هل يمكن استخدام أي عنوان بريد إلكتروني في حقل From عند إرسال الرسائل؟

من ويكي مسار
مراجعة ٠٩:٢٥، ٢٥ مايو ٢٠٢٥ بواسطة Massaradmin (نقاش | مساهمات)
(فرق) → مراجعة أقدم | المراجعة الحالية (فرق) | مراجعة أحدث ← (فرق)

عند إرسال بريد إلكتروني من خلال سكريبت PHP أو أنظمة إدارة المحتوى مثل WordPress أو أنظمة الطلبات مثل WHMCS، قد يلاحظ بعض أصحاب المواقع أو المطورين أنهم قادرون على تحديد عنوان المرسل `From` لأي بريد إلكتروني يرغبون به — حتى وإن لم يكن عنوانًا تابعًا لهم أو لخوادمهم.

وهنا يُطرح السؤال المهم: هل هذا يعني أن أي شخص يمكنه إرسال بريد باسم أي جهة؟

الجواب القصير: نعم، ولكن مع قيود.

كيف يعمل حقل From؟

بروتوكول SMTP المستخدم في إرسال البريد الإلكتروني لا يحتوي على نظام تحقق داخلي يفرض أن عنوان `From` المستخدم يجب أن يتطابق مع الخادم المرسل. وهذا يعني أن أي سكريبت يمكنه "ادعاء" أنه يرسل من أي عنوان بريد إلكتروني.

على سبيل المثال، يمكن كتابة سكريبت بسيط يرسل رسالة بريد إلكتروني باسم `support@example.com` حتى لو لم يكن لدينا صلاحية الوصول لهذا البريد. هذا النوع من التلاعب يُعرف بـ "Email Spoofing".

لماذا يشكل هذا خطرًا؟

هذه الثغرة تُستغل بشكل شائع من قبل:

  • مرسلي الرسائل المزعجة (Spam).
  • المخترقين في حملات التصيّد الاحتيالي (Phishing).
  • الجهات الخبيثة التي تريد انتحال هوية شركات أو أفراد موثوقين.

كيف نحمي نطاقنا من هذا التلاعب؟

لحسن الحظ، هناك ثلاث تقنيات رئيسية يمكن استخدامها لحماية النطاق من هذه الهجمات، وهي:

1. سجل SPF (Sender Policy Framework)

يحدد سجل SPF الخوادم المسموح لها بإرسال رسائل نيابة عن نطاقك.

  • تأكد من أن لديك سجل SPF في DNS.
  • اجعله محددًا بدقة (**strict**) بحيث لا يُسمح إلا لخوادمك الموثوقة.
  • مثال على سجل SPF صارم: 
    v=spf1 ip4:192.0.2.10 -all

2. توقيع DKIM (DomainKeys Identified Mail)

يقوم بإرفاق توقيع رقمي فريد بكل رسالة يتم إرسالها من نطاقك، ويمكن للمستلمين التحقق منه.

  • فعّل DKIM على الخادم الخاص بك (متاح في معظم أنظمة البريد مثل Postfix, cPanel, Zoho Mail، إلخ).
  • أضف المفتاح العام في سجل DNS الخاص بنطاقك.

3. سياسة DMARC (Domain-based Message Authentication, Reporting and Conformance)

تحدد ما يجب على الخوادم المستقبلة فعله عندما تفشل الرسالة في التحقق من SPF أو DKIM.

  • قم بإعداد سجل DMARC.
  • اجعله صارمًا (strict) وأضف سياسة رفض (reject) أو حجر (quarantine).
  • * مثال على سجل DMARC صارم:
    v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc-reports@example.com; adkim=s; aspf=s;

خلاصة

بينما يمكن تقنيًا استخدام أي عنوان بريد إلكتروني في حقل `From` عند إرسال الرسائل، إلا أن هذا يُعد ثغرة أمنية إن لم يتم ضبط السياسات بشكل صحيح. ولذلك، من الضروري على أصحاب المواقع ومسؤولي الأنظمة اتخاذ إجراءات وقائية واضحة مثل:

  • تفعيل SPF و DKIM.
  • ضبط DMARC على سياسة صارمة.
  • مراقبة تقارير DMARC بشكل منتظم لضبط أي محاولات تلاعب.

باتباع هذه الخطوات، يمكن تقليل فرص استغلال نطاقك في هجمات التصيد أو الرسائل المزيفة، وحماية سمعتك البريدية.

مجلوبة من «https://wiki.massarcloud.sa/index.php?title=هل_يمكن_استخدام_أي_عنوان_بريد_إلكتروني_في_حقل_From_عند_إرسال_الرسائل؟&oldid=1452»