Defaults.Exposed › הגדרה › DMARC

כיצד להגדיר DMARC ב-AWS Route 53

הוסף רשומת DMARC באזור ה-Route 53 שלך כדי לקבוע מה יעשו ספקי הדואר עם הודעות שנכשלות בבדיקות שלך.

למה זה חשוב לעסק שלך

DMARC מחבר בין SPF ל-DKIM ומוסיף את ההוראה החסרה: מה אמור לעשות ספק דואר מקבל כאשר הודעה הטוענת לשלוחה ממך נכשלת בבדיקות? ללא DMARC, כל ספק מנחש בעצמו. עם DMARC — אתה מחליט. ואתה יכול לבקש שישלחו לך דוחות המראים מי שולח דואר בשמך.

במילים פשוטות: DMARC הוא מה שבאמת מונע מפושעים לזייף את הדומיין שלך ולהונות את הלקוחות או הצוות שלך. זוהי המדיניות שיושבת מעל המנעולים שמספקים SPF ו-DKIM — בחינם, ושווה את כמה הדקות שלוקח להגדיר.

הגדר קודם SPF ו-DKIM

DMARC עובד על-ידי בדיקת תוצאות SPF ו-DKIM. אם עדיין לא הוספת אותם — עשה זאת קודם. מדיניות DMARC ללא ביסוס תחתיה אין לה מה לאכוף.

וודא ש-Route 53 מנהל את ה-DNS שלך

כמו עם כל רשומת DNS, זה יעבוד רק אם Route 53 הוא שמטפל ב-DNS של הדומיין שלך. Route 53 הוא מארח ה-DNS שלך, לא ספק תיבות הדואר שלך. במסוף Route 53, פתח את Hosted zones, בחר את הדומיין שלך ושים לב לארבעת ערכי ה-NS (שרתי שמות); אלה חייבים להתאים לשרתי השמות המוגדרים אצל הרשם שלך. אם הדומיין נרשם דרך Route 53 הם בדרך כלל כבר תואמים; אם הוא נרשם במקום אחר — בדוק בזהירות. אם שרתי השמות החיים מצביעים למקום אחר, הוסף את רשומת DMARC אצל הספק שמנהל את ה-DNS שלך.

שלב אחר שלב ב-Route 53

1. היכנס למסוף AWS ופתח את Route 53.
2. בתפריט הצד, בחר Hosted zones, ואז לחץ על שם הדומיין שלך.
3. לחץ Create record.
4. אם מופיע אשף עם אפשרויות ניתוב, עבור לטופס הפשוט (חפש Quick create record).
5. בשדה Record name, הזן בדיוק: _dmarc אל תקליד את שם הדומיין אחריו — Route 53 מוסיף את הדומיין אוטומטית (הוא מוצג לצד השדה).
6. הגדר את Record type ל-TXT.
7. בשדה Value, התחל בעדינות עם מדיניות ניטור בלבד, עטופה במרכאות כפולות: "v=DMARC1; p=none; rua=mailto:[email protected]" החלף את הכתובת בתיבת דואר שאתה אכן קורא. זה מבקש מהספקים לשלוח לך דוחות סיכום מבלי לשנות את הטיפול בדואר כרגע.
8. השאר את TTL בברירת המחדל.
9. לחץ Create records.

בחירת המדיניות (חלק p=)

• p=none — ניטור בלבד. שום דבר לא נחסם; אתה פשוט מקבל דוחות. התחל כאן.
• p=quarantine — שלח דואר כושל לספאם/ג’אנק.
• p=reject — דחה דואר כושל לחלוטין (ההגנה החזקה ביותר).

הפעל p=none כמה שבועות, קרא את הדוחות כדי לוודא שכל הדואר הלגיטימי שלך עובר, ואז עבור ל-quarantine ולבסוף ל-reject. קפיצה ישירה ל-reject לפני שבדקת את הדוחות עלולה לחסום את הדואר הלגיטימי שלך.

טעויות נפוצות ב-Route 53

• הערך חייב להיות במרכאות כפולות. Route 53 מצפה שתקליד את המרכאות בעצמך: "v=DMARC1; p=none; ...". השמטתן היא הטעות הנפוצה ביותר ב-Route 53.
• שם הרשומה הוא _dmarc, עם קו תחתון. טעות נפוצה היא השמטת קו התחתון, או הקלדת _dmarc.yourdomain.com — ב-Route 53 מזינים רק _dmarc והאזור מצורף אוטומטית. הקלדת הדומיין המלא יוצרת מארח שבור _dmarc.yourdomain.com.yourdomain.com שלעולם לא ייבדק.
• רשומת DMARC אחת בלבד. כמו SPF, חייבת להיות רשומת DMARC TXT אחת ב-_dmarc. אם כבר קיימת — ערוך אותה במקום להוסיף שנייה.
• השתמש בתיבת דואר אמיתית לדיווח. הכתובת אחרי rua=mailto: צריכה להיות כזו שאתה באמת בודק, אחרת הדוחות ללא תועלת. (אם אתה מפנה דוחות לדומיין שאינך שולט בו, אותו דומיין צריך לאשר זאת — אך לדומיין שלך עצמו אין בעיה.)
• אזור נכון, חשבון נכון. עם כמה אזורים או חשבונות AWS קל לערוך את הלא נכון. אמת שארבעת ערכי ה-NS של האזור תואמים לשרתי השמות החיים שלך.
• תן זמן. שינויי DNS יכולים לקחת מספר דקות עד שעתיים להתפשט.

אמת שזה עבד

לאחר השמירה וההתפשטות, הפעל את הבדיקה החינמית באתר זה. היא תאמר לך בשפה ברורה האם רשומת DMARC שלך קיימת ואיזו מדיניות הגדרת.

סיימתם? בדקו את הדומיין שלכם בחינם כדי לאשר שזה עבד — וראו את הציון המלא שלכם על פני כל 34 הבדיקות.