Étiquette de politique de sous-domaine (sp) de DMARC
Nous recevons souvent des questions sur la manière dont les politiques DMARC s'appliquent aux sous-domaines et sur la manière d'établir une politique de sous-domaine. Voici quelques informations pour clarifier la situation et répondre à ces questions.
Étant donné que les sous-domaines sont confrontés au même potentiel d'abus que les domaines parents, c'est-à-dire les domaines de premier niveau ou domaines racine, les auteurs astucieux du contrôle DMARC ont rédigé des conditions spécifiques pour les politiques relatives aux sous-domaines. Les sous-domaines héritent de la politique DMARC du domaine parent, à moins que vous n'indiquiez une politique de sous-domaine à l'aide de la balise sp= dans l'enregistrement DMARC parent ou que vous ne publiiez une balise p= sur un sous-domaine.
Sachant que les cybercriminels utilisent des sous-domaines non protégés pour des opérations de phishing, il est important d'avoir un plan de déploiement DMARC pour chaque sous-domaine que vous créez, que la politique DMARC du domaine parent soit héritée, qu'une balise sp= soit publiée pour régir les sous-domaines, ou qu'une balise p= soit indiquée pour le sous-domaine.
Les définitions et les actions de la politique DMARC s'appliquent aux politiques des sous-domaines comme aux politiques des domaines parents. Voici un aperçu de leur fonctionnement et des meilleures pratiques à suivre lorsqu'il est temps de commencer à faire évoluer vos politiques DMARC.
Publication d'une politique DMARC héritée par les sous-domaines
Si vous souhaitez publier la même politique DMARC pour le domaine parent et ses sous-domaines, une balise p= sur le domaine parent suffit. L'exemple ci-dessous illustre un enregistrement DMARC publié pour exemple.com avec une politique d'application de p=reject; sans balise sp=, la politique p=reject couvre le domaine parent et ses sous-domaines qui n'ont pas de balise de politique DMARC explicite :
v=DMARC1 ; p=reject; rua=mailto:example@example.com
Publication de politiques différentes pour le domaine parent et les sous-domaines
Pour publier une politique de sous-domaine sur le domaine parent, créez un enregistrement DMARC qui inclut une balise sp= pour spécifier une politique DMARC pour les sous-domaines du domaine parent relatif. Voici un enregistrement DMARC publié pour exemple.com qui couvre le domaine parent à p=quarantine et ses sous-domaines à p=reject:
v=DMARC1 ; p=quarantine; sp=reject ; rua=mailto:example@example.com
Publication d'une politique explicite en matière de sous-domaines
Pour publier une politique de sous-domaine pour un seul sous-domaine, créez un enregistrement DMARC pour le sous-domaine qui inclut une balise p= pour spécifier une politique DMARC. Cette politique remplace les balises p= et sp= qui peuvent être publiées sur le domaine parent. Voici un exemple pour le sous-domaine welcome.example.com à l'adresse p=reject:
v=DMARC1 ; p=reject; rua=mailto:example@example.com
Gestion des sous-domaines avec DMARC
Du point de vue de la sécurité, de l'exploitation et de la délivrabilité, dmarcian préconise la stratégie de segmentation pour la gestion du SPF. Nous recommandons de séparer les différents flux de courrier électronique (types de trafic) dans la mesure du possible. L'idée est de séparer les flux par type, comme le marketing de masse, le transactionnel, la facturation, les fournisseurs tiers spécifiques, les entités opérationnelles, etc.
Pour ce faire, la meilleure pratique consiste à séparer le trafic de courrier électronique dans des sous-domaines dédiés à ces flux. Cela permet d'améliorer la visibilité de chaque flux et d'isoler l'utilisation d'un système ou d'un fournisseur particulier. Lorsque l'authentification SPF est nécessaire, elle apporte également une sécurité accrue et une simplicité opérationnelle en allégeant le fardeau d'une approche à domaine unique et en évitant le gonflement de SPF. Il est important de noter que chaque segment doit développer sa propre réputation, ce qui nécessite un volume de trafic constant. Une variation ou une interruption de l'utilisation d'un sous-domaine peut avoir un impact sur la réputation et la délivrabilité.
Vous devez gérer soigneusement les sous-domaines et veiller à ce que tout le trafic de courrier électronique légitime soit couvert par des politiques DMARC explicites. Même si vous n'utilisez pas de sous-domaines, il est judicieux de publier immédiatement une politique sp=reject tout en ne collectant des données que sur votre domaine parent à l'aide de p=none. Cette approche vous permet de travailler à votre rythme au déploiement de DMARC et à l'avancement de la politique tout en interdisant l'utilisation des sous-domaines par les criminels dans les exploits d'hameçonnage.
Le domaine d'envoi est l'un des aspects les plus importants de la configuration de l'envoi de courrier électronique et peut avoir un impact considérable sur le taux de distribution des messages et sur la perception du message par le destinataire. Le point le plus important à retenir de ce document est que lors du choix d'un domaine d'envoi, un sous-domaine du domaine organisationnel de l'expéditeur devrait être sélectionné dans presque tous les cas.
Meilleures pratiques communes d'envoi de domaines du M3AAWG
Si vous avez des questions sur la manière de gérer vos politiques DMARC pour les sous-domaines, n'hésitez pas à nous en faire part.
Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme.
Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.
