آشنایی با رکوردهای DMARC و DKIM

اگر ایمیل‌ها به درستی تحویل نشوند یا در اسپم گیر کنند، می‌تواند به سدی در برابر ارتباطات مهم، از دست رفتن فرصت‌های تجاری و حتی ورود خسارت به یک سازمان یا فرد تبدیل شود.

همچنین، ارسال و دریافت ایمیل‌های آسیب زا و جعلی نیز می‌تواند به سرقت اطلاعات حساس، تخریب سابقه و گمراه کردن و سودجویی از افراد منجر شود.

بنابراین، امنیت ایمیل‌ها در ارتباطات از اهمیت بسزایی برخوردار بوده و بهینه‌سازی عملکرد سامانه‌های ارسال و دریافت ایمیل و رعایت استانداردهای امنیتی مختلف، از جمله استفاده از رکوردهای DMARC و DKIM، از جمله مهمترین اولویت ها محسوب می شوند.

DMARC Record چیست؟

رکورد DMARC یک استاندارد امنیتی است که برای ارسال و دریافت امن ایمیل‌ها مورد استفاده قرار می گیرد. این استاندارد امکان بررسی تطابق هویت فرستنده ایمیل با دامنه مبدأ را فراهم کرده و از جعل آی پی و ارسال ایمیل‌های مخرب جلوگیری می‌کند.

رکورد DMARC شامل سه بخش اصلی است: سیاست (Policy)، گزارش (Report) و دامنه (Domain). در بخش سیاست، تعیین می‌شود که اگر یک ایمیل با DMARC همخوانی نداشته باشد، چه اقداماتی باید انجام شود.

از جمله اقدامات کاربردی و رایج می توان به مسدودسازی یا رد کردن (reject) و یا قرنطینه کردن (quarantine) اشاره کرد.

در بخش Report، گزارش‌هایی از ارسال ایمیل‌ها با جزئیاتی مانند IP فرستنده، IP مبدأ و ارورهای مربوطه نمایان می‌شود. و در نهایت در بخش دامنه، "دامنه اصلی" برای اعمال استاندارد DMARC تعیین می‌شود.

رکورد DKIM چیست؟

رکورد DKIM (DomainKeys Identified Mail) یک استاندارد امنیتی دیگر است که همانند DMARC برای ارسال و دریافت ایمیل‌های امن مورد استفاده قرار می گیرد. این استاندارد به فرستنده ایمیل اجازه می‌دهد هویت خود را اعلام کرده و دریافت کننده را از اعتبار و امن بودن ایمیل مطمئن سازد.

برای استفاده از رکورد DKIM، یک کلید خصوصی نیاز است که توسط فرستنده ایمیل ایجاد می‌شود. در هنگام ارسال ایمیل، اطلاعات مربوط به DKIM در هدر ایمیل قرار گرفته و با استفاده از کلید خصوصی، امضایی دیجیتال بر روی ایمیل ایجاد می‌شود.

سپس دریافت کننده ایمیل با استفاده از کلید عمومی که در رکورد DKIM ثبت شده، امضای دیجیتال را تأیید کرده و مطمئن می‌شود که هویت ایمیل در بین راه تغییر نکرده و ایمیل امن است.

استفاده از رکورد DKIM باعث افزایش اعتماد در ارسال و دریافت ایمیل می شود. با اعتبارسنجی هویت فرستنده و امضای دیجیتال در رکورد DKIM، ریسک دریافت ایمیل‌های مخرب و جعلی کاهش یافته و ایمیل‌های معتبر به درستی تحویل می‌شوند.

تفاوت بین DKIM و DMARC

همانطور که اشاره شد، DKIM و DMARC دو تکنولوژی مرتبط با امنیت ایمیل هستند، اما هر کدام وظایف و عملکردهای متفاوتی دارند.

DKIM (DomainKeys Identified Mail) یک روش امضای دیجیتال است که در ایمیل‌ها بکار می رود. با استفاده از DKIM، یک سازمان می‌تواند هویت خود را در ایمیل‌های ارسالی تأیید کند. با امضای دیجیتال، اصالت و اعتبار ایمیل تضمین شده و در صورت تغییر داده‌ها، امضای دیجیتال معتبر نخواهد بود.

