Defaults.Exposed › การตั้งค่า › DMARC
วิธีตั้งค่า DMARC บน AWS Route 53
เพิ่ม DMARC record ใน hosted zone ของ Route 53 เพื่อบอกผู้ให้บริการอีเมลว่าต้องทำอะไรกับอีเมลที่ไม่ผ่านการตรวจสอบของคุณ
เหตุใดสิ่งนี้จึงสำคัญต่อธุรกิจของคุณ
DMARC เชื่อม SPF และ DKIM เข้าด้วยกันและเพิ่มคำสั่งที่ขาดหาย: ผู้ให้บริการอีเมลที่รับควรทำอะไรเมื่ออีเมลที่อ้างว่ามาจากคุณไม่ผ่านการตรวจสอบ? หากไม่มี DMARC ผู้ให้บริการแต่ละรายจะเดาเอง เมื่อมีมัน คุณเป็นผู้ตัดสินใจ — และคุณสามารถขอให้พวกเขาส่งรายงานแสดงว่าใครกำลังส่งเมลในนามของคุณ
พูดให้เข้าใจง่าย: DMARC คือสิ่งที่หยุดอาชญากรจากการปลอมแปลงโดเมนของคุณเพื่อหลอกลวงลูกค้าหรือพนักงานของคุณ เป็น policy บนกล็อกที่ SPF และ DKIM มอบให้ — ฟรี และคุ้มค่าเวลาไม่กี่นาที
ตั้งค่า SPF และ DKIM ก่อน
DMARC ทำงานโดยตรวจสอบผลลัพธ์ของ SPF และ DKIM หากคุณยังไม่ได้เพิ่มสิ่งเหล่านั้น ทำมันก่อน — DMARC policy ที่ไม่มีอะไรรองรับจะไม่มีอะไรให้บังคับ
ยืนยันว่า Route 53 รัน DNS ของคุณ
เช่นเดียวกับ DNS record ใด ๆ สิ่งนี้จะทำงานได้ก็ต่อเมื่อ Route 53 ตอบ DNS สำหรับโดเมนของคุณ Route 53 คือ DNS host ของคุณ ไม่ใช่ผู้ให้บริการกล่องจดหมายของคุณ ใน Route 53 console เปิด Hosted zones เลือกโดเมนของคุณ และจดค่า NS (nameserver) สี่รายการ ค่าเหล่านั้นต้องตรงกับ nameserver ที่ตั้งไว้ที่ registrar ของคุณ หากคุณลงทะเบียนโดเมนผ่าน Route 53 มักจะตรงกันแล้ว หากลงทะเบียนที่อื่น — หรือคุณมี hosted zone มากกว่าหนึ่งรายการสำหรับโดเมน — ตรวจสอบให้ดี หาก nameserver live ชี้ไปที่อื่น ให้เพิ่ม DMARC record ที่ผู้ให้บริการที่รัน DNS ของคุณแทน
ขั้นตอนบน Route 53
- ลงชื่อเข้าใช้ AWS console และเปิด Route 53
- ในเมนูด้านซ้าย เลือก Hosted zones จากนั้นคลิกชื่อโดเมนของคุณ
- คลิก Create record
- หาก wizard พร้อม routing options ปรากฏขึ้น สลับไปที่ฟอร์มง่าย (มองหา Quick create record)
- ใน Record name ป้อนให้ตรงทั้งหมด:
_dmarcอย่าพิมพ์ชื่อโดเมนต่อท้าย Route 53 ต่อ zone ให้คุณอัตโนมัติ (แสดงโดเมนของคุณข้างช่องนั้น) - ตั้ง Record type เป็น TXT
- ใน Value เริ่มอย่างนุ่มนวลด้วย monitoring-only policy ครอบด้วยเครื่องหมายอัญประกาศคู่:
