Comment dois-je configurer les domaines en espérance ou inactifs?

La plupart des entreprises ont un ensemble de domaines actifs qu’elles utilisent pour envoyer des messages. Cependant, la plupart du temps, il existe également des domaines en espérance (ou inactifs). Ce sont des domaines qui ont été enregistrés par un client, mais qui ne sont pas utilisés pour envoyer des courriels ou héberger un site Web. Cela peut être des «domaines de typo» ou des domaines qui ont été enregistrés pour une utilisation future.

Comme ces domaines ne sont pas actifs, il est facile de les protéger. Cependant, il est important de le faire et de ne pas ignorer ces domaines dans votre projet d’implémentation DMARC.

Cela pourrait autrement conduire à la situation où vous avez protégé votre domaine principal avec une politique de rejet à 100% p = et vous pouvez être vulnérable sur vos domaines inactifs.

Nous vous conseillons de configurer un ensemble d’enregistrements DNS pour ces domaines en espérances afin d’indiquer aux FAIs que le domaine est en fait inactif et qu’il devrait être traité de cette manière par les FAIs.

SPF
Indiquez que le domaine n’envoie aucun courrier en configurant un enregistrement SPF vide avec une stratégie d’échec difficile:

sampleparkeddomain.com TXT "v=spf1 -all"

DKIM
Un enregistrement DKIM est publié sur un sous-domaine en combinant un «sélecteur» avec le domaine. La politique officielle de révocation des sélecteurs précédemment actifs consiste à publier ce sélecteur avec une valeur “p” vide. Cette même configuration peut être publiée sur un domaine “générique” pour indiquer que tout sélecteur est invalide (*):

*._domainkey.sampleparkeddomain.com TXT "v=DKIM1; p="

DMARC
Si le domaine est inactif, vous souhaitez toujours recevoir toute activité potentielle sur ce domaine. Par conséquent, nous recommandons de publier une politique DMARC sur ce domaine. Si une organisation a beaucoup de domaines inactifs, nous vous conseillons de publier une politique DMARC générale «domaine inactif» sur un seul domaine et de faire référence à cette politique en utilisant une configuration CNAME. Dans cette situation, vous pouvez facilement ajuster la politique pour tous vos domaines en espérance en ajustant un seul DNS. Dans cette situation, il est nécessaire de configurer correctement la vérification de domaine externe sur votre domaine de réception de rapport DMARC comme décrit dans notre base de connaissances.

L’enregistrement DNS suivant doit être ajouté sur tous vos domaines parqués:

_dmarc.sampleparkeddomain.com CNAME _dmarc.parked.example.net.

Les enregistrements ci-dessous doivent être ajoutés sur un seul domaine auquel il est fait référence dans l’enregistrement CNAME du domaine inactif, comme indiqué ci-dessus (exemple.net). Ces enregistrements pointent vers deux boîtes aux lettres dédiées sur votre domaine local. Vous pouvez soit configurer ces boîtes aux lettres pour transférer automatiquement les rapports vers DMARC Analyzer, soit ajouter l’adresse “rua” et “ruf” de DMARC Analyzer dans l’enregistrement ci-dessous. Dans cette situation, le deuxième enregistrement n’est pas nécessaire, car nous avons couvert cela.

_dmarc.parked.example.net TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]"
*._report._dmarc.example.net TXT "v=DMARC1"

MX
Certains receveurs de courriel vérifient si le courriel pour être répondus lorsqu’ils reçoivent un courrier. Si un domaine ne reçoit pas de courrier, il est recommandé de publier un enregistrement MX ‘NULL’ (*). Cependant, cette approche n’est recommandée que si un domaine * publie un enregistrement A ou AAAA, mais n’est pas configuré pour recevoir du courrier.

sampleparkeddomain.com MX 0.

(*) Si vous utilisez des sous-domaines, il existe quelques exceptions. Nous nous référons au document Best Common Practices publié par le M3AAWG sur cette URL.