SOBOO : Délégation complète de sous-domaine
Fait partie de la série Envoyer au nom d'autres personnes (SOBOO)
Cet article développe l'approche de la « délégation complète » décrite dans l'article plus détaillé Comment envoyer des e-mails conformes à DMARC pour le compte d'autres personnes. Il est supposé que le lecteur envoie des e-mails pour le compte d'autres personnes et souhaite envoyer ces e-mails d'une manière conforme à DMARC.
La délégation complète se produit lorsqu'un propriétaire de domaine configure l'un de ses sous-domaines pour qu'il pointe vers vos propres serveurs de noms. Ce faisant, toutes les requêtes DNS concernant le sous-domaine (ou tout sous-domaine du sous-domaine !) seront renvoyées à vos propres serveurs de noms pour résolution.
Explications et exemples supplémentaires de délégation :
- Une réponse ServerFault à Qu'est-ce qu'une délégation DNS ?
- Le document de Microsoft Comprendre la délégation de zone
- Le tutoriel de DNS Made Easy sur la façon de Créer et déléguer un sous-domaine
Pour accepter la délégation et gérer le sous-domaine, vous devez exploiter vos propres serveurs de noms. Une fois en place, vous pouvez configurer vos serveurs de noms pour répondre à toutes les requêtes DNS relatives au sous-domaine.
Cela vous permet de :
- Envoyer des e-mails en utilisant le domaine de premier niveau du propriétaire de domaine/client dans les en-têtes From: des e-mails. Le sous-domaine délégué fournit une authentification conforme à DMARC en utilisant SPF et DKIM lorsque le « mode d'alignement » par défaut de DMARC, « relaxed », est utilisé.
- Maintenir l'infrastructure de messagerie en utilisant le sous-domaine. Vous pouvez envoyer et recevoir des e-mails en utilisant le sous-domaine en l'utilisant dans les adresses RFC5321.MailFrom (également appelées adresses de rebond/return-path/envelope) et en publiant des enregistrements MX pour le sous-domaine (afin que les utilisateurs d'Internet sachent où envoyer les e-mails destinés au sous-domaine).
- En gérant directement le sous-domaine, vous pouvez publier et maintenir un enregistrement SPF concis et précis pour le sous-domaine qui n'autorise que les serveurs que vous contrôlez. Vous éviterez d'avoir à gérer les enregistrements SPF d'autres personnes et la confusion qui en résulte.
- En gérant directement le sous-domaine, vous pouvez gérer la signature DKIM comme bon vous semble. Vous pouvez créer autant de clés de signature DKIM que nécessaire, les faire pivoter comme bon vous semble, et éviter d'avoir à trouver comment communiquer/gérer les clés avec votre client/propriétaire de domaine.
- Vous pouvez même attribuer des noms de serveur à vos propres adresses IP en utilisant le sous-domaine délégué, afin que chaque e-mail envoyé par vous pour le compte du propriétaire de domaine/client soit entièrement « en marque blanche ».
Cette forme de délégation profite au propriétaire de domaine/client car elle est très facile à configurer, aucune configuration supplémentaire n'est nécessaire, et la maintenance des sous-domaines délégués est facilement gérée.
Cette forme de délégation vous profite, à vous qui envoyez des e-mails pour le compte d'autres personnes, en vous donnant un contrôle total sur la façon dont vous envoyez des e-mails et maintenez votre infrastructure. Si vous déplacez des serveurs, faites pivoter des clés DKIM ou changez d'infrastructure, le propriétaire du domaine (votre client) n'a rien à changer.
Si vous avez des questions/commentaires, n'hésitez pas à nous contacter à [email protected].
Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité e-mail et une mission visant à rendre l'e-mail et Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation, et à implémenter et gérer DMARC sur le long terme.
Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.
