Threema یکی از معدود پیامرسانهایی است که واقعاً با تمرکز بر امنیت شرکتی طراحی شده است: رمزگذاری سرتاسری، حداقل متاداده، سرورها در سوئیس. اما حتی این پیامرسان نیز نقطه ضعفی دارد — سطح شبکه. اگر ارائهدهنده شما ترافیک را مسدود کند، بخش IT شرکتی اتصالات را محدود کند یا شما نیاز به پنهان کردن خود استفاده از پیامرسان داشته باشید — بدون پروکسی نمیتوان کار کرد.
در این مقاله بررسی میکنیم که چگونه پروکسی را به Threema Work و نسخه عادی متصل کنیم، چه نوع پروکسی برای وظایف شرکتی مناسب است و چگونه در هنگام تنظیمات امنیت را از دست ندهیم.
چرا Threema به پروکسی نیاز دارد: سناریوهای واقعی شرکتی
بسیاری فکر میکنند که چون Threema همه چیز را با رمزگذاری سرتاسری رمزگذاری میکند، پروکسی در اینجا اضافی است. در عمل اینطور نیست. رمزگذاری محتوای پیامها را محافظت میکند، اما واقعیت اتصال به سرورهای Threema را پنهان نمیکند. در واقع در سطح شبکه است که بیشتر مشکلات شرکتی به وجود میآید.
بیایید به موقعیتهای خاصی بپردازیم که در آن پروکسی به یک ضرورت تبدیل میشود:
سناریو 1: مسدودیتهای منطقهای
در برخی کشورها و شبکههای شرکتی، ترافیک به سرورهای Threema در سطح فایروال مسدود میشود. این موضوع به ویژه برای شرکتهایی که دفاتری در کشورهایی با قوانین سختگیرانه اینترنت دارند، بسیار مهم است. کارمند Threema Work را باز میکند و با خطای اتصال مواجه میشود. در این حالت پروکسی به عنوان یک گره میانی عمل میکند: ترافیک به طور مستقیم به سرورهای Threema نمیرود، بلکه از طریق آدرس IP در حوزه قضایی مجاز عبور میکند.
سناریو 2: کنترل IT شرکتی
شرکتهای بزرگ اغلب تمام ترافیک کارکنان را از طریق یک سرور پروکسی شرکتی هدایت میکنند — برای نظارت، فیلتر کردن و ثبت. اگر Threema Work برای کار از طریق این پروکسی تنظیم نشده باشد، در شبکه اداری به سادگی متصل نخواهد شد. مدیران IT باید پروکسی را به وضوح در پیکربندی برنامه مشخص کنند، در غیر این صورت پیامرسان در دستگاههای کاری در دسترس نخواهد بود.
سناریو 3: جاسوسی رقابتی و ناشناسی مذاکرات
برای مدیران ارشد و بخشهای حقوقی، نه تنها محتوای مذاکرات مهم است، بلکه متادادهها نیز اهمیت دارند: از کدام IP ارتباط برقرار میشود، شرکتکنندگان در کدام منطقه قرار دارند. پروکسی این امکان را میدهد که آدرس IP واقعی دفتر شرکتی یا کارمند خاص پنهان شود — به ویژه در طول مذاکرات M&A، زمانی که حتی واقعیت ارتباط با یک طرف خاص میتواند اطلاعات حساسی باشد.
سناریو 4: کار کارکنان دورکار
کارکنان دورکار از کشورهای مختلف با اتصال ناپایدار به سرورهای Threema مواجه هستند. پروکسی با سرورهایی در منطقه مورد نیاز کمک میکند تا تأخیر کاهش یابد و اتصال پایداری فراهم شود — به ویژه برای تیمها در آسیا، آمریکای لاتین و آفریقا، جایی که اتصال مستقیم به سرورهای سوئیسی Threema ممکن است ناپایدار باشد.
مهم است که درک کنید:
پروکسی جایگزین رمزگذاری Threema نمیشود — این دو در سطوح مختلف کار میکنند. در کنار هم، آنها یک لایه دوگانه حفاظت را فراهم میکنند: محتوا رمزگذاری شده است و منبع ترافیک پنهان است.
