Defaults.Exposed › सुधार › DMARC (ईमेल स्पूफिंग सुरक्षा)
DMARC (ईमेल स्पूफिंग सुरक्षा) को कैसे ठीक करें
DMARC वह एकल सेटिंग है जो वास्तव में दुनिया के मेल प्रदाताओं को आपके व्यवसाय के नाम की नकल करने वाले ईमेल ब्लॉक करने के लिए कहती है। SPF और DKIM ताले जांचते हैं; DMARC तय करता है कि जब एक जाली जांच में विफल हो तो क्या होता है — इसे बिन करें, इसे फ़्लैग करें, या इसे आगे जाने दें। गलत सेट होने पर, आपका डोमेन पूरी तरह से जाली बनाने योग्य है; सही सेट होने पर, प्रतिरूपण इनबॉक्स पर रुक जाता है।
आपके व्यवसाय के लिए मुख्य बात: DMARC enforcement के बिना, एक अपराधी ऐसा ईमेल भेज सकता है जो ठीक आपके व्यवसाय से आया दिखता है — आपके ग्राहकों, कर्मचारियों और आपूर्तिकर्ताओं को — और यह उनके इनबॉक्स में उतरता है, उनके स्पैम में नहीं। लोग आपके नाम पर ठगे जाते हैं, और वे आपको दोष देते हैं।
यह आपको क्या खर्च कर सकता है
- एक स्कैमर आपके ग्राहक को 'आपकी अकाउंट्स टीम से' उनके अपने बैंक विवरण के साथ एक वास्तविक दिखने वाला चालान ईमेल करता है। ग्राहक भुगतान करता है। आपको हफ्तों बाद पता चलता है जब वे सामान का पीछा करते हैं।
- एक नकली 'तत्काल भुगतान' ईमेल आपके अपने वित्त व्यक्ति के पास जाता है, जो आपसे, स्वामी से आया दिखता है।
- एक बड़े संभावित ग्राहक की IT टीम हस्ताक्षर करने से पहले आपके डोमेन पर एक सुरक्षा जांच चलाती है। यह 'ईमेल सुरक्षित नहीं — स्पूफ किया जा सकता है' वापस आती है।
- आपका डोमेन एक फ़िशिंग लहर में उपयोग किया जाता है। जो ग्राहक आपके नाम पर ठगे गए वे चेतावनियां और समीक्षाएं पोस्ट करते हैं।
- आपका अपना ईमेल स्पैम में जाने लगता है, क्योंकि Google और Yahoo अब बिना enforced DMARC के डोमेन से अविश्वास करते हैं।
यह क्यों मायने रखता है। ईमेल कभी यह साबित करने के लिए नहीं बनाया गया था कि वास्तव में किसने इसे भेजा, और 'from' पते की नकल करना तुच्छ रूप से आसान है। DMARC एकमात्र नियंत्रण है जो 'हम नकली को पहचान सकते हैं' को 'नकली ब्लॉक हो जाती है' में बदलता है।
इसे कैसे ठीक करें, चरण दर चरण
- पहले SPF या DKIM लागू करें. DMARC उन पर निर्भर करता है; DMARC लागू करने से पहले सुनिश्चित करें कि कम से कम एक सेटअप और aligned है।
- एक monitoring रिकॉर्ड प्रकाशित करें. _dmarc.yourdomain पर v=DMARC1; p=none; rua=mailto:you@yourdomain के साथ एक TXT रिकॉर्ड जोड़ें बिना डिलीवरी प्रभावित किए रिपोर्ट एकत्र करने के लिए।
- रिपोर्ट पढ़ें. एक या दो सप्ताह में, aggregate reports का उपयोग करें यह पुष्टि करने के लिए कि आपका सभी वैध मेल पास होता है।
- quarantine पर जाएं. एक बार वैध मेल साफ पास होने के बाद, नीति को p=quarantine पर उठाएं ताकि स्पूफ्ड मेल स्पैम में जाए।
- reject के साथ लागू करें. अंत में p=reject सेट करें ताकि जाली ईमेल पूरी तरह से मना की जाए — वह सेटिंग जो वास्तव में प्रतिरूपण रोकती है।
इस ग्रेड को गिरने से बचाएं
Domain Watch आपका डोमेन को एक शेड्यूल पर फिर से जांचता है और जैसे ही कुछ भी खराब होता है, आपको तुरंत सतर्क करता है।
Domain Watch से आपका डोमेन की निगरानी करें →DMARC क्या है, सरल शब्दों में
ईमेल का एक गंदा राज है: “from” पंक्ति केवल टाइप-इन टेक्स्ट है। कोई भी, कहीं से भी, ईमेल के “from” फ़ील्ड में आपका व्यवसाय नाम और पता लिख सकता है और इसे भेज सकता है। इंटरनेट उन्हें रोकने के लिए कभी नहीं बनाया गया था।
तीन सेटिंग हैं जो एक साथ मिलकर इसे ठीक करती हैं:
- SPF यह सूची है कि किसे फ्रंट डोर से आने की अनुमति है।
- DKIM एक छेड़छाड़-प्रूफ सील है जो साबित करता है कि संदेश ट्रांजिट में बदला नहीं गया।
- DMARC वह सुरक्षा गार्ड है जो सूची और सील की जांच करता है — और, महत्वपूर्ण रूप से, तय करता है कि वे मेल न खाने पर क्या करें।
DMARC प्रवर्तन है। यह ‘हम बता सकते हैं कि यह ईमेल नकली है’ और ‘यह नकली ईमेल कभी आपके ग्राहक तक नहीं पहुंचती’ के बीच का अंतर है।
यह आपको क्या नुकसान पहुंचा सकता है
-
नकली-चालान घोटाला। एक अपराधी आपके ग्राहक को ऐसा ईमेल करता है जो ठीक आपकी अकाउंट्स टीम के वास्तविक चालान की तरह दिखता है — उनके अपने बैंक विवरण के साथ। ग्राहक भुगतान करता है। पैसा आमतौर पर चला जाता है।
-
CEO-धोखाधड़ी वायर ट्रांसफर। एक ईमेल आपसे, स्वामी से, आपके वित्त व्यक्ति को आता दिखता है: “क्या आप इस भुगतान को तुरंत आगे बढ़ा सकते हैं?”
