رکوردهای SPF، DKIM و DMARC چیستند و چطور فعالشان کنیم؟

این روزها بخش زیادی از ایمیل‌های Spam با اطلاعات جعلی در فیلد From ارسال می‌شوند. Spammerها و کلاه‌بردارها با ابزارهای مختلف، ایمیل را به نام مالک واقعی یک آدرس ایمیل می‌فرستند. برای کاهش Spam و بهتر شدن Deliverability (رسیدن ایمیل به Inbox)، معمولاً سه رکورد مهم در DNS استفاده می‌شود: SPF، DKIM و DMARC.

رکوردهای SPF، DKIM و DMARC دقیقاً چه هستند؟

این سه رکورد از رایج‌ترین ورودی‌های DNS برای امنیت ایمیل در برابر Phishing و Spoofing هستند. کنار هم کمک می‌کنند فرستنده‌های جعلی شناسایی شوند و ایمیل‌های ارسال‌شده اعتبارسنجی شوند.

توضیح Sender Policy Framework (SPF)

SPF یک ابزار امنیتی برای جلوگیری از Email Spoofing است و به گیرنده کمک می‌کند تشخیص دهد ایمیل واقعاً از یک سرور مجازِ دامنه ارسال شده یا جعلی است. این کار با بررسی DNS انجام می‌شود.

مزایا و محدودیت‌های احتمالی SPF

• در برابر Phishing مؤثر است و جلوی ارسال از IPهای غیرمجاز را می‌گیرد.
• فعال بودن SPF معمولاً به بهتر شدن Reputation فرستنده کمک می‌کند.
• در Forward شدن ایمیل، ممکن است به‌خاطر عدم تطابق IP با رکورد SPF، تحویل ایمیل دچار مشکل شود. برای این موضوع، برخی سیستم‌ها از SRS (Sender Rewriting Scheme) استفاده می‌کنند.
• اگر از سرویس‌های ارسال ایمیل شخص ثالث استفاده می‌کنید، باید تغییرات آن‌ها را در رکورد SPF منعکس کنید تا Deliverability حفظ شود.

نمونه رکورد SPF

v=spf1 a mx include:_spf.google.com ~all

توضیح رکورد DKIM (DomainKeys Identified Mail)

DKIM یک روش دیگر برای Email Authentication است. با یک امضای رمزنگاری‌شده (Digital Signature) کمک می‌کند گیرنده مطمئن شود فرستنده همان کسی است که ادعا می‌کند، و محتوا در مسیر ارسال دستکاری نشده است. کلید عمومیِ بررسی این امضا در DNS دامنه قرار می‌گیرد.

مزایا و محدودیت‌های احتمالی DKIM

• کمک جدی به جلوگیری از Phishing و Spoofing و محافظت از Reputation ارسال‌کننده.
• اگر در مسیر Forward، برخی سیستم‌ها Header/Body را تغییر دهند، ممکن است امضای DKIM Fail شود (این موضوع به نحوه Forward وابسته است، نه صرفاً خود Forward).
• کلیدهای کوتاه ممکن است در برخی سناریوها با محدودیت سازگاری روبه‌رو شوند؛ معمولاً کلیدهای طولانی‌تر پشتیبانی بهتری دارند.

نمونه ساختار رکورد DKIM در DNS

رکورد DKIM معمولاً با یک selector منتشر می‌شود (مثلاً default):

default._domainkey.example.com TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A..."

توضیح رکورد DMARC (Domain-based Messaging and Reporting Compliance)

DMARC برای جلوگیری از Phishing و مقابله با Email Spoofing طراحی شده است؛ مخصوصاً وقتی مهاجم آدرس نمایشی From را جعل می‌کند. DMARC با بررسی SPF و DKIM و مفهوم Alignment تصمیم می‌گیرد آیا دامنه‌های احراز هویت‌شده با دامنه‌ی نمایش‌داده‌شده در From هم‌راستا هستند یا نه.

نمونه رکورد ساده DMARC

_dmarc.example.com TXT "v=DMARC1; p=none; rua=mailto:[email protected]; pct=100"

چرا باید SPF، DKIM و DMARC را تنظیم کنیم؟

اگر سرویس ایمیل شما احراز هویت نشده باشد، معمولاً با این مشکلات روبه‌رو می‌شوید:

• ایمیل‌های ارسالی وارد Spam/Junk می‌شوند.
• ایمیل‌ها با خطاهایی مثل “SPF record failure” برگشت می‌خورند (bounce).
• Inbox شما پر می‌شود از Failed delivery برای ایمیل‌هایی که اصلاً ارسال نکرده‌اید (Spoofing).

