دليل عملي لضبط SPF وDKIM وDMARC في Google Workspace لحملات B2B الموجّهة
غياب أو خطأ في أحد سجلات المصادقة الثلاثة كافٍ لإرسال رسائل حملة B2B موجّهة ومُخصّصة بعناية إلى مجلد الرسائل غير المرغوب فيها. إعداد Google Workspace لهذه السجلات يختلف في تفاصيله عن الإعداد العام عبر DNS خارجي، وهذا الدليل يشرح كل خطوة بالترتيب الذي يحمي سمعة النطاق قبل بدء الإرسال.
- غياب أي من SPF أو DKIM أو DMARC كافٍ لإرسال حملات B2B الموجّهة مباشرة إلى مجلد الرسائل غير المرغوب فيها
- DKIM في Google Workspace يحتاج خطوتين منفصلتين: إضافة السجل ثم الضغط على Start authentication
- سياسة DMARC يجب أن تُبنى تدريجياً من p=none إلى p=reject على مدى أسابيع وليس دفعة واحدة
- أدوات google spf dkim dmarc checker كافية للتحقق السريع قبل إطلاق أي حملة جديدة
- فصل نطاق التواصل البارد عن النطاق الرسمي يحمي سمعة الشركة الأساسية
لماذا تحتاج حملات B2B الموجّهة إلى مصادقة كاملة على Google Workspace
عندما تُطلق شركة خليجية أو عربية حملة تواصل بارد موجّهة إلى صناع القرار في شركات محددة، فإن أول ما يفحصه Gmail قبل عرض الرسالة في صندوق الوارد ليس محتواها بل هوية النطاق المُرسل منه. غياب أو خطأ في أحد سجلات SPF وDKIM وDMARC كافٍ لإرسال الرسائل مباشرة إلى مجلد الرسائل غير المرغوب فيها، حتى لو كانت الرسالة مكتوبة بعناية ومُخصصة لكل جهة اتصال.
تختلف حملات B2B الموجّهة عن النشرات البريدية الجماعية في أن حجم الإرسال اليومي محدود، وكل رسالة تذهب إلى شخص حقيقي بالاسم في شركة محددة. هذا يعني أن سمعة النطاق تُبنى ببطء، وأي ثغرة في المصادقة تُترجم فوراً إلى معدل وصول منخفض للبريد الرئيسي، وهو ما ينعكس مباشرة على معدل الردود الذي يقيس نجاح الحملة.
لوحة تحكم Google Workspace توفر مسارات مخصصة لإعداد المصادقة الثلاثة، لكنها تختلف قليلاً عن الإعداد العام عبر مزودي DNS الخارجيين، خصوصاً في توليد مفتاح DKIM وربط تقارير DMARC. الأقسام التالية تشرح كل خطوة بالتفصيل مع الإشارة إلى أدوات email spf dkim dmarc checker المناسبة للتحقق قبل الإطلاق.
خطوة بخطوة: إعداد سجل SPF في Google Workspace
سجل SPF (Sender Policy Framework) هو سجل TXT في DNS يحدد الخوادم المسموح لها بإرسال بريد نيابة عن نطاقك. في Google Workspace، الخطوة الأولى تكون من لوحة الإدارة: الانتقال إلى Apps ثم Google Workspace ثم Gmail ثم Authenticate email، حيث تجد تعليمات Google الخاصة بسجل SPF الأساسي.
- أضف سجل TXT على النطاق الجذري بالقيمة v=spf1 include:_spf.google.com ~all
- إذا كانت هناك أدوات إرسال إضافية (مثل LDM أو أي منصة حملات)، أضف include الخاص بها ضمن نفس السجل بدل إنشاء سجل SPF منفصل
- تأكد من عدم تجاوز 10 عمليات بحث DNS (DNS lookups) الناتجة عن جميع عبارات include، فتجاوز الحد يجعل Google نفسه يتجاهل السجل
- استخدم ~all وليس ?all في مرحلة الإنتاج لتقليل احتمال قبول رسائل منتحلة
- تحقق من عدم وجود أكثر من سجل SPF واحد على النطاق، فوجود سجلين يُبطل الاثنين معاً
مثال على سجل SPF كامل لشركة تستخدم Google Workspace وLDM معاً: v=spf1 include:_spf.google.com include:_spf.ldmsend.com ~all — يجب دائماً التحقق من العدد الإجمالي لعمليات البحث بعد إضافة أي include جديد.
