Czym jest polityka subdomen w DMARC?
Polityka subdomen w DMARC (Domain-based Message Authentication, Reporting & Conformance) określa, jak należy traktować pocztę z subdomen danej domeny, jeśli te subdomeny nie mają własnych rekordów DMARC.
Definiuje się ją za pomocą opcjonalnego znacznika sp (np. sp=reject) w rekordzie DMARC. Pozwala on właścicielom domen stosować inną politykę egzekwowania dla subdomen niż dla domeny nadrzędnej.
Przykład:
v=DMARC1; p=quarantine; sp=reject; rua=mailto:dmarc@yourdomain.comW tym przypadku poczta z domeny głównej (yourdomain.com) zostałaby poddana kwarantannie, natomiast poczta z subdomen (takich jak mail.yourdomain.com) zostałaby odrzucona, jeśli nie przejdzie kontroli DMARC.
Domyślnie, jeśli znacznik sp nie jest obecny, subdomeny dziedziczą politykę (p=) domeny głównej. Znacznik sp nadpisuje to zachowanie, pozwalając administratorom egzekwować surowsze lub łagodniejsze reguły dla subdomen.
To rozróżnienie jest szczególnie przydatne, gdy:
Polityki subdomen są rozpoznawane przez serwery odbiorcy tak samo jak polityki DMARC najwyższego poziomu, wpływając na to, jak traktowana jest nieuwierzytelniona poczta - none, quarantine lub reject.
Polityki subdomen pomagają zapobiec wykorzystywaniu przez atakujących zaniedbanych lub niemonitorowanych subdomen. Nawet jeśli Twoja domena główna jest chroniona przez DMARC, brakujący rekord subdomeny mógłby umożliwić spoofing z adresów takich jak billing.mail.yourdomain.com.
Ustawiając jawną politykę subdomen, zamykasz te luki i zapewniasz spójne egzekwowanie w całej strukturze swojej domeny.
Wiele organizacji wybiera sp=reject jako najlepszą praktykę, gdy monitorowanie DMARC jest już stabilne, dbając o to, by żadna subdomena nie mogła wysyłać nieuwierzytelnionej poczty.
DMARCeye pomaga zwizualizować, jak Twoja polityka DMARC (w tym znacznik sp) ma zastosowanie do wszystkich domen i subdomen. W raportach zbiorczych wyróżnia, które subdomeny wysyłają pocztę, czy są objęte konkretnym rekordem DMARC i jak wiadomości są traktowane w ramach polityki domeny nadrzędnej.
Ten wgląd pozwala zidentyfikować słabe punkty (takie jak niechronione subdomeny czy niespójne egzekwowanie) i pewnie zmierzać w stronę konfiguracji reject-all bez zakłócania prawidłowych przepływów poczty.
Nie wiesz, jak zabezpieczona jest Twoja domena? Uruchom bezpłatną kontrolę DMARC:
Wypróbuj DMARCeye za darmo i zabezpiecz swoją domenę e-mail.
Aby dowiedzieć się więcej o DMARC i powiązanych pojęciach, zajrzyj do Słownika pojęć DMARCeye.