-
खोया अनुबंध। एक गंभीर संभावित ग्राहक हस्ताक्षर करने से पहले एक सुरक्षा जांच चलाता है। उनका टूलिंग रिपोर्ट करता है “डोमेन स्पूफ करने योग्य — कोई ईमेल प्रमाणीकरण enforcement नहीं।”
-
जो प्रतिष्ठा क्षति आप पूर्ववत नहीं कर सकते। आपका डोमेन एक फ़िशिंग अभियान में शामिल हो जाता है। जो लोग आपके नाम पर ठगे गए वे चेतावनियां और समीक्षाएं पोस्ट करते हैं।
-
आपका अपना ईमेल स्पैम में जाना। Google और Yahoo अब बिना enforced DMARC के डोमेन से सक्रिय रूप से अविश्वास करते हैं।
यह वास्तव में क्या है
DMARC आपके डोमेन की सेटिंग में टेक्स्ट की एक पंक्ति के रूप में रहता है — एक DNS “TXT” रिकॉर्ड _dmarc.yourdomain पर प्रकाशित। दो चीजें सबसे ज्यादा मायने रखती हैं:
1. नीति (p=) — गार्ड के आदेश:
p=none— केवल देखें। कुछ नहीं रोकता; monitoring चरण, समाप्त सेटअप नहीं।p=quarantine— नकली को स्पैम भेजें। वास्तविक सुरक्षा, लेकिन एक कदम पत्थर।p=reject— दरवाजे पर नकली को मना करें। एकमात्र सेटिंग जो आपको पूरी तरह से सुरक्षित करती है।
2. रिपोर्टिंग पता (rua=) — आपकी दृश्यता। rua= टैग हर मेल प्रदाता से आपके डोमेन के रूप में ईमेल भेजने की कोशिश करने वाले व्यक्ति का दैनिक सारांश भेजने के लिए कहता है।
इसे कैसे ठीक करें (मुफ्त, ~30 मिनट दो सप्ताहों में)
इस अनुभाग को जो भी आपके डोमेन, वेबसाइट, या IT प्रबंधित करता है उसे सौंपें — सुधार पूरी तरह मुफ्त है।
स्वर्णिम नियम: कभी सीधे reject पर न जाएं। पहले monitoring चालू करें, रिपोर्ट देखें, पुष्टि करें कि आपका वास्तविक मेल पहचाना जाता है, फिर कसें।
चरण 1 — पहले SPF और DKIM सुनिश्चित करें।
चरण 2 — रिपोर्टिंग के साथ एक monitoring रिकॉर्ड प्रकाशित करें:
- Host / name:
_dmarc.yourdomain - Type: TXT
- Value:
v=DMARC1; p=none; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s
चरण 3 — ~2 सप्ताह के लिए रिपोर्ट पढ़ें। कच्चे DMARC रिपोर्ट घने XML हैं। एक मुफ्त रिपोर्टिंग सेवा उपयोग करें (उदाहरण के लिए dmarcian) उन्हें पठनीय डैशबोर्ड में बदलने के लिए।
चरण 4 — quarantine पर जाएं। p=none को p=quarantine में बदलें।
चरण 5 — reject पर जाएं। p=quarantine को p=reject में बदलें:
v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s
चरण 6 — सबडोमेन न भूलें। सुनिश्चित करें कि आपने sp=none नहीं रखा है।
सामान्य गलतियाँ
p=noneपर रुकना। Monitoring शुरुआत है, अंत नहीं।- Monitoring के बिना सीधे
rejectपर जाना। - सबडोमेन नीति भूलना।
- एक टूटा हुआ रिपोर्टिंग पता। एक गलत टाइप की गई
rua=का मतलब है कि रिपोर्ट कहीं नहीं जाती। - “हम ईमेल नहीं भेजते इसलिए हम छोड़ देंगे।” एक non-sending डोमेन एक प्रमुख लक्ष्य है।
ग्रेड पर एक नोट
नीति जाँच (p=) पूरे assessment के सबसे भारी-वजन वाले आइटमों में से एक है। reject पूरा स्कोर देता है; quarantine लगभग आधा; none और एक लापता रिकॉर्ड fails के रूप में स्कोर होते हैं।
