جميع المقالات
دليل

فحص SPF و DKIM و DMARC: دليل حماية البريد الإلكتروني

NetVizor Team April 7, 2026
فحص SPF و DKIM و DMARC: دليل حماية البريد الإلكتروني
#مصادقة البريد #بروتوكولات الأمان #حماية النطاق

هل تصل رسائلك إلى صندوق السبام بدلاً من البريد الوارد؟ هل تلقيت تحذيراً من Google أو Microsoft بأن نطاقك لا يجتاز فحص المصادقة؟ السبب في الغالب هو غياب أو خطأ في إعدادات SPF و DKIM و DMARC.

منذ عام 2024، أصبح تفعيل هذه البروتوكولات الثلاثة إلزامياً لجميع مرسلي البريد الإلكتروني بكميات كبيرة على Gmail و Yahoo. وفي 2025، انضمت Microsoft إلى هذا الشرط. في 2026، أي نطاق بدون هذه السجلات يُخاطر برفض رسائله بالكامل — وليس فقط إرسالها إلى السبام.

في هذا الدليل، سنشرح كل بروتوكول بالتفصيل، وكيف تفحص إعداداتك، وكيف تُصلح المشكلات الشائعة.

ما هي مصادقة البريد الإلكتروني؟

مصادقة البريد الإلكتروني هي مجموعة بروتوكولات تُثبت أن الرسالة أُرسلت فعلاً من النطاق المُدَّعى وليس من جهة مُنتحلة. تعمل ثلاثة بروتوكولات معاً لتحقيق ذلك:

  • SPF: يُحدد من يحق له الإرسال باسم نطاقك
  • DKIM: يُوقّع الرسالة رقمياً للتحقق من عدم تعديلها
  • DMARC: يُحدد ماذا يحدث عند فشل الفحص

فكّر فيها كنظام أمان من ثلاث طبقات: SPF يتحقق من هوية المرسل، DKIM يتحقق من سلامة الرسالة، وDMARC يُقرر العقوبة عند الفشل.

SPF: من يحق له الإرسال باسم نطاقك؟

ما هو SPF؟

SPF (Sender Policy Framework) هو سجل DNS من نوع TXT يُعلن عن قائمة الخوادم والعناوين المسموح لها بإرسال بريد إلكتروني باسم نطاقك.

عندما يستقبل خادم البريد رسالة من [email protected]، يتحقق من سجل SPF للنطاق example.com ليرى: هل عنوان IP المُرسل موجود في القائمة المسموح بها؟

كيف يبدو سجل SPF؟

v=spf1 include:_spf.google.com include:mailgun.org ip4:203.0.113.5 -all

تفسير هذا السجل:

  • v=spf1 — إصدار SPF
  • include:_spf.google.com — السماح لخوادم Google Workspace بالإرسال
  • include:mailgun.org — السماح لخدمة Mailgun بالإرسال
  • ip4:203.0.113.5 — السماح لعنوان IP محدد
  • -all — رفض أي مصدر آخر

كيف تفحص سجل SPF؟

  1. افتح أداة فحص SPF من NetVizor
  2. أدخل اسم النطاق
  3. ستظهر لك نتيجة الفحص: هل السجل موجود، هل صيغته صحيحة، وقائمة المصادر المسموح بها

أخطاء SPF الشائعة

الخطأ المشكلة الحل
سجل SPF غير موجود لا توجد أي حماية أضف سجل TXT يبدأ بـ v=spf1
أكثر من سجل SPF واحد يُسبب فشل الفحص ادمج الكل في سجل واحد
استخدام +all يسمح لأي شخص بالإرسال غيّرها إلى ~all أو -all
تجاوز 10 عمليات DNS lookup يُسبب خطأ PermError قلّل عدد include أو استخدم ip4/ip6 مباشرة
نسيان خدمة إرسال رسائل الخدمة تفشل في SPF أضف include لكل خدمة تستخدمها

DKIM: التوقيع الرقمي لرسائلك

ما هو DKIM؟

DKIM (DomainKeys Identified Mail) هو نظام توقيع رقمي يُضاف إلى ترويسة كل رسالة بريد إلكتروني. يستخدم زوج مفاتيح تشفير:

  • المفتاح الخاص: يبقى سرياً على خادم الإرسال، ويُستخدم لتوقيع الرسالة
  • المفتاح العام: يُنشر في سجل DNS، ويستخدمه خادم الاستقبال للتحقق من التوقيع

إذا تم تعديل الرسالة أثناء النقل — حتى حرف واحد — يفشل التحقق من DKIM.

