Defaults.Exposed › Nastavení › DMARC

Jak nastavit DMARC na AWS Route 53

Přidejte DMARC záznam do hosted zóny Route 53 a řekněte poštovním serverům, co mají dělat s e-maily, které neprojdou vašimi kontrolami.

Co to znamená pro vaši firmu

DMARC propojuje SPF a DKIM a přidává chybějící instrukci: co má přijímající poštovní server udělat, když e-mail tvrdící, že pochází od vás, nesplní kontroly? Bez DMARC každý server hádá. S ním rozhodujete vy — a můžete požádat o zasílání zpráv, kdo posílá e-maily vaším jménem.

Jednoduše řečeno: DMARC je to, co skutečně brání podvodníkům zneužít vaši doménu k podvodům vůči zákazníkům nebo zaměstnancům. Je to politika nad zámky, které poskytují SPF a DKIM — zdarma, za pár minut nastavení.

Nejprve nastavte SPF a DKIM

DMARC ověřuje výsledky SPF a DKIM. Pokud jste je ještě nepřidali, udělejte to nejdříve — DMARC politika bez základů pod sebou nemá co vymáhat.

Ověřte, že Route 53 spravuje vaše DNS

Stejně jako u každého DNS záznamu, toto funguje pouze tehdy, pokud Route 53 odpovídá na DNS dotazy pro vaši doménu. Route 53 je váš DNS hostitel, nikoli poskytovatel schránek. V konzoli Route 53 otevřete Hosted zones, vyberte svou doménu a poznamenejte si čtyři hodnoty NS (jmenné servery) — ty musí odpovídat jmenným serverům nastaveným u vašeho registrátora. Pokud jste doménu zaregistrovali přes Route 53, obvykle se shodují; pokud je registrována jinde — nebo máte více hosted zón pro doménu — ověřte to pečlivě. Pokud živé jmenné servery ukazují jinam, přidejte DMARC záznam u toho poskytovatele, který vaše DNS skutečně spravuje.

Postup na Route 53

1. Přihlaste se do AWS konzole a otevřete Route 53.
2. V levém menu zvolte Hosted zones a klikněte na název vaší domény.
3. Klikněte na Create record.
4. Pokud se zobrazí průvodce s možnostmi směrování, přepněte na jednoduchý formulář (hledejte Quick create record).
5. Do pole Record name zadejte přesně: _dmarc Nezadávejte název domény za to — Route 53 doménu doplní automaticky (zobrazuje ji vedle pole).
6. Nastavte Record type na TXT.
7. Do pole Value začněte opatrně s politikou pouze pro monitorování, v dvojitých uvozovkách: "v=DMARC1; p=none; rua=mailto:[email protected]" Nahraďte adresu schránkou, kterou skutečně čtete. Tím požádáte poskytovatele, aby vám posílali souhrnné zprávy, aniž by se teď cokoli měnilo v nakládání s poštou.
8. TTL nechte na výchozí hodnotě.
9. Klikněte na Create records.

Volba politiky (část p=)

• p=none — pouze monitorování. Nic se neblokuje; jen dostáváte zprávy. Začněte zde.
• p=quarantine — neúspěšné e-maily přesměrovat do spamu/nevyžádané pošty.
• p=reject — neúspěšné e-maily odmítnout úplně (nejsilnější ochrana).

Nechte p=none běžet několik týdnů, přečtěte si zprávy a ověřte, že veškerá legitimní pošta prochází, pak přejděte na quarantine a nakonec na reject. Přeskočit rovnou na reject bez přečtení zpráv riskuje blokování vaší vlastní pošty.

Časté chyby na Route 53

• Hodnota musí být v dvojitých uvozovkách. Route 53 očekává, že uvozovky zapíšete sami: "v=DMARC1; p=none; ...". Jejich vynechání je nejčastější chybou na Route 53.
• Název záznamu je _dmarc, s podtržítkem. Časté je podtržítko vynechat nebo zapsat _dmarc.vasedomena.com — v Route 53 zadejte jen _dmarc a zóna se doplní automaticky. Zapsání celé domény vytvoří nefunkční hostname _dmarc.vasedomena.com.vasedomena.com, který se nikdy nekontroluje.
• Pouze jeden DMARC záznam. Stejně jako u SPF musí existovat jediný DMARC TXT záznam na _dmarc. Pokud už jeden existuje, upravte ho místo přidání druhého.
• Používejte skutečnou schránku pro zprávy. Adresa za rua=mailto: by měla být taková, kterou opravdu čtete, jinak jsou zprávy k ničemu. Může být na stejné nebo jiné doméně. (Pokud směrujete zprávy na doménu, kterou nekontrolujete, tato doména to musí autorizovat — pro vaši vlastní doménu to není potřeba.)
• Správná hosted zóna, správný účet. Při více zónách nebo AWS účtech je snadné editovat tu špatnou. Ověřte, že čtyři NS hodnoty zóny odpovídají vašim živým jmenným serverům.
• Dejte tomu čas. Změny DNS mohou trvat od několika minut až po pár hodin.

Ověření, že vše funguje

Po uložení a propagaci spusťte bezplatnou kontrolu na tomto webu. V srozumitelném jazyce vám řekne, zda je váš DMARC záznam na místě a jakou politiku jste nastavili.

Hotovo? Zkontrolujte svou doménu zdarma a ověřte, že to fungovalo — a zobrazí se vaše úplné hodnocení ve všech 34 kontrolách.