अपने होस्ट पर इसे सेट करें
लोकप्रिय प्रदाताओं के लिए चरण-दर-चरण:
- GoDaddy पर DMARC सेट करें
- Namecheap पर DMARC सेट करें
- Cloudflare पर DMARC सेट करें
- Google Workspace पर DMARC सेट करें
- Microsoft 365 पर DMARC सेट करें
- Squarespace पर DMARC सेट करें
- Wix पर DMARC सेट करें
- AWS Route 53 पर DMARC सेट करें
- Hostinger पर DMARC सेट करें
- Porkbun पर DMARC सेट करें
- IONOS पर DMARC सेट करें
- Bluehost पर DMARC सेट करें
सामान्य स्थितियाँ
- 'DMARC policy not enabled'
- DMARC fails but SPF and DKIM pass
- Moving from p=none to p=reject
- Someone is spoofing your domain
- Newsletter platform failing DMARC
- Gmail bounce 550-5.7.26
अक्सर पूछे जाने वाले प्रश्न
मैं बिल्कुल भी तकनीकी नहीं हूँ — क्या यह कुछ ऐसा है जो मैं वास्तव में संभाल सकता हूँ?
हाँ, लेकिन आपको इसे व्यक्तिगत रूप से करने की जरूरत नहीं है। सुधार आपके डोमेन की सेटिंग में जोड़ी गई कुछ पंक्तियां हैं, और यह मुफ्त है। सबसे सरल रास्ता नीचे 'इसे कैसे ठीक करें' अनुभाग को जो भी आपकी वेबसाइट या IT समर्थन चलाता है उसे अग्रेषित करना है।
क्या DMARC चालू करने से गलती से मेरे अपने ईमेल डिलीवर होने बंद हो जाएंगे?
यह हो सकता है — लेकिन केवल यदि आप सुरक्षित रोलआउट छोड़ें। 'monitor only' (p=none) पर शुरू करने का पूरा बिंदु यह है कि दो सप्ताह देखें और पुष्टि करें कि हर वैध प्रेषक सही तरीके से पहचाना जाता है। उस क्रम में किया गया, आपका वास्तविक मेल अप्रभावित है।
मेरे पास पहले से SPF और DKIM सेट हैं। क्या वह पर्याप्त नहीं है?
नहीं — और यह समझने के लिए सबसे महत्वपूर्ण बिंदु है। SPF और DKIM ताले हैं; DMARC वह निर्देश है जो कहता है 'यदि ताले मेल नहीं खाते, तो ईमेल अस्वीकार करें।' SPF और DKIM अकेले एक जाली ईमेल को इनबॉक्स तक पहुंचने से नहीं रोकते।
'none', 'quarantine' और 'reject' के बीच क्या अंतर है? मुझे कौन सी चाहिए?
'none' केवल देखता है और रिपोर्ट करता है — यह कुछ नहीं रोकता। 'quarantine' जाली को स्पैम फ़ोल्डर में भेजता है। 'reject' उन्हें पूरी तरह से मना करता है, इसलिए वे कभी नहीं पहुंचते। 'reject' लक्ष्य है।
यह 'rua' रिपोर्टिंग चीज़ क्या है, और क्या मुझे इसकी जरूरत है?
rua टैग मेल प्रदाताओं से आपको आपके डोमेन के रूप में ईमेल भेजने की कोशिश करने वाले हर सिस्टम का दैनिक सारांश भेजने के लिए कहता है — जिसमें अपराधी भी शामिल हैं। यह कैसे व्यवसाय पहले दिन उन 5 से 50 अनधिकृत प्रेषकों की खोज करते हैं।
हम मुश्किल से ईमेल भेजते हैं, या हम इस डोमेन से ईमेल नहीं भेजते। क्या हमें अभी भी DMARC चाहिए?
विशेषकर तब। जो डोमेन कम या कोई वास्तविक ईमेल नहीं भेजता, वह अपराधियों के लिए प्रतिरूपित करने के लिए एक आदर्श, कम-शोर लक्ष्य है। एक डोमेन जिससे आप कभी मेल नहीं भेजते उसे एक सख्त reject नीति प्रकाशित करनी चाहिए।