Le tag (sp) de la politique de sous-domaine DMARC
Nous recevons souvent des questions sur la manière dont les politiques DMARC s'appliquent aux sous-domaines et comment établir une politique de sous-domaine. Voici quelques informations pour clarifier la situation et répondre à ces questions.
Étant donné que les sous-domaines sont confrontés au même potentiel d'abus que les domaines parents, c'est-à-dire les domaines de premier niveau ou domaines racine, les auteurs astucieux du contrôle DMARC ont rédigé des conditions spécifiques pour les politiques relatives aux sous-domaines. Les sous-domaines héritent de la politique DMARC du domaine parent, à moins que vous n'indiquiez une politique de sous-domaine à l'aide de la balise sp= dans l'enregistrement DMARC parent ou que vous ne publiiez une balise p= sur un sous-domaine.
Sachant que les cybercriminels utilisent des sous-domaines non protégés pour des opérations de phishing, il est important d'avoir un plan de déploiement DMARC pour chaque sous-domaine que vous créez, que la politique DMARC du domaine parent soit héritée, qu'une balise sp= soit publiée pour régir les sous-domaines, ou qu'une balise p= soit indiquée pour le sous-domaine.
Les définitions et actions des politiques DMARC s'appliquent aux politiques de sous-domaine de la même manière qu'aux politiques de domaine parent. Voici un aperçu de leur fonctionnement et des bonnes pratiques à suivre lorsqu'il est temps de faire évoluer vos politiques DMARC.
Publication d'une politique DMARC héritée par les sous-domaines
Si vous souhaitez publier la même politique DMARC pour le domaine parent et ses sous-domaines, une balise p= sur le domaine parent suffit. L'exemple ci-dessous illustre un enregistrement DMARC publié pour exemple.com avec une politique d'application de p=reject; sans balise sp=, la politique p=reject couvre le domaine parent et ses sous-domaines qui n'ont pas de balise explicite de politique DMARC :
v=DMARC1; p=reject; rua=mailto:[email protected]
Publication de politiques différentes pour le domaine parent et les sous-domaines
Pour publier une politique de sous-domaine sur le domaine parent, créez un enregistrement DMARC qui inclut une balise sp= pour spécifier une politique DMARC pour les sous-domaines du domaine parent relatif. Voici un enregistrement DMARC publié pour exemple.com qui couvre le domaine parent à p=quarantine et ses sous-domaines à p=reject:
v=DMARC1; p=quarantine; sp=reject; rua=mailto:[email protected]
Publication d'une politique de sous-domaine explicite
Pour publier une politique de sous-domaine pour un seul sous-domaine, créez un enregistrement DMARC pour le sous-domaine qui inclut une balise p= pour spécifier une politique DMARC. Cette politique remplace les balises p= et sp= qui peuvent être publiées sur le domaine parent. Voici un exemple pour le sous-domaine welcome.example.com à p=reject:
v=DMARC1; p=reject; rua=mailto:[email protected]
Gestion des sous-domaines avec DMARC
Du point de vue de la sécurité, de l'opérationnel et de la délivrabilité, dmarcian préconise la stratégie de segmentation pour la gestion du SPF. Nous recommandons de séparer les différents flux d'e-mails (types de trafic) lorsque cela est possible. L'idée est de séparer les flux par type, tels que le marketing de masse, les e-mails transactionnels, la facturation, les fournisseurs tiers spécifiques, les entités opérationnelles, et ainsi de suite.
Pour ce faire, il est également recommandé de séparer le trafic e-mail en sous-domaines dédiés à ces flux. Cela augmente la visibilité de chaque flux, isolant l'utilisation d'un système ou d'un fournisseur particulier. Lorsque l'authentification SPF est nécessaire, cela apporte également une sécurité accrue et une simplicité opérationnelle en allégeant le fardeau d'une approche à domaine unique et en évitant le SPF bloating. Il est important de noter que chaque segment doit développer sa propre réputation, ce qui nécessite un volume de trafic constant. Une variation ou une interruption d'utilisation sur un sous-domaine peut impacter la réputation et la délivrabilité.
Vous devez gérer soigneusement les sous-domaines et veiller à ce que tout le trafic de courrier électronique légitime soit couvert par des politiques DMARC explicites. Même si vous n'utilisez pas de sous-domaines, il est judicieux de publier immédiatement une politique sp=reject tout en ne collectant des données que sur votre domaine parent à l'aide de la fonction p=none. Cette approche vous permet de travailler à votre rythme au déploiement de DMARC et à l'avancement de la politique tout en interdisant l'utilisation des sous-domaines par les criminels dans les exploits d'hameçonnage.
Le domaine d'envoi est l'un des aspects les plus importants de la configuration d'envoi d'e-mails et peut grandement influencer les taux de délivrabilité des messages ainsi que la perception du message par le destinataire. Le point le plus important à retenir de ce document est que, lors du choix d'un domaine d'envoi, un sous-domaine du domaine organisationnel de l'expéditeur doit être sélectionné dans presque tous les cas.
Bonnes pratiques courantes de M3AAWG pour les domaines d'envoi
Si vous avez des questions sur la gestion de vos politiques DMARC de sous-domaine, faites-le nous savoir.
Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité e-mail et une mission visant à rendre l'e-mail et Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation, et à implémenter et gérer DMARC sur le long terme.
Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.
