شرح DMARC وSPF وDKIM خطوة بخطوة للشركات في 2026

شرح DMARC وSPF وDKIM خطوة بخطوة للشركات في 2026
شرح DMARC وSPF وDKIM خطوة بخطوة للشركات في 2026
الرئيسية » الأمن السيبراني » شرح DMARC وSPF وDKIM خطوة بخطوة للشركات في 2026

الدليل العملي لحماية نطاق شركتك من انتحال البريد وBEC + أدوات مجانية

إذا كان البريد الإلكتروني هو بوابة التواصل الأولى في شركتك، فهو كذلك بوابة الاحتيال الأولى إن لم تُغلق منافذ الانتحال. كثير من الشركات تقع في فخ Business Email Compromise (BEC) ليس لأن أنظمتها ضعيفة، بل لأن اسم نطاقها يمكن انتحاله بسهولة، أو لأن مزودي البريد لا يملكون سياسة واضحة لرفض الرسائل المزورة.

هنا تأتي “الثلاثية الذهبية” التي تُبنى عليها سمعة نطاقك وأمانه:
SPF و DKIM و DMARC.

قد تبدو هذه المصطلحات تقنية، لكن الحقيقة أنها تشبه “ختم الشركة الرسمي” في البريد الإلكتروني:
من يملك الحق في إرسال الرسائل باسمك؟ كيف نثبت أن الرسالة لم تتلاعب؟ وماذا نفعل عندما يحاول أحدهم التزوير؟

هذا المقال سيأخذك خطوة بخطوة، بوضوح وبشكل عملي، مع أدوات مجانية تساعدك على الفحص والتطبيق دون تعقيد.


لماذا تحتاج الشركات إلى DMARC وSPF وDKIM الآن؟

بدون هذه الإعدادات، يمكن للمهاجم أن يرسل رسالة “منتحلة” تبدو للموظف وكأنها من مديره أو من شركة موردة معروفة، فيقع التحويل المالي خلال دقائق. الأخطر أن بعض هذه الرسائل لا تحتوي روابط ولا ملفات، فتنجو من كثير من فلاتر الحماية.

الهدف من SPF/DKIM/DMARC هو:

  • منع انتحال بريد نطاق الشركة (Domain Spoofing)
  • رفع موثوقية رسائل الشركة وتقليل دخولها إلى Spam
  • بناء سياسة واضحة: قبول/عزل/رفض الرسائل المزورة
  • تقليل فرص BEC وPhishing على الموظفين والعملاء

الفكرة ببساطة: ماذا يفعل كل واحد؟

SPF (Sender Policy Framework)

يسأل مزود البريد سؤالًا واحدًا:
هل هذا السيرفر مُصرّح له بإرسال بريد باسم نطاق الشركة؟
الإجابة تأتي من سجل DNS (عادة TXT).

DKIM (DomainKeys Identified Mail)

هنا نضيف “توقيعًا رقميًا” داخل الرسالة.
يسأل مزود البريد: هل الرسالة تم تعديلها أثناء الطريق؟ وهل التوقيع صحيح؟

DMARC (Domain-based Message Authentication, Reporting & Conformance)

هذا هو “القاضي” الذي يجمع SPF + DKIM ويضع سياسة تنفيذ:
إذا فشل التحقق، ماذا نفعل؟ none / quarantine / reject
كما يمنحك تقارير (Reports) تكشف من يحاول الانتحال.


قبل البدء: تجهيزات بسيطة ستوفر عليك مشاكل

  1. تأكد من أنك تملك صلاحية تعديل DNS لنطاق الشركة (من مزود الدومين أو Cloud DNS).
  2. حدّد مزودي الإرسال الحقيقيين في شركتك، مثل:
  • Microsoft 365 (Exchange Online)
  • Google Workspace (Gmail for business)
  • CRM مثل HubSpot أو Salesforce
  • منصات إرسال مثل Mailchimp أو SendGrid
  • نظام دعم مثل Zendesk

الفكرة الذهبية: أي جهة ترسل باسم نطاقك يجب أن تُذكر في SPF أو تُوقع بـDKIM.


الخطوة الأولى: فحص وضع نطاقك الحالي (مجاني)

ابدأ بالفحص قبل التعديل حتى تعرف أين المشكلة:

هذه الأدوات ستعطيك صورة: هل لديك SPF؟ هل DKIM يعمل؟ هل DMARC موجود أم لا؟


الخطوة الثانية: إعداد SPF بشكل صحيح (بدون تعقيد)

ماذا يعني “SPF صحيح”؟

يعني أنك سمحت فقط للجهات التي ترسل فعلًا باسم نطاقك.

قواعد مهمة جدًا في SPF

  • لا تضع أكثر من سجل SPF واحد (واحد فقط!)
  • لا تتجاوز حد “DNS lookups” لأن ذلك يكسر التحقق
  • اجمع كل مزودي الإرسال داخل نفس السجل

كيف تطبقه عمليًا؟

  1. اكتب قائمة بكل مزود يرسل بريدًا باسم نطاقك (Microsoft 365/Google/CRM/Marketing).
  2. استخدم مولد SPF لتجنب الأخطاء.

أداة مجانية لإنشاء SPF (SPF Record Generator):
https://mxtoolbox.com/spf.aspx

تحذير عملي

كثير من الشركات تضيف مزودًا جديدًا (مثلاً منصة فواتير) وتنسى تحديث SPF، فيصبح جزء من البريد يفشل في التحقق، أو تفتح الباب لانتحال جزئي.


