Defaults.Exposed › Konfiguracja › DMARC

Jak skonfigurować DMARC w AWS Route 53

Dodaj rekord DMARC w swojej strefie hostowanej Route 53, aby powiedzieć dostawcom poczty, co mają robić z wiadomościami, które nie przejdą Twoich kontroli.

Dlaczego to ważne dla Twojej firmy

DMARC spina ze sobą SPF i DKIM oraz dodaje brakującą instrukcję: co dostawca poczty odbierającej ma zrobić, gdy wiadomość podająca się za pochodzącą od Ciebie nie przejdzie kontroli? Bez DMARC każdy dostawca zgaduje. Z nim to Ty decydujesz — a dodatkowo możesz poprosić o raporty pokazujące, kto wysyła pocztę w Twoim imieniu.

Mówiąc wprost: to właśnie DMARC realnie powstrzymuje oszustów przed podszywaniem się pod Twoją domenę, by okraść Twoich klientów czy pracowników. To zasada nadrzędna wobec zabezpieczeń, które dają SPF i DKIM — darmowa i warta tych kilku minut.

Najpierw skonfiguruj SPF i DKIM

DMARC działa, sprawdzając wyniki SPF i DKIM. Jeśli jeszcze ich nie dodałeś, zrób to najpierw — zasada DMARC bez niczego pod spodem nie ma czego egzekwować.

Upewnij się, że to Route 53 obsługuje Twój DNS

Jak każdy rekord DNS, ten zadziała tylko wtedy, gdy to Route 53 odpowiada za DNS Twojej domeny. Route 53 jest Twoim dostawcą DNS, a nie dostawcą skrzynek pocztowych. W konsoli Route 53 otwórz Hosted zones, wybierz swoją domenę i zanotuj cztery wartości NS (serwerów nazw); muszą one odpowiadać serwerom nazw ustawionym u Twojego rejestratora. Jeśli zarejestrowałeś domenę przez Route 53, zwykle już się zgadzają; jeśli jest zarejestrowana gdzie indziej — albo masz więcej niż jedną strefę hostowaną dla tej domeny — sprawdź uważnie. Jeśli aktywne serwery nazw wskazują gdzie indziej, dodaj rekord DMARC u tego dostawcy, który faktycznie obsługuje Twój DNS.

Krok po kroku w Route 53

1. Zaloguj się do konsoli AWS i otwórz Route 53.
2. W menu po lewej wybierz Hosted zones, a następnie kliknij nazwę swojej domeny.
3. Kliknij Create record.
4. Jeśli pojawi się kreator z opcjami routingu, przełącz się na prosty formularz (szukaj Quick create record).
5. W polu Record name wpisz dokładnie: _dmarc Nie dopisuj po tym nazwy swojej domeny — Route 53 dokleja domenę za Ciebie (pokazuje ją obok pola).
6. Ustaw Record type na TXT.
7. W polu Value zacznij łagodnie, od zasady wyłącznie monitorującej, ujętej w podwójne cudzysłowy: "v=DMARC1; p=none; rua=mailto:[email protected]" Zastąp adres skrzynką, którą faktycznie czytasz. To prosi dostawców, by wysyłali Ci raporty zbiorcze, na razie bez zmiany sposobu traktowania jakiejkolwiek poczty.
8. Pozostaw TTL na wartości domyślnej.
9. Kliknij Create records.

Wybór zasady (część p=)

• p=none — tylko monitorowanie. Nic nie jest blokowane; otrzymujesz jedynie raporty. Zacznij tutaj.
• p=quarantine — kierowanie niepoprawnej poczty do spamu/kosza.
• p=reject — całkowite odrzucanie niepoprawnej poczty (najsilniejsza ochrona).

Uruchom p=none na kilka tygodni, przeczytaj raporty, by potwierdzić, że cała Twoja prawidłowa poczta przechodzi, a następnie przejdź do quarantine i wreszcie do reject. Przeskok od razu do reject, zanim sprawdzisz raporty, grozi zablokowaniem Twojej własnej, autentycznej poczty.

Pułapki Route 53, na których ludzie się przewracają

• Wartość musi być w podwójnych cudzysłowach. Route 53 oczekuje, że samodzielnie wpiszesz cudzysłowy: "v=DMARC1; p=none; ...". Ich pominięcie to najczęstszy błąd w Route 53.
• Record name to _dmarc, z podkreślnikiem. Częstym błędem jest pominięcie podkreślnika albo wpisanie _dmarc.twojadomena.com — w Route 53 wpisujesz wyłącznie _dmarc, a strefa zostaje doklejona za Ciebie. Wpisanie pełnej domeny tworzy błędny host _dmarc.twojadomena.com.twojadomena.com, który nigdy nie zostaje sprawdzony.
• Tylko jeden rekord DMARC. Jak przy SPF, musi istnieć jeden rekord TXT DMARC pod _dmarc. Jeśli już jest, edytuj go, zamiast dodawać drugi.
• Użyj prawdziwej skrzynki raportowej. Adres po rua=mailto: powinien być takim, który naprawdę sprawdzasz, inaczej raporty się marnują. Może być w tej samej domenie albo w innej. (Jeśli skierujesz raporty na domenę, której nie kontrolujesz, ta domena musi to autoryzować — ale dla własnej domeny jesteś bezpieczny.)
• Właściwa strefa hostowana, właściwe konto. Przy kilku strefach lub kontach AWS łatwo edytować nie tę, co trzeba. Potwierdź, że cztery wartości NS strefy odpowiadają Twoim aktywnym serwerom nazw.
• Daj temu czas. Zmiany DNS mogą wejść w życie od kilku minut do paru godzin.

Sprawdź, czy zadziałało

Po zapisaniu i rozpropagowaniu uruchom darmowy test na tej stronie. Prostym językiem powie Ci, czy Twój rekord DMARC jest na miejscu i jaką zasadę ustawiłeś.

Gotowe? Sprawdź swoją domenę za darmo aby potwierdzić, że zadziałało — i zobaczyć pełną ocenę we wszystkich 34 kontrolach.