Defaults.Exposed › Configuração › DMARC

Como configurar o DMARC no AWS Route 53

Adicione um registo DMARC na sua zona hospedada do Route 53 para dizer aos fornecedores de email o que fazer com mensagens que falham as suas verificações.

Porque é que isto importa para o seu negócio

O DMARC junta o SPF e o DKIM e acrescenta a instrução que faltava: o que deve um fornecedor de email fazer quando uma mensagem que diz vir de si falha as verificações? Sem DMARC, cada fornecedor adivinha. Com ele, é você que decide — e pode pedir-lhes relatórios que mostram quem está a enviar email em seu nome.

Em palavras simples: o DMARC é o que realmente impede que criminosos se façam passar pelo seu domínio para enganar os seus clientes ou colaboradores. É a política que assenta sobre as fechaduras que o SPF e o DKIM fornecem — gratuita e bem merecedora dos poucos minutos que leva.

Configure primeiro o SPF e o DKIM

O DMARC funciona verificando os resultados do SPF e do DKIM. Se ainda não os adicionou, faça-o primeiro — uma política DMARC sem nada por baixo não tem nada para fazer cumprir.

Confirme que é o Route 53 que gere o seu DNS

Como qualquer registo de DNS, isto só funciona se for o Route 53 a responder pelo DNS do seu domínio. O Route 53 é o seu fornecedor de DNS, não o seu fornecedor de caixas de correio. Na consola do Route 53, abra Hosted zones, selecione o seu domínio e tome nota dos quatro valores NS (nameserver); esses têm de corresponder aos nameservers definidos no seu registador. Se registou o domínio através do Route 53, normalmente já correspondem; se está registado noutro lado — ou se tem mais do que uma zona hospedada para o domínio — verifique com cuidado. Se os nameservers ativos apontarem para outro lado, adicione o registo DMARC no fornecedor que efetivamente gere o seu DNS.

Passo a passo no Route 53

1. Inicie sessão na consola da AWS e abra o Route 53.
2. No menu da esquerda, escolha Hosted zones e depois clique no nome do seu domínio.
3. Clique em Create record.
4. Se aparecer um assistente com opções de encaminhamento, mude para o formulário simples (procure por Quick create record).
5. Em Record name, introduza exatamente: _dmarc Não escreva o nome do domínio a seguir — o Route 53 acrescenta o domínio por si (mostra o seu domínio ao lado do campo).
6. Defina o Record type como TXT.
7. Em Value, comece com calma, com uma política só de monitorização, entre aspas duplas: "v=DMARC1; p=none; rua=mailto:[email protected]" Substitua o endereço por uma caixa de correio que leia de facto. Isto pede aos fornecedores que lhe enviem relatórios-resumo por email, sem alterar ainda o tratamento de qualquer mensagem.
8. Deixe o TTL no valor predefinido.
9. Clique em Create records.

Escolher a sua política (a parte p=)

• p=none — só monitorizar. Nada é bloqueado; apenas recebe relatórios. Comece por aqui.
• p=quarantine — enviar as mensagens que falham para spam/lixo.
• p=reject — recusar de imediato as mensagens que falham (a proteção mais forte).

Use p=none durante algumas semanas, leia os relatórios para confirmar que todo o seu email legítimo passa e depois suba para quarantine e, por fim, reject. Saltar diretamente para reject antes de ter verificado os relatórios arrisca bloquear o seu próprio email genuíno.

Particularidades do Route 53 em que as pessoas erram

• O valor tem de estar entre aspas duplas. O Route 53 espera que escreva as aspas você mesmo: "v=DMARC1; p=none; ...". Deixá-las de fora é o erro mais comum no Route 53.
• O Record name é _dmarc, com o sublinhado. Um erro comum é omitir o sublinhado, ou escrever _dmarc.seudominio.com — no Route 53 introduz apenas _dmarc e a zona é acrescentada por si. Escrever o domínio completo cria um host partido _dmarc.seudominio.com.seudominio.com que nunca é verificado.
• Apenas um registo DMARC. Tal como no SPF, tem de existir um único registo TXT de DMARC em _dmarc. Se já houver um, edite-o em vez de adicionar um segundo.
• Use uma caixa de correio de relatórios real. O endereço a seguir a rua=mailto: deve ser um que realmente consulte, senão os relatórios são desperdiçados. Pode estar no mesmo domínio ou noutro. (Se direcionar os relatórios para um domínio que não controla, esse domínio tem de o autorizar — mas para o seu próprio domínio está tudo bem.)
• Zona certa, conta certa. Com várias zonas ou contas AWS é fácil editar a errada. Confirme que os quatro valores NS da zona correspondem aos seus nameservers ativos.
• Dê-lhe tempo. As alterações de DNS podem levar de alguns minutos até algumas horas a fazer efeito.

Confirme que resultou

Depois de guardado e propagado, faça a verificação gratuita neste site. Diz-lhe em linguagem simples se o seu registo DMARC está em vigor e que política definiu.

Já está? Analise o seu domínio gratuitamente para confirmar que funcionou — e ver a sua nota completa nas 34 verificações.