دليل أمان Google Workspace
إن SPF وDKIM وDMARC ليست أدوات تلميع اختيارية. إنها طبقة الثقة للبريد الإلكتروني الخاص بالعمل.
يقوم إعداد البريد الإلكتروني القوي في Google Workspace بتعيين كل مرسل شرعي، وينشر سياسة نظام التعرف على هوية المرسل (SPF) واحدة نظيفة، وينشط توقيع DKIM، ويطرح DMARC دون حظر الفواتير أو نماذج مواقع الويب أو بريد CRM عن طريق الخطأ.
إن نظام التعرف على هوية المرسل (SPF) وDKIM وDMARC عبارة عن عناصر تحكم في مصادقة البريد الإلكتروني. فهي لا تحل محل الأمان الجيد لصندوق البريد، ولا تضمن وصول كل رسالة إلى صندوق البريد الوارد. إنها تساعد أنظمة تلقي البريد في تحديد ما إذا كانت الرسالة التي تدعي أنها قادمة من نطاقك مسموح بها وموقعة ومتوافقة مع سياسة المجال الخاص بك.
بالنسبة إلى الشركات الصغيرة التي تستخدم Google Workspace، يكون الهدف عمليًا: الحد من مخاطر الانتحال وتحسين الثقة وتجنب اختراق البريد الشرعي من مواقع الويب وإدارة علاقات العملاء وأنظمة الفواتير وتذكيرات الدفع وأدوات الدعم ومنصات التسويق.
تسلسل المصادقة
إجابة سريعة
بالنسبة إلى إعداد مرسل Google Workspace فقط، غالبًا ما تبدو سياسة نظام التعرف على هوية المرسل (SPF) المبدئية كما يلي:
v=spf1 include:_spf.google.com ~allولكن لا تلصق ذلك بشكل أعمى إذا كان نطاقك يرسل أيضًا من موقع ويب، أو إدارة علاقات العملاء (CRM)، أو مكتب المساعدة، أو أداة الفوترة، أو نظام التسويق، أو ترحيل SMTP. عادةً ما يكون نظام التعرف على هوية المرسل (SPF) عبارة عن سجل TXT واحد للنطاق، ويجب أن يتضمن جميع المرسلين الشرعيين. تشرح وثائق نظام التعرف على هوية المرسل (SPF) من Google نمط تضمين Google والحاجة إلى تحديد المرسلين أولاً: إعداد نظام التعرف على هوية المرسل (SPF).
الأمر الآمن هو:
قم بإدراج Google Workspace وكل نظام تابع لجهة خارجية يُرسل من النطاق.
انشر سجل SPF واحدًا يغطي المرسلين الشرعيين دون سجلات SPF مكررة.
أنشئ مفتاح DKIM في مسؤول Google، ثم انشر سجل TXT، ثم قم بتنشيط التوقيع.
ابدأ بالمراقبة، ومراجعة التقارير، ثم انتقل نحو سياسة أكثر صرامة عندما تكون جاهزًا.
تحقق من الرؤوس والتقارير وأدوات المرسل والتسليم المهم للأعمال.
مخزون المرسل
تحدث معظم أخطاء نظام التعرف على هوية المرسل (SPF) وDMARC لأن الفريق لا يفكر إلا في Gmail. يمكن للمجال الإرسال من عدة أماكن:
قائمة مراجعة مخزون المرسل
- جوجل وورك سبيس جيميل.
- نماذج الاتصال بالموقع.
- WordPress، Shopify، Webflow، الواجهة الخلفية المخصصة، أو البرنامج المساعد للنموذج.
- CRM أو أتمتة المبيعات.
- أداة تذكير الفاتورة أو المحاسبة أو الدفع.
- مكتب الدعم أو نظام التذاكر.
- منصة التسويق عبر البريد الإلكتروني.
- منصة SMS أو OTP ترسل احتياطيات البريد الإلكتروني.
- تنبيهات الخادم أو وظائف cron أو إشعارات التطبيق.
- الموفر القديم الذي لا يزال يرسل أثناء الترحيل.
