اموزشی

آموزش کامل DMARC و نحوه تنظیم آن برای دامنه ها و میل سرور
DMARC چیستو چرا برای ایمیل شما ضروری است؟
در دنیای امروز، ایمیل همچنان یکی از اصلی ترین ابزارهای ارتباطی است؛ اما همین محبوبیت باعث شده که مجرمان سایبری از
آن برای ارسال ایمیل های جعلی، حملات فیشینگ و بدافزار استفاده کنند. یکی از مؤثرترین راه ها برای مقابله با این تهدیدات،
استفاده از DMARC است.
DMARC مخفف عبارت Domain-based Message Authentication, Reporting, and Conformance است و به عنوان
یک پروتکل امنیتی ایمیل عمل می کند که با استفاده از دو مکانیزم دیگر، یعنی SPFو DKIM، اصالت ایمیل را تأیید می کند. به
زبان ساده، DMARC به گیرنده کمک می کند تشخیص دهد که آیا ایمیل واقعاً از طرف دامنه ای که ادعا می کند ارسال شده یا خیر.
چرا DMARC مهم است؟
بدون وجود DMARC، هر کسی می تواند از نام دامنه شما برای ارسال ایمیل های جعلی استفاده کند. این موضوع نه تنها امنیت
کاربران شما را به خطر می اندازد، بلکه به اعتبار برند شما نیز آسیب جدی وارد می کند.
با تنظیم DMARCمی توانید:
 جلوگیری از جعل آدرس ایمیل (Email Spoofing)
 حفاظت از مشتریان و کاربران در برابر ایمیل های فیشینگ
 افزایش اعتماد گیرندگان به ایمیل های شما
 بهبود Deliverability و کاهش ورود ایمیل ها به پوشه Spam
 دریافت گزارش های دقیق از وضعیت ارسال ایمیل های دامنه

نحوه کار DMARC
برای درک بهتر، باید بدانید DMARC به تنهایی کار نمی کند، بلکه بر پایه SPFو DKIMاستوار است:
1. SPF(Sender Policy Framework): مشخص می کند کدام سرورها اجازه ارسال ایمیل از طرف دامنه شما را دارند.
2. DKIM(DomainKeys Identified Mail): یک امضای دیجیتال به ایمیل اضافه می کند که نشان می دهد پیام در مسیر
تغییر نکرده است.
3. DMARC: بررسی می کند که آیا ایمیل هم SPFو هم DKIMرا پاس کرده و دامنه آن ها با دامنه فرستنده همخوانی دارد یا
نه. سپس بر اساس پالیسی شما (none، quarantine یا reject) تصمیم می گیرد چه اقدامی انجام دهد.

آموزش تنظیم رکورد DMARC برای دامنه ها
۱. آماده سازی قبل از تنظیم DMARC
قبل از هر چیز مطمئن شوید:
 رکورد SPFشما به درستی تنظیم شده است.
 DKIMبرای دامنه فعال است و کلیدهای عمومی/خصوصی به درستی کار می کنند.
 ایمیل های ارسالی شما از مسیرهای قانونی انجام می شوند (نه از IP یا سرویس ناشناس).

۲. ورود به پنل مدیریت DNS
به بخش مدیریت DNS دامنه خود وارد شوید. این بخش ممکن است در:
 کنترل پنل هاست (مثل cPanel یا DirectAdmin)
 سرویس های DNS ابری (مثل Cloudflare)
 یا پنل ثبت کننده دامنه شما باشد.
۳. ایجاد رکورد TXT برای DMARC
یک رکورد جدید از نوع TXT ایجاد کنید با مشخصات زیر:
 Host / Name:
nginx
CopyEdit
_dmarc
 Value / Content (نمونه استاندارد):
ini
CopyEdit
v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:dmarc-
[email protected]; pct=100; aspf=s;
توضیح پارامترها:
 v=DMARC1 → نسخه پروتکل
 p= → پالیسی اصلی (none، quarantine، reject)
 rua= → آدرس دریافت گزارش های تجمیعی (Aggregate Reports)
 ruf= → آدرس دریافت گزارش های فورِنسیک (Forensic Reports)
 pct= → درصد ایمیل هایی که پالیسی روی آن ها اعمال می شود
 aspf= → سختگیری بررسی SPF(s سختگیرانه، r منعطف)
۴. انتخاب پالیسی مناسب
 none → فقط گزارش گیری، بدون جلوگیری از ارسال
 quarantine → قرنطینه کردن ایمیل های مشکوک (ورود به Spam)
 reject → رد کامل ایمیل های غیرمعتبر
�� توصیه حرفه ای: ابتدا با none شروع کنید، گزارش ها را بررسی کنید، سپس به quarantine و در نهایت reject تغییر دهید.
۵. ذخیره و انتشار رکورد

پس از ذخیره رکورد، انتشار آن در اینترنت ممکن است بین چند دقیقه تا ۲۴ ساعت طول بکشد.
۶. بررسی صحت رکورد DMARC
از ابزارهایی مثل:
 MXToolbox DMARC Lookup
 Google Admin Toolbox CheckMX
 DMARC Analyzer
برای اطمینان از صحت تنظیمات استفاده کنید.

تنظیم رکورد DMARCدر میل سرور برای احراز هویت ایمیل
تنظیم DMARCدر DNS کافی نیست؛ میل سرور شما هم باید از آن پشتیبانی کند.
۱. فعال سازی SPFو DKIMدر میل سرور
 در cPanel: از بخش Email → Authentication گزینه SPFو DKIMرا فعال کنید.
 در SmarterMail: از بخش Settings → Domain Settings → Email Authentication هر دو را تنظیم کنید.
 در Postfix / Exim / Exchange: باید از ابزارها یا افزونه های مربوطه استفاده کنید.
۲. پشتیبانی از DMARC
برخی میل سرورها قابلیت بررسی مستقیم DMARC را دارند. اگر میل سرور شما این قابلیت را ندارد، می توانید از سرویس های
خارجی برای مانیتورینگ استفاده کنید.
۳. بررسی گزارش های DMARC
گزارش های Aggregate و Forensic را که به ایمیل های تعریف شده در رکورد ارسال می شوند بررسی کنید. این گزارش ها
شامل اطلاعات مهمی مثل:
 آدرس IP ارسال کننده
 نتیجه SPFو DKIM
 تاریخ و ساعت ارسال
 دامنه From و Return-Path
هستند که به شما کمک می کنند منابع غیرمجاز ارسال ایمیل را شناسایی کنید.
۴. سخت گیری تدریجی
اگر از همان ابتدا پالیسی reject را اعمال کنید، ممکن است برخی ایمیل های سالم شما هم مسدود شوند. بنابراین مراحل زیر را طی
کنید:
1. شروع با none برای گزارش گیری
2. تغییر به quarantine برای تست عملی

3. در نهایت اعمال reject برای حفاظت کامل

نکات و هشدارهای مهم
 اگر SPFیا DKIMشما اشتباه پیکربندی شده باشد، فعال سازی DMARC می تواند باعث عدم تحویل ایمیل های سالم شود.
 همیشه آدرس های ایمیل گزارش گیری را روی دامنه ای قرار دهید که قابلیت دریافت و تحلیل گزارش ها را دارد.
 از ابزارهای تجزیه و تحلیل گزارش DMARC استفاده کنید تا به جای خواندن فایل های XML خام، گزارش ها را به
صورت نموداری و قابل فهم ببینید.
 تغییرات را مرحله ای اعمال کنید و بعد از هر تغییر حداقل یک هفته منتظر بمانید تا داده های کافی جمع آوری شود.