Что такое метка DMARC sp (политика поддоменов)?

Блог

Теги DMARC sp (политика поддомена) позволяют переопределить политику DMARC вашего домена для поддоменов. Узнайте, что это такое и как это реализовать.

ЮнесТарада

Последнее обновление:
5 Время чтения: 5 минут
Что такое метка DMARC sp (политика поддоменов)?
Оглавление-

Атрибут DMARC sp является сокращением для политики субдомена в тегах DMARC. Он определяет единогласную политику субдомена для всех субдоменов организационного домена, если она определена владельцем домена. Он позволяет домену указать, что другая политика DMARC применяется к поддоменам указанного DNS-домена.

Ключевые выводы

  1. Атрибут DMARC sp позволяет владельцам доменов устанавливать определенную политику субдоменов для аутентификации электронной почты.
  2. По умолчанию поддомены наследуют политику DMARC организационного домена, если в атрибуте sp не указано иное.
  3. Настройка атрибута sp может повысить безопасность электронной почты, предотвратив выдачу себя за неактивные поддомены.
  4. Внедрение DKIM и SPF наряду с DMARC обеспечивает более надежную защиту от подделки электронной почты.
  5. Регулярный пересмотр и обновление политик DMARC необходим для обеспечения эффективной защиты электронной почты по мере изменения потребностей организации.

Что такое sp (политика поддоменов) в DMARC?

SP (Subdomain Policy) в DMARC относится к механизму, который позволяет владельцам доменов указывать, как DMARC должен обрабатывать почтовые сообщения, отправленные с поддоменов. 

По умолчанию политики DMARC, установленные на уровне организационного домена, применяются ко всем поддоменам. Однако с помощью механизма SP владельцы доменов могут отменить поведение по умолчанию и указать различные политики DMARC для своих поддоменов. Это позволяет обеспечить более детальный контроль и гибкость в аутентификации и применении электронной почты.

Как работает атрибут DMARC sp? 

Поддомены наследуют политику родительского домена, если она не отменена явным образом записью политики поддомена. Атрибут 'sp' может отменить это наследование. Если поддомен имеет явную DMARC-запись, эта запись будет иметь приоритет над DMARC-политикой родительского домена, даже если поддомен использует настройку по умолчанию p=none. Например, если политика DMARC определена для приоритета 'all', элемент 'sp' будет влиять на обработку DMARC на поддоменах, не охваченных какой-либо конкретной политикой.

Чтобы упростить ситуацию, мы рекомендуем опустить атрибут 'sp' в самом организационном домене. Это приведет к резервной политике по умолчанию, которая предотвращает спуфинг на поддоменах. Важно помнить, что поведение поддоменов всегда определяется главенствующей организационной политикой. 

Зачем вам нужен тег DMARC Subdomain Policy?

Тег DMARC sp необходим, когда вы хотите настроить другую политику DMARC для вашего поддомена(ов), которая будет отменять политику, определенную для вашего корневого домена. 

Конфигурации тегов DMARC SP и их влияние на аутентификацию электронной почты

Пример 1: Политика субдоменов на уровне "нет 

Если ваша запись DMARC имеет вид: 

v=DMARC1; p=reject; sp=none; rua=mailto:[email protected];

В этом случае, хотя ваш корневой домен защищен от атак спуфинга, ваши поддомены, даже если вы не используете их для обмена информацией, все равно будут уязвимы для атак самозванства.

Пример 2: Политика субдоменов при отклонении

Если ваша запись DMARC имеет вид: 

v=DMARC1; p=none; sp=reject; rua=mailto:[email protected];

В этом случае, хотя вы не принимаете на себя обязательства по политике отказа для корневого домена, который вы используете для отправки писем, ваши неактивные поддомены все еще защищены от имперсонации.

Примечание: Если вы хотите, чтобы политика вашего домена и поддомена была одинаковой, вы можете оставить критерий тега sp пустым или отключенным при создании записи, и ваши поддомены автоматически унаследуют политику, установленную для основного домена.

Упростите DMARC с помощью PowerDMARC!

15-дн. пр. версияЗаказать демо

Как включить DMARC sp? 

Чтобы включить тег DMARC sp в случае, если вы используете наш инструмент генератора DMARC-записей для создания DMARC-записей для вашего домена, вам нужно вручную переключить кнопку политики поддомена в активное состояние и определить желаемую политику.

Ваши следующие шаги

Включение тега DMARC sp и его соответствующая настройка - это важный шаг на пути к укреплению безопасности электронной почты. Однако есть несколько дополнительных мер, которые вы можете предпринять, чтобы еще больше усовершенствовать свою реализацию DMARC. Вот некоторые рекомендуемые дальнейшие шаги:

Мониторинг отчетов DMARC

После включения метки DMARC sp очень важно отслеживать отчеты DMARC создаваемые получателями электронной почты. Эти отчеты предоставляют ценную информацию о согласовании и статусе аутентификации отправленных вами электронных писем. Регулярно анализируя эти отчеты, вы сможете выявить любые аномалии или неавторизованные источники, пытающиеся отправлять электронные письма от имени вашего домена. Такие инструменты, как анализаторы DMARC или службы отчетов, могут упростить процесс мониторинга.

Постепенно переходите к политике "p=отказ"

Хотя тег DMARC sp повышает безопасность субдоменов, важно рассмотреть возможность постепенного перехода к более строгой политике для вашего основного домена. Установив тег "p" на "reject", вы можете дать указание получателям электронной почты полностью отклонять любые несанкционированные письма с вашего домена. Однако рекомендуется действовать осторожно и тщательно проанализировать влияние изменения политики, чтобы избежать непредвиденных последствий.

Внедрение DKIM и SPF

Чтобы усилить реализацию DMARC, убедитесь, что оба DKIM (DomainKeys Identified Mail) и SPF (Sender Policy Framework) правильно настроены. Реализация DKIM добавляет цифровую подпись к исходящим сообщениям, а реализация SPF подтверждает, что сервер отправки имеет право отправлять сообщения от имени вашего домена. Эти механизмы в сочетании с DMARC обеспечивают надежную систему аутентификации, которая помогает эффективно противостоять подделке электронной почты и фишинговым атакам.

Периодический обзор и обновление политик DMARC

По мере развития вашей организации и изменения экосистемы электронной почты важно периодически пересматривать и обновлять политику DMARC. Это включает в себя переоценку настроек тегов DMARC sp для ваших поддоменов, корректировку общей политики и обеспечение актуальности всех механизмов аутентификации электронной почты. Регулярный пересмотр политик поможет вам поддерживать эффективную и адаптивную систему безопасность электронной почты стратегию.

Заключение

Применяя комплексный подход к обеспечению безопасности электронной почты, вы можете значительно снизить риски, связанные с подменой почты и фишинговыми атаками, что в конечном итоге обеспечит репутацию вашей организации и защиту заинтересованных сторон.

После создания DMARC-записи важно проверить ее действительность с помощью нашего Инструмент поиска записи DMARC чтобы убедиться, что ваша запись не содержит ошибок и действительна.

Начните свой путь DMARC с PowerDMARC, чтобы максимально повысить безопасность электронной почты вашего домена. Возьмите бесплатную пробную версию DMARC уже сегодня!  

Последние сообщения Юнеса Тарады (см. все)
Последнее обновление:
Как обновить ключи DKIM (с 1024-битных до 2048-битных) для Microsoft Office ...Обновление ключа Microsoft O365 DKIMDMARC pct(percentage) tagЧто такое тег pct (процент) в записи DMARC?