Threema Work در مقابل Threema عادی: تفاوتها برای کسب و کار
قبل از اینکه به تنظیمات برویم، مهم است که بفهمیم با کدام نسخه کار میکنید. این موضوع تعیین میکند که پروکسی چگونه تنظیم میشود.
| پارامتر | Threema (شخصی) | Threema Work (شرکتی) |
|---|---|---|
| مدیریت | کاربر | مدیر IT از طریق MDM |
| تنظیم پروکسی | از طریق تنظیمات سیستم دستگاه | از طریق پروفایل MDM یا فایل پیکربندی |
| پشتیبانی از SOCKS5 | بستگی به تنظیمات سیستم دارد | از طریق پیکربندی پشتیبانی میشود |
| سیاستهای امنیتی | ندارد | سیاستهای متمرکز |
| هدف مخاطب | افراد خصوصی | شرکتها از 10 نفر |
برای اکثر سناریوهای شرکتی، از Threema Work استفاده میشود — این امکان را به مدیر IT میدهد که به طور متمرکز تنظیمات، از جمله پروکسی، را از طریق سیستم MDM (مدیریت دستگاههای موبایل) مدیریت کند — به عنوان مثال، Jamf، Microsoft Intune یا VMware Workspace ONE.
اگر شما از Threema عادی استفاده میکنید — پروکسی از طریق تنظیمات سیستم دستگاه تنظیم میشود (پروکسی Wi-Fi در iOS یا پروکسی جهانی در Android). این گزینه کمتر انعطافپذیر است، اما برای تیمهای کوچک کاملاً کارآمد است.
چه نوع پروکسی برای Threema انتخاب کنیم
هر پروکسی به یک اندازه برای پیامرسان شرکتی مناسب نیست. بیایید به انواع اصلی و کاربرد آنها در Threema بپردازیم.
پروکسیهای مسکونی
پروکسیهای مسکونی از آدرسهای IP کاربران واقعی خانگی استفاده میکنند. این نوع پروکسی کمتر قابل شناسایی است: ترافیک از چنین IP به عنوان یک کاربر اینترنتی عادی به نظر میرسد، نه به عنوان یک سرور شرکتی. برای Threema این موضوع در مواردی که نیاز به دور زدن مسدودیت بر اساس نوع آدرس IP وجود دارد، اهمیت دارد — بسیاری از فایروالها به طور خاص IPهای دیتاسنترها را مسدود میکنند، در حالی که آدرسهای مسکونی را عبور میدهند.
نقطه ضعف پروکسیهای مسکونی برای پیامرسان شرکتی — چرخش IP است. اگر پروکسی هر چند دقیقه یک بار آدرس را تغییر دهد، این میتواند مشکلاتی در احراز هویت در Threema ایجاد کند. بنابراین برای این کار باید پروکسیهای مسکونی با جلسات چسبنده — IP ثابت برای مدت طولانی (از 10 دقیقه تا 24 ساعت) انتخاب کنید.
پروکسیهای موبایل
پروکسیهای موبایل از آدرسهای IP اپراتورهای موبایل (3G/4G/5G) استفاده میکنند. این نوع ترافیک از نظر هر نوع سیستم فیلتر کردن، معتبرترین نوع است — IPهای موبایل به ندرت در لیستهای مسدود قرار میگیرند. برای Threema، پروکسیهای موبایل به ویژه زمانی خوب هستند که کارکنان از برنامه بر روی گوشیهای هوشمند استفاده میکنند: ترافیک به طور طبیعی در الگوی موبایل جا میگیرد.
پروکسیهای موبایل گرانتر از پروکسیهای مسکونی هستند، اما برای امنیت شرکتی این هزینهها توجیهپذیر است — به ویژه برای مدیران ارشد و بخشهای حقوقی، جایی که ناشناسی مذاکرات حیاتی است.
