Defaults.Exposed › راه‌اندازی › DMARC

راه‌اندازی DMARC در AWS Route 53

یک رکورد DMARC در hosted zone Route 53 خود اضافه کنید تا به سرویس‌های ایمیل بگویید با ایمیل‌هایی که آزمون‌های شما را رد می‌کنند چه کار کنند.

چرا این موضوع برای کسب‌وکار شما اهمیت دارد

DMARC پیوند میان SPF و DKIM است و دستورالعمل حیاتی گمشده را اضافه می‌کند: وقتی ایمیلی که ادعا می‌کند از طرف شماست آزمون‌ها را رد کرد، سرویس دریافت‌کننده چه کاری باید انجام دهد؟ بدون DMARC، هر سرویس‌دهنده‌ای خودش حدس می‌زند. با DMARC، این تصمیم با شماست — و می‌توانید از آن‌ها بخواهید گزارش‌هایی برایتان بفرستند که نشان می‌دهد چه کسی به نام شما ایمیل می‌فرستد.

به زبان ساده: DMARC چیزی است که واقعاً از جعل دامنه شما توسط مجرمان برای کلاهبرداری از مشتریان یا کارکنانتان جلوگیری می‌کند. این سیاست بر روی قفل‌هایی است که SPF و DKIM فراهم می‌کنند — رایگان است و ارزش چند دقیقه وقت را دارد.

ابتدا SPF و DKIM را راه‌اندازی کنید

DMARC با بررسی نتایج SPF و DKIM کار می‌کند. اگر هنوز آن‌ها را اضافه نکرده‌اید، اول این کار را بکنید — یک سیاست DMARC بدون پایه‌ای برای اجرا، چیزی برای اعمال ندارد.

تأیید کنید که Route 53 DNS شما را اداره می‌کند

مانند هر رکورد DNS، این فقط در صورتی کار می‌کند که Route 53 پاسخ DNS دامنه شما را بدهد. Route 53 هاست DNS شماست، نه سرویس‌دهنده صندوق پستی. در کنسول Route 53، Hosted zones را باز کنید، دامنه‌تان را انتخاب کنید، و چهار مقدار NS (nameserver) را یادداشت کنید؛ این‌ها باید با nameservers تنظیم‌شده در رجیسترار شما مطابقت داشته باشند. اگر دامنه را از طریق Route 53 ثبت کرده‌اید معمولاً از قبل مطابقت دارند؛ اگر در جای دیگری ثبت شده — یا چند hosted zone برای دامنه دارید — با دقت بررسی کنید. اگر nameservers فعال به جای دیگری اشاره می‌کنند، رکورد DMARC را در آن سرویس‌دهنده DNS اضافه کنید.

راهنمای گام‌به‌گام در Route 53

1. وارد کنسول AWS شوید و Route 53 را باز کنید.
2. در منوی سمت چپ، Hosted zones را انتخاب کنید، سپس روی نام دامنه‌تان کلیک کنید.
3. روی Create record کلیک کنید.
4. اگر wizard با گزینه‌های routing ظاهر شد، به فرم ساده سوییچ کنید (به دنبال Quick create record بگردید).
5. در Record name، دقیقاً این را وارد کنید: _dmarc نام دامنه را بعد از آن تایپ نکنید — Route 53 خودش دامنه را اضافه می‌کند (دامنه را کنار فیلد نشان می‌دهد).
6. Record type را روی TXT تنظیم کنید.
7. در Value، با یک سیاست فقط-نظارتی شروع کنید، در گیومه دوگانه قرار دهید: "v=DMARC1; p=none; rua=mailto:[email protected]" آدرس را با صندوق پستی که واقعاً می‌خوانید جایگزین کنید. این از سرویس‌دهنده‌ها می‌خواهد گزارش‌های خلاصه برایتان بفرستند، بدون اینکه در نحوه ارسال ایمیل تغییری ایجاد شود.
8. TTL را روی پیش‌فرض بگذارید.
9. روی Create records کلیک کنید.

انتخاب سیاست (بخش p=)

• p=none — فقط نظارت. هیچ چیزی مسدود نمی‌شود؛ فقط گزارش دریافت می‌کنید. از اینجا شروع کنید.
• p=quarantine — ایمیل‌های ناموفق به پوشه هرزنامه/جانک ارسال می‌شوند.
• p=reject — ایمیل‌های ناموفق کاملاً رد می‌شوند (قوی‌ترین محافظت).

چند هفته با p=none کار کنید، گزارش‌ها را بخوانید تا مطمئن شوید تمام ایمیل‌های قانونی شما موفق می‌شوند، سپس به quarantine و در نهایت به reject ارتقا دهید. پریدن مستقیم به reject قبل از بررسی گزارش‌ها ممکن است ایمیل‌های واقعی خودتان را مسدود کند.

اشتباهات رایج در Route 53

• مقدار باید در گیومه دوگانه باشد. Route 53 انتظار دارد گیومه‌ها را خودتان تایپ کنید: "v=DMARC1; p=none; ...". نگذاشتن گیومه رایج‌ترین اشتباه در Route 53 است.
• Record name باید _dmarc باشد، با خط زیر. اشتباه رایج این است که خط زیر را حذف می‌کنند یا _dmarc.yourdomain.com تایپ می‌کنند — در Route 53 فقط _dmarc وارد کنید و zone خودکار اضافه می‌شود. تایپ دامنه کامل، یک host شکسته _dmarc.yourdomain.com.yourdomain.com ایجاد می‌کند که هرگز چک نمی‌شود.
• فقط یک رکورد DMARC. مانند SPF، باید فقط یک رکورد DMARC TXT در _dmarc وجود داشته باشد. اگر رکوردی وجود دارد، آن را ویرایش کنید، نه اینکه دومی اضافه کنید.
• از یک صندوق پستی واقعی برای گزارش استفاده کنید. آدرس بعد از rua=mailto: باید چیزی باشد که واقعاً چک می‌کنید، وگرنه گزارش‌ها هدر می‌روند. می‌تواند همان دامنه یا دامنه دیگری باشد. (اگر گزارش‌ها به دامنه‌ای که کنترل نمی‌کنید هدایت می‌شوند، آن دامنه باید آن را مجاز بداند — اما برای دامنه خودتان مشکلی نیست.)
• hosted zone و account درست. وقتی چند zone یا حساب AWS دارید، ممکن است به اشتباه zone اشتباه را ویرایش کنید. تأیید کنید که چهار مقدار NS zone با nameservers فعال شما مطابقت دارند.
• صبور باشید. تغییرات DNS ممکن است از چند دقیقه تا چند ساعت طول بکشد تا اعمال شوند.

تأیید کنید که کار کرد

پس از ذخیره و انتشار، بررسی رایگان این سایت را اجرا کنید. به زبان ساده به شما می‌گوید آیا رکورد DMARC شما در جای خود است و چه سیاستی تنظیم کرده‌اید.

انجام شد؟ دامنه خود را رایگان بررسی کنید تا تأیید کنید که کار کرده — و رتبه کامل خود را در همه ۳۴ بررسی ببینید.