به طور خلاصه، DKIM به عنوان یک سیستم امنیتی برای جلوگیری از جعل ایمیل‌ها و تقلب هویت در ارتباطات ایمیلی مورد استفاده قرار می گیرد.

اما در طرف دیگر،

DMARC (Domain-based Message Authentication, Reporting, and Conformance) یک استاندارد امنیتی برای ایمیل هاست که بر اساس SPF (Sender Policy Framework) و DKIM کار می‌کند.

یعنی DMARC به سازمان‌ها کمک می‌کند تا امنیت ایمیل‌های خود را تامین کنند. این استاندارد به سازمان‌ها اجازه می‌دهد تا با تعریف قوانین خاص ایمیل‌های معتبر را تأیید و ایمیل‌های تقلبی را رد کنند. همچنین، DMARC برای سازمان‌ها امکان مشاهده گزارشات امنیتی را فراهم کرده تا بتوانند مشکلات احتمالی در روند ارسال ایمیل‌ها را شناسایی و رفع کنند.

در مقایسه کلی، DKIM برای امضای دیجیتال و تأیید اصالت ایمیل‌ها کاربرد داشته، در حالی که DMARC برای تنظیم قوانین و کنترل امنیت ایمیل‌ها و دریافت گزارشات امنیتی مورد استفاده قرار می‌گیرد.

نحوه استفاده از DKIM Record

برای استفاده از DKIM، می‌توان مراحل زیر را طی کرد:

1. ثبت دامنه: ابتدا باید دامنه سازمان خود را ثبت کرده و دسترسی لازم برای تنظیمات DNS را داشته باشید (می توانید برای ثبت دامنه از ارائه دهندگان مختلف اقدام کنید).
2. تنظیمات DNS: در این مرحله، باید تنظیمات DKIM را در رکوردهای DNS دامنه خود انجام دهید. برای این منظور، باید کلید عمومی DKIM را تولید کرده و به سرور DNS اضافه کنید (جزئیات در ادامه).
3. تنظیمات سرور ارسال: در این مرحله، باید کلید خصوصی DKIM را در سرور ارسال ایمیل (sender) خود فعال کنید. این کلید برای تنظیم امضای دیجیتال DKIM بر روی ایمیل‌های ارسالی مورد استفاده قرار می گیرد.
4. آزمایش و تأیید: پس از انجام تنظیمات DKIM، باید ایمیل‌های ارسالی را بررسی و اطمینان حاصل کنید که امضای DKIM در هدر ایمیل صحیح است و تأیید اصالت ایمیل انجام می‌شود.

با استفاده صحیح از DKIM، می‌توانید از جعل ایمیل‌ها و سرقت هویت در ارتباطات ایمیلی جلوگیری کرده و به اعتبار و امنیت ایمیل‌های ارسالی خود بیافزایید.

مرحله اول که واضح است؛ باید یک دامنه خریداری کنید. سپس به شما یک پنل ادمین داده می شود که از طریق آن به تنظیمات DNS دسترسی خواهید داشت.

برای مرحله دوم به بعد یعنی تنظیمات DNS باید این اقدامات را انجام دهید:

• تولید کلید DKIM: ابتدا باید یک جفت کلید عمومی و خصوصی DKIM بسازید. می‌توانید از ابزارهای آنلاین یا نرم‌افزارهای مربوطه برای تولید این کلید استفاده کنید. کلید عمومی برای قرار دادن در رکورد DNS و کلید خصوصی در "سرور ارسال ایمیل" نگهداری می‌شود.
• ایجاد رکورد DKIM: حالا باید یک رکورد TXT در رکوردهای DNS دامنه خود ایجاد کنید. نام رکورد معمولاً به صورت "selector._domainkey" می باشد، که "selector" نامی برای کلید DKIM و "_domainkey" عبارت ثابتی برای رکورد DKIM است. محتوای درون رکورد TXT هم باید کلید عمومی DKIM باشد.
• تنظیمات DNS: در این مرحله، باید رکورد DKIM را در تنظیمات DNS دامنه خود اضافه کنید. برای این کار، به پنل مدیریت DNS دامنه خود وارد شده و رکورد TXT مربوطه را با مقدار کلید عمومی DKIM که در مرحله قبل ایجاد کرده‌اید، ثبت کنید.
• تأیید و آزمایش: پس از انجام تنظیمات DKIM در رکوردهای DNS، می‌توانید با استفاده از ابزارهای تأیید DKIM، صحت واقعیت کلید DKIM را بررسی و اطمینان حاصل کنید که رکورد DKIM به درستی تنظیم شده است.