پروکسیهای دیتاسنتر
پروکسیهای دیتاسنتر سریعترین و مقرون به صرفهترین گزینه هستند. آنها به خوبی برای دور زدن فایروالهای شرکتی در داخل شرکت مناسب هستند، زمانی که مدیر IT خود پروکسی را برای مسیریابی ترافیک Threema تنظیم میکند. با این حال، اگر هدف پنهان کردن ترافیک شرکتی از ناظران خارجی باشد، IPهای دیتاسنتر به راحتی به عنوان "غیر خانگی" شناسایی میشوند.
| نوع پروکسی | سرعت | ناشناسی | بهترین سناریو برای Threema |
|---|---|---|---|
| مسکونی | متوسط | بالا | دور زدن مسدودیتهای منطقهای |
| موبایل | متوسط | حداکثر | ناشناسی مدیران ارشد |
| دیتاسنتر | بالا | متوسط | سرور پروکسی شرکتی |
تنظیم پروکسی در Threema بر روی Android
در Android دو روش برای اتصال پروکسی به Threema وجود دارد: از طریق تنظیمات سیستم Wi-Fi یا از طریق برنامه پروکسی (به عنوان مثال، ProxyDroid یا Shadowsocks). روش اول سادهتر است، روش دوم انعطافپذیرتر است.
روش 1: از طریق تنظیمات Wi-Fi (پروکسی HTTP)
این روش کار میکند اگر پروکسی شما از پروتکل HTTP/HTTPS پشتیبانی کند. مراحل:
- به تنظیمات → Wi-Fi در دستگاه خود بروید.
- شبکه متصل شده را فشار داده و نگه دارید — «تغییر شبکه» را انتخاب کنید.
- بخش «تنظیمات اضافی» را باز کنید.
- در قسمت «پروکسی» «دستی» را انتخاب کنید.
- آدرس پروکسی (آدرس IP سرور پروکسی شما) و پورت را وارد کنید.
- اگر پروکسی نیاز به احراز هویت دارد — نام کاربری و رمز عبور را در فیلدهای مربوطه وارد کنید (در Android 10+ در دسترس است).
- بر روی «ذخیره» کلیک کرده و Threema را دوباره راهاندازی کنید.
اتصال را بررسی کنید: در Threema به تنظیمات → درباره Threema بروید و بر روی نسخه کلیک کنید تا تشخیص ارسال شود — اگر اتصال برقرار شده باشد، برنامه وضعیت سبز را نشان میدهد.
روش 2: از طریق SOCKS5 (برای کاربران پیشرفته)
Android به طور مستقیم از SOCKS5 در سطح سیستم پشتیبانی نمیکند. برای کار با SOCKS5 در Threema از برنامه ProxyDroid (نیاز به روت دارد) استفاده کنید یا یک تونل از طریق SSH تنظیم کنید. برای کاربران شرکتی، استفاده از VPN شرکتی همراه با پروکسی — یک راهحل قابل مدیریتتر است.
نکته برای استقرار شرکتی:
اگر شما دستگاههای کارکنان را از طریق MDM (به عنوان مثال، Microsoft Intune) مدیریت میکنید، تنظیم پروکسی میتواند به طور متمرکز به تمام دستگاههای Android شرکتی از طریق پروفایل پیکربندی اعمال شود. این کار از نیاز به تنظیم هر دستگاه به صورت دستی جلوگیری میکند.
تنظیم پروکسی در Threema بر روی iPhone (iOS)
در iOS، Threema از تنظیمات سیستم پروکسی استفاده میکند — تنظیم جداگانهای در داخل برنامه وجود ندارد. پروکسی باید در سطح شبکه Wi-Fi یا از طریق پروفایل MDM تنظیم شود.
تنظیم از طریق Wi-Fi
- به تنظیمات → Wi-Fi بروید.
- بر روی آیکون (i) در کنار شبکه متصل شده کلیک کنید.
- به پایین بروید تا بخش «پروکسی HTTP» را پیدا کنید.
- «دستی» را انتخاب کنید.
- آدرس سرور (آدرس IP پروکسی) و پورت را وارد کنید.
- اگر احراز هویت لازم است — سوئیچ «احراز هویت» را روشن کرده و نام کاربری و رمز عبور را وارد کنید.
