معرفی رکورد DMARC ایمیل + آموزش فعال‌سازی آن در سی‌پنل و دایرکت‌ادمین

رکورد DMARC از فناوری‌هایی است که در مسیر احراز هویت ایمیل‌ها استفاده می‌شود. این پروتکل سرنوشت ایمیل‌های مشکوک را بر‌اساس سوابق SPF و DKIM آن‌ها روشن می‌کند. حال DMARC Record چیست؟ چه کاربردی دارد؟ چگونه با SPF و DKIM ترکیب می‌شود؟ در این مقاله، به این پرسش‌ها پاسخ خواهیم داد و نحوه ساخت رکورد DMARC در دایرکت‌ادمین و سی‌پنل را آموزش می‌دهیم؛ پس تا پایان با ما همراه باشید.

DMARC Record چیست و چه می‌کند؟

DMARC مخفف عبارت Domain-based Message Authentication Reporting and Conformance است. این پروتکل منبع‌باز تعیین می‌کند که با ایمیل‌های خراب‌کارانه و جعلی چه برخوردی شود. نکته مهم درباره رکورد DMARC این است که ایمیل‌ها برای رسیدن به این فناوری، ابتدا از سدهای SPF و DKIM عبور می‌کنند.

ایمیل‌ها بعد از گذر از SPF و DKIM، وضعیت‌های مختلفی می‌توانند داشته باشند. درواقع، اتفاقی که در دو مرحله قبلی برای ایمیل رخ داده است، به‌عنوان سوابق آن ایمیل در نظر گرفته می‌شود. حالا وقتی ایمیل به DMARC می‌رسد، اگر نتیجه این باشد که ایمیل سالم نیست، یکی از سه اتفاق زیر برای آن می‌افتد:

• None: ایمیل مسدود نمی‌شود و به گیرنده تحویل داده می‌شود؛ اما گزارش DMARC به صاحب دامنه ارسال می‌شود.
• Quarantine: ایمیل در پوشه‌ای قرنطینه می‌شود.
• Reject: ایمیل اصلاً به گیرنده تحویل داده نمی‌شود.

مدیر دامنه ازقبل تعیین می‌کند که با ایمیل‌ها بر‌اساس کدام‌یک از این سه روش رفتار شود. ناگفته نماند این خط‌مشی‌ها در قالب جملات خواندنی برای انسان ثبت نمی‌شوند؛ بلکه در قالب دستورهایی ذخیره می‌شوند که برای ماشین خواندنی هستند. سرویس‌های ایمیل می‌توانند این دستورها را به‌راحتی تفسیر کنند.

کدام روش برخورد با ایمیل‌ها در پروتکل DMARC بهتر است؟

روش اول معمولاً بهترین سیاست است؛ به‌خصوص وقتی این پروتکل به‌تازگی راه‌اندازی شده باشد. این روش با یک تیر دو نشان را می‌زند؛ چراکه هم ایمیل‌ها ارسال می‌شوند و هم مالک دامنه از وجود دامنه‌های جعلی و مشکوک آگاه می‌شود و آن‌ها را می‌شناسد.

دقت کنید گاهی اوقات دامنه‌هایی که DMARC به‌عنوان دامنه جعلی شناسایی می‌کند‌، واقعاً مشکل‌دار نیستند؛ بنابراین، در روش اول مالک دامنه می‌تواند دامنه‌هایی را شناسایی کند که واقعاً قانونی هستند؛ اما از دیوار DMARC رد نمی‌شوند. سپس، آن‌ها را به فهرست دامنه‌های قانونی اضافه می‌کند تا مطمئن شود همه ایمیل‌های قانونی این احراز هویت را پاس می‌کنند. بعد از اینکه مالک دامنه مطمئن شد که همه دامنه‌های قانونی را شناسایی کرده است، سیاست‌های دوم و سوم را می‌تواند جایگزین روش اول کند.

