العودة إلى المدونة

تدقيق أمان النطاق المجاني: ما الذي يجب البحث عنه

دليل عملي لتدقيق الوضع الأمني لنطاقك مجاناً — سجلات DNS وشهادات SSL ومصادقة البريد الإلكتروني والثغرات التي تفوتها الأدوات المجانية.

domain security auditfree security scanDNS securitySSL certificate checkemail authentication

لماذا يحتاج نطاقك إلى تدقيق أمني

نطاقك هو الباب الأمامي لعملك. يتعامل مع بريدك الإلكتروني ويستضيف موقعك الإلكتروني وغالباً ما يتصل بعشرات الأنظمة الداخلية. ومع ذلك، فإن معظم المؤسسات لا تدقق أبداً في الوضع الأمني لنطاقها — أو تفعل ذلك مرة واحدة ولا تعيد المراجعة أبداً.

المهاجمون يعرفون هذا. أخطاء تكوين النطاق وراء بعض أخطر الاختراقات في السنوات الأخيرة: هجمات انتحال البريد الإلكتروني التي تتجاوز فلاتر البريد العشوائي، واختراقات النطاقات الفرعية التي تقدم برمجيات خبيثة من بنيتك التحتية، واختطاف DNS الذي يعيد توجيه عملائك إلى صفحات تصيّد.

التدقيق الأمني الصحيح للنطاق يفحص الطبقات التي لا ينظر إليها معظم الناس أبداً. إليك ما يجب فحصه وأي الأدوات المجانية يمكنها المساعدة.

الطبقة 1: تكوين DNS

DNS هو أساس نطاقك. أخطاء التكوين هنا تتسلسل إلى كل طبقة أخرى.

تحقق من سجلات DNS الخاصة بك

ابدأ بتفريغ كامل لسجلات DNS. أدوات مجانية مثل dig وnslookup أو خدمات عبر الويب مثل DNSChecker.org تتيح لك الاستعلام عن جميع أنواع السجلات.

ما يجب البحث عنه:

  • سجلات CNAME معزولة تشير إلى خدمات تم إيقافها (Heroku، AWS S3، GitHub Pages). هذه تمكّن هجمات اختراق النطاقات الفرعية — يمكن للمهاجم المطالبة بالخدمة المهجورة وتقديم محتوى من نطاقك الفرعي.
  • سجلات DNS شاملة (*.yourdomain.com) تُحلّ إلى عنوان IP. هذه توسّع سطح الهجوم بجعل كل نطاق فرعي ممكن قابلاً للحل.
  • نقل المنطقة المفتوح (AXFR). إذا سمح خادم DNS الخاص بك بنقل المنطقة لأي شخص، يمكن للمهاجمين تنزيل طوبولوجيا DNS الكاملة في ثوانٍ.
  • سجلات CAA مفقودة أو غير صحيحة. سجلات تفويض سلطة الشهادات تحدد أي جهات إصدار يمكنها إصدار شهادات لنطاقك. بدونها، يمكن لأي جهة إصدار إصدار شهادة، مما يزيد خطر إصدار شهادات احتيالية.

حالة DNSSEC

DNSSEC (امتدادات أمان نظام أسماء النطاقات) تُوقّع سجلات DNS رقمياً، مما يمنع تسميم ذاكرة التخزين المؤقت وهجمات الوسيط. تحقق مما إذا كان DNSSEC مُفعّلاً باستخدام أدوات مثل DNSSEC Analyzer من Verisign.

معظم النطاقات لا تزال لا تُفعّل DNSSEC. إذا لم يكن نطاقك كذلك، فأنت تعتمد كلياً على سلامة كل محلل DNS في السلسلة بين خادمك ومستخدميك.

الطبقة 2: شهادات SSL/TLS

شهادة SSL لا تعني أن اتصالك آمن. التكوين مهم للغاية.

التحقق من سلسلة الشهادات

استخدم اختبار SSL المجاني من SSL Labs (ssllabs.com/ssltest) للتحقق من:

  • صلاحية الشهادة وانتهائها. الشهادات المنتهية تُطلق تحذيرات المتصفح التي تبعد المستخدمين ويمكن استغلالها في هجمات التخفيض.
  • اكتمال سلسلة الشهادات. الشهادات الوسيطة المفقودة تسبب فشل التحقق في بعض المتصفحات والأجهزة المحمولة.
  • قوة المفتاح. مفاتيح RSA الأقصر من 2048 بت أو مفاتيح ECDSA الأقصر من 256 بت تُعتبر ضعيفة.
  • سجلات شفافية الشهادات. تحقق من ظهور شهادتك في سجلات CT العامة. إذا تم إصدار شهادات غير مصرّح بها لنطاقك، فمراقبة سجلات CT ستكشفها.

تكوين البروتوكول والتشفير

يقيّم اختبار SSL Labs أيضاً تكوين TLS الخاص بك:

  • إصدارات TLS. TLS 1.0 و1.1 مهملتان وعرضة للثغرات. يجب تفعيل TLS 1.2 و1.3 فقط.
  • مجموعات التشفير. التشفيرات الضعيفة (RC4، 3DES، مستوى التصدير) يجب تعطيلها. يُفضّل استخدام تشفيرات AEAD مثل AES-GCM وChaCha20-Poly1305.
  • السرية الأمامية. تأكد من أن خادمك يدعم تبادل مفاتيح بسرية أمامية (ECDHE). بدون السرية الأمامية، مفتاح خادم مخترق يفك تشفير كل حركة المرور السابقة.
  • ترويسات HSTS. أمان النقل الصارم عبر HTTP يُجبر المتصفحات على استخدام HTTPS دائماً. تحقق من وجود ترويسة Strict-Transport-Security مع max-age كافٍ (31536000 ثانية على الأقل / سنة واحدة).

