Defaults.Exposed › Beállítás › DMARC

Hogyan állítsuk be a DMARC-ot Google Workspace-en

Adj hozzá DMARC rekordot a DNS-be, hogy megmondhasd a fogadó szervereknek, mit tegyenek az SPF- és DKIM-ellenőrzésen megbukó e-mailekkel.

Miért fontos ez a vállalkozásod szempontjából

A DMARC az az irányelv, amely összeköti az SPF-et és a DKIM-et. Megmondja a fogadó levelezőszervereknek, mit tegyenek, ha egy, a te domainedről érkező e-mail megbukik ezeken az ellenőrzéseken — figyelmen kívül hagyják, spambe küldik, vagy egyenesen elutasítják —, és e-mailben küldheti neked a jelentéseket arról, ki küld (és hamisít) levelet a neved alatt. Egyszerűen fogalmazva: a DMARC az, ami valójában megakadályozza, hogy bűnözők megszemélyesítsék a domainnevedet, hogy verjék át ügyfeleidet és munkatársaidat. Ingyenes, és az SPF-et és a DKIM-et „jó lenne, ha lenne”-ből valódi védelemmé alakítja.

Először az SPF és a DKIM

A DMARC az SPF-re és a DKIM-re támaszkodik. Állítsd be ezeket a DMARC előtt, vagy azzal egyidejűleg. Egyedül álló DMARC rekord — működő SPF/DKIM nélkül — a saját jogos e-mailjeidet is blokkolhatja. Kezdj óvatosan (lásd az irányelv megjegyzését lent), és idővel szigorítsd.

Fontos: hol kell elvégezni

Az SPF-hez hasonlóan a DMARC is egy DNS rekord, nem beállítás a Google Admin konzolon belül. A Google Workspace futtatja az e-maileidet, de a DMARC rekordot oda kell hozzáadni, ahol a domain DNS-e él — a regisztrátorodnál, webtárhelyen, Cloudflare-en, vagy bárhol, aki a névszervereidet kezeli. A Google-on belül nincs DMARC kapcsoló; a Google szerepe csupán az, hogy a (külön beállított) működő SPF és DKIM az, amire a DMARC támaszkodik.

Először: melyik cég kezeli a DNS-edet?

Egy DMARC rekord csak akkor működik, ha oda adod hozzá, ahová a domain névszerverei mutatnak. Ha nem vagy biztos benne, ellenőrizd a Nameservers részt a regisztrátor fiókodon, vagy kérdezd meg azt, aki a weboldaladat beállította. A rekordot annak a cégnek a DNS beállításaiban add hozzá (keresd a DNS / Records / Advanced DNS menüpontot).

Mit fogsz hozzáadni

Egyetlen TXT rekordot egy speciális gazdanéven: _dmarc.

Egy biztonságos kezdőérték, amely csak megfigyel és nem blokkol semmit:

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = csak megfigyelés; semmi sem kerül blokkolásra. Az első néhány hétre ideális.
• rua=mailto:... = hová küldjék az összefoglaló jelentéseket. Használj valódi postafiókot, amelyet ellenőrizöl.
• Ha meggyőződtél (a jelentések és az ingyenes ellenőrzés alapján), hogy jogos leveleid átmennek, szigoríthatod az irányelvet p=quarantine-ra (megbukó levelek spamba kerülnek), majd p=reject-re (megbukó levelek elutasítva).

Lépések

1. Jelentkezz be a DNS-gazdádhoz (regisztrátor, webtárhely vagy DNS-szolgáltató — nem a Google Admin konzolba).
2. Nyisd meg a domain DNS beállításait (keresd a DNS / Records / Advanced DNS menüpontot).
3. Adj hozzá egy új rekordot, és válaszd a TXT típust.
4. A Name / Host mezőbe írd be pontosan _dmarc-ot (a vezető aláhúzással). Ne írd be a _dmarc.yourdomain.com-ot — a DNS-gazda automatikusan hozzáfűzi a domainedet.
5. A Value mezőbe illeszd be a DMARC karakterláncot, pl. v=DMARC1; p=none; rua=mailto:[email protected] (cseréld ki az e-mail címet egy valódi, általad figyelt postafiókra).
6. A TTL értékét hagyd az alapértelmezettn.
7. Mentsd el.

Hibák, amelyeket sokan elkövetnek

• Nem a Google Admin konzolon van. Sokan a Google beállításaiban keresik a „DMARC”-ot — ott nincs. A DNS-gazdánál kell megadni.
• A gazdanév _dmarc, az aláhúzással együtt. Az aláhúzás elhagyása, vagy a teljes domain beírása után a rekord rossz helyre kerül, és a DMARC nem lesz megtalálható.
• Figyelj az idézőjelekre. Illeszd be az értéket egyszerűen; a legtöbb DNS-gazda maga gondoskodik az idézőjelekről. Ne csomagold "..." közé saját magad.
• Csak egy DMARC rekord. Pontosan egy TXT rekordnak kell lennie a _dmarc alatt. Ha már létezik egy, szerkeszd meg ahelyett, hogy másodikat adnál hozzá.
• Kezdj p=none-nal. Ha az SPF/DKIM megerősítése előtt azonnal p=reject-re ugrsz, saját számláidat és ajánlataidat is blokkolhatod. Először figyelj, majd szigorítsd.
• Használj valódi jelentési postafiókot. Az rua cím legyen olyan, amelyen valóban tudsz fogadni leveleket.
• Adj időt neki. A DNS változtatások néhány perctől akár néhány óráig is tarthatnak, mire mindenhol érvénybe lépnek.

Ellenőrizd, hogy működik-e

Mentés után ellenőrizd, hogy a DMARC rekordod élesben van-e és helyes-e a Defaults.Exposed ingyenes ellenőrzőjével. Add meg a domainedet, és egyszerű nyelven megmondja, hogy a DMARC helyesen van-e beállítva, és mi a következő lépés. Az adataidat az EU-ban dolgozzuk fel.

Kész? Ellenőrizd a domainjedet ingyen hogy megbizonyosodj róla, hogy működött — és lásd teljes értékelésed mind a 34 ellenőrzésen.