Defaults.Exposed › Kurulum › DMARC

AWS Route 53'te DMARC nasıl kurulur

Route 53 barındırma bölgenize bir DMARC kaydı ekleyerek posta sağlayıcılarına doğrulama başarısız olan e-postalarla ne yapmaları gerektiğini bildirin.

Bu işletmeniz için neden önemlidir

DMARC, SPF ve DKIM’i birbirine bağlayarak eksik talimatı ekler: gelen posta sağlayıcısı, sizden geldiğini iddia eden bir e-posta doğrulama kontrollerini geçemediğinde ne yapmalıdır? DMARC olmadan her sağlayıcı kendi kararını verir. DMARC ile siz karar verirsiniz — üstelik adınıza kimin posta gönderdiğini gösteren raporlar almanızı da talep edebilirsiniz.

Açık söylemek gerekirse: DMARC, suçluların müşterilerinizi veya çalışanlarınızı dolandırmak amacıyla alan adınızı taklit etmesini fiilen durduran şeydir. SPF ve DKIM’in sağladığı kilitlerin üstündeki politikadır; ücretsizdir ve birkaç dakikayı kesinlikle değer.

Önce SPF ve DKIM’i kurun

DMARC, SPF ve DKIM sonuçlarını kontrol ederek çalışır. Bunları henüz eklemediyseniz önce onlarla başlayın — altında hiçbir şey olmayan bir DMARC politikasının uygulayacak bir şeyi yoktur.

Route 53’ün DNS’inizi yönettiğini doğrulayın

Herhangi bir DNS kaydında olduğu gibi bu yalnızca Route 53 alan adınız için DNS sorgularını yanıtlıyorsa işe yarar. Route 53 DNS sunucunuzdur, posta kutusu sağlayıcınız değildir. Route 53 konsolunda Hosted zones bölümünü açın, alan adınızı seçin ve dört NS (name server) değerini not edin; bunlar kayıt şirketinizde ayarlanmış name server’larla eşleşmelidir. Alan adını Route 53 üzerinden kaydettiyseniz genellikle zaten eşleşirler; başka bir yerde kayıtlıysa — veya alan adı için birden fazla barındırma bölgesi varsa — dikkatli bir şekilde kontrol edin. Etkin name server’lar başka bir yere işaret ediyorsa DMARC kaydını DNS’inizi yöneten sağlayıcıda ekleyin.

Route 53’te adım adım

1. AWS konsoluna giriş yapın ve Route 53’ü açın.
2. Sol menüden Hosted zones seçin, ardından alan adınızın adına tıklayın.
3. Create record düğmesine tıklayın.
4. Yönlendirme seçenekleri içeren bir sihirbaz görünürse basit forma geçin (Quick create record).
5. Record name alanına tam olarak şunu girin: _dmarc Alan adınızı arkasına yazmayın — Route 53 alan adını otomatik olarak ekler (alanın yanında alan adınızı gösterir).
6. Record type kısmını TXT olarak ayarlayın.
7. Value alanına çift tırnaklar içinde yalnızca izleme yapan bir politikayla başlayın: "v=DMARC1; p=none; rua=mailto:siz@alanadınız.com" Adresi gerçekten okuduğunuz bir posta kutusuyla değiştirin. Bu, sağlayıcılardan herhangi bir postayı etkilemeden özet raporlar göndermelerini ister.
8. TTL değerini varsayılanda bırakın.
9. Create records düğmesine tıklayın.

Politikanızı seçme (p= kısmı)

• p=none — yalnızca izleme. Hiçbir şey engellenmez; yalnızca raporlar alırsınız. Buradan başlayın.
• p=quarantine — başarısız olan postayı spam/junk klasörüne gönderir.
• p=reject — başarısız olan postayı doğrudan reddeder (en güçlü koruma).

Birkaç hafta p=none ile çalışın, meşru postalarınızın tümünün geçtiğini raporlardan onaylayın, ardından quarantine’a ve nihayetinde reject’e geçin. Raporları kontrol etmeden doğrudan reject’e geçmek kendi gerçek e-postalarınızı engelleme riskini doğurur.

Route 53’te insanların sık yaptığı hatalar

• Değer çift tırnaklar içinde olmalıdır. Route 53 tırnak işaretlerini kendiniz yazmanızı bekler: "v=DMARC1; p=none; ...". Bunları atlamak en sık yapılan Route 53 hatasıdır.
• Kayıt adı _dmarc olmalı, alt çizgiyle. Alt çizgiyi düşürmek veya _dmarc.alanadınız.com yazmak yaygın bir hatadır — Route 53’te yalnızca _dmarc girersiniz ve bölge otomatik olarak eklenir. Tam alan adını yazmak, hiçbir zaman kontrol edilmeyen bozuk bir _dmarc.alanadınız.com.alanadınız.com host’u oluşturur.
• Yalnızca bir DMARC kaydı olmalı. SPF gibi _dmarc’ta tek bir DMARC TXT kaydı bulunmalıdır. Bir tane varsa ikincisini eklemek yerine mevcut olanı düzenleyin.
• Gerçek bir raporlama posta kutusu kullanın. rua=mailto: sonrasındaki adres gerçekten kontrol ettiğiniz biri olmalı, aksi takdirde raporlar boşa gider. Aynı ya da farklı bir alan adında olabilir. (Raporları kendi kontrolünüzde olmayan bir alan adına yönlendirirseniz o alan adının bunu yetkilendirmesi gerekir — ancak kendi alan adınız için sorun yoktur.)
• Doğru barındırma bölgesi, doğru hesap. Birden fazla bölge veya AWS hesabı varsa yanlış olanı düzenlemek kolaydır. Bölgenin dört NS değerinin etkin name server’larınızla eşleştiğini onaylayın.
• Süre tanıyın. DNS değişikliklerinin yürürlüğe girmesi birkaç dakika ile birkaç saat arasında sürebilir.

Çalıştığını doğrulayın

Kaydedip yayıldıktan sonra bu sitedeki ücretsiz kontrolü çalıştırın. DMARC kaydınızın yerinde olup olmadığını ve hangi politikayı belirlediğinizi sade bir dille size söyler.

Tamam mı? Alan adınızı ücretsiz kontrol edin çalıştığını onaylamak — ve 34 kontrolün tamamında tam derecenizi görmek için.