Defaults.Exposed

Defaults.Exposed › 設置 › DMARC

如何在 AWS Route 53 上設定 DMARC

在你的 Route 53 託管區中新增 DMARC 記錄,告訴收件方的郵件服務商:當一封郵件沒通過你的驗證時該如何處理。

這件事對你的業務意味著什麼

DMARC 把 SPF 和 DKIM 串了起來,並補上了那條缺失的指令:當一封聲稱來自你的郵件沒通過驗證時,收件方的郵件服務商到底該怎麼辦? 沒有 DMARC,每家服務商只能各自瞎猜。有了它,由你來決定——而且你還能要求他們把報告發給你,讓你看清到底是誰在用你的名義發信。

說白了:DMARC 才是真正能阻止詐騙者假冒你網域去詐騙你的客戶或員工的那道防線。它是架在 SPF 和 DKIM 這兩把鎖之上的原則——免費,花幾分鐘就值回票價。

先把 SPF 和 DKIM 設定好

DMARC 的工作原理,是去檢查 SPF 和 DKIM 的驗證結果。如果這兩項你還沒加,先加它們——一條底下空無一物的 DMARC 原則,根本沒有東西可以執行。

確認你的 DNS 是由 Route 53 託管的

和任何 DNS 記錄一樣,這一招只有在 Route 53 正在為你的網域應答 DNS 時才管用。Route 53 是你的 DNS 託管方,不是你的信箱服務商。在 Route 53 主控台中,打開 Hosted zones(託管區),選中你的網域,記下那四個 NS(名稱服務器)值;它們必須和你在註冊商那裡設定的名稱服務器一致。如果你的網域是通過 Route 53 註冊的,它們通常已經一致;如果是在別處註冊的——或者你為同一個網域建了不止一個託管區——就要仔細核對。如果目前生效的名稱服務器指向別處,就改在真正託管你 DNS 的那家服務商那裡新增 DMARC 記錄。

在 Route 53 上的逐步操作

  1. 登入 AWS 主控台,打開 Route 53
  2. 在左側選單中選 Hosted zones(託管區),然後點擊你網域的名稱。
  3. 點擊 Create record(建立記錄)
  4. 如果出現帶路由選項的精靈,切換到簡單表單(找 Quick create record(快速建立記錄))。
  5. Record name(記錄名稱) 中,準確填入: _dmarc 不要在它後面再打你的網域——Route 53 會自動幫你補上網域(它會在欄位旁顯示你的網域)。
  6. Record type(記錄類型) 設為 TXT
  7. Value(值) 中,先用一條僅監控、不動手的原則穩妥起步,並用雙引號包起來"v=DMARC1; p=none; rua=mailto:[email protected]" 把那個地址換成一個你真的會去看的信箱。這只是請服務商把彙總報告傳送郵件給你,暫時不改變任何郵件的處理方式。
  8. TTL 保持預設。
  9. 點擊 Create records(建立記錄)

選擇你的原則(p= 那一段)

先跑 p=none 幾週,讀報告確認你所有的正常郵件都能通過,然後再升到 quarantine,最後到 reject。還沒看報告就直接跳到 reject,有可能把你自己真正的郵件給攔了。

Route 53 上大家常踩的坑

驗證是否生效

儲存並傳播完成後,用本站的免費檢測跑一下。它會用大白話告訴你:你的 DMARC 記錄是否已就位,以及你設的是哪種原則。

完成了? 免費檢查您的網域 以確認設置已生效——並查看您在全部 34 項檢查中的完整評級。