کلید خصوصی چطور؟

کلید خصوصی در DKIM

کلید خصوصی برای ایجاد امضای دیجیتال DKIM مورد استفاده قرار می گیرد که به صورت یک رشته بایتی بلند و پیچیده نماینده اطلاعاتی می‌باشد که توسط "سرور ارسال کننده ایمیل" ایجاد شده است.

 این کلید بصورت محرمانه نگهداری شده و فقط سرور ارسال کننده به آن دسترسی دارد. با استفاده از کلید خصوصی، سرور ارسال کننده می‌تواند ایمیل را امضا کند و در این صورت گیرندگان می‌توانند با استفاده از کلید عمومی، اعتبار و صحت ایمیل را تأیید کنند.

اهمیت کلید خصوصی در فرآیند DKIM این است که تنها با داشتن این کلید، سرور ارسال کننده می‌تواند ایمیل را به طور قانونی امضا کند. از طرف دیگر، گیرندگان ایمیل‌ها می‌توانند با استفاده از کلید عمومی که در رکورد DKIM قرار دارد، صحت و اصالت ایمیل را تأیید کنند.

کلید خصوصی DKIM در یک فایل متنی قرار گرفته و باید در سرور ایمیل (Mail Server) ذخیره شود. برای مثال، اگر از سیستم‌عامل لینوکس استفاده می‌کنید، می‌توانید فایل حاوی کلید خصوصی را در مسیر /etc/opendkim/keys/example.com/ ذخیره کنید.

در اینجا example.com نام دامنه‌ی شماست. برای اطمینان از اینکه کلید به درستی در سرور قرار گرفته است، می‌توانید دستور زیر را وارد کنید:

sudo cat /etc/opendkim/keys/example.com/default.private

این دستور محتوای فایل حاوی کلید خصوصی را نمایش می‌دهد.

بعد از قرار دادن کلید خصوصی در سرور، باید کلید عمومی DKIM را در نوع رکورد TXT در DNS تنظیم کنید تا بتوانید از DKIM برای ارسال ایمیل استفاده کنید.

برای مثال، می‌توانید به صفحه‌ی تنظیمات DNS سایت خود رفته و یک رکورد TXT جدید با نام _domainkey و مقداری حاوی کلید عمومی DKIM ایجاد کنید. به عنوان مثال، اگر کلید شما به صورت زیر باشد:

example._domainkey IN TXT "v=DKIM1; k=rsa; p=PUBLIC_KEY"

آنگاه باید یک رکورد TXT با نام _domainkey.example.com و مقداری که محتوای کلید عمومی شماست، به DNS اضافه کنید. به عنوان مثال:

_domainkey.example.com IN TXT "v=DKIM1; k=rsa; p=PUBLIC_KEY"

تنظیم DKIM در cPanel

در Cpanel، شما می‌توانید کلید عمومی و خصوصی DKIM را به سادگی تنظیم کنید. برای انجام این کار، مراحل زیر را دنبال کنید:

1. وارد پنل Cpanel خود شوید.
2. در بخش "ایمیل"، بر روی "Email Deliveribility" کلیک کنید.
3. در صفحه باز شده دامنه مورد نظر خود را انتخاب و روی گزینه manage مقابل آن کلیک کنید.
4. سپس، می توانید رکورد DKIM پیشنهادی را به راحتی نصب کنید.
5. بر روی دکمه "ذخیره" کلیک کنید تا تغییرات اعمال شود.

