Passer au contenu principal
SOBOO : Délégation de sous-domaines avec des CNAME

SOBOO : Délégation de sous-domaines avec des CNAME

19 septembre 2021
DéploiementConseils techniques

Fait partie de la série Envoyer au nom d'autres personnes (SOBOO)

Cet article développe l'approche des « CNAMEs » décrite dans l'article plus détaillé Comment envoyer des e-mails conformes à DMARC pour le compte d'autres entités. Il est supposé que le lecteur envoie des e-mails pour le compte d'autres entités et souhaite le faire d'une manière conforme à DMARC.

La délégation basée sur les CNAMEs se produit lorsqu'un propriétaire de domaine crée plusieurs CNAMEs qui pointent vers son propre domaine. Contrairement à la délégation complète de sous-domaine, les services individuels sont délégués par chaque CNAME. Ce faisant, toute question basée sur le DNS concernant un CNAME sera renvoyée à votre propre domaine pour résolution. Voici quelques explications et exemples supplémentaires d'utilisation des CNAMEs pour effectuer une délégation :

L'utilisation des délégations basées sur les CNAMEs est aussi simple que d'envoyer des e-mails comme vous le faites habituellement, à la différence que vous pourrez :

  • Envoyer des e-mails en utilisant le domaine de premier niveau du propriétaire/client dans les en-têtes From: des e-mails. Les CNAMEs fournissent une authentification conforme à DMARC en utilisant SPF et DKIM lorsque le « mode d'alignement » par défaut de DMARC, « relaxed », est utilisé.
  • Envoyer et recevoir des e-mails en utilisant les CNAMEs, en les intégrant dans les adresses RFC5321.MailFrom (également appelées adresses de rebond/return-path/enveloppe) et en acceptant les e-mails adressés via CNAME via votre infrastructure de messagerie existante (afin que les utilisateurs d'Internet puissent envoyer des e-mails destinés au domaine adressé via CNAME).
  • En gérant directement le sous-domaine CNAME, vous pouvez publier et maintenir un enregistrement SPF concis et précis pour ce sous-domaine, n'autorisant que les serveurs que vous contrôlez. Vous éviterez ainsi d'avoir à gérer les enregistrements SPF d'autres personnes et la confusion qui en découle.
  • En gérant directement les enregistrements de clés publiques DKIM des CNAMEs, vous pouvez gérer la signature DKIM comme bon vous semble. Vous pouvez créer autant de clés de signature DKIM que vous avez d'enregistrements CNAME, les faire pivoter à votre convenance, et éviter d'avoir à déterminer comment communiquer/gérer les clés avec votre client/propriétaire de domaine.

Cette forme de délégation est avantageuse pour le propriétaire/client du domaine car elle est relativement facile à configurer, aucune configuration supplémentaire n'est nécessaire, et la maintenance des CNAMEs peut être gérée aisément.

Cette forme de délégation vous est bénéfique, à vous qui envoyez des e-mails pour le compte d'autres entités, en vous donnant le contrôle sur la manière dont vous envoyez les e-mails et maintenez votre infrastructure. Si vous déplacez des serveurs, faites pivoter des clés DKIM ou remplacez des éléments d'infrastructure, le propriétaire du domaine (votre client) n'a rien à changer.

Si vous avez des questions, n'hésitez pas à nous contacter à [email protected].

Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité e-mail et une mission visant à rendre l'e-mail et Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation, et à implémenter et gérer DMARC sur le long terme.

Commencez avec notre essai de 30 jours
Envoyer au nom d'autres personnes

Articles connexes