Defaults.Exposed › Налаштування › DMARC

Як налаштувати DMARC на AWS Route 53

Додайте DMARC-запис у вашу хостинг-зону Route 53, щоб повідомити поштових провайдерів, що робити з листами, які не проходять ваші перевірки.

Чому це важливо для вашого бізнесу

DMARC об’єднує SPF і DKIM і додає відсутню інструкцію: що повинен робити поштовий провайдер, якщо лист, який нібито надіслано від вас, не проходить перевірки? Без DMARC кожен провайдер вирішує сам. З ним — вирішуєте ви, і можете попросити надсилати вам звіти про те, хто відправляє пошту від вашого імені.

Простими словами: DMARC — це те, що реально захищає вас від зловмисників, які підробляють ваш домен, щоб ошукати ваших клієнтів або співробітників. Це політика поверх замків, які забезпечують SPF і DKIM, — безкоштовна і варта кількох хвилин вашого часу.

Спочатку налаштуйте SPF і DKIM

DMARC перевіряє результати SPF і DKIM. Якщо ви ще не додали ці записи — зробіть це спочатку. Політика DMARC без підкладки не має що захищати.

Перевірте, чи Route 53 обслуговує ваш DNS

Як і будь-який DNS-запис, це працює лише тоді, коли Route 53 відповідає на DNS-запити для вашого домену. Route 53 є вашим DNS-хостом, а не поштовим провайдером. У консолі Route 53 відкрийте Hosted zones, виберіть ваш домен і зверніть увагу на чотири значення NS (сервери імен) — вони повинні збігатися з серверами імен, встановленими у вашого реєстратора. Якщо ви реєстрували домен через Route 53, вони зазвичай вже збігаються; якщо домен реєстрований деінде або у вас є кілька хостинг-зон для домену — перевірте уважно. Якщо активні сервери імен вказують в інший бік — додайте DMARC-запис у того провайдера, який керує вашим DNS.

Покрокова інструкція для Route 53

1. Увійдіть до консолі AWS і відкрийте Route 53.
2. У лівому меню виберіть Hosted zones, потім натисніть на назву вашого домену.
3. Натисніть Create record.
4. Якщо з’явиться майстер із варіантами маршрутизації — перейдіть до простої форми (шукайте Quick create record).
5. У полі Record name введіть точно: _dmarc Не вписуйте назву свого домену після цього — Route 53 автоматично додає домен (він показує ваш домен поруч із полем).
6. Встановіть Record type на TXT.
7. У полі Value почніть обережно — лише з моніторингом, обернувши у подвійні лапки: "v=DMARC1; p=none; rua=mailto:[email protected]" Замініть адресу на поштову скриньку, яку ви реально перевіряєте. Це просить провайдерів надсилати вам зведені звіти, не змінюючи обробку листів.
8. Залиште TTL за замовчуванням.
9. Натисніть Create records.

Вибір політики (параметр p=)

• p=none — лише моніторинг. Нічого не блокується; ви просто отримуєте звіти. Починайте звідси.
• p=quarantine — відправляти листи, що не пройшли перевірку, до спаму/небажаних.
• p=reject — відхиляти такі листи (найсильніший захист).

Запустіть p=none на кілька тижнів, прочитайте звіти й переконайтесь, що всі ваші легітимні листи проходять перевірку. Потім переходьте до quarantine і згодом до reject. Якщо одразу перейти до reject, не перевіривши звіти, є ризик заблокувати власну пошту.

Типові помилки на Route 53

• Значення повинне бути в подвійних лапках. Route 53 вимагає, щоб ви самі вписали лапки: "v=DMARC1; p=none; ...". Відсутність лапок — найпоширеніша помилка в Route 53.
• Ім’я запису — _dmarc, з підкресленням. Часта помилка — пропустити підкреслення або ввести _dmarc.yourdomain.com. У Route 53 вводьте лише _dmarc, зона додається автоматично. Введення повного домену створює зламаний хост _dmarc.yourdomain.com.yourdomain.com, який ніколи не перевіряється.
• Лише один DMARC-запис. Як і у SPF, повинен бути рівно один TXT-запис DMARC на _dmarc. Якщо вже є — редагуйте його, не додавайте другий.
• Використовуйте реальну поштову скриньку для звітів. Адреса після rua=mailto: має бути тою, яку ви реально перевіряєте, інакше звіти будуть марними. Це може бути адреса на тому ж або іншому домені. (Якщо ви вказуєте адресу на домені, яким не керуєте, той домен повинен це авторизувати — але для власного домену все гаразд.)
• Правильна хостинг-зона, правильний акаунт. При наявності кількох зон або акаунтів AWS легко відредагувати не ту. Переконайтесь, що чотири значення NS зони збігаються з вашими активними серверами імен.
• Дайте час. Зміни DNS можуть поширюватись від кількох хвилин до кількох годин.

Перевірте результат

Після збереження й поширення запустіть безкоштовну перевірку на цьому сайті. Вона простими словами скаже, чи встановлено DMARC і яку політику ви обрали.

Готово? Перевірте домен безкоштовно щоб підтвердити, що все спрацювало, — і побачити повну оцінку за всіма 34 перевірками.