Sous-domaines et DMARC — Ne laissez pas la porte de derrière ouverte
· DMARC Analyzer Pro
Votre domaine principal est protégé, mais qu'en est-il des sous-domaines ? Découvrez pourquoi la politique DMARC des sous-domaines est importante et comment sécuriser chaque partie de votre domaine.
Vous avez passé des semaines à amener votre domaine principal à `p=reject`. Le SPF est propre, le DKIM signe correctement et vos rapports sont sains. Mais avez-vous vérifié vos sous-domaines ? Les attaquants savent que les organisations se concentrent sur leur domaine principal et laissent souvent les sous-domaines non protégés — ce qui en fait une cible facile pour l'usurpation.
Comment DMARC gère les sous-domaines
DMARC inclut un tag `sp=` spécifiquement pour la politique des sous-domaines. Si vous ne le définissez pas, vos sous-domaines héritent de la politique de votre domaine organisationnel. Cela signifie que si votre domaine principal est à `p=reject` sans tag `sp=`, vos sous-domaines sont également en rejet — ce qui semble bien jusqu'à ce que vous réalisiez que cela pourrait bloquer des e-mails légitimes de sous-domaines dont vous n'avez pas tenu compte.
Inversement, si votre domaine organisationnel est à `p=none` parce que vous êtes encore en phase de surveillance, tous vos sous-domaines sont aussi à `p=none` — y compris les sous-domaines qui n'envoient pas d'e-mail du tout et qui devraient être verrouillés immédiatement.
Le problème de l'usurpation de sous-domaines
Les attaquants adorent les sous-domaines car ils inspirent confiance. Un e-mail provenant de `support.votreentreprise.com` ou `facturation.votreentreprise.com` a presque autant de poids qu'un e-mail de `votreentreprise.com` aux yeux de la plupart des destinataires. Si ces sous-domaines n'ont pas leur propre politique DMARC ou héritent d'une politique faible, ils sont grand ouverts à l'usurpation.
Les sous-domaines les plus dangereux sont ceux qui n'envoient pas d'e-mail. Puisqu'aucun e-mail légitime n'en provient, il n'y a aucun risque de faux positifs — ils peuvent et doivent être verrouillés immédiatement avec leur propre enregistrement `p=reject`, un enregistrement SPF nul (`v=spf1 -all`) et aucune clé DKIM.
Stratégie pour la protection des sous-domaines
Commencez par inventorier chaque sous-domaine existant dans votre DNS. Catégorisez-les en trois groupes : les sous-domaines qui envoient activement des e-mails, les sous-domaines qui pourraient en envoyer à l'avenir, et les sous-domaines qui ne devraient jamais en envoyer.
Pour les sous-domaines envoyant activement, suivez la même approche de déploiement DMARC par phases que pour votre domaine principal — surveiller, remédier et appliquer. Chaque sous-domaine peut avoir son propre enregistrement DMARC avec sa propre politique, indépendant du domaine organisationnel.
Pour les sous-domaines n'envoyant pas, publiez immédiatement des enregistrements restrictifs. Il n'y a aucun inconvénient à rejeter tous les e-mails d'un sous-domaine qui ne devrait pas en envoyer.
Pour le domaine organisationnel, utilisez le tag `sp=` stratégiquement. Définir `sp=reject` alors que votre domaine principal est encore à `p=quarantine` ou `p=none` vous permet de verrouiller agressivement les sous-domaines tout en poursuivant le parcours d'application de votre domaine principal.
Surveiller l'activité des sous-domaines
Vos rapports agrégés DMARC contiennent des données pour tous les sous-domaines, pas seulement votre domaine principal. Faites attention aux résultats d'authentification pour les sous-domaines — une activité d'envoi inattendue depuis un sous-domaine qui ne devrait pas envoyer d'e-mail est un indicateur fort soit d'une mauvaise configuration, soit d'une usurpation active.
DMARC Analyser Pro fournit des tableaux de bord et des alertes par sous-domaine, vous donnant une visibilité granulaire sur chaque partie de l'écosystème e-mail de votre domaine. Car protéger votre porte d'entrée ne sert à rien si la porte de derrière est grande ouverte.
---
*Tous les articles écrits pour dmarc-analyser.pro — © 2026*