إذا أرسل نظام معتمد من @company.com، فسجل قيمة تضمين نظام التعرف على هوية المرسل (SPF) الخاص به، ومتطلبات DKIM، وسلوك عنوان الارتداد، وما إذا كان يدعم محاذاة مسار الإرجاع المخصصة. هذا هو الفرق بين إعداد المصادقة الحقيقي وسجل DNS المنسوخ من قائمة التحقق.
ورقة عمل جرد المرسل
| المرسل | مثال | السجل المطلوب | مالك |
|---|---|---|---|
| مساحة عمل جوجل | جيميل للموظفين | يتضمن SPF وDKIM | مشرف مساحة العمل |
| نموذج الموقع | صفحة الاتصال | موفر SPF أو SMTP DKIM | فريق الويب |
| إدارة علاقات العملاء | متابعة الرصاص | البائع SPF/DKIM | عمليات المبيعات |
| أداة الفواتير | الفواتير | البائع SPF/DKIM | الحسابات |
| منصة التسويق | الحملات | مراجعة منفصلة لمحاذاة DKIM وDMARC | التسويق |
قم بإعداد نظام التعرف على هوية المرسل (SPF).
يجيب نظام التعرف على هوية المرسل (SPF) على سؤال تفويض المرسل: هل خادم الإرسال هذا مسموح به بموجب سياسة نظام التعرف على هوية المرسل (SPF) الخاص بالمجال؟
قواعد التنفيذ:
- احتفظ بسجل SPF TXT واحد للمجال الجذر.
- قم بتضمين Google Workspace مع
include:_spf.google.comعندما ترسل Google بريدًا للنطاق. - أضف فقط المرسلين الشرعيين من الجهات الخارجية.
- احتفظ بـ
allكآلية نهائية. - تجنب سجلات SPF TXT المكررة.
- تجنب إضافة موفري الخدمات الذين لم يعودوا يرسلون البريد.
تسلط إرشادات استكشاف أخطاء نظام التعرف على هوية المرسل (SPF) وإصلاحها من Google الضوء أيضًا على عمليات التحقق الشائعة: وجود السجل، وبناء الجملة، والمرسلين الخارجيين، وإدارة DNS، وحدود البحث، وانتظار تفعيل إصلاحات DNS. راجع استكشاف مشكلات نظام التعرف على هوية المرسل (SPF) وإصلاحها.
قم بإعداد DKIM
يضيف DKIM توقيعًا رقميًا إلى البريد الصادر. بالنسبة إلى Google Workspace، التدفق العملي هو:
- افتح مسؤول جوجل.
- انتقل إلى إعدادات مصادقة Gmail.
- حدد المجال.
- قم بإنشاء مفتاح DKIM.
- أضف سجل TXT المقدم إلى مضيف DNS النشط.
- انتظر حتى يصبح DNS مرئيًا.
- ارجع إلى مسؤول Google وابدأ المصادقة.
- أرسل بريدًا إلكترونيًا تجريبيًا وافحص الرؤوس.
استخدم تعليمات إعداد DKIM الحالية من Google أثناء التنفيذ: إعداد DKIM.
يمكن أن يفشل DKIM حتى في حالة وجود سجل DNS. تتضمن الأسباب الشائعة نسخ المفتاح بشكل غير صحيح، أو وضع المحدد ضمن مضيف خاطئ، أو النشر على موفر DNS الخطأ، أو استخدام مفتاح قديم بعد التجديد، أو الإرسال عبر نظام جهة خارجية لا يوقع باستخدام المجال الخاص بك.
قم بإعداد DMARC
يخبر DMARC المستلمين بكيفية التعامل مع البريد الذي يفشل في عمليات التحقق من المصادقة والمحاذاة. كما أنه يتيح إعداد التقارير المجمعة عند تكوينه باستخدام عنوان إعداد التقارير.
بالنسبة إلى عمليات طرح Google Workspace للشركات الصغيرة، لا تبدأ برفض كل شيء. ابدأ بالرؤية:
v=DMARC1; p=none; rua=mailto:[email protected]استخدم صندوق بريد حقيقي أو أداة إعداد التقارير التي سيراجعها شخص ما. سجل DMARC الذي يرسل تقارير إلى صندوق بريد لا يقرأه أحد لا يعد مراقبة تشغيلية.
