Qu'est-ce que le tag DMARC sp (Subdomain Policy) ?
par
Dernière mise à jour : Temps de lecture : 5 min
L'attribut DMARC sp est l'abréviation de subdomain policy dans les balises DMARC. Il spécifie une politique de sous-domaine unanime pour tous les sous-domaines d'un domaine organisationnel lorsqu'elle est définie par le propriétaire du domaine. Il permet à un domaine de spécifier qu'une politique DMARC est applicable aux sous-domaines du domaine DNS spécifié.
Points clés à retenir
- L'attribut DMARC sp permet aux propriétaires de domaines d'établir une politique spécifique de sous-domaine pour l'authentification du courrier électronique.
- Par défaut, les sous-domaines héritent de la politique DMARC du domaine organisationnel, sauf indication contraire dans l'attribut sp.
- La configuration de l'attribut sp peut améliorer la sécurité du courrier électronique en empêchant l'usurpation d'identité de sous-domaines inactifs.
- La mise en œuvre de DKIM et SPF parallèlement à DMARC constitue une défense plus solide contre l'usurpation d'adresse électronique.
- Il est essentiel de revoir et de mettre à jour régulièrement les politiques DMARC pour maintenir une sécurité efficace du courrier électronique à mesure que les besoins de l'organisation évoluent.
Qu'est-ce que le sp (Subdomain Policy) dans DMARC ?
SP (Subdomain Policy) dans DMARC fait référence à un mécanisme qui permet aux propriétaires de domaines de spécifier comment DMARC doit traiter les messages électroniques envoyés à partir de sous-domaines.
Par défaut, les politiques DMARC définies au niveau du domaine organisationnel s'appliquent à tous les sous-domaines. Toutefois, grâce au mécanisme SP, les propriétaires de domaines peuvent outrepasser le comportement par défaut et spécifier des politiques DMARC différentes pour leurs sous-domaines. Cela permet un contrôle plus granulaire et une plus grande flexibilité dans l'authentification et l'application du courrier électronique.
Comment fonctionne l'attribut DMARC sp ?
Les sous-domaines héritent de la politique du domaine parent, à moins qu'elle ne soit explicitement remplacée par un enregistrement de politique de sous-domaine. L'attribut "sp" peut remplacer cet héritage. Si un sous-domaine possède un enregistrement DMARC explicite, cet enregistrement aura la priorité sur la politique DMARC du domaine parent, même si le sous-domaine utilise le paramètre par défaut p=none. Par exemple, si une politique DMARC est définie pour la priorité "all", l'élément "sp" influencera le traitement DMARC sur les sous-domaines non couverts par une politique spécifique.
Pour simplifier les choses, nous recommandons d'omettre l'attribut "sp" dans le domaine d'organisation lui-même. Il en résultera une politique de repli par défaut qui empêchera l'usurpation d'identité sur les sous-domaines. Il est important de se rappeler que le comportement des sous-domaines est toujours déterminé par la politique d'organisation qui prévaut.
Pourquoi avez-vous besoin de la balise DMARC Subdomain Policy ?
La balise DMARC sp est nécessaire lorsque vous souhaitez configurer une politique DMARC différente pour votre (vos) sous-domaine(s), qui remplacera la politique définie pour votre domaine racine.
Configurations des balises DMARC SP et effets sur l'authentification de votre courrier électronique
Cas 1 : Politique en matière de sous-domaines inexistante
Si vous avez votre enregistrement DMARC comme :
v=DMARC1 ; p=reject ; sp=none ; rua=mailto:[email protected] ;
Dans ce cas, si votre domaine racine est protégé contre les attaques par usurpation d'identité, vos sous-domaines, même si vous ne les utilisez pas pour échanger des informations, restent vulnérables aux attaques par usurpation d'identité.
Cas 2 : Politique en matière de sous-domaines à rejeter
Si vous avez votre enregistrement DMARC comme :
v=DMARC1 ; p=none ; sp=reject ; rua=mailto:[email protected] ;
Dans ce cas, si vous ne vous engagez pas à appliquer une politique de rejet sur le domaine racine que vous utilisez pour envoyer vos courriels, vos sous-domaines inactifs sont toujours protégés contre l'usurpation d'identité.