آموزش تنظیم SPF و DKIM در cPanel (Email Deliverability)

در بسیاری از هاست‌های اشتراکی، رکوردهای SPF و DKIM به‌صورت پیش‌فرض ایجاد می‌شوند؛ اما اگر وضعیت نامعتبر باشد یا دامنه را تازه متصل کرده باشید، باید آن‌ها را Repair/Manage کنید.

مسیر دسترسی

وارد cPanel شوید → بخش Email → گزینه Email Deliverability

گزینه ۱: Repair (تعمیر رکوردهای نامعتبر)

گزینه Repair به سیستم اجازه می‌دهد رکوردهای نامعتبر را اصلاح کند.

بعد از Repair، می‌توانید پیشنهادهای سیستم را بررسی و تأیید کنید. همچنین قبل از تأیید نهایی، معمولاً امکان Copy یا Customize برای رکورد پیشنهادی وجود دارد. پس از ثبت، چند دقیقه زمان بدهید تا رکوردها Propagate شوند.

گزینه ۲: Manage (تنظیم دستی رکوردهای SPF/DKIM)

در بخش Manage معمولاً مقادیر رکوردهای SPF و DKIM نمایش داده می‌شود؛ کافی است آن‌ها را Copy کنید و در DNS دامنه‌تان قرار دهید.
اگر دامنه روی nameserverهای همان هاست باشد، ممکن است گزینه Install the suggested record هم داشته باشید تا خودکار اضافه شود.

سفارشی‌سازی رکورد SPF در cPanel

در بخش SPF معمولاً امکان Customize وجود دارد تا رکورد پیشنهادی را با نیاز شما (سرویس‌های ارسال ایمیل، IPهای اضافه و…) هماهنگ کند.

آموزش تنظیم DMARC (به‌صورت عمومی)

مثل SPF و DKIM، رکورد DMARC هم یک خط TXT در DNS است. قبل از تنظیم آن، مطمئن شوید SPF و DKIM برای دامنه موردنظر تنظیم شده‌اند.

1. وارد تنظیمات DNS دامنه شوید و یک رکورد جدید TXT بسازید.
2. برای Hostname مقدار _dmarc را قرار دهید.
3. مقدار Value را طبق نمونه زیر تنظیم کنید.

نمونه مقدار پیشنهادی DMARC

v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=s

معنی پارامترها

• v: مقدار اجباری Version (تغییرش ندهید).
• p: سیاست برخورد با ایمیل‌های Fail (یکی از none، quarantine، reject).
• rua: آدرس دریافت گزارش‌های آماری (Aggregate Reports).
• ruf: آدرس دریافت گزارش‌های Fail (Forensic/Failure Reports). (بهتر است mailbox جدا باشد.)
• fo: تعیین می‌کند گزارش Fail در چه شرایطی ارسال شود:
  • 0: گزارش وقتی ارسال می‌شود که هر دو SPF و DKIM Fail شوند (پیش‌فرض رایج).
  • 1: گزارش اگر یکی از چک‌ها Fail شود (یا SPF یا DKIM).
  • d: گزارش برای هر DKIM Fail.
  • s: گزارش برای هر SPF Fail.

جمع‌بندی

اگر ایمیل‌های Transactional یا Commercial ارسال می‌کنید، تنظیم SPF، DKIM و DMARC ضروری است. SPF مشخص می‌کند چه IPهایی اجازه ارسال از دامنه را دارند، DKIM با امضای دیجیتال جلوی دستکاری پیام را می‌گیرد، و DMARC با بررسی Alignment و تعیین Policy، هم امنیت را بالا می‌برد و هم کنترل تحویل ایمیل را دقیق‌تر می‌کند.

سوالات پرتکرار

اگر فقط یکی از رکوردها را بزنم کافی است؟

برای نتیجه پایدار، بهتر است هر سه مورد را داشته باشید. SPF و DKIM پایه هستند و DMARC سیاست و Alignment را کامل می‌کند.

بعد از تغییر رکوردها چقدر زمان لازم است؟

بسته به TTL رکوردها و سرویس‌دهنده DNS، Propagation می‌تواند از چند دقیقه تا چند ساعت (گاهی بیشتر) طول بکشد.

چرا با وجود SPF/DKIM باز هم ایمیل Spam می‌شود؟

احراز هویت به‌تنهایی کیفیت محتوا را تضمین نمی‌کند. Reputation دامنه/IP، محتوای ایمیل، لینک‌ها، نرخ شکایت، و رعایت Best Practiceهای ارسال هم روی Inbox Placement اثر دارند.