Defaults.Exposed › Diegimas › DMARC

Kaip nustatyti DMARC „AWS Route 53” sistemoje

Pridėkite DMARC įrašą savo „Route 53” prieglobos zonoje ir nurodykite el. pašto tiekėjams, ką daryti su laiškais, kurie nepraėjo jūsų patikrinimų.

Kodėl tai svarbu jūsų verslui

DMARC sujungia SPF ir DKIM ir prideda trūkstamą instrukciją: ką turėtų daryti gavėjo el. pašto tiekėjas, kai laiškas, tariamai siųstas jūsų vardu, nepraeina patikrinimų? Be DMARC kiekvienas tiekėjas spėja pats. Turėdami DMARC — jūs sprendžiate, ir galite prašyti tiekėjų siųsti jums ataskaitas, kas siunčia laiškus jūsų vardu.

Paprastai tariant: DMARC yra tai, kas iš tikrųjų apsaugo nuo nusikaltėlių, apsimetančių jūsų domenu ir apgaudinėjančių jūsų klientus ar darbuotojus. Tai politika, papildanti SPF ir DKIM spynas — nemokama ir verta kelių minučių.

Pirmiausia nustatykite SPF ir DKIM

DMARC tikrina SPF ir DKIM rezultatus. Jei dar jų nenustatėte — padarykite tai pirmiausia. DMARC politika be jų neturi ko vykdyti.

Patvirtinkite, kad „Route 53” valdo jūsų DNS

Kaip ir su bet kuriuo DNS įrašu, tai veikia tik jei „Route 53” atsako į DNS užklausas jūsų domeno vardu. „Route 53” yra jūsų DNS tiekėjas, o ne pašto dėžutės tiekėjas. „Route 53” konsolėje atidarykite Hosted zones, pasirinkite savo domeną ir pažiūrėkite keturias NS (vardų serverių) reikšmes — jos turi sutapti su registratoriuje nustatytais vardų serveriais. Jei domeną registravote per „Route 53” — jos paprastai jau sutampa; jei registruota kitur arba turite daugiau nei vieną prieglobos zoną — patikrinkite atidžiai. Jei aktyvūs vardų serveriai nukreipti kitur — pridėkite DMARC įrašą pas tą DNS tiekėją.

Žingsniai „Route 53” sistemoje

1. Prisijunkite prie AWS konsolės ir atidarykite Route 53.
2. Kairėje meniu pasirinkite Hosted zones, tada spustelėkite savo domeno pavadinimą.
3. Spustelėkite Create record.
4. Jei pasirodo vedlys su maršruto pasirinkimais — pereikite prie paprastos formos (ieškokite Quick create record).
5. Lauke Record name įveskite tiksliai: _dmarc Nerašykite domeno vardo po jo — „Route 53” pats prideda domeną (jis rodomas šalia lauko).
6. Nustatykite Record type į TXT.
7. Lauke Value pradėkite švelniai — tik stebėjimo politika, apvyniota dvigubomis kabutėmis: "v=DMARC1; p=none; rua=mailto:[email protected]" Pakeiskite adresą pašto dėžute, kurią iš tikrųjų tikrinate. Tai prašo tiekėjų siųsti jums suvestines ataskaitas nekeičiant laiškų apdorojimo.
8. TTL palikite numatytąjį.
9. Spustelėkite Create records.

Politikos pasirinkimas (p= parametras)

• p=none — tik stebėjimas. Niekas neblokuojama; gaunate tik ataskaitas. Pradėkite čia.
• p=quarantine — nepraėję tikrinimo laiškai siunčiami į šlamštą.
• p=reject — nepraėję tikrinimo laiškai atmetami (stipriausia apsauga).

Paleiskite p=none kelias savaites, skaitykite ataskaitas ir įsitikinkite, kad visi jūsų tikri laiškai praeina, tada pereikite prie quarantine ir galiausiai reject. Iš karto perjungus į reject, nepatikrinę ataskaitų, rizikuojate blokuoti savo tikrus laiškus.

Dažnos klaidos „Route 53” sistemoje

• Reikšmė turi būti dvigubose kabutėse. „Route 53” tikisi, kad kabutinas surašysite pats: "v=DMARC1; p=none; ...". Praleistos kabutės — dažniausia „Route 53” klaida.
• Įrašo vardas yra _dmarc su pabraukimu. Praleistas pabraukimas arba _dmarc.yourdomain.com — „Route 53” sistemoje įvedate tik _dmarc ir zona pridedama automatiškai. Visas domenas sukuria sugedusį _dmarc.yourdomain.com.yourdomain.com, kuris niekada nebus rastas.
• Tik vienas DMARC įrašas. Kaip ir SPF, turi būti vienas DMARC TXT įrašas ties _dmarc. Jei jau yra — redaguokite, ne kurkite naują.
• Naudokite tikrą ataskaitų pašto dėžutę. Adresas po rua=mailto: turi būti toks, kurį iš tikrųjų tikrinate, kitaip ataskaitos bus nenaudingos. Jis gali būti tame pačiame ar kitame domene. (Jei ataskaitas nukreipiate į kitą domeną, tas domenas turi tai leisti — tačiau savo domeno atveju viskas gerai.)
• Tinkama prieglobos zona, tinkama paskyra. Turint kelias zonas ar AWS paskyras, lengva redaguoti netinkamą. Patikrinkite, ar zonos keturios NS reikšmės sutampa su jūsų aktyviais vardų serveriais.
• Palaukite. DNS pakeitimai gali įsigalioti per kelias minutes iki poros valandų.

Patikrinkite, ar veikia

Išsaugojus ir propagavus, paleiskite nemokamą patikrinimą šiame tinklalapyje. Jis paprastai pasakys, ar jūsų DMARC įrašas yra ir kokia politika nustatyta.

Atlikta? Patikrinkite savo domeną nemokamai kad patvirtintumėte, jog veikia — ir pamatytumėte pilną įvertinimą pagal visus 34 kriterijus.