Defaults.Exposed › Opsætning › DMARC

Sådan opsætter du DMARC på AWS Route 53

Tilføj en DMARC-record i din Route 53-hosted zone, så du fortæller mailudbydere, hvad de skal gøre med e-mail, der fejler dine tjek.

Hvad det betyder for din virksomhed

DMARC binder SPF og DKIM sammen og tilføjer den manglende instruktion: hvad skal en modtagende mailudbyder gøre, når en e-mail, der påstår at komme fra dig, fejler tjekket? Uden DMARC gætter hver udbyder selv. Med DMARC bestemmer du — og du kan bede dem om at sende dig rapporter, der viser, hvem der sender post i dit navn.

I klart sprog: DMARC er det, der rent faktisk forhindrer kriminelle i at forfalske dit domæne for at bedrage dine kunder eller medarbejdere. Det er politikken oven på de låse, som SPF og DKIM udgør — gratis, og det få minutter er givet godt ud.

Sæt SPF og DKIM op først

DMARC fungerer ved at tjekke resultaterne af SPF og DKIM. Hvis du ikke har tilføjet dem endnu, skal du gøre det først — en DMARC-politik uden noget underneden har intet at håndhæve.

Bekræft at Route 53 kører dit DNS

Som med alle DNS-records virker dette kun, hvis Route 53 svarer på DNS for dit domæne. Route 53 er din DNS-host, ikke din postkasseudbyder. Åbn Hosted zones i Route 53-konsollen, vælg dit domæne, og notér de fire NS-værdier (nameservers) — de skal matche de nameservers, der er sat hos din registrar. Har du registreret domænet via Route 53, matcher de normalt allerede; er det registreret et andet sted — eller har du mere end én hosted zone for domænet — tjekker du grundigt. Peger de live nameservers et andet sted hen, skal du tilføje DMARC-recorden hos den pågældende udbyder i stedet.

Trin for trin på Route 53

1. Log ind på AWS-konsollen, og åbn Route 53.
2. Vælg Hosted zones i menuen til venstre, og klik på dit domænenavn.
3. Klik Create record.
4. Vises en guide med routingmuligheder, skifter du til den simple formular (kig efter Quick create record).
5. I feltet Record name skriver du præcis: _dmarc Skriv ikke dit domænenavn bagefter — Route 53 tilføjer det selv (det vises ved siden af feltet).
6. Sæt Record type til TXT.
7. I Value starter du blidt med en politik, der kun overvåger — i dobbelte anførselstegn: "v=DMARC1; p=none; rua=mailto:[email protected]" Erstat adressen med en postkasse, du faktisk læser. Dette beder udbydere om at sende dig opsummerende rapporter uden at ændre, hvordan e-mail behandles endnu.
8. Lad TTL stå på standard.
9. Klik Create records.

Valg af politik (delen med p=)

• p=none — overvåg kun. Intet blokeres; du modtager blot rapporter. Start her.
• p=quarantine — send fejlende post til spam/uønsket.
• p=reject — afvis fejlende post direkte (den stærkeste beskyttelse).

Kør p=none i et par uger, læs rapporterne for at bekræfte at al din legitime post består, og gå derefter op til quarantine og til sidst reject. Springer du direkte til reject, før du har tjekket rapporterne, risikerer du at blokere din egen rigtige e-mail.

Fælder folk typisk falder i på Route 53

• Værdien skal stå i dobbelte anførselstegn. Route 53 forventer, at du selv skriver anførselstegnene: "v=DMARC1; p=none; ...". Det er den hyppigste Route 53-fejl at udelade dem.
• Record name er _dmarc, med understreg. En hyppig fejl er at droppe understregen eller at skrive _dmarc.yourdomain.com — i Route 53 skriver du kun _dmarc, og zonen tilføjes automatisk. Skriver du hele domænet, opstår det fejlbehæftede hostnavn _dmarc.yourdomain.com.yourdomain.com, som aldrig tjekkes.
• Kun én DMARC-record. Ligesom SPF må der kun være én DMARC TXT-record ved _dmarc. Hvis der allerede findes en, skal du redigere den i stedet for at tilføje en ny.
• Brug en rigtig rapporteringspostkasse. Adressen efter rua=mailto: skal være en, du faktisk tjekker, ellers er rapporterne spildt. Den kan være på samme domæne eller et andet. (Peger du rapporter til et domæne, du ikke kontrollerer, skal det domæne give tilladelse — men for dit eget domæne er det uproblematisk.)
• Rigtig hosted zone, rigtig konto. Med flere zoner eller AWS-konti er det nemt at redigere den forkerte. Bekræft, at zonens fire NS-værdier matcher dine live nameservers.
• Giv det tid. DNS-ændringer kan tage fra få minutter op til et par timer at slå igennem.

Verificer at det virkede

Når recorden er gemt og propageret, kan du køre den gratis kontrol på dette site. Den fortæller dig på klart sprog, om din DMARC-record er på plads, og hvilken politik du har sat.

Færdig? Tjek dit domæne gratis for at bekræfte, at det virkede — og se din fulde karakter på tværs af alle 34 kontroller.