Politika pro subdomény (DMARC sp=)
Politika pro subdomény v DMARC (parametr sp) určuje nakládání s e-maily ze subdomén bez vlastního záznamu. Umožňuje jiné vynucování než u hlavní domény.
Co je politika pro subdomény v DMARC?
Politika pro subdomény v DMARC (Domain-based Message Authentication, Reporting & Conformance) určuje, jak se má nakládat s e-maily ze subdomén dané domény, pokud tyto subdomény nemají vlastní DMARC záznam.
Definuje se pomocí volitelného parametru sp (např. sp=reject) v DMARC záznamu. To vlastníkům domény umožňuje uplatnit na subdomény jinou politiku vynucování než na nadřazenou doménu.
Příklad:
v=DMARC1; p=quarantine; sp=reject; rua=mailto:dmarc@yourdomain.comV tomto případě by pošta z hlavní domény (yourdomain.com) byla umístěna do karantény, zatímco pošta ze subdomén (jako je mail.yourdomain.com) by byla odmítnuta, pokud neprojde kontrolami DMARC.
Jak politika pro subdomény funguje
Ve výchozím stavu, pokud parametr sp chybí, subdomény dědí politiku (p=) hlavní domény. Parametr sp toto chování přepíše a umožní administrátorům vynutit pro subdomény přísnější nebo naopak mírnější pravidla.
Toto rozlišení je obzvláště užitečné, když:
- Některé subdomény používají odesílatelé třetích stran (např. marketing.yourdomain.com).
- Postupně testujete politiky DMARC a pro subdomény používáte mírnější politiku, zatímco hlavní doménu zpřísňujete.
- Chcete pro subdomény vynutit přísnější pravidla, abyste zabránili zneužití nebo neoprávněnému odesílání.
Politiky pro subdomény rozpoznávají přijímající servery stejně jako DMARC politiky nejvyšší úrovně, čímž ovlivňují, jak se nakládá s neověřenými e-maily - none, quarantine, nebo reject.
Role politik pro subdomény v ochraně domény
Politiky pro subdomény pomáhají zabránit útočníkům ve zneužití zanedbaných nebo nesledovaných subdomén. I když je vaše hlavní doména chráněná pomocí DMARC, chybějící záznam u subdomény by mohl umožnit spoofing z adres jako billing.mail.yourdomain.com.
Nastavením explicitní politiky pro subdomény tyto mezery uzavřete a zajistíte konzistentní vynucování napříč celou strukturou vaší domény.
Mnoho organizací volí jako osvědčený postup sp=reject, jakmile je monitoring DMARC stabilní, čímž zajistí, že žádná subdoména nemůže odesílat neověřenou poštu.
Politika pro subdomény a DMARCeye
DMARCeye pomáhá vizualizovat, jak se vaše politika DMARC (včetně parametru sp) uplatňuje napříč všemi doménami a subdoménami. Ve vašich souhrnných reportech zvýrazňuje, které subdomény odesílají poštu, zda je pokrývá konkrétní DMARC záznam a jak se se zprávami nakládá v rámci politiky nadřazené domény.
Tato přehlednost vám umožňuje identifikovat slabá místa (jako nechráněné subdomény nebo nekonzistentní vynucování) a s jistotou se posouvat směrem ke konfiguraci reject pro veškerou poštu, aniž byste narušili legitimní e-mailové toky.
Vyzkoušejte DMARCeye zdarma a zabezpečte svou e-mailovou doménu.
Chcete-li se dozvědět více o DMARC a souvisejících pojmech, prozkoumejte Slovník pojmů DMARCeye.