Hoe moet ik actieve/geparkeerde domeinen instellen?

Veel bedrijven hebben een verzameling met actieve domeinen die worden gebruikt om e-mail mee te sturen. Veel hebben echter ook een verzameling van inactieve (of geparkeerde) domeinen. Deze domeinen werden geregistreerd voor toekomstig gebruik of als ‘typo domein’ of ze worden niet gebruikt om e-mail mee te versturen, maar slechts om een website te hosten.

Omdat deze domeinen niet actief zijn, is het vrij eenvoudig om ze te beschermen. Echter is het wel van belang om dit ook te doen en ze niet te vergeten bij de uitvoering van uw DMARC project.

Anders kan dit leiden tot de situatie dat uw hoofddomein netjes is beschermd met een 100% p=reject policy, maar dat uw inactieve domeinen alsnog kwetsbaar zijn voor misbruik.

We adviseren u om een verzameling DNS records in te stellen op deze inactieve domeinen die bij de ISP aangeven het dat domain ook echt inactief is en als zodanig moet worden behandeld.

SPF
Geef aan dat het domein geen e-mail verstuurd door het opzetten van een leeg SPF record met een ‘hard-fail’ policy:

sampleparkeddomain.com TXT "v=spf1 -all"

DKIM
Een DKIM record wordt gepubliseerd op een subdomein door een ‘selector’ te combineren met dat domein. De officiele regels voor het intrekken van actieve selectors is door het publiceren van een record met een lege ‘p’ waarde. Deze setup kan ook worden gebruikt op een ‘wildcard’ domein om aan te geven dat geen enkele selector geldig is voor dit domein (*):

*._domainkey.sampleparkeddomain.com TXT "v=DKIM1; p="

DMARC
Als het domein inactief is, wilt u alsnog op de hoogte worden gebracht bij eventuele activiteit op dit domein. Zodoende raden we aan om een DMARC policy op deze domeinen te publiceren. Als een bedrijf veel inactieve domeinen heeft, raden we aan om een algemene ‘inactieve domeinen’ policy in te stellen op een specifiek domein en hiernaar te verwijzen middels een CNAME setup. Op deze manier kunt u wijzigingen doorvoeren in de instellingen van al uw inactieve domeinen door het aanpassen van een enkele DNS record. In deze situatie is het wel van belang om de ‘External Domain Verification’ correct in te stellen op het enkele domein zoals wordt beschreven in onze knowledgebase.

Onderstaand DNS record moet worden toegevoegd op al uw inactieve domeinen:

_dmarc.sampleparkeddomain.com CNAME _dmarc.parked.example.net.

De volgende DNS records moeten worden geplaatst op het domein waar naar wordt verwezen in het bovenstaande CNAME record (example.net). Dit record bevat twee mailboxen die u kunt instellen op uw lokale domein. U kunt deze mailboxen zo configureren dat alle e-mail worden doorgestuurd naar DMARC Analyzer. Daarnaast kunt u ook uw DMARC Analyzer ‘rua’ en ‘ruf’ adressen in dit record plaatsen. In dat geval wordt het 2e record overbodig omdat wij dit al hebben ingesteld.

_dmarc.parked.example.net TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]"
*._report._dmarc.example.net TXT "v=DMARC1"

MX
Sommige e-mail ontvangers controleren of men ook op een e-mail kan antwoorden bij ontvangst van een e-mail. Als het domein geen e-mail kan ontvangen is het aan te raden om een ‘NULL’ MX record te publiceren (*). Overigens is dit alleen aan te raden als het domein wel een A of AAAA record heeft gepubliceerd.

sampleparkeddomain.com MX 0.

(*) Als u subdomeinen gebruikt zijn er enkele uitzonderingen of toevoegingen. We verwijzen voor meer informatie naar het Best Common Practices document dat door de M3AAWG werd gepubliceerd en te vinden is op deze URL.