"v=DMARC1; p=none; rua=mailto:[email protected]"แทนที่ที่อยู่ด้วยกล่องจดหมายที่คุณอ่านจริง ๆ สิ่งนี้ขอให้ผู้ให้บริการส่งรายงานสรุปให้คุณโดยไม่เปลี่ยนวิธีที่เมลถูกจัดการในตอนนี้ - ปล่อย TTL ไว้ที่ค่าเริ่มต้น
- คลิก Create records
เลือก policy ของคุณ (ส่วน p=)
p=none— ตรวจสอบเท่านั้น ไม่มีอะไรถูกบล็อก คุณแค่รับรายงาน เริ่มที่นี่p=quarantine— ส่งเมลที่ล้มเหลวไปสแปม/ขยะp=reject— ปฏิเสธเมลที่ล้มเหลวโดยสิ้นเชิง (การป้องกันที่แข็งแกร่งที่สุด)
รัน p=none สักสองสามสัปดาห์ อ่านรายงานเพื่อยืนยันว่าเมลแท้ทั้งหมดของคุณผ่าน จากนั้นเลื่อนขึ้นไปที่ quarantine และในที่สุดคือ reject การข้ามไป reject โดยตรงก่อนที่คุณจะตรวจสอบรายงานเสี่ยงที่จะบล็อกอีเมลแท้ของคุณเอง
ข้อผิดพลาดที่มักเกิดขึ้นบน Route 53
- ค่าต้องอยู่ในเครื่องหมายอัญประกาศคู่ Route 53 คาดหวังให้คุณพิมพ์เครื่องหมายอัญประกาศเอง:
"v=DMARC1; p=none; ..."การลืมเครื่องหมายอัญประกาศเป็นข้อผิดพลาดที่พบบ่อยที่สุดใน Route 53 - Record name คือ
_dmarcพร้อม underscore ข้อผิดพลาดที่พบบ่อยคือการลืม underscore หรือพิมพ์_dmarc.yourdomain.com— ใน Route 53 คุณป้อนแค่_dmarcและ zone ถูกต่อให้คุณ การพิมพ์โดเมนเต็มจะสร้าง host ที่เสียเป็น_dmarc.yourdomain.com.yourdomain.comที่ไม่เคยถูกตรวจสอบ - มี DMARC record ได้แค่รายการเดียว เช่นเดียวกับ SPF ต้องมี DMARC TXT record เพียงรายการเดียวที่
_dmarcหากมีอยู่ ให้แก้ไขแทนที่จะเพิ่มรายการที่สอง - ใช้กล่องจดหมายรายงานจริง ที่อยู่หลัง
rua=mailto:ควรเป็นรายการที่คุณตรวจสอบจริง ๆ มิฉะนั้นรายงานจะสูญเปล่า สามารถเป็นโดเมนเดียวกันหรือโดเมนอื่นก็ได้ (หากคุณชี้รายงานไปที่โดเมนที่คุณไม่ควบคุม โดเมนนั้นต้องอนุญาตมัน — แต่สำหรับโดเมนของคุณเองก็ไม่มีปัญหา) - hosted zone ที่ถูกต้อง บัญชีที่ถูกต้อง กับหลาย zones หรือ AWS accounts ง่ายที่จะแก้ไขผิดรายการ ยืนยันว่าค่า NS สี่รายการของ zone ตรงกับ nameserver live ของคุณ
- ให้เวลามัน การเปลี่ยนแปลง DNS อาจใช้เวลาสองสามนาทีถึงสองสามชั่วโมงในการมีผล
ตรวจสอบว่าได้ผล
เมื่อบันทึกและแพร่กระจายแล้ว ให้ตรวจสอบฟรีบนเว็บไซต์นี้ ระบบจะบอกคุณด้วยภาษาธรรมดาว่า DMARC record ของคุณอยู่ที่นั่นหรือไม่และคุณตั้ง policy อะไรไว้
เสร็จแล้ว? ตรวจสอบโดเมนของคุณฟรี เพื่อยืนยันว่าใช้งานได้ — และดูคะแนนเต็มของคุณใน 34 การตรวจสอบ