کاربرد اصلی فناوری DMARC چیست؟

DMARC بیشترین کاربرد را برای سازمان‌هایی دارد که از ایمیل‌ها به‌عنوان یکی از راه‌های ارتباطی اصلی خود استفاده و اطلاعات مهمشان را از این طریق منتقل می‌کنند. DMARC Record می‌تواند نتیجه نهایی احراز هویت ایمیل‌ها را تعیین و کنترل سازمان‌ها را بر امنیت سرویس ایمیلشان قوی‌تر کند. درنتیجه، اگر ایمیلی با روش‌های خراب‌کارانه‌ای مانند فیشینگ و BEC (ایمیل‌های سازمانی جعلی) و جعل دامنه‌ ایمیل ارسال شود، DMARC تصمیم می‌گیرد که چه اتفاقی برایش بیفتد.

ترکیب رکورد DMARC با SPF و DKIM به چه ترتیب است؟

ترکیب DMARC با استانداردهای SPF و DKIM اولین و تنها فناوری موجود است که می‌تواند امنیت ایمیل‌ها را تأمین کند. تمرکز این سه فناوری نیز بر دو چیز است: ۱. هِدِر دامنه‌ ایمیلی که فرستنده ارسال می‌کند؛‌ ۲. اعتبار دامنه «From». در‌ادامه، ارتباط DMARC را با SPF و DKIM بررسی می‌کنیم.

۱. ارتباط DMARC Record با SPF چیست؟

اولین دیواری که ایمیل‌ها برای احراز هویت باید از آن عبور کنند، SPF (مخفف Sender Policy Framework) است. سازمان‌ها به‌کمک این پروتکل اعتبارسنجی می‌توانند تعیین کنند که کدام دامنه‌ها اجازه ارسال ایمیل را داشته باشند. SPF ابتدا تمام IPهای قانونی را شناسایی و سپس فهرست آن‌ها را در DNS ذخیره می‌کند. با این کار سرویس ایمیل قبل از ارسال پیام، فهرست را بررسی می‌کند تا مطمئن شود که این دامنه قانونی است. اگر دامنه قانونی باشد، رکورد SPF را تأیید می‌کند؛ وگرنه ایمیل حتی از دیوار SPF عبور نمی‌کند و اصلاً به DKIM و DMARC نمی‌رسد.

۲. ارتباط DMARC Record با DKIM چیست؟

در مرحله بعدی احراز هویت ایمیل، نوبت به DKIM (مخفف Domain Keys Identified Mail) می‌رسد. این پروتکل احراز هویت به گیرنده ایمیل اطمینان می‌دهد که پیام واقعاً از همان دامنه قانونی ارسال شده و نه از دامنه‌ای که شبیه به آن دامنه قانونی است. در احراز هویت DKIM، فرستنده اول مشخص می‌کند که امضای DKIM را می‌خواهد دقیقاً در کدام فیلدها قرار دهد. این فیلدها می‌توانند آدرس «From»، متن ایمیل، سابجکت و… باشند. در قدم بعدی، سرویس ایمیل فرستنده رشته‌ای هَش از فیلدهای انتخاب‌شده تولید و آن را با یک کلید خصوصی رمزگذاری می‌کند. درضمن، این فیلدها در طول ارسال ایمیل نمی‌توانند تغییر کنند.

شاید بپرسید تعیین این فیلدها چه فایده‌ای دارد؟ درواقع، این روش به‌خودی‌خود تدبیری امنیتی است؛ چراکه حتی نوع همین فیلدها هم قبلاً در سرویس ایمیل تعیین شده‌اند؛ بنابراین، اگر فرستنده فیلدهایی غیر از فیلدهای مشخص‌شده را انتخاب کند، ایمیل از دیوار DKIM رد نمی‌شود. وقتی ایمیل به سرویس گیرنده ایمیل می‌رسد، آن کلید خصوصی که هَش را رمزگذاری کرده بود، با یک کلید عمومی در سرویس گیرنده تطبیق داده می‌شود. این‌جاست که اگر تطابق وجود نداشته باشد، ایمیل این مرحله از احراز هویت DKIM را پاس نمی‌کند. اگرهم کلیدها منطبق باشند، ایمیل از این مرحله هم عبور می‌کند و به DMARC می‌رسد.