تفعيل DKIM من لوحة تحكم Google Admin
DKIM يضيف توقيعاً تشفيرياً لكل رسالة صادرة، يثبت أن محتواها لم يتغير أثناء النقل وأنها صدرت فعلاً من خادم مصرح له. في Google Workspace، من نفس صفحة Authenticate email، تختار النطاق ثم تضغط Generate new record، وتحدد طول المفتاح 2048 بت وهو الخيار الموصى به حالياً بدلاً من 1024 بت.
بعد التوليد، تحصل على اسم selector (عادة google أو selector مخصص) وقيمة TXT طويلة تبدأ بـ v=DKIM1. تُضاف كسجل TXT على النطاق الفرعي الذي يحدده Google، مثل google._domainkey.yourdomain.com. بعد إضافتها والتأكد من انتشارها، تعود إلى نفس الصفحة وتضغط Start authentication لتفعيل التوقيع الفعلي على الرسائل الصادرة.
- لا تنسَ الضغط على Start authentication — إضافة السجل وحده لا يُفعّل التوقيع
- أعد توليد المفتاح كل 6 إلى 12 شهراً كممارسة أمان وقائية
- إذا استخدمت أدوات إرسال خارجية بجانب Gmail، تحقق أن كل أداة توقّع رسائلها بمفتاح DKIM خاص بها على selector مختلف
- استخدم domain spf dkim dmarc checker للتأكد من ظهور التوقيع الصحيح في ترويسة الرسالة (DKIM-Signature) بعد الإرسال الفعلي
بناء سياسة DMARC تدريجياً: من المراقبة إلى الحماية الكاملة
DMARC (Domain-based Message Authentication, Reporting and Conformance) هو السجل الذي يخبر خوادم الاستقبال ماذا تفعل عندما تفشل رسالة في اجتياز SPF أو DKIM، ويطلب في الوقت نفسه تقارير دورية عن كل محاولة إرسال باسم نطاقك. بدون DMARC، تبقى SPF وDKIM مجرد فحوصات معلوماتية لا تفرض أي إجراء فعلي على المنتحلين.
أفضل ممارسة هي البدء بسياسة p=none لمدة أسبوعين إلى أربعة أسابيع، وخلالها تُراجع تقارير rua (المرسلة إلى بريد تراقبه) لتتأكد أن جميع مصادر الإرسال الشرعية — Google Workspace وأي أداة حملات مثل LDM — تمر بنجاح. بعدها تنتقل تدريجياً إلى p=quarantine بنسبة جزئية (pct=25 ثم 50 ثم 100) قبل الوصول أخيراً إلى p=reject، وهي السياسة التي تمنع فعلياً أي رسالة منتحلة من الوصول لصندوق الوارد.
- مثال على سجل DMARC في مرحلة المراقبة: v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com
- مثال على مرحلة الحماية الكاملة: v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; adkim=s; aspf=s
- خاصية adkim=s وaspf=s تفرض توافقاً صارماً (strict alignment) بين نطاق From ونطاقات توقيع SPF وDKIM، وهي ضرورية إذا كانت رسائل الحملة تُرسل من نطاق فرعي مخصص للتواصل البارد
الأرقام تقديرية من ممارسة حملات B2B موجّهة ولا تمثل ضمانة ثابتة لكل نطاق
أخطاء شائعة تُفشل إعداد المصادقة في Google Workspace
معظم الأعطال في مصادقة النطاقات لا تأتي من جهل بالمفهوم بل من تفاصيل تنفيذ صغيرة يسهل إغفالها عند العمل داخل Google Workspace بالتحديد.
- الانتقال مباشرة إلى p=reject دون مرحلة مراقبة، مما يوقف رسائل شرعية دون سابق إنذار
- إبقاء نطاق الحملات نفسه الذي يُستخدم للفواتير والمراسلات الرسمية اليومية، بحيث يتأثر النطاق كله عند أي مشكلة إرسال
- تجاهل تقارير rua بعد إعداد DMARC، فتفوت فرصة اكتشاف مصدر إرسال غير مصرح به منتحل لاسم الشركة
- استخدام أداة تسويق بريدي تضع نطاق From مختلفاً عن نطاق DKIM الموقّع، فيفشل التوافق (alignment) حتى لو كان كل سجل صحيحاً منفرداً
- نسيان تحديث سجل SPF عند إضافة أداة إرسال جديدة، فيتجاوز عدد lookups المسموح أو يظهر سجلان متعارضان
الأرقام تقديرية من ممارسة حملات B2B موجّهة، وتختلف حسب حجم النطاق وعدد أدوات الإرسال المستخدمة
قائمة تحقق قبل الإطلاق، وكيف تتعامل LDM مع الأمر
قبل إطلاق أي حملة B2B موجّهة جديدة، الخطوة الأخيرة هي التحقق الفعلي وليس افتراض أن الإعداد صحيح. أدوات google spf dkim dmarc checker المجانية المتاحة عبر الإنترنت تسمح بإدخال النطاق مباشرة وعرض حالة السجلات الثلاثة خلال ثوانٍ، وهي كافية للتأكد قبل بدء الإرسال الفعلي.
