Defaults.Exposed › Asennus › DMARC

DMARC-tietueen lisääminen AWS Route 53:ssa

Lisää DMARC-tietue Route 53:n isäntävyöhykkeeseen ja kerro sähköpostipalveluntarjoajille, miten toimia viestien kanssa, jotka eivät läpäise tarkistuksia.

Miksi tämä on tärkeää yrityksellesi

DMARC yhdistää SPF:n ja DKIM:n sekä lisää puuttuvan ohjeen: mitä vastaanottavan sähköpostipalveluntarjoajan pitäisi tehdä, kun sinun nimissäsi lähetetty viesti ei läpäise tarkistuksia? Ilman DMARC:ia kukin palveluntarjoaja arvaa itse. DMARC:in avulla sinä päätät — ja voit pyytää heitä lähettämään sinulle raportteja siitä, kuka lähettää sähköpostia nimissäsi.

Käytännössä: DMARC on se mekanismi, joka estää rikollisia esiintymästä verkkotunnuksesi nimissä huijatakseen asiakkaitasi tai henkilöstöäsi. Se on käytäntö SPF:n ja DKIM:n lukkojen päällä — ilmainen, ja muutaman minuutin arvoinen.

Määritä ensin SPF ja DKIM

DMARC tarkistaa SPF:n ja DKIM:n tulokset. Jos et ole vielä lisännyt niitä, tee se ensin — DMARC-käytäntö ilman niiden tukea ei voi valvoa mitään.

Varmista, että Route 53 hallinnoi DNS:äsi

Kuten minkä tahansa DNS-tietueen kohdalla, tämä toimii vain, jos Route 53 vastaa verkkotunnuksesi DNS-kyselyihin. Route 53 on DNS-isäntäsi, ei postilaatikkosi tarjoaja. Avaa Route 53 -konsolissa Hosted zones, valitse verkkotunnuksesi ja tarkista neljä NS (nimipalvelin) -arvoa; niiden täytyy vastata rekisteröijälläsi asetettuja nimipalvelimia. Jos rekisteröit verkkotunnuksen Route 53:n kautta, ne yleensä jo täsmäävät; jos se on rekisteröity muualle — tai sinulla on useampi isäntävyöhyke samalle verkkotunnukselle — tarkista huolellisesti. Jos aktiiviset nimipalvelimet osoittavat muualle, lisää DMARC-tietue sillä palveluntarjoajalla, joka hallinnoi DNS:äsi.

Vaiheittaiset ohjeet Route 53:ssa

1. Kirjaudu AWS-konsoliin ja avaa Route 53.
2. Valitse vasemmasta valikosta Hosted zones, napsauta sitten verkkotunnuksesi nimeä.
3. Napsauta Create record.
4. Jos näkyviin tulee ohjattu toiminto reititysvaihtoehtojen kanssa, vaihda yksinkertaiseen lomakkeeseen (etsi Quick create record).
5. Kirjoita Record name -kenttään täsmälleen: _dmarc Älä kirjoita verkkotunnustasi sen perään — Route 53 lisää sen automaattisesti (se näyttää verkkotunnuksesi kentän vieressä).
6. Aseta Record type arvoon TXT.
7. Kirjoita Value-kenttään aluksi pelkkä seurantakäytäntö kaksinkertaisissa lainausmerkeissä: "v=DMARC1; p=none; rua=mailto:[email protected]" Korvaa osoite postilaatikolla, jota oikeasti luet. Tämä pyytää palveluntarjoajia lähettämään sinulle yhteenvetoraportteja muuttamatta sähköpostien käsittelyä vielä lainkaan.
8. Jätä TTL oletusasetukselle.
9. Napsauta Create records.

Käytännön valinta (p=-parametri)

• p=none — pelkkä seuranta. Mitään ei estetä; saat vain raportteja. Aloita tästä.
• p=quarantine — tarkistukset epäonnistuneet viestit ohjataan roskapostiin.
• p=reject — tarkistukset epäonnistuneet viestit hylätään kokonaan (vahvin suoja).

Pidä p=none käytössä muutaman viikon ajan, lue raportit varmistaaksesi, että kaikki aito sähköpostisi läpäisee tarkistukset, ja siirry sitten quarantine- ja lopulta reject-tasolle. Hyppääminen suoraan reject-tasolle ennen raporttien lukemista saattaa estää oman aitoon sähköpostisi toimituksen.

Route 53 -erityiset virheet

• Arvo täytyy olla kaksinkertaisissa lainausmerkeissä. Route 53 edellyttää, että kirjoitat lainausmerkit itse: "v=DMARC1; p=none; ...". Niiden puuttuminen on yleisin Route 53 -virhe.
• Tietueen nimi on _dmarc, alaviivoineen. Yleinen virhe on jättää alaviiva pois tai kirjoittaa _dmarc.yourdomain.com — Route 53:ssa syötät vain _dmarc ja vyöhyke liitetään automaattisesti. Koko verkkotunnuksen kirjoittaminen luo rikkinäisen _dmarc.yourdomain.com.yourdomain.com-isäntänimen, jota ei koskaan tarkisteta.
• Vain yksi DMARC-tietue. Kuten SPF:n kohdalla, _dmarc-osoitteessa saa olla vain yksi TXT-tietue. Jos sellainen on jo olemassa, muokkaa sitä äläkä lisää toista.
• Käytä oikeaa raportointipostilaatikkoa. Osoitteen rua=mailto: jälkeen pitää olla postilaatikko, jota oikeasti tarkistat — muutoin raportit menevät hukkaan. Se voi olla samalla verkkotunnuksella tai eri verkkotunnuksella. (Jos ohjaat raportit verkkotunnukselle, jota et hallinnoi, sen verkkotunnus täytyy hyväksyä tämä — mutta omalle verkkotunnuksellesi se on aina mahdollista.)
• Oikea isäntävyöhyke, oikea tili. Useilla vyöhykkeillä tai AWS-tileillä on helppoa muokata väärää. Vahvista, että vyöhykkeen neljä NS-arvoa täsmäävät aktiivisten nimipalvelimiesi kanssa.
• Anna muutoksille aikaa. DNS-muutokset voivat kestää muutamasta minuutista pariin tuntiin.

Tarkista, että se toimi

Kun tietue on tallennettu ja levinnyt, aja ilmainen tarkistus tällä sivustolla. Se kertoo selkokielellä, onko DMARC-tietueesi paikoillaan ja mikä käytäntö on asetettu.

Valmis? Tarkista verkkotunnuksesi ilmaiseksi vahvistaaksesi, että se toimi — ja nähdäksesi koko arvosanasi kaikissa 34 tarkistuksessa.