با انجام این مراحل، کلید DKIM شما تنظیم شده و آماده استفاده است. در صورتی که مشکلی وجود دارد یا نیاز به راهنمایی بیشتر دارید، بهتر است با پشتیبانی فنی ارائه دهنده خود تماس بگیرید.

نحوه ایجاد رکورد DMARC

برای ایجاد یکDMARC  برای دامنه‌ی خود، مراحل زیر را دنبال کنید:

1. تنظیم مقادیر DNS: در ابتدا، باید مقادیر مربوط به DMARC را در DNS خود اضافه کنید. برای این کار، یک record با نام "_dmarc" در DNS خود ایجاد و مقادیر زیر را برای آن تنظیم کنید:
2. نوع record: TXT
3. مقدار: "v=DMARC1; p=none; rua=mailto:[آدرس ایمیل برای دریافت گزارش‌ها]"
4. تنظیم مقادیر DMARC: مقادیر DMARC شامل پارامترهایی است که نحوه عملکرد و سیاست‌های اعتبارسنجی ایمیل را تعیین می‌کند. برای تنظیم مقادیر DMARC، می‌توانید از نرم‌افزارهای مدیریت DNS مانند BIND یا سیستم مدیریت دامنه استفاده کنید.
5. تنظیم سیاست DMARC: در این قدم، باید سیاست DMARC را تنظیم کنید. سیاست DMARC می‌تواند شامل مواردی مانند "none" (هیچ‌کدام از اعتبارسنجی‌ها را اجرا نکن)، "quarantine" (اعتبارسنجی ایمیل‌ها را تکمیل نکن و آن‌ها را در محیط کنترل شده‌ای نگهدار) و "reject" (اعتبارسنجی ایمیل‌ها را رد کن) باشد.

ساخت DMARC Record در سی پنل

برای ایجاد یک DMARC در CPanel، طبق مراحل زیر عمل کنید:

• ورود به cPanel: با استفاده از نام کاربری و رمز عبور خود، وارد حساب کاربری cPanel خود شوید.
• پیدا کردن بخش "Zone Editor": در صفحه اصلی cPanel، به دنبال بخش "Domain" یا "Domains" بگردید و سپس بخش "Zone Editor" را پیدا کنید.
• انتخاب دامنه: از لیست دامنه‌های موجود در حساب کاربری خود، دامنه‌ای که می‌خواهید DMARC را برای آن ایجاد کنید، انتخاب کنید.
• ایجاد رکورد DMARC: در صفحه "Zone Editor"، یک رکورد جدید با نوع "TXT" ایجاد کنید. در قسمت "Name" یا "Host"، "_dmarc" را وارد کنید و در قسمت "TXT Data"، مقدار DMARC را وارد کنید. همانند مثال بخش فوق برای مقادیر!
• ذخیره تغییرات: بعد از تکمیل رکورد DMARC، روی دکمه "Add Record" یا "Save" کلیک کنید.

بهتر است پس از ایجاد DMARC، مقادیر آن را بررسی و تنظیمات لازم را برای اعتبارسنجی ایمیل‌ها انجام دهید.

جمع بندی

DMARC و DKIM دو تکنیک مهم برای افزایش امنیت و اعتبار ایمیل‌ها هستند. به طور خلاصه DMARC یک سیستم احراز هویت برای پیشگیری از اسپم و جلوگیری از سوءاستفاده از دامنه شماست. این فناوری به شما امکان می‌دهد قوانین و سیاست‌های ارسال ایمیل را برای دامنه خود تعریف کرده و گزارش‌هایی درباره ارسال‌های دامنه‌ دریافت کنید.

از سوی دیگر، DKIM یک روش امضای دیجیتال برای تأیید هویت فرستنده ایمیل است. با استفاده از کلید‌های عمومی و خصوصی، DKIM امکان اعتبارسنجی ایمیل و تشخیص هرگونه تغییر در آن را فراهم می‌کند. با ایجاد یک رکورد DKIM در DNS سرور، می‌توانید ایمیل‌های خود را با اعتبارسنجی DKIM امضا کرده و از تقلب و سوءاستفاده جلوگیری کنید.