Defaults.Exposed › Ρύθμιση › DMARC

Πώς να ρυθμίσετε το DMARC στο AWS Route 53

Προσθέστε μια εγγραφή DMARC στο hosted zone του Route 53 για να ορίσετε τι κάνουν οι παροχοί email με αλληλογραφία που αποτυγχάνει στους ελέγχους σας.

Γιατί αυτό έχει σημασία για την επιχείρησή σας

Το DMARC συνδέει το SPF και το DKIM και προσθέτει την απαραίτητη οδηγία: τι πρέπει να κάνει ένας παροχός email όταν ένα μήνυμα που ισχυρίζεται ότι προέρχεται από εσάς αποτυγχάνει στους ελέγχους; Χωρίς DMARC, κάθε παροχός εικάζει. Με αυτό, αποφασίζετε εσείς — και μπορείτε να ζητήσετε να σας αποστέλλουν αναφορές που δείχνουν ποιος στέλνει email στο όνομά σας.

Με απλά λόγια: το DMARC είναι αυτό που σταματά στην πράξη τους εγκληματίες από το να παριστάνουν τον τομέα σας για να εξαπατήσουν πελάτες ή υπαλλήλους σας. Είναι η πολιτική που στηρίζεται στις κλειδαριές που παρέχουν το SPF και το DKIM — δωρεάν, και αξίζει τα λίγα λεπτά που χρειάζεται.

Ρυθμίστε πρώτα το SPF και το DKIM

Το DMARC λειτουργεί ελέγχοντας τα αποτελέσματα του SPF και του DKIM. Αν δεν τα έχετε προσθέσει ακόμα, κάντε το πρώτα — μια πολιτική DMARC χωρίς τίποτα από κάτω δεν έχει τι να εφαρμόσει.

Επιβεβαιώστε ότι το Route 53 διαχειρίζεται το DNS σας

Όπως με κάθε εγγραφή DNS, αυτό λειτουργεί μόνο αν το Route 53 απαντά στα DNS ερωτήματα για τον τομέα σας. Το Route 53 είναι ο DNS host σας, όχι ο παροχός γραμματοκιβωτίων. Στην κονσόλα Route 53, ανοίξτε Hosted zones, επιλέξτε τον τομέα σας, και σημειώστε τις τέσσερις τιμές NS (nameserver)· αυτές πρέπει να ταιριάζουν με τους nameservers που έχετε ορίσει στον registrar σας. Αν οι ενεργοί nameservers δείχνουν αλλού, προσθέστε την εγγραφή DMARC στον παροχό που διαχειρίζεται το DNS σας.

Βήμα προς βήμα στο Route 53

1. Συνδεθείτε στην κονσόλα AWS και ανοίξτε το Route 53.
2. Στο αριστερό μενού, επιλέξτε Hosted zones, και μετά κάντε κλικ στο όνομα τομέα σας.
3. Κάντε κλικ στο Create record.
4. Αν εμφανιστεί οδηγός με επιλογές routing, μεταβείτε στην απλή φόρμα (αναζητήστε Quick create record).
5. Στο Record name, εισάγετε ακριβώς: _dmarc Μην πληκτρολογήσετε το όνομα τομέα σας μετά — το Route 53 το προσθέτει αυτόματα (εμφανίζει τον τομέα σας δίπλα στο πεδίο).
6. Ορίστε τον Record type σε TXT.
7. Στο Value, ξεκινήστε ήπια με μια πολιτική μόνο παρακολούθησης, τυλιγμένη σε διπλά εισαγωγικά: "v=DMARC1; p=none; rua=mailto:[email protected]" Αντικαταστήστε τη διεύθυνση με ένα γραμματοκιβώτιο που πραγματικά διαβάζετε. Αυτό ζητά από τους παροχούς να σας στέλνουν συνοπτικές αναφορές χωρίς να αλλάζουν πώς χειρίζονται την αλληλογραφία σας για τώρα.
8. Αφήστε το TTL στην προεπιλογή.
9. Κάντε κλικ στο Create records.

