Defaults.Exposed › Cài đặt › DMARC

Cách thiết lập DMARC trên AWS Route 53

Thêm bản ghi DMARC vào hosted zone Route 53 để chỉ định cho nhà cung cấp thư điện tử hành động cần thực hiện khi email không vượt qua kiểm tra.

Tại sao điều này quan trọng với doanh nghiệp của bạn

DMARC kết hợp SPF và DKIM lại với nhau, đồng thời bổ sung chỉ thị còn thiếu: nhà cung cấp thư điện tử phía nhận nên làm gì khi một email giả mạo từ tên miền của bạn không vượt qua kiểm tra? Nếu không có DMARC, mỗi nhà cung cấp sẽ tự phán đoán. Với DMARC, bạn là người quyết định — và bạn có thể yêu cầu họ gửi báo cáo cho bạn về việc ai đang gửi thư nhân danh tên miền của bạn.

Nói đơn giản: DMARC là thứ thực sự ngăn tội phạm mạo danh tên miền của bạn để lừa đảo khách hàng hoặc nhân viên. Đây là chính sách nằm trên lớp khóa bảo vệ mà SPF và DKIM cung cấp — miễn phí, và hoàn toàn xứng đáng với vài phút thiết lập.

Thiết lập SPF và DKIM trước

DMARC hoạt động bằng cách kiểm tra kết quả của SPF và DKIM. Nếu bạn chưa thêm hai bản ghi đó, hãy làm trước — một chính sách DMARC không có nền tảng bên dưới sẽ không có gì để thực thi.

Xác nhận Route 53 đang quản lý DNS của bạn

Giống như mọi bản ghi DNS, điều này chỉ hoạt động nếu Route 53 đang trả lời các truy vấn DNS cho tên miền của bạn. Route 53 là nhà cung cấp DNS của bạn, không phải nhà cung cấp hộp thư. Trong console Route 53, mở Hosted zones, chọn tên miền của bạn, và ghi lại bốn giá trị NS (nameserver); các giá trị đó phải khớp với nameservers được đặt tại nhà đăng ký. Nếu bạn đã đăng ký tên miền qua Route 53 thì thường đã khớp rồi; nếu đăng ký ở nơi khác — hoặc có nhiều hơn một hosted zone cho tên miền — hãy kiểm tra kỹ. Nếu nameservers trỏ đến nơi khác, hãy thêm bản ghi DMARC tại nhà cung cấp DNS đó.

Hướng dẫn từng bước trên Route 53

1. Đăng nhập vào AWS console và mở Route 53.
2. Trong menu bên trái, chọn Hosted zones, sau đó nhấp vào tên tên miền của bạn.
3. Nhấp Create record.
4. Nếu xuất hiện wizard với các tùy chọn routing, chuyển sang dạng đơn giản (tìm Quick create record).
5. Trong Record name, nhập chính xác: _dmarc Không nhập thêm tên miền — Route 53 tự động thêm vào (hiển thị tên miền bên cạnh trường nhập).
6. Đặt Record type thành TXT.
7. Trong Value, bắt đầu nhẹ nhàng với chính sách chỉ giám sát, bọc trong dấu ngoặc kép: "v=DMARC1; p=none; rua=mailto:[email protected]" Thay địa chỉ bằng hộp thư bạn thực sự đọc. Cài đặt này yêu cầu nhà cung cấp gửi báo cáo tóm tắt cho bạn mà chưa thay đổi cách xử lý bất kỳ email nào.
8. Để TTL theo mặc định.
9. Nhấp Create records.

Chọn chính sách (p=)

• p=none — chỉ giám sát. Không có gì bị chặn; bạn chỉ nhận báo cáo. Bắt đầu từ đây.
• p=quarantine — chuyển email không hợp lệ vào thư rác/spam.
• p=reject — từ chối thẳng email không hợp lệ (bảo vệ mạnh nhất).

Chạy p=none trong vài tuần, đọc báo cáo để xác nhận toàn bộ email hợp lệ của bạn đều vượt qua kiểm tra, sau đó nâng lên quarantine rồi reject. Chuyển thẳng lên reject trước khi đọc báo cáo có nguy cơ chặn cả email thật của chính bạn.

Những lỗi phổ biến với Route 53

• Giá trị phải được bọc trong dấu ngoặc kép. Route 53 yêu cầu bạn tự nhập dấu ngoặc: "v=DMARC1; p=none; ...". Bỏ dấu ngoặc là lỗi phổ biến nhất trên Route 53.
• Record name là _dmarc, có dấu gạch dưới. Lỗi thường gặp là bỏ dấu gạch dưới, hoặc nhập _dmarc.yourdomain.com — trên Route 53 bạn chỉ nhập _dmarc và zone được thêm tự động. Nhập tên miền đầy đủ sẽ tạo ra host _dmarc.yourdomain.com.yourdomain.com bị hỏng.
• Chỉ một bản ghi DMARC duy nhất. Giống SPF, phải có đúng một bản ghi DMARC TXT tại _dmarc. Nếu đã có, hãy chỉnh sửa thay vì thêm mới.
• Dùng hộp thư báo cáo thật. Địa chỉ sau rua=mailto: phải là hộp thư bạn thực sự kiểm tra, nếu không báo cáo sẽ bị lãng phí. Có thể dùng cùng tên miền hoặc khác. (Nếu bạn trỏ báo cáo đến tên miền bạn không kiểm soát, tên miền đó phải cấp quyền — nhưng với tên miền của chính bạn thì không sao.)
• Đúng hosted zone, đúng tài khoản. Với nhiều zone hoặc nhiều tài khoản AWS, dễ nhầm zone. Xác nhận bốn giá trị NS của zone khớp với nameservers đang hoạt động.
• Chờ một chút. Thay đổi DNS có thể mất vài phút đến vài giờ để có hiệu lực.

Xác minh thiết lập

Sau khi lưu và lan truyền, hãy chạy kiểm tra miễn phí trên trang web này. Kết quả sẽ cho bạn biết bằng ngôn ngữ đơn giản liệu bản ghi DMARC đã có mặt và chính sách bạn đã đặt là gì.

Đã xong? Kiểm tra tên miền miễn phí để xác nhận đã hoạt động — và xem điểm đầy đủ của bạn trên cả 34 hạng mục kiểm tra.