Defaults.Exposed › Persediaan › DMARC

Cara menyediakan DMARC di AWS Route 53

Tambah rekod DMARC dalam zon hos Route 53 anda untuk memberitahu penyedia mel apa yang perlu dilakukan terhadap emel yang gagal semakan anda.

Mengapa ini penting untuk perniagaan anda

DMARC menghubungkan SPF dan DKIM bersama-sama serta menambah arahan yang hilang: apa yang perlu dilakukan oleh penyedia mel penerima apabila emel yang mendakwa datang daripada anda gagal semakan? Tanpa DMARC, setiap penyedia membuat andaian sendiri. Dengan DMARC, anda yang memutuskan — dan anda boleh meminta mereka menghantar laporan yang menunjukkan siapa yang menghantar mel atas nama anda.

Dalam bahasa mudah: DMARC adalah apa yang sebenarnya menghalang penjenayah daripada menyamar sebagai domain anda untuk menipu pelanggan atau kakitangan anda. Ia adalah polisi di atas kunci yang disediakan oleh SPF dan DKIM — percuma, dan berbaloi dengan beberapa minit masa anda.

Sediakan SPF dan DKIM dahulu

DMARC berfungsi dengan menyemak keputusan SPF dan DKIM. Jika anda belum menambahkannya, lakukan dahulu — polisi DMARC tanpa apa-apa di bawahnya tiada apa yang hendak dikuatkuasakan.

Sahkan Route 53 menguruskan DNS anda

Seperti mana-mana rekod DNS, ini hanya berfungsi jika Route 53 menjawab DNS untuk domain anda. Route 53 adalah hos DNS anda, bukan penyedia peti mel anda. Dalam konsol Route 53, buka Hosted zones, pilih domain anda, dan perhatikan empat nilai NS (nameserver); nilai tersebut mestilah sepadan dengan nameserver yang ditetapkan di pendaftar anda. Jika anda mendaftarkan domain melalui Route 53 ia biasanya sudah sepadan; jika didaftarkan di tempat lain — atau anda mempunyai lebih dari satu zon hos untuk domain — semak dengan teliti. Jika nameserver aktif menunjuk ke tempat lain, tambah rekod DMARC di penyedia yang menguruskan DNS anda.

Langkah demi langkah di Route 53

1. Log masuk ke konsol AWS dan buka Route 53.
2. Dalam menu kiri, pilih Hosted zones, kemudian klik nama domain anda.
3. Klik Create record.
4. Jika wizard dengan pilihan penghalaan muncul, tukar ke borang ringkas (cari Quick create record).
5. Dalam Record name, masukkan tepat-tepat: _dmarc Jangan taip nama domain anda selepasnya — Route 53 menambahkan domain untuk anda (ia menunjukkan domain anda di sebelah medan).
6. Tetapkan Record type kepada TXT.
7. Dalam Value, mulakan dengan polisi pemantauan sahaja, dibungkus dalam tanda petikan berganda: "v=DMARC1; p=none; rua=mailto:[email protected]" Gantikan alamat tersebut dengan peti mel yang anda benar-benar semak. Ini meminta penyedia menghantar laporan ringkasan kepada anda tanpa mengubah cara mana-mana mel dikendalikan buat masa ini.
8. Biarkan TTL pada lalai.
9. Klik Create records.

Memilih polisi anda (bahagian p=)

• p=none — pemantauan sahaja. Tiada yang disekat; anda hanya menerima laporan. Mulakan di sini.
• p=quarantine — hantar mel yang gagal ke spam/junk.
• p=reject — tolak mel yang gagal terus (perlindungan terkuat).

Jalankan p=none selama beberapa minggu, baca laporan untuk mengesahkan semua mel sah anda lulus, kemudian naik ke quarantine dan akhirnya reject. Melompat terus ke reject sebelum anda menyemak laporan berisiko menyekat emel tulen anda sendiri.

Kesilapan lazim di Route 53

• Nilai mesti dalam tanda petikan berganda. Route 53 mengharapkan anda menaip petikan sendiri: "v=DMARC1; p=none; ...". Meninggalkannya adalah kesilapan Route 53 yang paling biasa.
• Nama rekod adalah _dmarc, dengan garis bawah. Kesilapan biasa ialah meninggalkan garis bawah, atau menaip _dmarc.yourdomain.com — di Route 53 anda masukkan hanya _dmarc dan zon ditambahkan untuk anda. Menaip domain penuh mewujudkan hos _dmarc.yourdomain.com.yourdomain.com yang rosak yang tidak pernah disemak.
• Satu rekod DMARC sahaja. Seperti SPF, mesti ada satu rekod DMARC TXT di _dmarc. Jika ada satu, edit ia dan jangan tambah yang kedua.
• Gunakan peti mel laporan yang sebenar. Alamat selepas rua=mailto: mestilah yang anda betul-betul semak, atau laporan itu tidak berguna. Ia boleh pada domain yang sama atau berbeza. (Jika anda menghala laporan ke domain yang anda tidak kawal, domain itu perlu mengizinkannya — tetapi untuk domain anda sendiri, anda tidak perlu risau.)
• Zon hos dan akaun yang betul. Dengan beberapa zon atau akaun AWS, mudah untuk mengedit yang salah. Sahkan nilai NS zon sepadan dengan nameserver aktif anda.
• Beri masa. Perubahan DNS boleh mengambil beberapa minit hingga beberapa jam untuk berkuat kuasa.

Sahkan ia berfungsi

Selepas disimpan dan disebarkan, jalankan semakan percuma di laman ini. Ia akan memberitahu anda dalam bahasa mudah sama ada rekod DMARC anda sudah sedia dan polisi apa yang telah anda tetapkan.

Sudah selesai? Semak domain anda secara percuma untuk mengesahkan ia berjaya — dan lihat gred penuh anda merentasi kesemua 34 semakan.