رکورد DMARC چگونه فعال می‌شود؟

برای فعال‌کردن این روش امنیتی، مالک دامنه باید رکورد DMARC را در DNS (مخفف Domain Name Service) مربوط به هاست ثبت کند. این رکورد از نوع متنی یا TXT است. با این کار خط‌مشی‌ای ایجاد می‌شود که به سرویس گیرنده ایمیل می‌گوید با ایمیل‌هایی که احراز هویت موفقی نداشته‌اند، چه کار کند.

در ادامه نحوه فعال‌سازی این رکورد را در کنترل پنل‌های سی پنل و دایرکت ادمین می‌‌بینیم.

۱. مراحل اضافه کردن DMARC در CPanel

وارد بخش «Zone Editor» شوید و مراحل زیر را طی کنید:

1. روی گزینه «Manage» که سمت راست دامنه مدنظرتان است، کلیک کنید.
2. روی منوی کشویی «ADD RECORD+» کلیک کرده و نوع رکورد را که «TXT» است انتخاب کنید.
3. مشخصات و مقادیر رکورد را وارد کنید و در نهایت روی «Add Record» کلیک کنید. مشخصات رکورد DMARC را در ادامه می‌بینیم.

نام رکورد را dmarc.yourdomain.com_ بگذارید. بدیهی است که به‌جای عبارات «yourdomain.com» باید آدرس کامل دامنه خود را بنویسید. برای مقدار رکورد DMARC هم می‌توانید عبارت زیر را وارد کنید:

v=DMARC1; p=none; rua=mailto:[email protected]

به‌جای «youraddress» آدرس ایمیل و به‌جای «yourdomain.com» دامنه کامل را قرار دهید.

کاربرد کاراکترهای موجود در مقدار DMARC Record

مقدار V در مقدار این رکورد ضروری است و نسخه را تعیین می‌کند. این مقدار برای همه رکوردها یکسان است. مقدار P نوع برخورد با ایمیل‌های ناسالم را مشخص می‌کند (همان سه روشی که پیش‌تر دیدیم). برای مثال در مقدار بالا، روش «none» تعیین شده است.

۲. اضافه کردن DMARC به DNS در دایرکت ادمین

ابتدا مطمئن شوید که مقدار «SPF TXT» برابر با «all-» است، نه «all~». سپس مراحل زیر را طی کنید:

1.   به بخش «DNS Management» بروید.
2.   گزینه «Add Record» را انتخاب کنید.
3.   در بخش «Record Type» حالت «TXT» را انتخاب کنید.
4.   برای «TXT Record Type» گزینه « DMARC» را انتخاب کنید.

•       در فیلد «Aggregate Email (RUA)» ایمیل خود را با چنین ساختاری وارد کنید: [email protected] . به‌جای domain.com دامنه ایمیل اصلی خود را بنویسید.
•       روی «Add» کلیک کنید.

اضافه کردن DMARC به DNS در تم‌های دیگر دایرکت ادمین

اگر از تم یا Skin دیگری مثل « Enhanced» در پنل خود استفاده می‌کنید، اول به بخش DNS Management دامنه خود بروید. سپس TXT Record زیر را به طور مستقیم وارد کنید:

_dmarc    TXT    "v=DMARC1; p=none; sp=none; rua=mailto:[email protected]"

مقادیر بالا را می‌توانید بنا به صلاحدید خود تغییر دهید. شایان ذکر است که قسمت «rua=mailto:[email protected]» باعث می‌شود که اگر ایمیل اسپمی ارسال شود، سرویس ایمیل به این آدرس اطلاع‌رسانی کند.

البته همه سرویس‌های ایمیل به این آدرس ایمیل نمی‌دهند. اما فرض کنید یکی از کاربران از دامنه شما ایمیلی دریافت می‌کند که حدس می‌زند اسپم است. پس روی «This is spam» کلیک می‌کند. سپس این پیام برای شما ارسال می‌شود.