- بر روی «تمام شد» کلیک کنید — iOS به طور خودکار تنظیمات را به تمام برنامهها، از جمله Threema، اعمال میکند.
تنظیم از طریق فایل PAC
برای استفاده شرکتی، بهتر است از فایل PAC (پیکربندی خودکار پروکسی) استفاده کنید — این امکان را میدهد که قوانین را تعیین کنید: کدام ترافیک از طریق پروکسی میرود و کدام به طور مستقیم. به عنوان مثال، میتوانید فقط ترافیک Threema را از طریق پروکسی هدایت کنید و بقیه ترافیک را بدون تغییر بگذارید.
- در بخش «پروکسی HTTP» «به طور خودکار» را انتخاب کنید.
- URL فایل PAC که توسط بخش IT شما ارائه شده است را وارد کنید.
- iOS پیکربندی را بارگذاری کرده و به طور خودکار آن را اعمال میکند.
تنظیم از طریق MDM (Jamf, Intune)
روش شرکتی — استقرار پروفایل پیکربندی از طریق MDM. در Jamf Pro این کار از طریق پروفایلهای پیکربندی → شبکه → پروکسی انجام میشود. پروفایل به طور خودکار به تمام iPhoneهای شرکتی کارکنان بدون دخالت آنها اعمال میشود. این بهترین رویکرد برای شرکتهایی با تعداد دستگاههای بالای 20 عدد است.
تنظیم پروکسی در Threema بر روی کامپیوتر (Windows/Mac)
Threema Desktop (نسخه کامپیوتری) نیز از تنظیمات سیستم پروکسی سیستمعامل استفاده میکند. تنظیم جداگانهای برای پروکسی در داخل برنامه وجود ندارد — این یک تصمیم عمدی از سوی توسعهدهندگان برای سادهسازی مدیریت است.
Windows 10/11
- به تنظیمات → شبکه و اینترنت → پروکسی بروید.
- در بخش «تنظیم پروکسی به صورت دستی» سوئیچ «استفاده از پروکسی» را روشن کنید.
- آدرس پروکسی (IP پروکسی) و پورت را وارد کنید.
- اگر نیاز به استثنا کردن آدرسهای محلی دارید — تیک «برای آدرسهای محلی از پروکسی استفاده نکنید» را بزنید.
- بر روی «ذخیره» کلیک کرده و Threema Desktop را دوباره راهاندازی کنید.
macOS
- به تنظیمات سیستم → شبکه بروید.
- اتصال شبکه فعال (Wi-Fi یا Ethernet) را انتخاب کرده و بر روی «تنظیمات اضافی» کلیک کنید.
- به تب «پروکسی» بروید.
- نوع پروکسی مورد نیاز را فعال کنید: «پروکسی وب (HTTP)» یا «پروکسی وب امن (HTTPS)».
- آدرس و پورت سرور پروکسی را وارد کنید. در صورت نیاز — نام کاربری و رمز عبور.
- بر روی «OK» و «اعمال» کلیک کنید. Threema Desktop را دوباره راهاندازی کنید.
بررسی عملکرد پروکسی:
پس از تنظیم، مرورگر را باز کرده و به whatismyip.com بروید — اگر IP پروکسی شما نمایش داده شود و نه IP واقعی دفتر، تنظیم به درستی انجام شده است. سپس Threema Desktop را راهاندازی کرده و وضعیت اتصال را بررسی کنید.
امنیت شرکتی: چه نکاتی را در هنگام استقرار باید در نظر گرفت
استفاده از پروکسی با Threema در محیط شرکتی — این فقط یک وظیفه فنی نیست، بلکه یک وظیفه سازمانی نیز هست. در اینجا جنبههای کلیدی وجود دارد که باید قبل از شروع استقرار به آنها پرداخته شود.
1. انتخاب حوزه قضایی سرور پروکسی
سرورهای Threema در سوئیس قرار دارند. برای حداقل تأخیر، پروکسیهایی با سرورهایی در غرب اروپا انتخاب کنید. اگر کارکنان از آسیا کار میکنند — به دنبال پروکسیهایی با نقاط حضور در سنگاپور یا هنگ کنگ باشید. مهم است: اطمینان حاصل کنید که حوزه قضایی ارائهدهنده پروکسی او را ملزم به ذخیره و انتقال لاگهای ترافیک نمیکند — این برای حفظ حریم خصوصی شرکتی حیاتی است.
