Defaults.Exposed › Seadistamine › DMARC

Kuidas seadistada DMARC AWS Route 53-s

Lisa Route 53 hostitud tsoonile DMARC-kirje, mis ütleb meiliteenuse pakkujatele, mida teha kirjadega, mis ei läbi sinu kontrolle.

Miks see on teie ettevõtte jaoks oluline

DMARC seob SPF-i ja DKIM-i kokku ning lisab puuduva juhise: mida peaks vastuvõttev meiliteenuse pakkuja tegema, kui sinult tulev e-kiri ei läbi kontrolle? Ilma DMARC-ita arvab iga pakkuja ise. Sinuga — otsustab seda sina — ja sa saad paluda neil saata sulle aruandeid selle kohta, kes su nime all kirju saadab.

Lihtsalt öeldes: DMARC on see, mis tegelikult takistab kurjategijatel su domeeni võltsimist, et petta su kliente või töötajaid. See on poliitika, mis täiendab SPF-i ja DKIM-i tabalukke — tasuta ja mõne minutiga seadistatav.

Seadista esmalt SPF ja DKIM

DMARC kontrollib SPF-i ja DKIM-i tulemusi. Kui sa pole neid veel lisanud, tee seda esmalt — DMARC-poliitika ilma aluse all olevate kontrollideta ei saa midagi jõustada.

Kinnita, et Route 53 haldab sinu DNS-i

Nagu iga DNS-kirje puhul, toimib see ainult siis, kui Route 53 vastab sinu domeeni DNS-päringutele. Route 53 on sinu DNS-i majutaja, mitte postkastiteenuse pakkuja. Route 53 konsoolis ava Hosted zones, vali oma domeen ja märgi üles neli NS (nimeserveri) väärtust; need peavad vastama registripidaja juures seadistatud nimeserveri väärtustele. Kui registreerisid domeeni Route 53 kaudu, vastavad need tavaliselt juba; kui see on registreeritud mujal — või sul on domeeni jaoks mitu hostitud tsooni — kontrolli hoolikalt. Kui aktiivsed nimeserverid osutavad mujale, lisa DMARC-kirje selle pakkuja juures, kes tegelikult sinu DNS-i haldab.

Samm-sammuline juhend Route 53-s

1. Logi AWS-i konsooli sisse ja ava Route 53.
2. Vali vasakul menüüs Hosted zones, seejärel klõpsa oma domeeni nimel.
3. Klõpsa Create record.
4. Kui ilmub viisard marsruutimisvalikutega, lülitu lihtvormile (otsi Quick create record).
5. Sisesta väljale Record name täpselt: _dmarc Ära kirjuta peale domeeni nime — Route 53 lisab selle automaatselt (kuvab sinu domeeni välja kõrval).
6. Seadista Record type väärtuseks TXT.
7. Sisesta väljale Value algul ainult monitoorimise poliitika, topeltjutumärkides: "v=DMARC1; p=none; rua=mailto:[email protected]" Asenda aadress postkastiga, mida tegelikult loed. See palub pakkujatel saata sulle kokkuvõtlikke aruandeid, ilma et mõne kirja käsitlemist muudetaks.
8. Jäta TTL vaikeväärtusele.
9. Klõpsa Create records.

Poliitika valimine (parameeter p=)

• p=none — ainult monitoorimine. Midagi ei blokeerita; saad lihtsalt aruandeid. Alusta siit.
• p=quarantine — saada kontrollimata kirjad rämpsposti kausta.
• p=reject — keeldu kontrollimata kirjadest täielikult (tugevaim kaitse).

Kasuta mõni nädal p=none-i, loe aruandeid, et veenduda kõigi legitiimsete kirjade läbimises, seejärel liigu üle quarantine-ile ja lõpuks reject-ile. Kui hüpata kohe reject-ile enne aruannetega tutvumist, võid blokeerida oma enda päris kirjad.

Levinud vead Route 53-s

• Väärtus peab olema topeltjutumärkides. Route 53 eeldab, et kirjutad jutumärgid ise: "v=DMARC1; p=none; ...". Nende ärjätmine on Route 53 kõige levinum viga.
• Kirje nimi on _dmarc, koos alljoone märgiga. Tavaline viga on alljoon ära jätta või kirjutada _dmarc.yourdomain.com — Route 53-s sisesta lihtsalt _dmarc ja tsoon lisatakse automaatselt. Kogu domeeni kirjutamine loob vigase _dmarc.yourdomain.com.yourdomain.com hostinime, mida kunagi ei kontrollita.
• Ainult üks DMARC-kirje. Nagu SPF puhul, tohib olla ainult üks DMARC TXT-kirje aadressil _dmarc. Kui see on olemas, muutke seda, ärge lisage uut.
• Kasutage päris aruannete postkasti. Aadress pärast rua=mailto: peaks olema see, mida tegelikult kontrollite, muidu lähevad aruanded raisku. See võib olla samal domeenis või erineval. (Kui suunad aruanded domeenile, mida sa ei kontrolli, peab see domeen selle autoriseerima — kuid oma domeeni puhul on see lubatud.)
• Õige hostitud tsoon, õige konto. Mitme tsooni või AWS-i konto korral on lihtne vale tsooni muuta. Kinnitage, et tsooni neli NS-väärtust vastavad teie aktiivsetele nimeserveri väärtustele.
• Andke aega. DNS-muudatused võivad jõustuda mõne minutiga, kuid võivad võtta paar tundi.

Kontrolli, kas see töötas

Pärast salvestamist ja levimist käivita selle saidi tasuta kontroll. See ütleb lihtsas keeles, kas sinu DMARC-kirje on paigas ja milline poliitika on seatud.

Valmis? Kontrolli oma domeeni tasuta et kinnitada, kas see töötas — ja vaadata oma täielikku hinnet kõigi 34 kontrolli alusel.