Defaults.Exposed › Konfiguration › DMARC

Så konfigurerar du DMARC på AWS Route 53

Lägg till ett DMARC-record i din Route 53-hosted zone och tala om för e-postleverantörer vad de ska göra med e-post som misslyckas med dina kontroller.

Det här betyder för din verksamhet

DMARC knyter ihop SPF och DKIM och lägger till den saknade instruktionen: vad ska en mottagande e-postleverantör göra när ett mejl som påstås komma från dig inte klarar kontrollerna? Utan DMARC gissar varje leverantör. Med det bestämmer du — och du kan be dem skicka rapporter som visar vem som skickar e-post i ditt namn.

Enkelt uttryckt: DMARC är det som faktiskt hindrar bedragare från att förfalska din domän för att lura dina kunder eller anställda. Det är policyn ovanpå de lås som SPF och DKIM ger — gratis, och väl värt de få minuterna.

Konfigurera SPF och DKIM först

DMARC fungerar genom att kontrollera resultaten från SPF och DKIM. Om du inte har lagt till dem ännu, gör det först — en DMARC-policy utan något underliggande har inget att genomdriva.

Bekräfta att Route 53 hanterar din DNS

Som med alla DNS-records fungerar detta bara om Route 53 svarar på DNS för din domän. Route 53 är din DNS-host, inte din e-postleverantör. I Route 53-konsolen, öppna Hosted zones, välj din domän och notera de fyra NS-värdena (namnservrar); dessa måste matcha namnservrarna inställda hos din registrar. Om du registrerade domänen via Route 53 matchar de vanligtvis redan; om det är registrerat någon annanstans — eller om du har mer än en hosted zone för domänen — kontrollera noga. Om de live-aktiva namnservrarna pekar någon annanstans, lägg till DMARC-recordet hos den leverantör som hanterar din DNS i stället.

Steg för steg på Route 53

1. Logga in på AWS-konsolen och öppna Route 53.
2. I menyn till vänster, välj Hosted zones, klicka sedan på din domäns namn.
3. Klicka på Create record.
4. Om en guide med routingalternativ visas, byt till enkelt formulär (leta efter Quick create record).
5. I Record name, ange exakt: _dmarc Skriv inte ditt domännamn efter det — Route 53 lägger till domänen automatiskt (den visar din domän bredvid fältet).
6. Sätt Record type till TXT.
7. I Value, börja försiktigt med en övervakningsbar policy, omslutet med dubbla citationstecken: "v=DMARC1; p=none; rua=mailto:[email protected]" Ersätt adressen med en postlåda du faktiskt läser. Det här ber leverantörer att skicka dig sammanfattningsrapporter utan att ändra hur någon e-post behandlas än.
8. Lämna TTL på standardvärdet.
9. Klicka på Create records.

Välja din policy (p=-delen)

• p=none — övervakning endast. Ingenting blockeras; du tar bara emot rapporter. Börja här.
• p=quarantine — skicka mejl som misslyckas till skräppost.
• p=reject — neka mejl som misslyckas direkt (det starkaste skyddet).

Kör p=none i några veckor, läs rapporterna för att bekräfta att all din legitima e-post passerar, gå sedan vidare till quarantine och slutligen reject. Att hoppa direkt till reject innan du har kontrollerat rapporterna riskerar att blockera din egen genuina e-post.

Vanliga misstag på Route 53

• Värdet måste vara i dubbla citationstecken. Route 53 förväntar sig att du skriver citationstecknen själv: "v=DMARC1; p=none; ...". Att utelämna dem är det vanligaste Route 53-misstaget.
• Record name är _dmarc, med understrecket. Ett vanligt fel är att utelämna understrecket, eller att skriva _dmarc.yourdomain.com — i Route 53 anger du bara _dmarc och zonen läggs till automatiskt. Att skriva hela domänen skapar ett trasigt _dmarc.yourdomain.com.yourdomain.com-värd som aldrig kontrolleras.
• Bara ett DMARC-record. Precis som SPF måste det finnas ett enda DMARC TXT-record på _dmarc. Om ett finns, redigera det i stället för att lägga till ett andra.
• Använd en riktig rapportpostlåda. Adressen efter rua=mailto: bör vara en du faktiskt kontrollerar, annars är rapporterna bortkastade. Den kan vara på samma domän eller en annan. (Om du riktar rapporter till en domän du inte kontrollerar måste den domänen auktorisera det — men för din egen domän är det inga problem.)
• Rätt hosted zone, rätt konto. Med flera zoner eller AWS-konton är det lätt att redigera fel. Bekräfta att zonens fyra NS-värden matchar dina live-aktiva namnservrar.
• Ge det tid. DNS-ändringar kan ta från några minuter upp till ett par timmar att slå igenom.

Verifiera att det fungerade

När recordet är sparat och utspritt, kör den kostnadsfria kontrollen på den här webbplatsen. Den berättar på enkelt språk om ditt DMARC-record är på plats och vilken policy du har angett.

Klart? Kontrollera din domän gratis för att bekräfta att det fungerade — och se ditt fullständiga betyg mot alla 34 kontroller.