Remarque : Si vous souhaitez que les règles applicables aux domaines et sous-domaines soient identiques, vous pouvez laisser le critère de la balise sp vide ou désactivé lors de la création d'un enregistrement, et vos sous-domaines hériteront automatiquement de la règle appliquée au domaine principal.
Simplifiez DMARC avec PowerDMARC !
Comment activer DMARC sp ?
Pour activer la balise DMARC sp dans le cas où vous utilisez notre outil de génération d'enregistrement DM ARC pour créer un enregistrement DMARC pour votre domaine, vous devez manuellement basculer le bouton de politique de sous-domaine sur le statut actif et définir la politique souhaitée.
Vos prochaines étapes
Activer la balise DMARC sp et la configurer de manière appropriée est une étape essentielle pour renforcer la sécurité de votre courrier électronique. Cependant, il existe quelques mesures supplémentaires que vous pouvez prendre pour améliorer votre mise en œuvre de DMARC. Voici quelques recommandations pour les prochaines étapes :
Surveiller les rapports DMARC
Après avoir activé la balise DMARC sp, il est essentiel de surveiller les rapports de rapports DMARC générés par les destinataires d'e-mails. Ces rapports fournissent des informations précieuses sur l'alignement et le statut d'authentification de vos courriels envoyés. En analysant régulièrement ces rapports, vous pouvez identifier les anomalies ou les sources non autorisées qui tentent d'envoyer des courriels au nom de votre domaine. Des outils tels que les analyseurs DMARC ou les services de reporting peuvent simplifier le processus de surveillance.
Évolution progressive vers une politique "p=rejet".
Bien que la balise DMARC sp renforce la sécurité des sous-domaines, il est important d'envisager d'adopter progressivement une politique plus stricte pour votre domaine principal. En réglant la balise "p" sur "reject", vous pouvez demander aux destinataires des courriels de rejeter tous les courriels non autorisés provenant de votre domaine. Toutefois, il est recommandé de procéder avec prudence et d'analyser minutieusement l'impact du changement de politique afin d'éviter les conséquences imprévues.
Mise en œuvre de DKIM et SPF
Pour renforcer la mise en œuvre de DMARC, veillez à ce que les deux protocoles DKIM (DomainKeys Identified Mail) et SPF (Sender Policy Framework) sont correctement configurés. La mise en œuvre de DKIM ajoute une signature numérique à vos courriels sortants, tandis que la mise en œuvre de SPF vérifie que le serveur d'envoi est autorisé à envoyer des courriels au nom de votre domaine. Ces mécanismes, combinés à DMARC, constituent un cadre d'authentification solide qui permet de limiter efficacement les attaques par usurpation d' adresse électronique et par hameçonnage.
Réviser et mettre à jour périodiquement les politiques DMARC
Au fur et à mesure que votre organisation évolue et que votre écosystème de messagerie change, il est important de revoir et d'actualiser périodiquement vos politiques DMARC. Il s'agit notamment de réévaluer les paramètres de la balise DMARC sp pour vos sous-domaines, d'ajuster la politique globale et de s'assurer que tous les mécanismes d'authentification des courriels sont à jour. Des révisions régulières de la politique vous aideront à maintenir un système efficace et adaptable de sécurité du courrier électronique efficace et adaptable.
Conclusion
En adoptant une approche globale de la sécurité du courrier électronique, vous pouvez réduire de manière significative les risques associés à l'usurpation d'identité et aux attaques par hameçonnage, afin de préserver la réputation de votre organisation et de protéger vos parties prenantes.
Après avoir créé votre enregistrement DMARC, il est important de vérifier la validité de votre enregistrement en utilisant notre outil de recherche d'enregistrement DMARC afin de vous assurer que votre enregistrement ne contient aucune erreur et qu'il est valide.
Commencez votre voyage DMARC avec PowerDMARC pour maximiser la sécurité des emails de votre domaine. Faites votre essai DMARC gratuit dès aujourd'hui !
Expert en sécurité des domaines et des courriels chez PowerDMARC
Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.
Derniers messages de Yunes Tarada (voir tous)
