Defaults.Exposed › Nastavitev › DMARC

Kako nastaviti DMARC na AWS Route 53

Dodajte zapis DMARC v cono Route 53 in povejte poštnim ponudnikom, kaj storiti z e-pošto, ki ne prestane vaših preverjanj.

Zakaj je to pomembno za vaše podjetje

DMARC poveže SPF in DKIM ter doda manjkajočo navodilo: kaj naj naredi prejemni poštni strežnik, ko e-poštno sporočilo, ki trdi, da prihaja od vas, ne prestane preverjanj? Brez DMARC vsak strežnik ugiba. Z njim se sami odločite — in od strežnikov lahko zahtevate, da vam pošiljajo poročila o tem, kdo pošilja e-pošto v vašem imenu.

Povedano preprosteje: DMARC je tisto, kar dejansko prepreči kriminalcem, da bi lažno predstavljali vašo domeno in varali vaše stranke ali zaposlene. Je politika na vrhu zaščitnih mehanizmov SPF in DKIM — brezplačna in vredna nekaj minut časa.

Najprej nastavite SPF in DKIM

DMARC deluje tako, da preveri rezultate SPF in DKIM. Če ju še niste dodali, to storite najprej — politika DMARC brez osnove nima česa uveljavljati.

Potrdite, da Route 53 upravlja vaš DNS

Kot velja za vsak zapis DNS, to deluje le, če Route 53 odgovarja na poizvedbe DNS za vašo domeno. Route 53 je vaš gostitelj DNS, ne ponudnik poštnih predalov. V konzoli Route 53 odprite Hosted zones, izberite svojo domeno in si zabeležite štiri vrednosti NS (imenski strežniki); te se morajo ujemati z imenskimi strežniki, nastavljenimi pri vašem registrarju. Če ste domeno registrirali prek Route 53, se ponavadi že ujemajo; če je registrirana drugje — ali imate več kot eno cono za domeno — preverite skrbno. Če živi nameserver drug, dodajte zapis DMARC pri tistem ponudniku, ki upravlja vaš DNS.

Korak za korakom na Route 53

1. Prijavite se v konzolo AWS in odprite Route 53.
2. V levem meniju izberite Hosted zones, nato kliknite ime svoje domene.
3. Kliknite Create record.
4. Če se pojavi čarovnik z možnostmi usmerjanja, preklopite na enostavni obrazec (poiščite Quick create record).
5. V Record name vnesite natanko: _dmarc Imena domene ne vpisujte za tem — Route 53 jo doda samodejno (prikazana je poleg polja).
6. Nastavite Record type na TXT.
7. V Value začnite z nadzornim načinom brez blokiranja, zavito v dvojne narekovaje: "v=DMARC1; p=none; rua=mailto:[email protected]" Naslov zamenjajte s poštnim predalom, ki ga resnično berete. S tem prosite strežnike, da vam pošiljajo zbirna poročila, ne da bi spremenili ravnanje s katero koli pošto.
8. TTL pustite na privzetku.
9. Kliknite Create records.

Izbira politike (del p=)

• p=none — samo nadzor. Nič ni blokirano; samo prejemate poročila. Začnite tukaj.
• p=quarantine — neuspešna sporočila pošljite v mapo z neželeno pošto.
• p=reject — neuspešna sporočila popolnoma zavrnite (najmočnejša zaščita).

Nekaj tednov delujte z p=none, berite poročila in potrdite, da vsa legitimna pošta prestane preverjanje, nato pa postopno preidite na quarantine in nazadnje na reject. Če takoj skočite na reject, preden ste preverili poročila, tvegate blokiranje lastne veljavne pošte.

Pogoste napake na Route 53

• Vrednost mora biti v dvojnih narekovajih. Route 53 pričakuje, da narekovaje vnesete sami: "v=DMARC1; p=none; ...". Opustitev narekovajev je najpogostejša napaka na Route 53.
• Record name je _dmarc, s podčrtajem. Pogosta napaka je izpustitev podčrtaja ali vnos _dmarc.vašadomena.com — v Route 53 vnesete samo _dmarc in cona se doda samodejno. Vnos celotne domene ustvari napačno ime _dmarc.vašadomena.com.vašadomena.com, ki nikoli ne bo preverjeno.
• Samo en zapis DMARC. Kot pri SPF, mora obstajati samo en TXT zapis DMARC pri _dmarc. Če že obstaja, ga uredite, namesto da dodate drugega.
• Uporabite pravi poštni predal za poročila. Naslov za rua=mailto: mora biti tak, ki ga resnično preverjate, sicer so poročila neuporabna. (Če naslavljate poročila na domeno, ki je ne nadzorujete, mora ta domena odobritev — za lastno domeno pa je v redu.)
• Prava cona, pravi račun. Ko imate več con ali računov AWS, je enostavno urediti napačno. Potrdite, da se štiri vrednosti NS cone ujemajo z vašimi živimi imenskimi strežniki.
• Dajte mu čas. Spremembe DNS lahko stopijo v veljavo v nekaj minutah do v parih urah.

Preverite, ali je delovalo

Ko je zapis shranjen in razširjen, zaženite brezplačno preverjanje na tem spletnem mestu. Povedalo vam bo v razumljivem jeziku, ali je vaš zapis DMARC na mestu in katero politiko ste nastavili.

Končano? Preverite svojo domeno brezplačno da potrdite, da je delovalo — in si oglejte vašo celotno oceno po vseh 34 preverjanjih.