تتخذ أي إجراء ولكن تقوم بالإبلاغ عن الفشل
  • rua= – عنوان البريد الإلكتروني لإرسال تقارير مجمعة

2. غيّر سياسة DMARC إلى الحجر الصحي

بمجرد الاستعداد للتصرف بشأن البريد الإلكتروني المزور، قم بتحديث سجل DMARC الخاص بك:

v=DMARC1; p=quarantine; rua=mailto:[email protected]

وهذا يخبر خوادم الاستقبال بوضع البريد الإلكتروني الذي يفشل في فحوصات SPF أو DKIM في الحجر الصحي.

3. غيّر سياسة DMARC إلى رفض

لحظر الرسائل المزورة تمامًا، استخدم سياسة p=reject:

v=DMARC1; p=reject; rua=mailto:[email protected]

لن يصل البريد المرفوض إلى صناديق الوارد. وهذا يمنع مستخدميك من تعرضهم للاحتيال الإلكتروني.

تسمح لك سياسات DMARC باتخاذ إجراء بشأن تهديدات التزوير المحددة في التقارير.

DKIM – التوقيع التشفيري على البريد الإلكتروني

يُضيف DKIM توقيعًا تشفيريًا للتحقق من أن البريد الإلكتروني يأتي فعلاً من نطاقك. فيما يلي كيفية إعداده:

1. أنشئ زوج مفاتيح عامة / خاصة

أنشئ زوج مفاتيح لاستخدامه في توقيع الرسائل:

  • غالبًا ما تتضمن مزودات خدمات البريد الإلكتروني أدوات لإنشاء مفاتيح
  • بالنسبة لخوادم البريد على الموقع، استخدم openssl أو أدوات عبر الإنترنت

2. نشر المفتاح العام في DNS

أضف سجل TXT باستخدام مفتاحك العام إلى DNS. يجب أن يكون كالتالي:

k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDkQ...

وهذا يتيح للمستلمين التحقق من التوقيعات.

3. ضبط توقيع المفتاح الخاص على خادم البريد الخاص بك

قم بتحديث إعدادات خادم البريد الخاص بك لتوقيع جميع رسائل البريد الصادرة باستخدام مفتاحك الخاص

بالنسبة لخدمات مثل Gmail أو Office 365، يتم التعامل مع ذلك تلقائيًا.

مع الخوادم المحلية، قم بتثبيت برنامج توقيع DKIM مثل OpenDKIM.

4. ضبط سياسة محاذاة DKIM DMARC

قم بتحديث سجل DMARC الخاص بك لتطلب محاذاة DKIM:

v=DMARC1; p=reject; ... adkim=r;

يعني adkim=r أن البريد الإلكتروني بدون توقيع DKIM صالح سيتم رفضه.

يسمح توقيع DKIM مع مفاتيح عامة منشورة للمستلمين بالتحقق من صحة بريدك الإلكتروني تشفيريًا.

الخلاصة

أصبح أمن البريد الإلكتروني أكثر أهمية من أي وقت مضى. SPF و DMARC و DKIM أدوات قوية لحماية بريدك الإلكتروني عبر الويب إذا تم تنفيذها بشكل صحيح.

اتباع هذا الدليل المفصل سيساعدك على:

  • المصادقة على البريد الإلكتروني الشرعي – التأكد من اتباع المرسلين الصالحين لسياسات SPF و DKIM و DMARC الخاصة بك
  • حظر التزوير / الاحتيال الإلكتروني – استخدام DMARC لرفض البريد الاحتيالي الذي يدّعي أنه قادم منك
  • الحصول على رؤية – تقارير DMARC تكشف التهديدات لمعالجتها
  • تحسين موقف الأمان – حظر العديد من تهديدات البريد الإلكتروني فنيًا قبل وصولها إلى المستخدمين

سيحسّن الوقت المستثمر بشكل كبير من مصادقة وأمان بريدك الإلكتروني. سيستفيد المستخدمون من الحد من التزوير والاحتيال الإلكتروني والاحتيال.

مع تطور التهديدات، من الأساسي الاستفادة من معايير مثل هذه للتحقق من شرعية البريد الإلكتروني ورفض المخاطر. مع التكوينات الصارمة التي تتبع أفضل الممارسات هذه، يمكن للمنظمات الوثوق باتصالات بريدها الإلكتروني عبر الويب.

LEAVE A COMMENT