Επιλογή πολιτικής (το τμήμα p=)

• p=none — μόνο παρακολούθηση. Τίποτα δεν αποκλείεται· απλώς λαμβάνετε αναφορές. Ξεκινήστε από εδώ.
• p=quarantine — αποστολή αποτυχημένης αλληλογραφίας στα ανεπιθύμητα/junk.
• p=reject — οριστική απόρριψη αποτυχημένης αλληλογραφίας (η ισχυρότερη προστασία).

Εκτελέστε p=none για μερικές εβδομάδες, διαβάστε τις αναφορές για να επιβεβαιώσετε ότι η νόμιμη αλληλογραφία σας περνά, και μετά προχωρήστε σε quarantine και τελικά σε reject. Το να μεταβείτε αμέσως σε reject πριν ελέγξετε τις αναφορές κινδυνεύει να μπλοκάρει τα δικά σας νόμιμα email.

Συνηθισμένα λάθη στο Route 53

• Η τιμή πρέπει να είναι σε διπλά εισαγωγικά. Το Route 53 απαιτεί να πληκτρολογήσετε εσείς τα εισαγωγικά: "v=DMARC1; p=none; ...". Η παράλειψή τους είναι το πιο συνηθισμένο λάθος στο Route 53.
• Το record name είναι _dmarc, με την κάτω παύλα. Ένα συνηθισμένο λάθος είναι η παράλειψη της κάτω παύλας, ή η πληκτρολόγηση _dmarc.yourdomain.com — στο Route 53 εισάγετε μόνο _dmarc και η ζώνη προσαρτάται αυτόματα. Η πληκτρολόγηση του πλήρους τομέα δημιουργεί ένα κατεστραμμένο _dmarc.yourdomain.com.yourdomain.com που δεν ελέγχεται ποτέ.
• Μία μόνο εγγραφή DMARC. Όπως το SPF, πρέπει να υπάρχει μια μόνο εγγραφή DMARC TXT στο _dmarc. Αν υπάρχει ήδη, επεξεργαστείτε την αντί να προσθέσετε δεύτερη.
• Χρησιμοποιήστε πραγματικό γραμματοκιβώτιο αναφορών. Η διεύθυνση μετά το rua=mailto: πρέπει να είναι αυτή που ελέγχετε πραγματικά, διαφορετικά οι αναφορές χάνονται. Μπορεί να είναι στον ίδιο τομέα ή σε διαφορετικό. (Αν κατευθύνετε αναφορές σε τομέα που δεν ελέγχετε, εκείνος ο τομέας πρέπει να το εξουσιοδοτήσει — αλλά για τον δικό σας τομέα είστε εντάξει.)
• Σωστό hosted zone, σωστός λογαριασμός. Με πολλές ζώνες ή λογαριασμούς AWS είναι εύκολο να επεξεργαστείτε τη λάθος. Επιβεβαιώστε ότι οι τέσσερις τιμές NS της ζώνης ταιριάζουν με τους ενεργούς nameservers σας.
• Δώστε χρόνο. Οι αλλαγές DNS μπορεί να χρειαστούν μερικά λεπτά έως μερικές ώρες για να ενεργοποιηθούν.

Επαληθεύστε ότι λειτουργεί

Μόλις αποθηκευτεί και διαδοθεί, εκτελέστε τον δωρεάν έλεγχο σε αυτό το site. Θα σας πει με απλά λόγια αν η εγγραφή DMARC είναι στη θέση της και ποια πολιτική έχετε ορίσει.

Έγινε; Ελέγξτε το domain σας δωρεάν για να επιβεβαιώσετε ότι λειτούργησε — και δείτε τον πλήρη βαθμό σας σε όλους τους 34 ελέγχους.