كيف يبدو سجل DKIM؟

السجل يُنشر تحت نطاق فرعي خاص:

selector._domainkey.example.com → v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQ...
  • selector — مُعرِّف يُحدده مزود البريد (مثل google أو s1)
  • v=DKIM1 — إصدار البروتوكول
  • k=rsa — نوع التشفير
  • p=... — المفتاح العام

كيف تفحص DKIM؟

  1. افتح أداة فحص DKIM من NetVizor
  2. أدخل اسم النطاق و selector (عادةً google لـ Google Workspace أو s1/s2 لخدمات أخرى)
  3. ستظهر حالة السجل وصحة المفتاح العام

كيف تعرف selector الخاص بك؟

افتح أي رسالة صادرة من نطاقك، واعرض الترويسات الكاملة (في Gmail: النقاط الثلاث → "عرض المصدر"). ابحث عن:

DKIM-Signature: ... s=google; d=example.com; ...

القيمة بعد s= هي الـ selector.

يمكنك أيضاً استخدام أداة تحليل ترويسات البريد لاستخراج هذه المعلومات تلقائياً.

DMARC: خط الدفاع الأخير

ما هو DMARC؟

DMARC (Domain-based Message Authentication, Reporting and Conformance) يجمع بين SPF و DKIM ويُضيف طبقة سياسة: ماذا يفعل خادم الاستقبال عندما تفشل رسالة في الفحص؟

كيف يبدو سجل DMARC؟

_dmarc.example.com → v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100
  • v=DMARC1 — إصدار البروتوكول
  • p=quarantine — السياسة (ماذا يحدث عند الفشل)
  • rua=mailto:... — عنوان استقبال تقارير DMARC
  • pct=100 — نسبة الرسائل التي تُطبَّق عليها السياسة

سياسات DMARC الثلاث

السياسة الوصف متى تستخدمها
p=none مراقبة فقط، لا إجراء البداية — لجمع التقارير وفهم مصادر الإرسال
p=quarantine إرسال إلى السبام بعد التأكد من صحة SPF و DKIM
p=reject رفض الرسالة بالكامل الحماية القصوى بعد ضبط كل الإعدادات

كيف تفحص DMARC؟

  1. افتح أداة فحص DMARC من NetVizor
  2. أدخل اسم النطاق
  3. ستظهر السياسة الحالية، عناوين التقارير، وتحليل لصحة الإعدادات

خطوات إعداد مصادقة البريد الإلكتروني

الخطوة 1: فحص الوضع الحالي

قبل أي تغيير، افحص وضعك الحالي باستخدام أداة صحة البريد الإلكتروني. تفحص هذه الأداة SPF و DKIM و DMARC وسجلات MX دفعة واحدة وتُعطيك تقييماً شاملاً.

الخطوة 2: إعداد SPF

  1. حدّد جميع الخدمات التي تُرسل بريداً باسم نطاقك (مزود الاستضافة، Google Workspace، خدمة النشرات البريدية، إلخ)
  2. أنشئ سجل TXT واحد يشمل الكل:
v=spf1 include:_spf.google.com include:sendgrid.net -all
  1. أضف السجل في لوحة إدارة DNS لنطاقك

الخطوة 3: تفعيل DKIM

  1. في لوحة تحكم مزود البريد (مثل Google Workspace Admin):
    • اذهب إلى التطبيقات → Google Workspace → Gmail → مصادقة البريد الإلكتروني
    • ولّد مفتاح DKIM جديد
  2. انسخ سجل DNS المُولَّد وأضفه في لوحة إدارة DNS
  3. عد إلى لوحة تحكم المزود وفعّل DKIM

الخطوة 4: إعداد DMARC

ابدأ بسياسة مراقبة:

v=DMARC1; p=none; rua=mailto:[email protected]

انتظر أسبوعين وراجع التقارير. بعد التأكد من أن جميع مصادر الإرسال الشرعية تجتاز الفحص، ارفع السياسة تدريجياً:

p=none → p=quarantine → p=reject

الخطوة 5: التحقق النهائي

أعد فحص كل سجل باستخدام أدوات NetVizor:

لماذا رسائلي تذهب إلى السبام؟

إذا كانت رسائلك تصل إلى مجلد السبام رغم إعداد المصادقة، تحقق من النقاط التالية:

1. فحص القائمة السوداء

قد يكون عنوان IP لخادمك أو نطاقك مُدرجاً في قائمة سوداء. استخدم أداة فحص القائمة السوداء للتحقق.