الخطوة الثالثة: تفعيل DKIM لأن “الانتحال الذكي” يتجاوز SPF

SPF وحده لا يكفي، لأن المهاجم قد يرسل من سيرفر مسموح (أو يستغل إعادة توجيه)، أو يتلاعب بعناوين Return-Path.

DKIM يحل المشكلة لأنه:

  • يوقع الرسالة بتوقيع مرتبط بنطاقك
  • يمنع التلاعب بمحتوى الرسالة أثناء النقل

تفعيل DKIM في Microsoft 365

في بيئات Microsoft 365، DKIM غالبًا يُفعّل من مركز الحماية/Exchange ثم تُضاف سجلات CNAME المطلوبة.

مرجع Microsoft الرسمي لتوثيق Defender/Office 365 (للتنقل داخل إعدادات الحماية):
https://learn.microsoft.com/en-us/defender-office-365/

المهم: فعّل DKIM وأضف سجلاته في DNS ثم اختبر.

تفعيل DKIM في Google Workspace

Google Workspace يوفر مفاتيح DKIM ويطلب منك إضافة سجل TXT/record في DNS ثم بدء المصادقة.

(داخل لوحة Admin في Google: Apps → Google Workspace → Gmail → Authenticate email)

اختبار DKIM بعد التفعيل


الخطوة الرابعة: DMARC هو الخطوة التي تغيّر اللعبة

DMARC ليس مجرد “سجل إضافي”، بل سياسة تنفيذ تمنع الرسائل المزورة من الوصول للموظف أصلًا.

DMARC له 3 سياسات

  • p=none: مراقبة فقط (لا تمنع)
  • p=quarantine: عزل (غالبًا إلى Spam)
  • p=reject: رفض كامل (الأفضل بعد التأكد)

طريقة الشركات الذكية (الآمنة)

  1. تبدأ بـ p=none لمدة قصيرة لجمع التقارير
  2. تراجع التقارير وتصحح أي إرسال شرعي يفشل
  3. تنتقل إلى p=quarantine
  4. أخيرًا تصل إلى p=reject — وهذا هو المستوى الاحترافي

لماذا لا نبدأ بـ reject مباشرة؟

لأن شركتك قد ترسل من أدوات لا تعرفها الإدارة (CRM/Invoices/Support)، ورفضها فورًا قد يقطع رسائل مهمة للعملاء.

إنشاء DMARC بسهولة


الخطوة الخامسة: فهم “Alignment” لأن هنا يحدث الالتباس

DMARC لا يكفيه أن SPF “ناجح” فقط، بل يحتاج توافقًا (Alignment) بين:

  • From: domain
    وبين نطاقات SPF/DKIM

بعبارة بسيطة:
قد تنجح الرسالة تقنيًا، لكنها تفشل في DMARC لأن النطاقات غير متطابقة بالشكل المطلوب.

أغلب مشكلات الشركات مع DMARC ليست في “السجل”، بل في Alignment الناتج عن مزود إرسال طرف ثالث.

حلها:

  • تأكد أن مزود الإرسال يدعم DKIM بنطاقك
  • أو استخدم مزودًا يسمح “custom domain signing”
  • أو اضبط SPF بالشكل الصحيح مع مراعاة الـAlignment

الخطوة السادسة: تقارير DMARC — كنز مجاني لا تستخدمه معظم الشركات

DMARC يمنحك تقارير يومية/دورية تظهر:

  • من يحاول الإرسال باسم نطاقك
  • من نجح ومن فشل
  • مصادر IP التي تحاول الانتحال

لكن التقارير خام ومعقدة إن قرأتها يدويًا، لذا استخدم محللات مجانية/سهلة:

نصيحة عملية: التقارير هي الطريقة الوحيدة لاكتشاف “مزود إرسال منسي” داخل شركتك قبل أن تنتقل إلى reject.


أدوات مجانية إضافية مهمة للشركات

هذه الأدوات لا تُعد بديلًا لـDMARC، لكنها تساعدك في تحسين سمعة الإرسال وتقليل Spam.


قائمة تدقيق سريعة (Checklist) قبل أن ترفع DMARC إلى reject

  • يوجد سجل SPF واحد فقط ويشمل جميع مزودي الإرسال
  • DKIM مفعّل ويعمل لكل مزود أساسي
  • DMARC بدأ بـ none وجمعت تقارير كافية
  • تم إصلاح أي مصادر شرعية كانت تفشل
  • بعدها الانتقال إلى quarantine ثم reject

إذا طبّقت ذلك، فأنت لا “تحسن البريد” فقط، بل تقفل بابًا كاملاً من الاحتيال.


الخلاصة: ما الذي تربحه شركتك فعليًا؟

بتطبيق SPF وDKIM وDMARC بالشكل الصحيح، ستحقق 4 مكاسب مباشرة:

  • تقليل BEC وPhishing والانتحال
  • زيادة وصول رسائل الشركة إلى Inbox بدل Spam
  • حماية العملاء من رسائل مزيفة باسم شركتك
  • بناء سمعة نطاق قوية (Domain Reputation)

وهذا بالضبط نوع “الاستثمار الصامت” الذي لا يُرى يوميًا، لكنه يمنع خسائر كبيرة في لحظة واحدة.

مقالات مشابهة