DKIM (التعرّف على البريد عبر مفاتيح النطاق)

DKIM هو معيار مصادقة بريد إلكتروني يسمح لخادم البريد المُرسِل بإرفاق توقيع رقمي تشفيري بالرسائل الصادرة. يستخرج الخادم المُستقبِل المفتاح العام المقابل من سجلات DNS الخاصة بالمُرسِل، ويستخدمه للتحقق من التوقيع. فإن صحّ التوقيع، عَلِم المُستلِم أن البريد جاء فعلاً من النطاق المُدَّعى وأنه لم يُعدَّل أثناء النقل. يعمل DKIM جنباً إلى جنب مع [SPF](/glossary/spf) و[DMARC](/glossary/dmarc) لتكوين إطار متكامل لمصادقة البريد يحمي المُرسِلين والمُستلِمين معاً.

يظل البريد الإلكتروني قناة رئيسية لمشاركة المنشورات الرقمية، وإرسال إشعارات التقاط العملاء المحتملين، وتسليم الرسائل المعاملاتية. وبدون DKIM، تزداد احتمالية وسم رسائلك بوصفها مزعجة، أو رفضها تماماً من خوادم البريد المُستلِمة. وقد باتت كبرى الخدمات مثل Gmail وOutlook وYahoo تشترط DKIM على المُرسِلين بكميات كبيرة، وتواجه الرسائل التي تخلو من توقيع صالح ترشيحاً متشدّداً. يُحسّن إعداد DKIM السليم معدل التسليم، ويحمي علامتك من الانتحال (حيث ينتحل المهاجمون نطاقك لإرسال رسائل)، ويرسّخ الثقة لدى مزوّدي البريد. وللناشرين الذين يعتمدون على البريد لتوزيع كتبهم التفاعلية وجمع العملاء المحتملين، يؤثر DKIM مباشرة على وصول رسائلك إلى جمهورك.

ترسل FlipLink رسائل بريد نيابةً عنك لأغراض إشعارات التقاط العملاء المحتملين، وروابط المنشورات المشتركة، و[قوالب البريد الإلكتروني](/features/email-templates). وتنطلق هذه الرسائل عبر بنية مهيّأة بـDKIM، أي أن كل رسالة صادرة تحمل توقيعاً تشفيرياً صالحاً. وإذا كنت تستخدم [نطاقاً مخصصاً](/features/custom-domains) لمنشوراتك وتودّ إرسال رسائل المشاركة من ذلك النطاق، فتُهيّئ سجلات DNS الخاصة بـDKIM لتأذن لخوادم بريد FlipLink بالإرسال نيابةً عنك. يضمن ذلك أن يرى المُستلِمون نطاقك بوصفه المُرسِل الموثّق، فتُعظِّم وصولك إلى صناديق الوارد، وتحافظ على مصداقية علامتك.

يتطلب إعداد DKIM ضبطاً لـDNS وتنسيقاً مع خادم البريد. وفيما يلي صورة عامة للعملية: 1. **توليد زوج المفاتيح.** تتولى خدمة البريد أو المنصة (مثل FlipLink) توليد مفتاح خاص (يبقى على الخادم المُرسِل) ومفتاح عام (يُنشر في DNS). 2. **إضافة سجل TXT في DNS.** أنشئ سجل TXT عند `selector._domainkey.yourdomain.com` يحوي المفتاح العام. والـselector هو تسمية (مثل `fl1` أو `mail`) تحدّد المفتاح المُستخدم. 3. **التحقق من انتشار السجل.** قد تستغرق تغييرات DNS حتى ٤٨ ساعة، وإن كان أغلبها ينتشر خلال ساعة. استعن بأداة فحص DKIM للتأكد من ظهور السجل. 4. **إرسال رسالة اختبار.** أرسل رسالة من النطاق المُهيّأ وافحص ترويسات الرسالة بحثاً عن `dkim=pass` في ترويسة Authentication-Results. 5. **المتابعة المستمرة.** فعّل تقارير [DMARC](/glossary/dmarc) لتلقّي تنبيهات عند بدء فشل التحقق من DKIM، إذ قد يدل ذلك على خلل في DNS أو وجود مُرسِلين غير مصرّح لهم.

يحمي DKIM من تهديدَين بعينهما: **انتحال البريد** (إرسال رسائل تبدو وكأنها صادرة من نطاقك) و**العبث بالرسائل** (تعديل محتوى البريد بعد مغادرته خادمك). غير أن DKIM وحده ليس حلاً أمنياً متكاملاً. **ما يحميه DKIM:** - يتحقق من أن الرسالة أُرسلت من خادم مصرّح له بذلك النطاق - يؤكد أن الترويسات والمتن الموقَّعَين لم يُعدَّلا أثناء النقل - يُرسي أساساً لإنفاذ سياسة DMARC **ما لا يحميه DKIM:** - لا يُشفّر محتوى البريد (استخدم TLS لهذا الغرض) - لا يتحقق من هوية المُرسِل الفرد، بل من النطاق فقط - لا يمنع نطاقك من تلقّي بريد مزعج، بل يساعد فقط على أن يُوثَق بريدك الصادر **تدوير المفاتيح** ممارسة مهمة كثيراً ما تُهمَل. فإن اختُرق المفتاح الخاص بـDKIM، تمكّن المهاجم من توقيع رسائل باسم نطاقك. دوّر مفاتيح DKIM دورياً (كل ٦ إلى ١٢ شهراً) وحدّث سجل DNS بالمفتاح العام الجديد قبل إيقاف القديم.

يُضاف توقيع DKIM بوصفه ترويسة `DKIM-Signature` في كل رسالة صادرة. وتحوي هذه الترويسة حقولاً عدة: - **v** — الإصدار (`1` دائماً) - **a** — خوارزمية التوقيع (عادةً `rsa-sha256`) - **d** — النطاق المُوقِّع - **s** — الـselector المُستخدم للبحث عن المفتاح العام في DNS - **h** — قائمة الترويسات المشمولة بالتوقيع (مثل `from:to:subject:date`) - **bh** — تجزئة (hash) لمتن الرسالة - **b** — التوقيع التشفيري الفعلي يستخرج الخادم المُستقبِل قيمتَي `d` وَ`s`، ثم يستعلم في DNS عن `s._domainkey.d`، فيسترجع المفتاح العام، ويتحقق من التوقيع مقابل الترويسات الموقَّعة وتجزئة المتن. فإن تطابق كل شيء، نجح فحص DKIM. يدعم DKIM أطوال مفاتيح بحجم ١٠٢٤ بت و٢٠٤٨ بت. ورغم شيوع مفاتيح ١٠٢٤ بت، يُنصح بمفاتيح ٢٠٤٨ بت لأمان أقوى. وتفرض بعض خدمات DNS حدّاً يبلغ ٢٥٥ حرفاً لسجل TXT، ما يستوجب تقسيم مفاتيح ٢٠٤٨ بت الأطول إلى عدة سلاسل ضمن سجل TXT واحد.