2. محاذاة النطاقات (Alignment)

DMARC يتطلب محاذاة بين النطاق في ترويسة From: والنطاق في نتائج SPF أو DKIM:

  • محاذاة SPF: نطاق MAIL FROM يجب أن يتطابق مع نطاق From:
  • محاذاة DKIM: نطاق d= في توقيع DKIM يجب أن يتطابق مع نطاق From:

3. سمعة النطاق

النطاقات الجديدة تحتاج وقتاً لبناء سمعة. ابدأ بإرسال كميات صغيرة وزدها تدريجياً.

4. محتوى الرسالة

حتى مع مصادقة مثالية، قد تُصنَّف الرسالة كسبام بسبب:

  • كلمات تُثير فلاتر السبام
  • نسبة صور إلى نص عالية
  • روابط مشبوهة أو مُختصرة

متطلبات Google و Yahoo و Microsoft لعام 2026

المتطلب Gmail Yahoo Microsoft
سجل SPF صحيح إلزامي إلزامي إلزامي
توقيع DKIM إلزامي إلزامي إلزامي
سجل DMARC (p=none كحد أدنى) إلزامي إلزامي إلزامي
محاذاة النطاقات مطلوبة مطلوبة مطلوبة
معدل سبام أقل من 0.3% مطلوب مطلوب مطلوب
إلغاء اشتراك بنقرة واحدة مطلوب للإرسال الجماعي مطلوب موصى به

تحذير: في حال عدم الالتزام، قد تُرفض رسائلك بالكامل — وليس فقط إرسالها إلى السبام.

الأسئلة الشائعة

هل أحتاج SPF و DKIM و DMARC جميعها؟

نعم. كل بروتوكول يُكمّل الآخر. SPF بدون DKIM لا يحمي من تعديل الرسالة. DKIM بدون SPF لا يمنع الإرسال من خوادم غير مصرّح بها. وبدون DMARC، لا يوجد سياسة تُحدد كيف يتعامل خادم الاستقبال مع الفشل.

كم يستغرق تفعيل هذه السجلات؟

بعد إضافة السجلات في DNS، تحتاج من دقائق إلى 48 ساعة لانتشارها. يمكنك متابعة ذلك باستخدام أداة فحص انتشار DNS.

هل يمكنني استخدام DMARC بسياسة reject مباشرة؟

لا يُنصح بذلك. ابدأ دائماً بـ p=none لجمع التقارير ومعرفة جميع مصادر الإرسال الشرعية. الانتقال المباشر إلى reject قد يمنع رسائل شرعية من الوصول.

ماذا يعني خطأ "SPF PermError"؟

يحدث عادةً بسبب تجاوز حد 10 عمليات DNS lookup في سجل SPF. الحل هو تقليل عدد include أو استبدالها بعناوين IP مباشرة.

كيف أقرأ تقارير DMARC؟

تقارير DMARC تصل كملفات XML. تحتوي على: مصدر الإرسال (IP)، عدد الرسائل، نتيجة فحص SPF و DKIM، وما إذا اجتازت المحاذاة. يمكنك استخدام خدمات مثل DMARC Analyzer لقراءتها بشكل مرئي.

الخلاصة

مصادقة البريد الإلكتروني لم تعد خياراً — هي شرط أساسي لضمان وصول رسائلك في 2026. إعداد SPF و DKIM و DMARC يحمي نطاقك من الانتحال، يُحسّن معدل التسليم، ويُبقي سمعة نطاقك نظيفة.

ابدأ الآن بفحص شامل لإعدادات بريدك الإلكتروني:

👉 فحص صحة البريد الإلكتروني — أداة مجانية من NetVizor

مقالات ذات صلة

فحص DNS: دليل شامل لفحص سجلات النطاق أونلايندرس تعليمي

فحص DNS: دليل شامل لفحص سجلات النطاق أونلاين

تعلّم كيفية فحص سجلات DNS لأي نطاق — A، MX، TXT، CNAME وغيرها. دليل شامل مع أداة فحص DNS مجانية أونلاين بدون تسجيل.

NetVizor Team
Apr 7, 2026