Defaults.Exposed › Podešavanje › DMARC

Kako podesiti DMARC na AWS Route 53

Dodajte DMARC zapis u vaš Route 53 hosted zone kako biste mail provajderima rekli šta da rade sa porukama koje ne prođu vaše provere.

Zašto je ovo važno za vaše poslovanje

DMARC povezuje SPF i DKIM i dodaje ono što nedostaje: šta treba da uradi provajder koji prima mejl kada poruka koja tvrdi da dolazi od vas ne prođe provere? Bez DMARC-a, svaki provajder nagađa. Sa njim, vi odlučujete — i možete zatražiti da vam šalju izveštaje koji pokazuju ko šalje poštu u vaše ime.

Jednostavno rečeno: DMARC je ono što zaista sprečava kriminalce da lažno predstavljaju vaš domen kako bi prevarili vaše klijente ili zaposlene. To je politika koja stoji iznad brava koje obezbeđuju SPF i DKIM — besplatna je i vredna nekoliko minuta ulaganja.

Najpre podesite SPF i DKIM

DMARC funkcioniše tako što proverava rezultate SPF-a i DKIM-a. Ako ih još niste dodali, uradite to pre — DMARC politika bez podloge nema šta da sprovodi.

Proverite da li Route 53 upravlja vašim DNS-om

Kao i sa svakim DNS zapisom, ovo funkcioniše samo ako Route 53 odgovara na DNS upite za vaš domen. Route 53 je vaš DNS host, a ne vaš mail provajder. U Route 53 konzoli otvorite Hosted zones, izaberite vaš domen i zabeležite četiri NS (name server) vrednosti; one moraju odgovarati name serverima podešenim kod vašeg registrara. Ako ste registrovali domen putem Route 53, obično se već podudaraju; ako je registrovan drugde — ili imate više hosted zona za domen — proverite pažljivo. Ako aktivni name serveri pokazuju negde drugde, dodajte DMARC zapis kod provajdera koji zapravo upravlja vašim DNS-om.

Korak po korak na Route 53

1. Prijavite se na AWS konzolu i otvorite Route 53.
2. U levom meniju izaberite Hosted zones, pa kliknite na naziv vašeg domena.
3. Kliknite Create record.
4. Ako se pojavi čarobnjak sa opcijama rutiranja, prebacite se na jednostavnu formu (potražite Quick create record).
5. U polje Record name unesite tačno: _dmarc Ne upisujte naziv domena iza toga — Route 53 ga automatski dodaje (prikazuje vaš domen pored polja).
6. Podesite Record type na TXT.
7. U polje Value unesite politiku samo za praćenje, obavezno u dvostrukim navodnicima: "v=DMARC1; p=none; rua=mailto:[email protected]" Zamenite adresu sandučetom koje zaista pratite. Ovo od provajdera traži da vam šalju zbirne izveštaje, bez ikakve promene u tretmanu poruka.
8. Ostavite TTL na podrazumevanoj vrednosti.
9. Kliknite Create records.

Izbor politike (deo p=)

• p=none — samo praćenje. Ništa se ne blokira; primamo samo izveštaje. Počnite ovde.
• p=quarantine — poruke koje ne prođu idu u spam/junk.
• p=reject — poruke koje ne prođu se odbijaju (najjača zaštita).

Pokrenite p=none nekoliko nedelja, pregledajte izveštaje da potvrdite da sve legitimne poruke prolaze, pa pređite na quarantine i konačno na reject. Prelazak direktno na reject pre nego što ste pregledali izveštaje nosi rizik blokiranja sopstvene legitimne pošte.

Greške koje se često prave na Route 53

• Vrednost mora biti u dvostrukim navodnicima. Route 53 očekuje da sami upišete navodnike: "v=DMARC1; p=none; ...". Izostavljanje navodnika je najčešća greška na Route 53.
• Record name je _dmarc, sa donjom crtom. Česta greška je ispuštanje donje crte ili unos _dmarc.vashdomen.com — u Route 53 unosite samo _dmarc i zona se automatski dodaje. Unos punog domena stvara neispravan _dmarc.vashdomen.com.vashdomen.com host koji se nikada ne proverava.
• Samo jedan DMARC zapis. Kao i kod SPF-a, mora postojati tačno jedan DMARC TXT zapis na _dmarc. Ako već postoji, uredite ga umesto da dodajete novi.
• Koristite pravo sandučeto za izveštaje. Adresa posle rua=mailto: treba da bude ona koju zaista pratite, inače su izveštaji beskorisni. Može biti na istom ili drugom domenu. (Ako izveštaje šaljete na domen koji ne kontrolišete, taj domen mora da ih autorizuje — ali za vaš sopstveni domen to nije problem.)
• Prava hosted zona, pravi nalog. Sa više zona ili AWS naloga lako je izmeniti pogrešnu. Potvrdite da četiri NS vrednosti zone odgovaraju vašim aktivnim name serverima.
• Dajte mu vremena. DNS izmene mogu stupiti na snagu za nekoliko minuta do nekoliko sati.

Proverite da li je uspelo

Kada sačuvate i zapis se propagira, pokrenite besplatnu proveru na ovom sajtu. Jasnin jezik će vam reći da li je vaš DMARC zapis na mestu i koja politika je podešena.

Gotovo? Proverite svoj domen besplatno da potvrdite da je uspelo — i vidite svoju potpunu ocenu kroz svih 34 provera.