Defaults.Exposed › Configurare › DMARC

Cum configurezi DMARC pe AWS Route 53

Adaugă un record DMARC în zona ta Route 53 pentru a le spune furnizorilor de email ce să facă cu mesajele care nu trec verificările tale.

De ce contează asta pentru afacerea ta

DMARC leagă SPF și DKIM și adaugă instrucțiunea care lipsea: ce ar trebui să facă un furnizor de email când primește un mesaj care pretinde că vine de la tine, dar nu trece verificările? Fără DMARC, fiecare furnizor ghicește. Cu el, tu decizi — și poți cere rapoarte care îți arată cine trimite emailuri în numele tău.

Pe scurt: DMARC este cel care îi oprește efectiv pe infractori să îți falsifice domeniul pentru a escroca clienții sau angajații tăi. Este politica de deasupra lacătelor SPF și DKIM — gratuită și merită câteva minute.

Configurează mai întâi SPF și DKIM

DMARC funcționează verificând rezultatele SPF și DKIM. Dacă nu le-ai adăugat încă, fă-o mai întâi — o politică DMARC fără nimic dedesubt nu are ce să aplice.

Confirmă că Route 53 gestionează DNS-ul tău

Ca orice record DNS, acesta funcționează doar dacă Route 53 răspunde pentru domeniul tău. Route 53 este furnizorul tău DNS, nu furnizorul de căsuțe email. În consola Route 53, deschide Hosted zones, selectează domeniul și notează cele patru valori NS (nameserver); acestea trebuie să corespundă nameserver-elor setate la registrar-ul tău. Dacă ai înregistrat domeniul prin Route 53 ele se potrivesc de regulă automat; dacă este înregistrat în altă parte — sau ai mai mult de o zonă găzduită pentru domeniu — verifică cu atenție. Dacă nameserver-ele live indică altundeva, adaugă recordul DMARC la furnizorul care gestionează DNS-ul tău.

Pași în Route 53

1. Autentifică-te în consola AWS și deschide Route 53.
2. În meniul din stânga, alege Hosted zones, apoi fă clic pe numele domeniului tău.
3. Fă clic pe Create record.
4. Dacă apare un wizard cu opțiuni de routing, comută la formularul simplu (caută Quick create record).
5. La Record name, introdu exact: _dmarc Nu adăuga și numele domeniului — Route 53 îl adaugă automat (îl afișează lângă câmp).
6. Setează Record type la TXT.
7. La Value, începe prudent cu o politică doar de monitorizare, între ghilimele duble: "v=DMARC1; p=none; rua=mailto:[email protected]" Înlocuiește adresa cu una pe care o verifici efectiv. Aceasta cere furnizorilor să îți trimită rapoarte sumare fără să schimbe modul de tratare al niciunui email.
8. Lasă TTL la valoarea implicită.
9. Fă clic pe Create records.

Alegerea politicii (parametrul p=)

• p=none — doar monitorizare. Nimic nu este blocat; primești doar rapoarte. Începe de aici.
• p=quarantine — trimite emailurile care eșuează în spam/junk.
• p=reject — respinge definitiv emailurile care eșuează (cea mai puternică protecție).

Rulează p=none câteva săptămâni, citește rapoartele pentru a confirma că tot emailul tău legitim trece, apoi treci la quarantine și în final la reject. Dacă sari direct la reject fără să verifici rapoartele, riști să blochezi propriile emailuri autentice.

Greșeli frecvente pe Route 53

• Valoarea trebuie să fie între ghilimele duble. Route 53 se așteaptă să tastezi tu ghilimelele: "v=DMARC1; p=none; ...". Omiterea lor este cea mai frecventă greșeală pe Route 53.
• Record name este _dmarc, cu underscore. O greșeală obișnuită este omiterea underscore-ului sau scrierea _dmarc.domeniultau.com — în Route 53 introduci doar _dmarc și zona este adăugată automat. Dacă scrii domeniul complet, se creează un host _dmarc.domeniultau.com.domeniultau.com care nu este niciodată verificat.
• Un singur record DMARC. Ca și SPF, trebuie să existe un singur record DMARC TXT la _dmarc. Dacă există deja unul, editează-l în loc să adaugi al doilea.
• Folosește o căsuță de raportare reală. Adresa după rua=mailto: trebuie să fie una pe care o verifici efectiv, altfel rapoartele sunt inutile. Poate fi pe același domeniu sau pe altul. (Dacă indici rapoartele spre un domeniu pe care nu îl controlezi, acel domeniu trebuie să autorizeze asta — dar pentru propriul domeniu ești în regulă.)
• Zona corectă, contul corect. Cu mai multe zone sau conturi AWS este ușor să editezi zona greșită. Confirmă că cele patru valori NS ale zonei corespund nameserver-elor tale live.
• Acordă timp. Modificările DNS pot dura câteva minute sau câteva ore pentru a intra în vigoare.

Verifică dacă a funcționat

Odată salvat și propagat, rulează verificarea gratuită pe acest site. Îți va spune pe înțeles dacă recordul DMARC este la locul lui și ce politică ai setat.

Gata? Verifică domeniul tău gratuit pentru a confirma că a funcționat — și pentru a vedea nota ta completă la toate cele 34 de verificări.