بعد از دریافت این ایمیل، می‌توانید بررسی کنید که آیا شخصی سعی دارد دامنه شما را جعل کند یا گیرند پیام به‌اشتباه این ایمیل را اسپم تشخیص داده است. در هر صورت اگر نمی‌خواهید که این ایمیل‌ها را دریافت کنید، می‌توانید بخش «rua=mailto:email» را نادیده بگیرید.

چگونه ساخت رکورد DMARC را برای دامنه‌های جدید خودکار کنیم؟

اگر مایلید که این DNS امنیتی برای دامنه های جدید به طور خودکار ایجاد شود، کافی است دستورهای زیر را اجرا کنید:

cd /usr/local/directadmin/data/templates/custom

. cp ../dns_txt.conf

سپس با اضافه کردن دستور زیر نوع دقیق رکورد را مشخص کنید:

echo '_dmarc="v=DMARC1; p=none; sp=none; rua=mailto:spam-reports@|DOMAIN|"' >> dns_txt.conf

نکته: وقتی این دستورها را وارد می‌کنید، پیش‌فرض بر این است که قبلاً ایمیل «spam-reports» را برای دامنه ایمیل خود ساخته‌اید. اگر هنوز این کار را نکرده‌اید، قبل از وارد کردن دستورات بالا این ایمیل را بسازید.

جمع‌بندی

به‌کمک DMARC Record، می‌توانید مطمئن شوید که کاربران دقیقاً ایمیل‌هایی را دریافت می‌کنید که شما می‌خواهید. اگر این پروتکل فعال نباشد، ایمیل‌های مشکل‌دار بلاتکلیف می‌مانند و خطاهایی مانند «No DMARC record found» یا «DMARC record not found» را خواهید دید؛ بنابراین، توصیه ما این است که SPF و DKIM و DMARC را فعال کنید و امنیت سرویس ایمیلتان را به حداکثر برسانید.

سؤالات متداول

۱. رکورد DMARC چیست؟

DMARC پروتکلی امنیتی برای تکمیل فرایند احراز هویت ایمیل است. صاحبان دامنه ایمیل به‌کمک این پروتکل می‌توانند مقابل ایمیل‌های جعلی بایستند. DMARC صحت ایمیل‌ها را ثابت می‌کند و به گیرندگان ایمیل هم اطمینان می‌دهد پیام‌های دریافتی قانونی است.

۲. ارتباط پروتکل DMARC با SPF و DKIM چیست؟

ایمیل‌ها وقتی به DMARC Record می‌رسند که از مراحل SPF و DKIM عبور کرده باشند. تشخیصی که این دو پروتکل درباره ایمیل‌ها می‌دهند، جزو سوابق آن ایمیل‌ها ثبت می‌شود. سپس، وقتی به DMARC می‌رسند، این پروتکل تصمیم می‌گیرد که برای هر ایمیل چه اتفاق رخ دهد.

۳. رکورد DMARC با ایمیل‌ها چگونه رفتار می‌کند؟

بسته به وضعیت ایمیل و سیاستی که مدیر دامنه ‌ایمیل ازقبل مشخص کرده است، DMARC سه رفتار مختلف با ایمیل‌های مشکوک خواهد کرد: ۱. ارسال ایمیل به گیرنده و ارسال گزارش به صاحب دامنه؛ ۲. ارسال ایمیل به پوشه قرنطینه؛ ۳. ریجکت ایمیل و ارسال‌نکردن آن.

۴. اگر DMARC فعال نباشد، چه اتفاقی می‌افتد؟

اگر پروتکل DMARC را نداشته باشید، می‌توان گفت مؤثرترین و قدرتمندترین مکانیسم احراز هویت ایمیل را از دست می‌دهید و دامنه‌تان بدون خط‌مشی مشخص بلاتکلیف باقی می‌ماند. در این صورت، پیام‌هایی مانند «No DMARC record found» یا «DMARC record is missing» را خواهید دید.

۵. آیا استفاده از رکورد DMARC رایگان است؟

بله، این رکورد پروتکلی منبع‌باز است که می‌تواند به‌‌رایگان روی سرویس‌های ایمیل فعال شود.