Wie sollte ich geparkte/inaktive Domains einrichten?

Die meisten Unternehmen haben eine Reihe von aktiven Domains, von denen aus sie E-Mails versenden. Meistens gibt es aber auch geparkte (oder inaktive) Domains. Dies sind Domains, die von einem Kunden registriert wurden, aber nicht zum Versenden von E-Mails oder zum Hosten einer Website verwendet werden. Dies können “Tippfehler-Domains” oder Domains sein, die für die zukünftige Nutzung registriert wurden.

Da diese Domains nicht aktiv sind, ist es einfach, diese Domains zu schützen. Es ist jedoch wichtig, dies zu tun und diese Domainn in Ihrem DMARC-Implementierungsprojekt nicht zu überspringen.]

Dies könnte sonst dazu führen, dass Sie Ihre Hauptdomain mit einer 100%igen p=reject geschützt haben und auf Ihren geparkten Domains immer noch verwundbar sind.

Wir empfehlen, eine Reihe von DNS-Einträgen für diese geparkten Domains einzurichten, um den ISPs anzuzeigen, dass die Domain tatsächlich inaktiv ist und von den ISPs auf diese Weise behandelt werden sollte.

SPF
Geben Sie an, dass die Domain keine E-Mails versendet, indem Sie einen leeren SPF-Eintrag mit einer Hard-Fail-Richtlinie einrichten:

sampleparkeddomain.com TXT "v=spf1 -all"

DKIM
Ein DKIM-Eintrag wird auf einer Subdomain veröffentlicht, indem ein ‘Selektor’ mit der Domain kombiniert wird. Die offizielle Richtlinie zum Widerruf von zuvor aktiven Selektoren besteht darin, diesen Selektor mit einem leeren ‘p’-Wert zu veröffentlichen. Dieselbe Einstellung kann auf einer ‘Wildcard’-Domain veröffentlicht werden, um anzuzeigen, dass ein Selektor ungültig ist (*):

*._domainkey.sampleparkeddomain.com TXT "v=DKIM1; p="

DMARC
Wenn die Domain inaktiv ist, möchten Sie trotzdem jede mögliche Aktivität auf dieser Domain erhalten. Daher empfehlen wir, eine DMARC-Richtlinie auf dieser Domain zu veröffentlichen. Wenn eine Organisation viele geparkte Domains hat, empfehlen wir, eine allgemeine “geparkte Domain” DMARC-Richtlinie auf einer einzelnen Domain zu veröffentlichen und auf diese Richtlinie mit Hilfe eines CNAME-Setups zu verweisen. In dieser Situation können Sie die Richtlinie für alle Ihre geparkten Domains einfach anpassen, indem Sie ein einziges DNS anpassen. In diesem Fall ist es erforderlich, die externe Domainverifizierung auf Ihrer DMARC-Report empfangenden Domain wie in unserer Wissenbasis beschrieben korrekt einzurichten.

Der folgende DNS-Eintrag sollte auf allen Ihren geparkten Domains hinzugefügt werden:

_dmarc.sampleparkeddomain.com CNAME _dmarc.parked.example.net.

Die folgenden Einträge sollten auf einer einzelnen Domain hinzugefügt werden, auf die im geparkten CNAME-Eintrag wie oben beschrieben verwiesen wird (Beispiel.net). Diese Einträge verweisen auf zwei dedizierte Postfächer auf Ihrer lokalen Domain. Sie können diese Postfächer entweder so konfigurieren, dass sie die Berichte automatisch an den DMARC Analyzer weiterleiten, oder Sie können Ihre eigene DMARC Analyzer ‘rua’ und ‘ruf’ Adresse in den folgenden Eintrag eintragen. In dieser Situation ist der zweite Eintrag nicht nötig, da wir ihn abgedeckt haben.

_dmarc.parked.example.net TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]"
*._report._dmarc.example.net TXT "v=DMARC1"

MX
Einige Mail-Empfänger überprüfen, ob eine Mail beantwortet werden kann, wenn sie eine Mail erhalten. Wenn eine Domain keine Mail erhält, wird empfohlen, einen ‘NULL’ MX-Eintrag (*) zu veröffentlichen. Dieser Ansatz wird jedoch nur empfohlen, wenn eine Domain einen A- oder AAAA-Eintrag veröffentlicht, aber nicht für den Empfang von E-Mails eingerichtet ist.

sampleparkeddomain.com MX 0.

(*) Wenn Sie Subdomains verwenden, gibt es einige Ausnahmen. Wir verweisen auf das von der M3AAWG unter dieser URL veröffentlichte Dokument “Bewährte Vorgehensweisen”.