توصي Google بإعداد نظام التعرف على هوية المرسل (SPF) و/أو DKIM قبل DMARC وطرح DMARC تدريجيًا. استخدم تعليمات DMARC الحالية من Google وإرشادات الطرح الموصى بها أثناء التنفيذ: إعداد DMARC وطرح DMARC الموصى به.
ابدأ بـ p=none
استخدم المراقبة لاكتشاف المرسلين الشرعيين الذين لم تتم مصادقتهم أو مواءمتهم بعد.
تنظيف المرسلين
أضف مصادقة البائع المفقودة، وأوقف الأنظمة القديمة، وانقل النماذج إلى مسارات SMTP المعتمدة.
تحريك السياسة تدريجياً
بعد أن تبدو التقارير نظيفة، انتقل نحو الحجر الصحي أو ارفضها بعناية وموافقة الشركة.
حافظ على صيانتها
أعد فحص DMARC عند إضافة نظام إدارة علاقات العملاء (CRM)، أو أداة تسويق، أو مكتب دعم، أو موقع ويب، أو مرسل فاتورة.
استكشاف الأخطاء وإصلاحها والمراقبة
يحتاج استكشاف أخطاء المصادقة وإصلاحها إلى أدلة. أرسل رسائل اختبار إلى صندوق بريد خارجي، وافتح رؤوس الرسائل، وابحث عن نتائج SPF وDKIM وDMARC. يشير دليل استكشاف أخطاء DMARC وإصلاحها من Google تحديدًا إلى التحقق من رؤوس الرسائل بحثًا عن نتائج المصادقة: استكشاف مشكلات DMARC وإصلاحها.
يمر نظام التعرف على هوية المرسل (SPF) ولكن يفشل DKIM
ربما لم تقم Google بالتوقيع بعد، أو ربما لم يتم نشر DNS، أو ربما يتم إرسال الرسالة عبر مسار جهة خارجية.
يمر DKIM ولكن يفشل DMARC
لا يزال من الممكن أن تفشل المحاذاة إذا لم تتم محاذاة المجال المرئي من مع المجال الذي تمت مصادقته.
فشل نموذج موقع الويب في المصادقة
قد يتم إرسال الموقع مباشرة من الخادم. استخدم SMTP معتمد أو موفر بريد إلكتروني للمعاملات مع مصادقة المجال المناسبة.
يتم تجاهل تقارير DMARC
يجب أن تغذي التقارير المالك أو الأداة أو العملية. وإلا فلن تتمكن الشركة من الانتقال بأمان من المراقبة إلى التنفيذ.
الأسئلة الشائعة
هل نظام التعرف على هوية المرسل (SPF) كافٍ لـ Google Workspace؟
لا. يعد نظام التعرف على هوية المرسل (SPF) مفيدًا، لكن DKIM وDMARC يضيفان التوقيع وعمليات التحقق من المحاذاة وسياسة الفشل. استخدم الثلاثة جميعًا لإعداد احترافي.
هل يمكنني الحصول على سجلات SPF متعددة؟
تجنب سجلات SPF TXT المتعددة لنفس المجال. دمج المرسلين الشرعيين في سياسة SPF واحدة.
متى يجب أن أقوم بنقل DMARC إلى العزل أو الرفض؟
لا يتم النقل إلا بعد أن تظهر التقارير أن Google Workspace وجميع المرسلين الشرعيين من الجهات الخارجية يتم إرسالهم بشكل صحيح.
هل تحتاج الأسماء المستعارة إلى سجلات SPF منفصلة؟
لا تحتاج الأسماء المستعارة العادية ضمن نفس المجال إلى نظام التعرف على هوية المرسل (SPF) منفصل. قد تحتاج المجالات المنفصلة أو النطاقات الفرعية إلى سجلات المصادقة الخاصة بها.
ما الذي يجب أن يتضمنه التسليم؟
قم بتضمين مضيف DNS وسجل SPF ومحدد DKIM وتاريخ تنشيط DKIM وسياسة DMARC ووجهة التقرير والمرسلين الذين تم اختبارهم وأدوات الجهات الخارجية المعروفة.