2. سیاست ثبت ارائهدهنده پروکسی
از ارائهدهنده پروکسی، سیاست ثبت (No-logs policy) را درخواست کنید. برای ارتباطات شرکتی از طریق Threema، حیاتی است که ارائهدهنده متادادهها را ذخیره نکند: چه کسی، چه زمانی و با کدام IP متصل شده است. اگرچه محتوای مکالمات در سطح Threema رمزگذاری شده است، متادادههای اتصالات میتوانند حساس باشند.
3. پروتکل: HTTP در مقابل SOCKS5
برای Threema توصیه میشود از SOCKS5 استفاده کنید، اگر از نظر فنی ممکن باشد. SOCKS5 در سطح پایینتری کار میکند و هدرهای درخواستها را تغییر نمیدهد — این برای عملکرد صحیح نوتیفیکیشنهای فشاری و همگامسازی پیامها مهم است. پروکسی HTTP نیز کار میکند، اما ممکن است در انتقال دادههای باینری (فایلها، پیامهای صوتی) تأخیر ایجاد کند.
4. احراز هویت پروکسی: IP-whitelist در مقابل نام کاربری/رمز عبور
برای استفاده شرکتی، احراز هویت با لیست سفید IP (IP-whitelist) ترجیح داده میشود — این نیاز به ذخیره رمزها در دستگاههای کارکنان را از بین میبرد و مدیریت آن سادهتر است. اگر کارکنان از IPهای دینامیک (به عنوان مثال، از خانه) کار میکنند، از احراز هویت با نام کاربری و رمز عبور با چرخش اطلاعات کاربری هر سه ماه یک بار استفاده کنید.
5. نظارت و پروکسی پشتیبان
برای ارتباطات شرکتی حیاتی، نظارت بر دسترسی سرور پروکسی را تنظیم کنید. حداقل از دو پروکسی در دیتاسنترهای مختلف استفاده کنید — اصلی و پشتیبان. اگر پروکسی اصلی در دسترس نباشد، کارکنان باید بدانند چگونه بدون از دست دادن دسترسی به Threema Work به پروکسی پشتیبان سوئیچ کنند.
اشتباهات رایج در استفاده از پروکسی با Threema
در عمل، بیشتر مشکلات مربوط به کارکرد Threema از طریق پروکسی به دلیل چندین اشتباه رایج به وجود میآید. بیایید آنها را به تفصیل بررسی کنیم تا شما بر روی همان مشکلات نخورید.
اشتباه 1: استفاده از پروکسیهای رایگان
پروکسیهای رایگان یک تهدید مستقیم برای امنیت شرکتی هستند. آنها اغلب تمام ترافیک عبوری را ثبت میکنند، ممکن است کدهای مخرب را وارد کنند و اغلب در سطح سرورهای Threema مسدود شدهاند. برای پیامرسان شرکتی که شما به دلیل امنیت از آن استفاده میکنید، پروکسی رایگان به طور کامل مزایای Threema را خنثی میکند.
اشتباه 2: پروکسی با چرخش IP بدون جلسات چسبنده
اگر پروکسی شما هر 1-5 دقیقه IP را تغییر دهد، Threema به طور مداوم اتصال را از دست میدهد و نیاز به احراز هویت مجدد دارد. برای پیامرسان، جلسات چسبنده — IP ثابت حداقل برای 30 دقیقه نیاز است. هنگام انتخاب ارائهدهنده پروکسی حتماً حداکثر زمان جلسه چسبنده را بررسی کنید.
