SPF، DKIM و DMARC — جلوگیری از رفتن ایمیل به اسپم

سه رکوردی که ثابت می‌کنند ایمیل واقعاً از طرف شماست — و بدون آن‌ها نامه‌هایتان به پوشه‌ی اسپم می‌رود.

۶ دقیقه به‌روزرسانی ۲۷ تیر ۱۴۰۵

اگر ایمیل‌های سازمانی شما به پوشه‌ی اسپم می‌روند، تقریباً همیشه علتش نبودِ همین سه رکورد است. این‌ها به گیرنده ثابت می‌کنند نامه واقعاً از طرف دامنه‌ی شماست.

چرا لازم است؟

پروتکل اصلی ایمیل هیچ مکانیزم احراز هویتی ندارد؛ یعنی هرکسی می‌تواند ایمیلی بفرستد که ظاهراً از آدرس شماست. SPF، DKIM و DMARC لایه‌هایی هستند که این حفره را می‌بندند. سرویس‌هایی مثل Gmail و Outlook بدون این رکوردها به ایمیل شما بی‌اعتماد می‌شوند.

SPF — چه کسی مجاز است از طرف من ایمیل بفرستد

یک رکورد TXT روی دامنه‌ی اصلی که سرورهای مجاز را فهرست می‌کند:

example.com.    TXT    "v=spf1 include:_spf.servernet.cloud ~all"

اجزای مهم:

  • include: — سرورهای یک ارائه‌دهنده را مجاز می‌کند
  • ip4: — یک آی‌پی مشخص را مجاز می‌کند
  • ~all — بقیه «مشکوک» تلقی می‌شوند (softfail)
  • -all — بقیه صراحتاً رد می‌شوند (سخت‌گیرانه‌تر)

دو خطای رایج: اول اینکه فقط یک رکورد SPF مجاز است؛ اگر دو تا بسازید هر دو بی‌اعتبار می‌شوند. دوم اینکه همه‌ی سرویس‌های ارسال‌کننده (مثلاً سرویس خبرنامه یا CRM) باید در همان یک رکورد گنجانده شوند.

DKIM — امضای دیجیتال ایمیل

DKIM هر ایمیل خروجی را با یک کلید خصوصی امضا می‌کند و کلید عمومی در DNS منتشر می‌شود. گیرنده امضا را بررسی می‌کند و مطمئن می‌شود محتوا در مسیر دستکاری نشده است.

selector._domainkey.example.com.    TXT    "v=DKIM1; k=rsa; p=MIGfMA0..."

مقدار کلید را سرویس ایمیل شما تولید می‌کند؛ کافی است رکورد را در DNS ثبت کنید.

DMARC — تکلیف ایمیل‌های مشکوک چیست

DMARC می‌گوید اگر SPF یا DKIM شکست خورد، گیرنده چه کند — و گزارش بفرستد:

_dmarc.example.com.    TXT    "v=DMARC1; p=none; rua=mailto:dmarc@example.com"

مقدار p سیاست شماست:

  • p=none — فقط گزارش بده، کاری نکن
  • p=quarantine — به پوشه‌ی اسپم بفرست
  • p=reject — کلاً تحویل نده

ترتیب درست راه‌اندازی

این ترتیب مهم است؛ اگر مستقیم سراغ سخت‌گیرانه‌ترین حالت بروید ممکن است ایمیل‌های واقعی خودتان را مسدود کنید:

  1. ابتدا SPF را بسازید و چند روز صبر کنید.
  2. DKIM را فعال و تست کنید.
  3. DMARC را با p=none اضافه کنید و گزارش‌ها را بخوانید.
  4. وقتی گزارش‌ها نشان داد همه‌ی ارسال‌کننده‌های واقعی شما درست احراز می‌شوند، به quarantine و بعد reject ارتقا دهید.

بررسی نتیجه

پس از ثبت رکوردها، یک ایمیل آزمایشی به یک آدرس Gmail بفرستید و گزینه‌ی «نمایش اصل پیام» را باز کنید. باید در بخش احراز هویت عبارت PASS را برای SPF و DKIM ببینید.

برای دیدن رکوردهای فعلی دامنه می‌توانید از ابزار بررسی DNS سرورنت استفاده کنید.

آیا این مطلب برایتان مفید بود؟