Defaults.Exposed › Beállítás › DMARC

Hogyan állítsuk be a DMARC-ot AWS Route 53-on

Adj hozzá DMARC rekordot a Route 53 hosztolt zónádba, hogy megmondhasd a levelezőszolgáltatóknak, mit tegyenek az ellenőrzéseken megbukó e-mailekkel.

Miért fontos ez a vállalkozásod szempontjából

A DMARC összeköti az SPF-et és a DKIM-et, és hozzáad egy hiányzó utasítást: mit tegyen a fogadó levelezőszolgáltató, ha egy tőled érkező e-mail nem ment át az ellenőrzéseken? DMARC nélkül minden szolgáltató saját belátása szerint jár el. Ha beállítod, te döntesz — és arra is kérheted őket, hogy küldjenek neked összefoglaló jelentéseket arról, ki küld e-maileket a neved alatt.

Egyszerűen fogalmazva: a DMARC az, ami valójában megakadályozza, hogy bűnözők a domainneved meghamisításával verjék át ügyfeleidet vagy munkatársaidat. Ez az irányelvek rétege az SPF és DKIM által biztosított zárak felett — ingyenes, és megéri a néhány percet.

Először állítsd be az SPF-et és a DKIM-et

A DMARC az SPF és a DKIM ellenőrzési eredményeire támaszkodik. Ha ezeket még nem adtad hozzá, először tedd meg — egy DMARC irányelvnek nincs mit érvényesítenie, ha nincs alatta semmi.

Ellenőrizd, hogy a Route 53 kezeli-e a DNS-edet

Mint minden DNS rekorddal, ez is csak akkor működik, ha a Route 53 szolgálja ki a domainedet. A Route 53 a DNS-gazdád, nem a postafiók-szolgáltatód. A Route 53 konzolban nyisd meg a Hosted zones részt, válaszd ki a domainedet, és jegyezd fel a négy NS (névszerver) értéket; ezeknek kell megegyezniük a regisztrátornál beállított névszerverekkel. Ha a domaint a Route 53-on keresztül regisztráltad, általában már egyeznek; ha máshol regisztráltad — vagy egynél több hosztolt zónád van a domainhez —, ellenőrizd gondosan. Ha az élő névszerverek máshova mutatnak, a DMARC rekordot annál a szolgáltatónál add hozzá, amelyik a DNS-edet kezeli.

Lépésről lépésre Route 53-on

1. Jelentkezz be az AWS konzolba, és nyisd meg a Route 53-at.
2. A bal oldali menüben válaszd a Hosted zones lehetőséget, majd kattints a domainedet tartalmazó zóna nevére.
3. Kattints a Create record gombra.
4. Ha egy útválasztási opciókat tartalmazó varázsló jelenik meg, válts az egyszerű nézetre (keresd a Quick create record lehetőséget).
5. A Record name mezőbe írd be pontosan: _dmarc Ne írd be utána a domainnevedet — a Route 53 automatikusan hozzáfűzi (a mező mellett mutatja a domainedet).
6. Állítsd be a Record type értékét TXT-re.
7. A Value mezőbe kezdj egy csak megfigyelést végző, semmit sem blokkoló irányelven, dupla idézőjelbe csomagolva: "v=DMARC1; p=none; rua=mailto:[email protected]" Cseréld ki a címet egy postafiókra, amelyet valóban olvasol. Ez arra kéri a szolgáltatókat, hogy küldjenek összefoglaló jelentéseket anélkül, hogy bármilyen e-mail kezelése megváltozna.
8. A TTL értékét hagyd az alapértelmezettn.
9. Kattints a Create records gombra.

Az irányelv kiválasztása (a p= rész)

• p=none — csak megfigyelés. Semmi sem kerül blokkolásra; csupán jelentéseket kapsz. Kezdd itt.
• p=quarantine — az ellenőrzésen megbukó leveleket a spam/levélszemét mappába küldi.
• p=reject — az ellenőrzésen megbukó leveleket egyenesen elutasítja (a legerősebb védelem).

Futtasd néhány hétig a p=none beállítást, olvasd el a jelentéseket, hogy meggyőződj arról, hogy minden jogos leveled átmegy, majd lépj tovább a quarantine, végül a reject beállításra. Ha a jelentések átnézése előtt azonnal reject-re ugrsz, kockáztatod, hogy saját valódi e-mailjeidet blokkolod.

Route 53-specifikus hibák, amelyeket sokan elkövetnek

• Az értéket dupla idézőjelbe kell csomagolni. A Route 53 elvárja, hogy te magad írd be az idézőjeleket: "v=DMARC1; p=none; ...". Ezek elhagyása a leggyakoribb Route 53-as hiba.
• A rekordnév _dmarc, az aláhúzással együtt. Gyakori hiba az aláhúzás elhagyása, vagy a _dmarc.yourdomain.com beírása — a Route 53-ban csak _dmarc-ot írj be, és a zóna automatikusan hozzáfűződik. A teljes domain beírása egy hibás _dmarc.yourdomain.com.yourdomain.com gazdát hoz létre, amelyet soha nem ellenőriznek.
• Csak egy DMARC rekord legyen. Az SPF-hez hasonlóan egyetlen DMARC TXT rekordnak kell lennie a _dmarc alatt. Ha már létezik egy, szerkeszd meg ahelyett, hogy másodikat adnál hozzá.
• Használj valódi jelentési postafiókot. Az rua=mailto: utáni cím legyen olyan, amelyet valóban ellenőrizöl, különben a jelentések kárba vesznek. Lehet ugyanazon a domainen vagy egy másikon. (Ha a jelentéseket egy olyan domainnre irányítod, amely nem a tiéd, annak a domainnek engedélyeznie kell — de a saját domainednél ez rendben van.)
• Megfelelő hosztolt zóna, megfelelő fiók. Több zóna vagy AWS-fiók esetén könnyen szerkesztheted a rosszat. Ellenőrizd, hogy a zóna négy NS értéke egyezik-e az élő névszerverekkel.
• Adj időt neki. A DNS változtatások néhány perctől akár néhány óráig is tarthatnak, mire érvénybe lépnek.

Ellenőrizd, hogy működik-e

Mentés és propagálás után futtasd az ingyenes ellenőrzést ezen az oldalon. Egyszerű nyelven megmondja, hogy a DMARC rekordod a helyén van-e, és milyen irányelvet állítottál be.

Kész? Ellenőrizd a domainjedet ingyen hogy megbizonyosodj róla, hogy működött — és lásd teljes értékelésed mind a 34 ellenőrzésen.