معرفی ورودی DMARC ایمیل + آموزش فعال کردن آن در سی پنل و دایرکت ادمین

رکورد DMARC یکی از فناوری هایی است که برای احراز هویت ایمیل ها استفاده می شود. این پروتکل سرنوشت ایمیل های مشکوک را بر اساس سوابق SPF و DKIM آنها روشن می کند. ورودی DMARC چیست؟ کاربرد آن چیست؟ چگونه با SPF و DKIM ترکیب می شود؟ در این مقاله به این سوالات پاسخ خواهیم داد و نحوه ایجاد رکورد DMARC در دایرکت ادمین و سی پنل را یاد خواهیم گرفت. پس تا انتها همراه ما باشید.

ورودی DMARC چیست و چه کاربردی دارد؟

DMARC مخفف عبارت Domain-based Message Authentication Reporting and Conformance است. این پروتکل منبع باز تعریف می کند که با ایمیل های مخرب و جعلی چه باید کرد. نکته مهم در مورد رکورد DMARC این است که ایمیل ها ابتدا از موانع SPF و DKIM عبور می کنند تا به این فناوری برسند.

ایمیل ها پس از بررسی SPF و DKIM می توانند حالت های مختلفی داشته باشند. در واقع اتفاقی که برای ایمیل در دو مرحله قبل افتاد، تاریخچه آن ایمیل محسوب می شود. حال، وقتی ایمیلی به DMARC می رسد، اگر نتیجه این باشد که ایمیل سالم نیست، یکی از سه مورد برای آن اتفاق می افتد:

• هیچ یک: ایمیل مسدود نمی شود و به گیرنده تحویل داده می شود. اما گزارش DMARC برای صاحب دامنه ارسال می شود.
• قرنطینه: ایمیل در یک پوشه قرنطینه خواهد شد.
• طرد شدن: ایمیل به هیچ وجه به گیرنده تحویل داده نمی شود.

مدیر دامنه از قبل تعیین می کند که کدام یک از این سه روش برای پردازش ایمیل ها استفاده شود. ناگفته نماند که این سیاست ها در جملات خواندنی انسان نوشته نشده اند. بلکه در قالب دستورالعمل های قابل خواندن توسط ماشین ذخیره می شوند. سرویس های ایمیل به راحتی می توانند این دستورات را تفسیر کنند.

کدام روش مدیریت ایمیل در پروتکل DMARC بهتر است؟

روش اول معمولا بهترین سیاست است. به خصوص زمانی که این پروتکل به تازگی راه اندازی شده است. این روش با یک تیر به دو هدف می زند. زیرا هم ایمیل ارسال می شود و هم صاحب دامنه از وجود دامنه های جعلی و مشکوک مطلع می شود و آنها را می شناسد.

توجه داشته باشید که گاهی اوقات دامنه‌هایی که DMARC آنها را جعلی تشخیص می‌دهد در واقع مشکل ساز نیستند. بنابراین، در روش اول، مالک دامنه می‌تواند دامنه‌هایی را که واقعاً قانونی هستند شناسایی کند. اما آنها از دیوار DMARC عبور نمی کنند. سپس آنها را به لیست دامنه‌های قانونی اضافه می‌کند تا اطمینان حاصل شود که همه ایمیل‌های قانونی این احراز هویت را پاس می‌کنند. هنگامی که صاحب دامنه مطمئن شد که همه دامنه های قانونی را شناسایی کرده است، سیاست های دوم و سوم می توانند جایگزین روش اول شوند.

ورودی DMARC چیست؟

کاربرد اصلی فناوری DMARC چیست؟

DMARC برای سازمان هایی که از ایمیل به عنوان یکی از وسایل ارتباطی اولیه خود استفاده می کنند و اطلاعات مهم را از طریق این روش به اشتراک می گذارند بسیار مفید است. DMARC Record می تواند خط نهایی احراز هویت ایمیل را تعیین کند و کنترل سازمان ها را بر امنیت سرویس ایمیل خود تقویت کند. بنابراین، اگر ایمیلی از طریق روش‌های مخربی مانند فیشینگ و BEC (ایمیل‌های جعلی شرکتی) و جعل دامنه ایمیل ارسال شود، DMARC تصمیم می‌گیرد چه اتفاقی برای آن بیفتد.

چگونه یک رکورد DMARC را با SPF و DKIM ترکیب کنم؟

ترکیب DMARC با استانداردهای SPF و DKIM اولین و تنها فناوری موجود است که می تواند از ایمیل محافظت کند. تمرکز این سه فناوری روی دو چیز است: 1. هدر دامنه ایمیلی که فرستنده ارسال می کند. 2. “از” اعتبار دامنه. در ادامه، به رابطه بین DMARC و SPF و DKIM خواهیم پرداخت.

