Defaults.Exposed › Configurazione › DMARC

Come configurare il DMARC su AWS Route 53

Aggiungi un record DMARC nella tua hosted zone di Route 53 per dire ai provider di posta cosa fare con le email che non superano i controlli.

Perché è importante per la tua attività

Il DMARC lega insieme SPF e DKIM e aggiunge l’istruzione che manca: cosa deve fare il provider di posta del destinatario quando un’email che dichiara di provenire da te non supera i controlli? Senza DMARC, ogni provider tira a indovinare. Con il DMARC, decidi tu — e puoi chiedere di ricevere report che mostrano chi sta inviando posta a tuo nome.

In parole semplici: il DMARC è ciò che davvero impedisce ai truffatori di falsificare il tuo dominio per ingannare clienti o collaboratori. È la regola che si appoggia alle serrature fornite da SPF e DKIM — gratuita, e ben spesa per i pochi minuti che richiede.

Configura prima SPF e DKIM

Il DMARC funziona controllando i risultati di SPF e DKIM. Se non li hai ancora impostati, fallo prima: una regola DMARC senza nulla sotto non ha nulla da far rispettare.

Verifica che sia Route 53 a gestire il tuo DNS

Come per qualsiasi record DNS, questo funziona solo se è Route 53 a rispondere al DNS per il tuo dominio. Route 53 è il tuo host DNS, non il fornitore della casella di posta. Nella console di Route 53, apri Hosted zones, seleziona il tuo dominio e annota i quattro valori NS (nameserver); devono corrispondere ai nameserver impostati presso il tuo registrar. Se hai registrato il dominio tramite Route 53 di solito corrispondono già; se è registrato altrove — o se hai più di una hosted zone per il dominio — controlla con attenzione. Se i nameserver attivi puntano altrove, aggiungi il record DMARC presso il provider che effettivamente gestisce il tuo DNS.

Passo per passo su Route 53

1. Accedi alla console AWS e apri Route 53.
2. Nel menu a sinistra, scegli Hosted zones, poi fai clic sul nome del tuo dominio.
3. Fai clic su Create record (Crea record).
4. Se compare una procedura guidata con opzioni di routing, passa al modulo semplice (cerca Quick create record).
5. In Record name (Nome record), inserisci esattamente: _dmarc Non digitare il nome del dominio dopo — Route 53 lo aggiunge automaticamente (lo mostra accanto al campo).
6. Imposta Record type (Tipo di record) su TXT.
7. In Value (Valore), inizia con cautela usando una regola di solo monitoraggio, racchiusa tra virgolette doppie: "v=DMARC1; p=none; rua=mailto:[email protected]" Sostituisci l’indirizzo con una casella che leggi davvero. Così chiedi ai provider di inviarti report riepilogativi senza ancora cambiare il trattamento della posta.
8. Lascia il TTL sul valore predefinito.
9. Fai clic su Create records.

Scegliere la tua regola (la parte p=)

• p=none — solo monitoraggio. Nulla viene bloccato; ricevi soltanto i report. Inizia da qui.
• p=quarantine — invia la posta che non supera i controlli nello spam/posta indesiderata.
• p=reject — rifiuta del tutto la posta che non supera i controlli (la protezione più forte).

Usa p=none per qualche settimana, leggi i report per confermare che tutta la tua posta legittima passa, poi sali a quarantine e infine a reject. Passare subito a reject prima di aver letto i report rischia di bloccare le tue stesse email genuine.

Errori comuni su Route 53

• Il valore deve essere tra virgolette doppie. Route 53 si aspetta che le virgolette le digiti tu: "v=DMARC1; p=none; ...". Ometterle è l’errore più comune su Route 53.
• Il nome del record è _dmarc, con il trattino basso. Un errore frequente è toglierlo, oppure digitare _dmarc.yourdomain.com — in Route 53 inserisci solo _dmarc e la zona viene aggiunta per te. Digitare il dominio completo crea un host errato _dmarc.yourdomain.com.yourdomain.com che non viene mai controllato.
• Un solo record DMARC. Come per SPF, deve esistere un unico record TXT DMARC su _dmarc. Se ne esiste uno, modificalo invece di aggiungerne un secondo.
• Usa una casella di reporting reale. L’indirizzo dopo rua=mailto: deve essere uno che controlli davvero, altrimenti i report vanno sprecati. Può essere sullo stesso dominio o su uno diverso. (Se indirizzi i report verso un dominio che non controlli, quel dominio deve autorizzarlo — ma per il tuo dominio sei a posto.)
• Hosted zone giusta, account giusto. Con più zone o account AWS è facile modificare quello sbagliato. Conferma che i quattro valori NS della zona corrispondano ai tuoi nameserver attivi.
• Dai tempo. Le modifiche al DNS possono richiedere da qualche minuto fino a un paio d’ore per avere effetto.

Verifica che abbia funzionato

Una volta salvato e propagato, esegui il controllo gratuito su questo sito. Ti dirà in parole semplici se il tuo record DMARC è presente e quale regola hai impostato.

Fatto? Verifica il tuo dominio gratis per confermare che ha funzionato — e vedere il tuo voto completo su tutti e 34 i controlli.