Defaults.Exposed › Nastavenie › DMARC

Ako nastaviť DMARC na AWS Route 53

Pridajte DMARC záznam do vašej Route 53 hosted zone a povedzte poskytovateľom e-mailu, čo majú robiť s e-mailmi, ktoré neprešli vašimi kontrolami.

Prečo je to dôležité pre vaše podnikanie

DMARC spája SPF a DKIM dokopy a dopĺňa chýbajúcu inštrukciu: čo má prijímajúci poskytovateľ e-mailu urobiť, keď správa tvrdí, že pochádza od vás, ale neprejde kontrolami? Bez DMARC každý poskytovateľ háda. S ním rozhodujete vy — a môžete požiadať o zasielanie reportov o tom, kto posiela e-maily vo vašom mene.

V praxi: DMARC je to, čo skutočne zabraňuje podvodníkom zneužiť vašu doménu na oklámanie vašich zákazníkov alebo zamestnancov. Je to politika, ktorá stojí nad zámkami SPF a DKIM — zadarmo a za niekoľko minút.

Najprv nastavte SPF a DKIM

DMARC funguje tak, že overuje výsledky SPF a DKIM. Ak ste ich ešte nepridali, urobte to najprv — DMARC politika bez základu nemá čo presadzovať.

Overte, že Route 53 spravuje váš DNS

Ako pri každom DNS zázname, toto funguje len vtedy, ak Route 53 odpovedá na DNS dotazy pre vašu doménu. Route 53 je váš DNS hostiteľ, nie poskytovateľ schránok. V konzole Route 53 otvorte Hosted zones, vyberte svoju doménu a poznačte si štyri hodnoty NS (nameserver); tie musia zodpovedať nameserverom nastaveným u vášho registrátora. Ak ste doménu zaregistrovali cez Route 53, zvyčajne sa zhodujú; ak je zaregistrovaná inde — alebo máte viac hosted zones pre doménu — skontrolujte to starostlivo. Ak aktívne nameservery ukazujú inam, pridajte DMARC záznam u toho poskytovateľa, ktorý váš DNS skutočne spravuje.

Postup na Route 53

1. Prihláste sa do AWS konzoly a otvorte Route 53.
2. V ľavom menu zvoľte Hosted zones, potom kliknite na názov vašej domény.
3. Kliknite na Create record.
4. Ak sa zobrazí sprievodca s možnosťami smerovania, prepnite na jednoduchý formulár (hľadajte Quick create record).
5. Do poľa Record name zadajte presne: _dmarc Nezadávajte za tým názov domény — Route 53 ho doplní automaticky (zobrazuje sa vedľa poľa).
6. Nastavte Record type na TXT.
7. Do poľa Value začnite opatrne s politikou len pre monitorovanie, obalenou v dvojitých úvodzovkách: "v=DMARC1; p=none; rua=mailto:[email protected]" Adresu nahraďte schránkou, ktorú skutočne čítate. Toto požiada poskytovateľov, aby vám posielali súhrnné reporty bez toho, aby zmenili spracovanie akejkoľvek správy.
8. TTL nechajte na predvolenej hodnote.
9. Kliknite na Create records.

Výber politiky (parameter p=)

• p=none — len monitorovanie. Nič nie je blokované; iba dostávate reporty. Začnite tu.
• p=quarantine — neúspešné správy posiela do spamu.
• p=reject — neúspešné správy úplne odmietne (najsilnejšia ochrana).

Spustite p=none na niekoľko týždňov, prečítajte si reporty a overte, že všetky vaše legitímne správy prechádzajú, potom prejdite na quarantine a nakoniec na reject. Skok priamo na reject pred prečítaním reportov riskuje zablokovanie vašich vlastných e-mailov.

Čo ľudia na Route 53 robia zle

• Hodnota musí byť v dvojitých úvodzovkách. Route 53 vyžaduje, aby ste úvodzovky zadali sami: "v=DMARC1; p=none; ...". Ich vynechanie je najčastejšou chybou na Route 53.
• Record name je _dmarc, s podčiarkovníkom. Častou chybou je vynechanie podčiarkovníka alebo zadanie _dmarc.yourdomain.com — v Route 53 zadávate iba _dmarc a zóna sa doplní automaticky. Zadanie plnej domény vytvorí neplatný host _dmarc.yourdomain.com.yourdomain.com, ktorý sa nikdy nekontroluje.
• Iba jeden DMARC záznam. Rovnako ako SPF, musí existovať iba jeden DMARC TXT záznam na _dmarc. Ak nejaký existuje, upravte ho namiesto pridania druhého.
• Používajte skutočnú schránku pre reporty. Adresa za rua=mailto: by mala byť taká, ktorú skutočne kontrolujete, inak sú reporty zbytočné. Môže byť na rovnakej alebo inej doméne. (Ak ukazujete reporty na doménu, ktorú nekontrolujete, tá doména musí dať súhlas — ale pre vašu vlastnú doménu je to v poriadku.)
• Správna hosted zone, správny účet. Pri viacerých zónach alebo AWS účtoch je ľahké upraviť nesprávnu. Overte, že štyri NS hodnoty zóny zodpovedajú vašim aktívnym nameserverom.
• Počkajte chvíľu. Zmeny DNS môžu trvať niekoľko minút až pár hodín, kým sa prejavia.

Overte, že to funguje

Po uložení a propagácii spustite bezplatnú kontrolu na tejto stránke. Povie vám zrozumiteľne, či je váš DMARC záznam zavedený a akú politiku ste nastavili.

Hotovo? Skontrolujte svoju doménu zadarmo a potvrďte, že to fungovalo — a pozrite si celkové hodnotenie v rámci všetkých 34 kontrol.