اشتباه 3: پروکسی فقط برای بخشی از دستگاهها
وضعیت رایج: پروکسی بر روی لپتاپهای شرکتی تنظیم شده است، اما بر روی گوشیهای هوشمند کارکنان نه. در نتیجه، یک حساب Threema Work یک بار از طریق پروکسی و بار دیگر به طور مستقیم — از IPهای مختلف متصل میشود. این میتواند باعث ایجاد شک و تردید در سیستمهای امنیتی شود و منجر به مسدود شدن حساب شود. پروکسی را به طور یکسان بر روی تمام دستگاههای یک کارمند خاص تنظیم کنید.
اشتباه 4: نادیده گرفتن نشت DNS
حتی با تنظیم پروکسی، درخواستهای DNS ممکن است به دور از آن بروند — به طور مستقیم به سرور DNS ارائهدهنده. این به عنوان نشت DNS شناخته میشود. در نتیجه، با وجود پروکسی، مکان واقعی دفتر ممکن است فاش شود. پس از تنظیم پروکسی، نشت DNS را در وبسایت dnsleaktest.com بررسی کنید. برای رفع آن از DNS-over-HTTPS (DoH) استفاده کنید یا پروکسی را با پشتیبانی از پروکسی DNS تنظیم کنید (SOCKS5 با DNS از راه دور).
اشتباه 5: پروکسی بدون پشتیبانی از WebSocket
Threema از WebSocket برای حفظ اتصال دائمی با سرور (نوتیفیکیشنهای فشاری، تحویل سریع پیامها) استفاده میکند. برخی از پروکسیهای HTTP از WebSocket پشتیبانی نمیکنند یا اتصالات طولانیمدت را مسدود میکنند. قبل از انتخاب ارائهدهنده، از پشتیبانی WebSocket اطمینان حاصل کنید — در غیر این صورت، نوتیفیکیشنها با تأخیر یا اصلاً نمیرسند.
اشتباه 6: عدم آزمایش قبل از استقرار
قبل از اینکه پروکسی را بر روی تمام دستگاههای شرکتی مستقر کنید، پیکربندی را بر روی 2-3 دستگاه به مدت یک هفته آزمایش کنید. بررسی کنید: ثبات اتصال، سرعت تحویل پیامها، عملکرد تماسهای صوتی و انتقال فایلها. تنها پس از آزمایش موفقیتآمیز به استقرار انبوه بروید.
نتیجهگیری و توصیهها
Threema یک ابزار قدرتمند برای ارتباطات شرکتی است، اما امنیت آن میتواند به طور قابل توجهی با افزودن پروکسی در سطح شبکه تقویت شود. پروکسی مسائل را حل میکند که رمزگذاری به تنهایی نمیتواند آنها را پوشش دهد: دور زدن مسدودیتهای منطقهای، پنهان کردن IP شرکتی، مسیریابی ترافیک از طریق فایروال شرکتی و تضمین اتصال پایدار برای کارکنان دورکار.
نکات کلیدی از مقاله:
- برای دور زدن مسدودیتهای منطقهای از پروکسیهای مسکونی با جلسات چسبنده استفاده کنید.
- برای حداکثر ناشناسی مدیران ارشد — پروکسیهای موبایل.
- برای استقرار شرکتی پروکسی را از طریق MDM (Jamf, Intune) تنظیم کنید، نه به صورت دستی.
- همیشه پس از تنظیم، نشت DNS را بررسی کنید.
- از ارائهدهنده خواستار پشتیبانی WebSocket و جلسات چسبنده حداقل 30 دقیقه باشید.
- هرگز از پروکسیهای رایگان برای ارتباطات شرکتی استفاده نکنید.
اگر به دنبال یک راهحل مطمئن برای حفاظت از ارتباطات شرکتی از طریق Threema هستید، توصیه میکنیم به پروکسیهای مسکونی توجه کنید — آنها سطح بالایی از ناشناسی، حداقل خطر مسدودیتها و پشتیبانی از جلسات چسبنده را که برای عملکرد پایدار پیامرسان ضروری است، فراهم میکنند. برای وظایفی که ناشناسی حداکثری مذاکرات در آن اهمیت دارد، بهترین انتخاب پروکسیهای موبایل خواهند بود — ترافیک آنها برای هر نوع سیستم فیلتر کردن به طور طبیعی به نظر میرسد.
```