1. رابطه بین DMARC Record و SPF چیست؟

اولین دیواری که ایمیل ها برای احراز هویت باید از آن عبور کنند SPF (مخفف عبارت Sender Policy Framework) است. سازمان‌ها می‌توانند از این پروتکل اعتبارسنجی برای تعیین اینکه کدام دامنه‌ها مجاز به ارسال ایمیل هستند استفاده کنند. SPF ابتدا تمام آدرس های IP قانونی را شناسایی می کند و سپس لیست آنها را در DNS ذخیره می کند. این باعث می شود که سرویس ایمیل قبل از ارسال پیام، دایرکتوری را برای اطمینان از قانونی بودن دامنه بررسی کند. اگر دامنه معتبر باشد، رکورد SPF را بررسی می کند. در غیر این صورت ایمیل حتی از دیوار SPF هم نمی گذرد و اصلا به DKIM و DMARC نمی رسد.

2. رابطه بین DMARC Record و DKIM چیست؟

در مرحله بعدی احراز هویت ایمیل، زمان DKIM (ایمیل شناسایی شده با کلیدهای دامنه) است. این پروتکل احراز هویت به گیرنده ایمیل اطمینان می دهد که پیام در واقع از همان دامنه قانونی ارسال شده است و نه از دامنه ای که شبیه آن دامنه قانونی است. با احراز هویت DKIM، فرستنده ابتدا دقیقاً مشخص می کند که کدام فیلدها را در امضای DKIM قرار دهد. این فیلدها می توانند آدرس «از»، متن ایمیل، موضوع و غیره باشند. در مرحله بعد، سرویس ایمیل فرستنده یک رشته هش از فیلدهای انتخاب شده تولید می کند و آن را با یک کلید خصوصی رمزگذاری می کند. همچنین این فیلدها در هنگام ارسال ایمیل قابل تغییر نیستند.

شاید بپرسید مشخص کردن این فیلدها چه فایده ای دارد؟ در واقع این روش به خودی خود یک اقدام امنیتی است. زیرا حتی انواع این فیلدها از قبل در سرویس ایمیل تعریف شده است. بنابراین، اگر فرستنده فیلدهایی غیر از موارد مشخص شده را انتخاب کند، ایمیل از فایروال DKIM عبور نخواهد کرد. هنگامی که ایمیل به سرویس گیرنده ایمیل می رسد، کلید خصوصی که هش را رمزگذاری می کند با کلید عمومی مشتری مطابقت داده می شود. این بدان معنی است که اگر مطابقت نداشته باشد، ایمیل از این مرحله احراز هویت DKIM عبور نخواهد کرد. اگر کلیدها مطابقت داشته باشند، ایمیل از این مرحله عبور می کند و به DMARC می رسد.

چگونه یک ورودی DMARC را فعال کنم؟

برای فعال کردن این روش حفاظتی، مالک دامنه باید یک رکورد DMARC در DNS میزبان (مخفف Domain Name Service) ثبت کند. این رکورد از نوع متنی یا TXT است. این یک خط‌مشی ایجاد می‌کند که به مشتری ایمیل می‌گوید با ایمیل‌هایی که احراز هویت ناموفق هستند چه کند.

در زیر نحوه فعال کردن این ورودی را در کنترل پنل های سی پنل و دایرکت ادمین خواهیم دید.

ایجاد رکورد DMARC چه تفاوتی با رکوردهای SPF و DKIM دارد؟

1. مراحل افزودن DMARC در سی پنل

وارد قسمت Zone Editor شده و مراحل زیر را طی کنید:

1. روی گزینه “Manage” در سمت راست دامنه مورد نظر خود کلیک کنید.
2. روی منوی کشویی “ADD RECORD+” کلیک کنید و نوع رکورد را که “TXT” است انتخاب کنید.
3. جزئیات و مقادیر رکورد را وارد کرده و در نهایت بر روی «افزودن رکورد» کلیک کنید. مشخصات ورودی های DMARC را در زیر می بینیم.

نام ورودی را dmarc.yourdomain.com_ بگذارید. بدیهی است که شما باید آدرس کامل دامنه خود را به جای “yourdomain.com” بنویسید. همچنین می توانید عبارت زیر را برای مقدار ورودی DMARC وارد کنید:

v=DMARC1; p=none; rua=mailto:[email protected]

آدرس ایمیل را جایگزین «youraddress» و دامنه کامل را جایگزین «yourdomain.com» کنید.

