Email प्रमाणीकरण
DMARC policy जनरेटर
अपनी पसंद के अनुसार DMARC पॉलिसी बनाएं और देखें कि DNS रिकॉर्ड खुद-ब-खुद कैसे तैयार होता है — या कोई ऐसा रिकॉर्ड पेस्ट करें जो आपके पास पहले से है और उसे सरल भाषा में विकल्पों के रूप में पढ़ें। दोनों दिशाओं में यह सिंक बना रहता है।
DMARC क्या है?
DMARC (Domain-based Message Authentication, Reporting & Conformance) एक छोटा DNS रिकॉर्ड है जो दुनिया भर के मेलबॉक्स को बताता है कि ऐसे email का क्या करें जो आपके डोमेन से आने का दावा तो करता है पर उसे साबित नहीं कर सकता। आसान शब्दों में: यही वह तरीका है जिससे आप स्कैमर्स को अपने ग्राहकों तक भरोसेमंद दिखने वाले “you@yourcompany.com” फ़िशिंग email भेजने से रोकते हैं।
Email के पास यह सत्यापित करने का कोई अंतर्निहित तरीका नहीं है कि किसी संदेश को असल में किसने भेजा — कोई भी “From” लाइन में आपका पता टाइप कर सकता है। दो पुराने मानक, SPF और DKIM, किसी प्राप्तकर्ता मेल सर्वर को यह जाँचने देते हैं कि संदेश सचमुच किसी ऐसे सर्वर से आया या नहीं जिसे आपने अधिकृत किया था। DMARC इन्हें आपस में जोड़ता है: यह आपको बताने देता है कि जब वे जाँचें विफल हों तब प्राप्तकर्ता क्या करें, और आपसे रिपोर्ट email करने का अनुरोध करता है ताकि आप देख सकें कि आपके डोमेन के नाम पर कौन मेल भेज रहा है।
SPF
आपके डोमेन के लिए भेजने की अनुमति प्राप्त मेल सर्वरों की एक सार्वजनिक सूची। प्राप्तकर्ता भेजने वाले सर्वर को उस सूची से मिलाकर जाँचता है।
DKIM
हर संदेश में जोड़ा गया एक छेड़छाड़-रोधी डिजिटल हस्ताक्षर, ताकि प्राप्तकर्ता पुष्टि कर सके कि रास्ते में इसे न तो जाली बनाया गया और न ही बदला गया।
DMARC
यह दोनों के ऊपर बैठता है। यह तय करता है कि जब कोई संदेश SPF और DKIM में विफल हो तो क्या होगा, और रिपोर्ट इकट्ठा करता है — ठीक वैसे ही जैसा आप नीचे कॉन्फ़िगर करते हैं।
इस टूल से बना रिकॉर्ड आप अपने DNS प्रोवाइडर में _dmarc.yourdomain.com पर एक TXT रिकॉर्ड के रूप में प्रकाशित करते हैं। इसे सेव करने के बाद बदलावों को पूरे इंटरनेट में फैलने में थोड़ा समय लग सकता है (“DNS propagation”), इसलिए रिपोर्टिंग तुरंत शुरू नहीं होगी।
अपनी पॉलिसी बनाएं
बाईं ओर के विकल्पों को अपनी स्थिति के अनुसार टॉगल करें। अगर आप अनिश्चित हैं तो हर विकल्प के नीचे दिया नोट पढ़ें — दाईं ओर का DNS रिकॉर्ड साथ-साथ अपडेट होता जाता है। पहले से कोई रिकॉर्ड है? उसे रिकॉर्ड बॉक्स में पेस्ट करें और विकल्प उससे मेल खाने के लिए भर जाएंगे।
Policy wizard
जो options चाहें चुनें — record live अपडेट होता है।
Enforcement
pसबसे अहम बात: उस email के बारे में जो check में fail होती है और आपकी ओर से होने का दावा करती है, आप अन्य mail providers से क्या करने के लिए कह रहे हैं।
सिर्फ निगरानी। प्राप्तकर्ता fail होने वाले mail को सामान्य रूप से ही डिलीवर करते हैं लेकिन आपको reports भेजते हैं। शुरुआत के लिए सुरक्षित जगह — सख्त करने से पहले आप कुछ हफ्तों तक निगरानी करते हैं।
एक प्रतिशत पर लागू करें
pctएक सुरक्षा वाल्व: शुरुआत में प्राप्तकर्ताओं से अपनी policy को mail के सिर्फ एक हिस्से पर लागू करवाएं (यादृच्छिक रूप से चुना गया), ताकि कोई गलती सभी को एक साथ प्रभावित न कर सके। ज्यादातर लोग इसे 100% पर ही छोड़ देते हैं।
Subdomain policy
spnews.yourdomain.com या mail.yourdomain.com जैसे subdomains के लिए अलग नियम तय करें। इसे बंद छोड़ दें तो वे बस ऊपर की मुख्य policy का पालन करते हैं।
मौजूद न रहने वाले subdomains
npसिर्फ उन subdomains के लिए एक सख्त नियम जिन्हें आपने कभी सेट अप ही नहीं किया। घोटालेबाजों को ये पसंद आते हैं क्योंकि गलती से ब्लॉक होने वाला कोई असली mail होता ही नहीं — इसलिए यहां reject आमतौर पर सुरक्षित है।
DKIM alignment
adkimDKIM signature के domain को आपके From address से कितने करीब से मेल खाना चाहिए। Relaxed एक subdomain (mail.yourdomain.com) को yourdomain.com के लिए मेल मानता है; strict बिल्कुल सटीक मेल की मांग करता है। Relaxed सामान्य विकल्प है।
SPF alignment
aspfSPF के लिए वही विचार: भेजने वाले server के domain को आपके From address से कितने करीब से मेल खाना चाहिए। Relaxed subdomains को मेल खाने देता है; strict सटीक मेल की मांग करता है। Relaxed सामान्य विकल्प है।
Aggregate reports
ruaवह email address जो रोजाना की सारांश reports प्राप्त करता है। ये दिखाती हैं कि आपके domain के रूप में कौन mail भेज रहा है और क्या वह पास हो रहा है — यही None से शुरू करने की पूरी वजह है। जोरदार अनुशंसा की जाती है।
Failure reports
rufउन अलग-अलग messages के बारे में विस्तृत reports के लिए एक address जो fail हुए। debugging के लिए उपयोगी, लेकिन ज्यादातर providers गोपनीयता कारणों से अब इन्हें नहीं भेजते — इसलिए यह वैकल्पिक है।
Report interval
riआप aggregate reports कितनी बार चाहते हैं। व्यवहार में प्राप्तकर्ता लगभग हमेशा इन्हें दिन में एक बार भेजते ही हैं, इसलिए default (86400 seconds = 24 घंटे) को वैसे ही छोड़ देना ठीक है।
DNS record
इस TXT record को अपने domain पर publish करें।
अपने DNS provider पर इसे एक नए record के रूप में जोड़ें। “Type” और “Host” वे fields हैं जो वह मांगता है — कुछ provider host field में सिर्फ _dmarc चाहते हैं और domain खुद जोड़ लेते हैं।
मौजूदा record यहां पेस्ट करें और wizard उसी के अनुसार अपडेट हो जाएगा।