Defaults.Exposed › Pengaturan › DMARC

Cara mengatur DMARC di AWS Route 53

Tambahkan record DMARC di hosted zone Route 53 Anda untuk memberi tahu penyedia email apa yang harus dilakukan terhadap email yang gagal melewati pemeriksaan Anda.

Mengapa ini penting bagi bisnis Anda

DMARC mengikat SPF dan DKIM menjadi satu dan menambahkan instruksi yang selama ini hilang: apa yang harus dilakukan penyedia email penerima ketika ada email yang mengaku dari Anda namun gagal dalam pemeriksaan? Tanpa DMARC, setiap penyedia hanya menebak-nebak. Dengan DMARC, Anda yang menentukan — dan Anda dapat meminta mereka mengirimkan laporan yang menunjukkan siapa saja yang mengirim email atas nama domain Anda.

Singkatnya: DMARC adalah yang sebenarnya mencegah penjahat memalsukan domain Anda untuk menipu pelanggan atau staf Anda. Inilah kebijakan di atas kunci-kunci yang disediakan SPF dan DKIM — gratis, dan sangat sepadan dengan beberapa menit yang dibutuhkan.

Siapkan SPF dan DKIM terlebih dahulu

DMARC bekerja dengan memeriksa hasil SPF dan DKIM. Jika Anda belum menambahkan keduanya, lakukan terlebih dahulu — kebijakan DMARC tanpa fondasi di bawahnya tidak memiliki apa pun untuk ditegakkan.

Pastikan Route 53 mengelola DNS Anda

Seperti record DNS lainnya, ini hanya berfungsi jika Route 53 yang menjawab permintaan DNS untuk domain Anda. Route 53 adalah host DNS Anda, bukan penyedia kotak surat Anda. Di konsol Route 53, buka Hosted zones, pilih domain Anda, dan catat empat nilai NS (nameserver); nilai-nilai tersebut harus cocok dengan nameserver yang ditetapkan di registrar Anda. Jika Anda mendaftarkan domain melalui Route 53 biasanya sudah cocok; jika terdaftar di tempat lain — atau Anda memiliki lebih dari satu hosted zone untuk domain — periksa dengan teliti. Jika nameserver aktif mengarah ke tempat lain, tambahkan record DMARC di penyedia yang mengelola DNS Anda.

Langkah-langkah di Route 53

1. Masuk ke konsol AWS dan buka Route 53.
2. Di menu kiri, pilih Hosted zones, lalu klik nama domain Anda.
3. Klik Create record.
4. Jika muncul wizard dengan opsi routing, beralih ke formulir sederhana (cari Quick create record).
5. Di Record name, masukkan persis: _dmarc Jangan ketik nama domain setelahnya — Route 53 otomatis menambahkan domain untuk Anda (ditampilkan di sebelah kolom).
6. Atur Record type ke TXT.
7. Di Value, mulai dengan kebijakan pemantauan saja, dibungkus dalam tanda kutip ganda: "v=DMARC1; p=none; rua=mailto:[email protected]" Ganti alamat tersebut dengan kotak surat yang benar-benar Anda baca. Ini meminta penyedia mengirimkan laporan ringkasan kepada Anda tanpa mengubah cara penanganan email apa pun dulu.
8. Biarkan TTL pada nilai default.
9. Klik Create records.

Memilih kebijakan Anda (bagian p=)

• p=none — hanya memantau. Tidak ada yang diblokir; Anda hanya menerima laporan. Mulai dari sini.
• p=quarantine — kirim email yang gagal ke folder spam/junk.
• p=reject — tolak email yang gagal secara langsung (perlindungan terkuat).

Jalankan p=none selama beberapa minggu, baca laporan untuk memastikan semua email sah Anda lolos, lalu naik ke quarantine dan akhirnya reject. Langsung ke reject sebelum memeriksa laporan berisiko memblokir email asli Anda sendiri.

Kesalahan umum di Route 53

• Nilai harus dalam tanda kutip ganda. Route 53 mengharapkan Anda mengetik kutipnya sendiri: "v=DMARC1; p=none; ...". Menghilangkannya adalah kesalahan Route 53 yang paling umum.
• Nama record adalah _dmarc, dengan garis bawah. Kesalahan umum adalah menghilangkan garis bawah, atau mengetik _dmarc.yourdomain.com — di Route 53 cukup masukkan _dmarc dan zone akan ditambahkan otomatis. Mengetik domain lengkap menciptakan host _dmarc.yourdomain.com.yourdomain.com yang rusak dan tidak pernah diperiksa.
• Hanya satu record DMARC. Seperti SPF, harus ada satu record DMARC TXT di _dmarc. Jika sudah ada, edit saja, jangan tambahkan yang kedua.
• Gunakan kotak surat pelaporan yang nyata. Alamat setelah rua=mailto: harus yang benar-benar Anda periksa, atau laporan tersebut terbuang sia-sia. Bisa di domain yang sama atau berbeda. (Jika Anda mengarahkan laporan ke domain yang tidak Anda kendalikan, domain itu perlu mengotorisasinya — tetapi untuk domain Anda sendiri, tidak ada masalah.)
• Hosted zone dan akun yang tepat. Dengan beberapa zone atau akun AWS, mudah mengedit yang salah. Konfirmasi empat nilai NS zone cocok dengan nameserver aktif Anda.
• Berikan waktu. Perubahan DNS bisa memakan waktu beberapa menit hingga beberapa jam untuk berlaku.

Verifikasi bahwa ini berhasil

Setelah disimpan dan tersebar, jalankan pemeriksaan gratis di situs ini. Hasilnya akan memberi tahu Anda dalam bahasa yang mudah dipahami apakah record DMARC Anda sudah terpasang dan kebijakan apa yang telah Anda tetapkan.

Selesai? Periksa domain Anda gratis untuk mengonfirmasi berhasil — dan lihat nilai lengkap Anda di seluruh 34 pemeriksaan.