استفاده از کاراکترها در مقدار ورودی DMARC

مقدار V در مقدار این ورودی الزامی است و نسخه را نشان می دهد. این مقدار برای همه رکوردها یکسان است. مقدار P نحوه برخورد با ایمیل های ناسالم را تعیین می کند (همان سه روشی که قبلا دیدیم). به عنوان مثال، در مقدار بالا، متد روی “none” تنظیم شده است.

2. DMARC را به DNS در Direct Admin اضافه کنید

ابتدا مطمئن شوید که مقدار ‘SPF TXT’ برابر با ‘all-‘ و نه ‘all~’ باشد. سپس مراحل زیر را طی کنید:

1. به بخش “Manage DNS” بروید.
2. گزینه “Add Entry” را انتخاب کنید.
3. در بخش «نوع ضبط»، حالت «TXT» را انتخاب کنید.
4. “DMARC” را برای “TXT Record Type” انتخاب کنید.

• در قسمت “ایمیل عمومی (RUA)” ایمیل خود را با ساختار زیر وارد کنید: [email protected]. دامنه ایمیل اصلی خود را به جای domain.com تایپ کنید.
• روی افزودن کلیک کنید.

برای مدیریت مستقیم، DMARC را در تم های دیگر به DNS اضافه کنید

اگر از تم یا پوسته متفاوتی مانند “Enhanced” در پنل خود استفاده می کنید، ابتدا به بخش مدیریت DNS دامنه خود بروید. سپس رکورد TXT زیر را مستقیماً وارد کنید:

_dmarc    TXT    "v=DMARC1; p=none; sp=none; rua=mailto:[email protected]"

شما می توانید مقادیر فوق را بنا به صلاحدید خود تغییر دهید. شایان ذکر است که فیلد “rua=mailto:[email protected]” باعث می شود که سرویس ایمیل در صورت ارسال ایمیل هرزنامه به این آدرس اطلاع دهد.

البته همه سرویس های ایمیل به این آدرس ایمیل ارسال نمی کنند. اما فرض کنید کاربری ایمیلی از دامنه شما دریافت می کند که آن را اسپم می داند. بنابراین او روی “This is spam” کلیک می کند. سپس این پیام برای شما ارسال خواهد شد.

پس از دریافت این ایمیل، می توانید بررسی کنید که آیا فردی در تلاش است دامنه شما را جایگزین کند یا به اشتباه این ایمیل را به عنوان هرزنامه شناسایی کرده است. با این حال، اگر نمی خواهید این ایمیل ها را دریافت کنید، می توانید بخش “rua=mailto:email” را نادیده بگیرید.

ایجاد رکورد DMARC در دایرکت ادمین و سی پنل

چگونه می توانم ایجاد رکورد DMARC برای دامنه های جدید را خودکار کنم؟

اگر می خواهید این DNS امن به طور خودکار برای دامنه های جدید ایجاد شود، کافی است دستورات زیر را اجرا کنید:

cd /usr/local/directadmin/data/templates/custom

. cp ../dns_txt.conf

سپس با افزودن دستور زیر نوع دقیق رکورد را مشخص کنید:

echo '_dmarc="v=DMARC1; p=none; sp=none; rua=mailto:spam-reports@|DOMAIN|"' >> dns_txt.conf

نکته: وقتی این دستورات را وارد می کنید، فرض بر این است که قبلاً گزارش های اسپم برای دامنه ایمیل خود ایجاد کرده اید. اگر قبلاً این کار را نکرده‌اید، قبل از وارد کردن دستورات بالا، این ایمیل را ایجاد کنید.

چگونه یک رکورد DMARC برای دامنه های جدید ایجاد کنیم؟

نتیجه

با DMARC Record، می‌توانید مطمئن شوید که کاربران دقیقاً ایمیل‌هایی را که می‌خواهید دریافت می‌کنند. اگر این پروتکل فعال نباشد، ایمیل‌های مشکل‌ساز حل‌نشده باقی می‌مانند و خطاهایی مانند «هیچ رکورد DMARC یافت نشد» یا «موارد DMARC یافت نشد» را مشاهده خواهید کرد. بنابراین، توصیه ما این است که SPF، DKIM و DMARC را فعال کنید و امنیت سرویس ایمیل خود را به حداکثر برسانید.

سوالات متداول

1. ورودی DMARC چیست؟

DMARC یک پروتکل امنیتی برای تکمیل فرآیند احراز هویت ایمیل است. صاحبان دامنه ایمیل می توانند با استفاده از این پروتکل با ایمیل های جعلی مقابله کنند. DMARC صحت ایمیل ها را تأیید می کند و به گیرندگان ایمیل اطمینان می دهد که پیام های دریافت شده قانونی هستند.