في LDM، يتم فصل نطاقات الإرسال المخصصة للتواصل البارد عن النطاقات الرسمية للعميل من البداية، مع إعداد SPF وDKIM وDMARC تدريجياً وفق نفس التسلسل الموضح أعلاه، ومراقبة يومية لمعدل وصول الرسائل إلى البريد الرئيسي قبل زيادة حجم الإرسال — وهو ما يحافظ على سمعة النطاق الأساسي للشركة سليمة بغض النظر عن نتائج حملة معينة.
- تحقق من سجل SPF بأداة domain spf dkim dmarc checker والتأكد من عدد lookups
- أرسل رسالة اختبار حقيقية إلى بريد Gmail شخصي وافحص ترويسة الرسالة للتأكد من ظهور spf=pass وdkim=pass وdmarc=pass
- راجع تقرير rua الأول بعد أسبوعين للتأكد أن جميع مصادر الإرسال الشرعية مطابقة
- افصل نطاق حملات التواصل البارد عن النطاق الرئيسي للشركة (نطاق فرعي مخصص) لعزل أي أثر على السمعة العامة
- خطط لمرحلة تسخين (warm-up) تدريجية لأي نطاق أو نطاق فرعي جديد قبل رفع حجم الإرسال اليومي
الأسئلة الشائعة
ما الفرق بين استخدام أداة dmarc checker google وفحص السجل يدوياً عبر DNS؟
أدوات dmarc checker google تقرأ سجل DNS مباشرة وتفسر القيم (p، pct، rua) بصيغة مفهومة، بينما الفحص اليدوي عبر أمر dig أو nslookup يعطي النص الخام فقط. كلاهما يعتمد على نفس المصدر، لكن الأداة الجاهزة أسرع للتحقق السريع قبل إطلاق حملة.
هل يمكن استخدام نطاق الشركة الرئيسي نفسه لحملات التواصل البارد؟
من الناحية التقنية نعم، لكن الأفضل عملياً استخدام نطاق فرعي أو نطاق مخصص منفصل. أي إشارة سلبية ناتجة عن حجم إرسال أو محتوى حملة بارد تنعكس على سمعة النطاق كاملاً، بما في ذلك البريد الرسمي والفواتير إذا كان النطاق مشتركاً.
كم يستغرق ظهور تعديلات SPF أو DKIM أو DMARC بعد حفظها في Google Workspace؟
عادة تنتشر تعديلات DNS خلال دقائق إلى بضع ساعات، لكن بعض مزودي DNS قد يستغرقون حتى 24 إلى 48 ساعة حسب قيمة TTL المضبوطة على السجل. يُنصح بالانتظار قبل تفعيل Start authentication في DKIM للتأكد من استقرار السجل.
هل يكفي إعداد SPF فقط دون DKIM أو DMARC؟
لا. SPF وحده يتحقق من خادم الإرسال فقط ولا يوقف انتحال نطاق From في رسائل يُعاد توجيهها، بينما DKIM يثبت سلامة المحتوى، وDMARC هو الذي يفرض إجراءً فعلياً عند فشل أي منهما. الحماية الكاملة تحتاج الثلاثة معاً مع توافق (alignment) صحيح بينها.
ماذا يحدث إذا تجاوز سجل SPF حد 10 عمليات بحث DNS المسموح بها؟
خوادم الاستقبال، ومنها Google، تتجاهل السجل بالكامل وتعتبره غير صالح (permerror)، وهو ما يجعل الرسائل الشرعية أكثر عرضة للفشل في المصادقة. الحل هو تقليل عدد عبارات include إلى أقل من 10 أو دمج أدوات الإرسال ضمن مزود واحد يدعم SPF flattening.
هل تدعم Google Workspace نطاقات فرعية متعددة بسياسات DMARC مختلفة؟
نعم، يمكن إنشاء سجل DMARC منفصل لكل نطاق فرعي (subdomain) بقيم مختلفة، أو الاعتماد على وسم sp= في السجل الرئيسي لتحديد سياسة افتراضية لجميع النطاقات الفرعية التي لا تملك سجلاً خاصاً بها. هذا مفيد عند عزل نطاق فرعي مخصص لحملات B2B عن النطاق الرئيسي.