Defaults.Exposed

Defaults.Exposed › 设置 › DMARC

如何在 AWS Route 53 上设置 DMARC

在你的 Route 53 托管区中添加 DMARC 记录,告诉收件方的邮件服务商:当一封邮件没通过你的验证时该如何处理。

这件事对你的生意意味着什么

DMARC 把 SPF 和 DKIM 串了起来,并补上了那条缺失的指令:当一封声称来自你的邮件没通过验证时,收件方的邮件服务商到底该怎么办? 没有 DMARC,每家服务商只能各自瞎猜。有了它,由你来决定——而且你还能要求他们把报告发给你,让你看清到底是谁在用你的名义发信。

说白了:DMARC 才是真正能阻止骗子冒用你域名去诈骗你的客户或员工的那道防线。它是架在 SPF 和 DKIM 这两把锁之上的策略——免费,花几分钟就值回票价。

先把 SPF 和 DKIM 配好

DMARC 的工作原理,是去检查 SPF 和 DKIM 的验证结果。如果这两项你还没加,先加它们——一条底下空无一物的 DMARC 策略,根本没有东西可以执行。

确认你的 DNS 是由 Route 53 托管的

和任何 DNS 记录一样,这一招只有在 Route 53 正在为你的域名应答 DNS 时才管用。Route 53 是你的 DNS 托管方,不是你的邮箱服务商。在 Route 53 控制台中,打开 Hosted zones(托管区),选中你的域名,记下那四个 NS(名称服务器)值;它们必须和你在注册商那里设置的名称服务器一致。如果你的域名是通过 Route 53 注册的,它们通常已经一致;如果是在别处注册的——或者你为同一个域名建了不止一个托管区——就要仔细核对。如果当前生效的名称服务器指向别处,就改在真正托管你 DNS 的那家服务商那里添加 DMARC 记录。

在 Route 53 上的逐步操作

  1. 登录 AWS 控制台,打开 Route 53
  2. 在左侧菜单中选 Hosted zones(托管区),然后点击你域名的名称。
  3. 点击 Create record(创建记录)
  4. 如果出现带路由选项的向导,切换到简单表单(找 Quick create record(快速创建记录))。
  5. Record name(记录名称) 中,准确填入: _dmarc 不要在它后面再打你的域名——Route 53 会自动帮你补上域名(它会在字段旁显示你的域名)。
  6. Record type(记录类型) 设为 TXT
  7. Value(值) 中,先用一条只监控、不动手的策略稳妥起步,并用双引号包起来"v=DMARC1; p=none; rua=mailto:[email protected]" 把那个地址换成一个你真的会去看的邮箱。这只是请服务商把汇总报告发邮件给你,暂时不改变任何邮件的处理方式。
  8. TTL 保持默认。
  9. 点击 Create records(创建记录)

选择你的策略(p= 那一段)

先跑 p=none 几周,读报告确认你所有的正常邮件都能通过,然后再升到 quarantine,最后到 reject。还没看报告就直接跳到 reject,有可能把你自己真正的邮件给拦了。

Route 53 上大家常踩的坑

验证是否生效

保存并传播完成后,用本站的免费检测跑一下。它会用大白话告诉你:你的 DMARC 记录是否已就位,以及你设的是哪种策略。

完成了? 免费检查您的域名 以确认设置已生效——并查看您在全部 34 项检查中的完整评级。