2. رابطه بین پروتکل DMARC و SPF و DKIM چیست؟

ایمیل ها پس از گذراندن مراحل SPF و DKIM به رکورد DMARC می رسند. تشخیصی که این دو پروتکل برای ایمیل ها می دهند در میان رکوردهای آن ایمیل ها ثبت می شود. سپس، هنگامی که آنها به DMARC می رسند، پروتکل تصمیم می گیرد که برای هر ایمیل چه اتفاقی بیفتد.

3. یک ورودی DMARC چگونه با ایمیل ها برخورد می کند؟

بسته به وضعیت ایمیل و سیاستی که مدیر دامنه ایمیل از قبل مشخص کرده است، DMARC با ایمیل های مشکوک به سه روش مختلف برخورد می کند: 1. ارسال ایمیل به گیرنده و ارسال گزارش به صاحب دامنه. 2. یک ایمیل به پوشه قرنطینه ارسال کنید. 3. ایمیل را رد کنید و آن را نفرستید.

4. اگر DMARC فعال نباشد چه اتفاقی می افتد؟

اگر پروتکل DMARC را ندارید، کارآمدترین و قدرتمندترین مکانیزم احراز هویت ایمیل را از دست داده اید و دامنه شما بدون یک خط مشی مشخص حل نشده باقی می ماند. در این حالت، پیام هایی مانند «هیچ رکورد DMARC یافت نشد» یا «موارد DMARC از دست رفته» را مشاهده خواهید کرد.

5. آیا استفاده از رکورد DMARC رایگان است؟

بله، این ورودی یک پروتکل متن باز است که می توان آن را به صورت رایگان در سرویس های ایمیل فعال کرد.

{ “@context”: “https://schema.org”، “@type”: “FAQPage”، “mainEntity”: [{
“@type”: “Question”,
“name”: “رکورد DMARC چیست؟”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “DMARC پروتکلی امنیتی برای تکمیل فرایند احراز هویت ایمیل است. صاحبان دامنه ایمیل به‌کمک این پروتکل می‌توانند مقابل ایمیل‌های جعلی بایستند. DMARC صحت ایمیل‌ها را ثابت می‌کند و به گیرندگان ایمیل هم اطمینان می‌دهد پیام‌های دریافتی قانونی است.”
}
},{
“@type”: “Question”,
“name”: “ارتباط پروتکل DMARC با SPF و DKIM چیست؟”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “ایمیل‌ها وقتی به DMARC Record می‌رسند که از مراحل SPF و DKIM عبور کرده باشند. تشخیصی که این دو پروتکل درباره ایمیل‌ها می‌دهند، جزو سوابق آن ایمیل‌ها ثبت می‌شود. سپس، وقتی به DMARC می‌رسند، این پروتکل تصمیم می‌گیرد که برای هر ایمیل چه اتفاق رخ دهد.”
}
},{
“@type”: “Question”,
“name”: “رکورد DMARC با ایمیل‌ها چگونه رفتار می‌کند؟”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “بسته به وضعیت ایمیل و سیاستی که مدیر دامنه ‌ایمیل ازقبل مشخص کرده است، DMARC سه رفتار مختلف با ایمیل‌های مشکوک خواهد کرد: ۱. ارسال ایمیل به گیرنده و ارسال گزارش به صاحب دامنه؛ ۲. ارسال ایمیل به پوشه قرنطینه؛ ۳. ریجکت ایمیل و ارسال‌نکردن آن.”
}
},{
“@type”: “Question”,
“name”: “اگر DMARC فعال نباشد، چه اتفاقی می‌افتد؟”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “اگر پروتکل DMARC را نداشته باشید، می‌توان گفت مؤثرترین و قدرتمندترین مکانیسم احراز هویت ایمیل را از دست می‌دهید و دامنه‌تان بدون خط‌مشی مشخص بلاتکلیف باقی می‌ماند. در این صورت، پیام‌هایی مانند «No DMARC record found» یا «DMARC record is missing» را خواهید دید.”
}
},{
“@type”: “Question”,
“name”: “آیا استفاده از رکورد DMARC رایگان است؟”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “بله، این رکورد پروتکلی منبع‌باز است که می‌تواند به‌‌رایگان روی سرویس‌های ایمیل فعال شود.”
}
}]
}

مقاله معرفی ورود ایمیل DMARC + آموزش فعال سازی آن در سی پنل و دایرکت ادمین برای اولین بار در پارسپک. به نظر می رسد.