Defaults.Exposed › Настройка › DMARC

Как настроить DMARC в AWS Route 53

Добавьте запись DMARC в свою hosted zone Route 53, чтобы указать почтовым службам, что делать с письмами, не прошедшими ваши проверки.

Почему это важно для вашего бизнеса

DMARC связывает SPF и DKIM воедино и добавляет недостающую инструкцию: что должна сделать принимающая почтовая служба, если письмо, якобы отправленное от вашего имени, не прошло проверки? Без DMARC каждая служба решает наугад. С DMARC решаете вы — и можете попросить присылать вам отчёты о том, кто рассылает письма от вашего имени.

Проще говоря: именно DMARC реально мешает мошенникам подделывать ваш домен, чтобы обманывать ваших клиентов и сотрудников. Это политика поверх замков, которые дают SPF и DKIM, — бесплатно и стоит потраченных нескольких минут.

Сначала настройте SPF и DKIM

DMARC работает за счёт проверки результатов SPF и DKIM. Если вы их ещё не добавили, начните с них — политике DMARC без них просто нечего применять.

Убедитесь, что DNS вашего домена обслуживает Route 53

Как и любая DNS-запись, это сработает только если на DNS-запросы по вашему домену отвечает Route 53. Route 53 — это ваш DNS-хостинг, а не провайдер почтовых ящиков. В консоли Route 53 откройте Hosted zones, выберите свой домен и обратите внимание на четыре значения NS (серверов имён); они должны совпадать с серверами имён, заданными у вашего регистратора. Если домен зарегистрирован через Route 53, они обычно уже совпадают; если он зарегистрирован в другом месте — или у вас несколько hosted zone для этого домена — проверьте внимательно. Если действующие серверы имён указывают на другую компанию, добавляйте запись DMARC у того провайдера, который обслуживает ваш DNS.

Пошагово в Route 53

1. Войдите в консоль AWS и откройте Route 53.
2. В меню слева выберите Hosted zones, затем нажмите на имя своего домена.
3. Нажмите Create record.
4. Если появится мастер с параметрами маршрутизации, переключитесь на простую форму (ищите Quick create record).
5. В поле Record name введите ровно: _dmarc Не дописывайте после него имя домена — Route 53 добавит домен за вас (он показывает ваш домен рядом с полем).
6. Установите Record type в TXT.
7. В поле Value начните мягко, с политики только для наблюдения, в двойных кавычках: "v=DMARC1; p=none; rua=mailto:[email protected]" Замените адрес на почтовый ящик, который вы действительно читаете. Так вы попросите службы присылать вам сводные отчёты, пока ничего не меняя в обработке писем.
8. Оставьте TTL по умолчанию.
9. Нажмите Create records.

Выбор политики (часть p=)

• p=none — только наблюдение. Ничего не блокируется; вы просто получаете отчёты. Начните отсюда.
• p=quarantine — отправлять подозрительные письма в спам.
• p=reject — отклонять непрошедшие письма полностью (самая надёжная защита).

Поработайте с p=none несколько недель, изучите отчёты и убедитесь, что вся ваша легитимная почта проходит проверки, затем переходите к quarantine и наконец к reject. Прыжок сразу к reject до изучения отчётов рискует заблокировать вашу же настоящую почту.

Особенности Route 53, на которых часто ошибаются

• Значение должно быть в двойных кавычках. Route 53 ожидает, что вы впишете кавычки сами: "v=DMARC1; p=none; ...". Их отсутствие — самая частая ошибка в Route 53.
• Record name — это _dmarc, с подчёркиванием. Частая ошибка — опустить подчёркивание или ввести _dmarc.yourdomain.com; в Route 53 вы вводите только _dmarc, а зона дописывается за вас. Ввод полного домена создаёт сломанный хост _dmarc.yourdomain.com.yourdomain.com, который никогда не проверяется.
• Только одна запись DMARC. Как и у SPF, на _dmarc должна быть единственная TXT-запись DMARC. Если она уже есть, отредактируйте её, а не добавляйте вторую.
• Используйте реальный ящик для отчётов. Адрес после rua=mailto: должен быть тем, который вы действительно проверяете, иначе отчёты бесполезны. Он может быть как на том же домене, так и на другом. (Если вы направляете отчёты на домен, который вам не принадлежит, тот домен должен это авторизовать — но для вашего собственного домена всё в порядке.)
• Правильная hosted zone, правильный аккаунт. При нескольких зонах или аккаунтах AWS легко отредактировать не ту. Убедитесь, что четыре значения NS зоны совпадают с вашими действующими серверами имён.
• Дайте время. Изменения DNS могут вступать в силу от нескольких минут до пары часов.

Проверьте результат

После сохранения и распространения изменений запустите бесплатную проверку на этом сайте. Она простым языком сообщит, на месте ли ваша запись DMARC и какую политику вы задали.

Готово? Проверьте свой домен бесплатно чтобы убедиться, что всё сработало — и увидеть полную оценку по всем 34 проверкам.