الطبقة 3: مصادقة البريد الإلكتروني

انتحال البريد الإلكتروني هو أحد أكثر نواقل الهجوم شيوعاً، وهو قابل للمنع بالكامل مع تكوين DNS صحيح.

SPF (إطار سياسة المرسل)

SPF يحدد أي خوادم بريد مصرّح لها بإرسال بريد إلكتروني نيابة عن نطاقك. استعلم عن سجل SPF الخاص بك:

dig TXT yourdomain.com | grep "v=spf1"

مشاكل شائعة:

  • سجل SPF مفقود. بدون SPF، يمكن لأي شخص إرسال بريد إلكتروني باسم نطاقك.
  • SPF متساهل أكثر من اللازم. استخدام +all أو ?all بدلاً من -all (فشل صارم) يُضعف تطبيق SPF.
  • عمليات بحث DNS كثيرة جداً. SPF لديه حد 10 عمليات بحث. تجاوزه يتسبب في فشل SPF بصمت.

DKIM (البريد المعرّف بمفاتيح النطاق)

DKIM يوقّع رقمياً رسائل البريد الصادرة. تحقق من وجود سجلات DKIM واستخدام أطوال مفاتيح كافية (RSA 2048 بت كحد أدنى).

DMARC (مصادقة الرسائل المستندة إلى النطاق)

DMARC يربط SPF وDKIM معاً ويخبر الخوادم المستقبلة بما يجب فعله مع الرسائل التي تفشل في المصادقة. تحقق من سجل DMARC الخاص بك:

dig TXT _dmarc.yourdomain.com

فحوصات حرجة:

  • مستوى السياسة. p=none يراقب فقط — لا يحجب رسائل البريد المنتحلة. انتقل إلى p=quarantine أو p=reject لحماية المستلمين فعلياً.
  • التقارير. تأكد من أن علامتي rua وruf تشيران إلى عناوين تراقبها. تقارير DMARC تكشف من يرسل بريداً إلكترونياً باسم نطاقك.
  • سياسة النطاق الفرعي. بدون sp=reject، يمكن للمهاجمين انتحال رسائل بريد من نطاقات فرعية مثل billing.yourdomain.com.

الطبقة 4: الخدمات والمنافذ المكشوفة

فحص المنافذ

أدوات مجانية مثل Shodan.io أو Censys.io تتيح لك التحقق من الخدمات التي يكشفها نطاقك للإنترنت. ابحث عن:

  • منافذ مفتوحة غير ضرورية. منافذ قواعد البيانات (3306، 5432، 27017)، ولوحات الإدارة (8080، 8443)، وخوادم التطوير لا يجب أن تكون متاحة علنياً أبداً.
  • إصدارات خدمات قديمة. التقاط البانر يكشف إصدارات البرمجيات. قارنها مع قواعد بيانات CVE للثغرات المعروفة.
  • بيانات اعتماد افتراضية. الخدمات المكشوفة للإنترنت مع صفحات تسجيل دخول افتراضية (phpMyAdmin، Kibana، Grafana) هي أهداف رئيسية للهجمات الآلية.

تعداد النطاقات الفرعية

استخدم أدوات مجانية مثل crt.sh (سجلات شفافية الشهادات) أو Subfinder لاكتشاف جميع النطاقات الفرعية. كل نطاق فرعي هو نقطة دخول محتملة. ابحث عن:

  • بيئات تطوير أو تجريب (dev.، staging.، test.)
  • لوحات إدارة منسية (admin.، panel.، cms.)
  • أدوات داخلية مكشوفة بالخطأ (jenkins.، grafana.، jira.)

ما الذي تفوته الأدوات المجانية

الأدوات المجانية ممتازة للفحوصات النقطية، لكنها تعاني من نقاط عمياء كبيرة:

  • لا سياق تاريخي. الفحوصات المجانية تُظهر الحالة الحالية. لا يمكنها إخبارك إذا ظهر نطاقك في قواعد بيانات الخروقات، أو إذا كانت بيانات اعتماد مرتبطة بنطاقك متداولة، أو إذا استهدف مهاجمون بنيتك التحتية سابقاً.
  • لا ترابط. فحص DNS وSSL والبريد الإلكتروني والمنافذ بشكل منفصل يفوّت الروابط بينها. التدقيق الشامل يربط النتائج عبر جميع الطبقات.
  • لا تسجيل للمخاطر. النتائج الخام بدون ترتيب أولويات تتركك تخمّن ما يجب إصلاحه أولاً.
  • لا تغطية للويب المظلم. الأدوات المجانية تفحص البنية التحتية العامة. لا تتحقق مما إذا كان نطاقك أو بيانات اعتماد موظفيك أو مستنداتك الداخلية يتم تداولها في الأسواق السرية.

الحصول على الصورة الكاملة

التدقيق المجاني يغطي السطح المرئي. للصورة الكاملة — بما في ذلك التعرض للخروقات وتسريبات بيانات الاعتماد وإشارات الويب المظلم وتحليل المخاطر المترابط — تحتاج إلى فحص بمستوى استخباراتي.

أجرِ فحص استخبارات النطاق من Rikon للحصول على تقرير PDF شامل يغطي أمان DNS وتكوين SSL ومصادقة البريد الإلكتروني والخدمات المكشوفة والتعرض للخروقات وخطة إصلاح مولّدة بالذكاء الاصطناعي. دفعة واحدة بقيمة 39.99 دولار — لا اشتراك، لا احتفاظ بالبيانات.

تحقق من تعرّضك الرقمي الآن

احصل على تقرير استخباراتي محلل بالذكاء الاصطناعي لبريدك الإلكتروني أو نطاقك في دقائق.

فحص البريد الإلكتروني — $19.99فحص النطاق — $39.99