Subdomeinen en DMARC — Laat de achterdeur niet openstaan

Name: DMARC Analyzer Pro
Availability: InStock
Author: DMARC Analyzer Pro

January 4, 2025 · DMARC Analyzer Pro

Uw hoofddomein is beschermd, maar hoe zit het met subdomeinen? Ontdek waarom DMARC-beleid voor subdomeinen belangrijk is en hoe u elk onderdeel van uw domein beveiligt.

U heeft weken besteed aan het brengen van uw primaire domein naar `p=reject`. SPF is schoon, DKIM ondertekent correct en uw rapporten zien er gezond uit. Maar heeft u uw subdomeinen gecontroleerd? Aanvallers weten dat organisaties zich richten op hun hoofddomein en laten subdomeinen vaak onbeschermd — waardoor ze een makkelijk doelwit voor spoofing worden.

Hoe DMARC subdomeinen behandelt

DMARC bevat een `sp=`-tag specifiek voor subdomeinbeleid. Als u deze niet instelt, erven uw subdomeinen het beleid van uw organisatiedomein. Dit betekent dat als uw hoofddomein op `p=reject` staat zonder een `sp=`-tag, uw subdomeinen ook op reject staan — wat goed klinkt totdat u beseft dat het legitieme subdomein-e-mail kan blokkeren waar u geen rekening mee heeft gehouden.

Omgekeerd, als uw organisatiedomein op `p=none` staat omdat u nog in de monitorfase zit, staan al uw subdomeinen ook op `p=none` — inclusief subdomeinen die helemaal geen e-mail verzenden en onmiddellijk vergrendeld zouden moeten worden.

Het subdomein-spoofingprobleem

Aanvallers zijn dol op subdomeinen omdat ze betrouwbaar ogen. Een e-mail van `support.uwbedrijf.com` of `facturatie.uwbedrijf.com` weegt bijna even zwaar als een e-mail van `uwbedrijf.com` in de ogen van de meeste ontvangers. Als deze subdomeinen geen eigen DMARC-beleid hebben of een zwak beleid erven, staan ze wagenwijd open voor spoofing.

De gevaarlijkste subdomeinen zijn degene die geen e-mail verzenden. Aangezien er geen legitieme e-mail van afkomstig is, is er geen risico op valse positieven — ze kunnen en moeten onmiddellijk worden vergrendeld met hun eigen `p=reject`-record, een leeg SPF-record (`v=spf1 -all`) en geen DKIM-sleutels.

Strategie voor subdomeeinbescherming

Begin met het inventariseren van elk subdomein dat in uw DNS bestaat. Categoriseer ze in drie groepen: subdomeinen die actief e-mail verzenden, subdomeinen die mogelijk in de toekomst e-mail zullen verzenden, en subdomeinen die nooit e-mail zouden moeten verzenden.

Voor actief verzendende subdomeinen volgt u dezelfde gefaseerde DMARC-implementatieaanpak als voor uw hoofddomein — monitoren, remediëren en handhaven. Elk subdomein kan zijn eigen DMARC-record hebben met zijn eigen beleid, onafhankelijk van het organisatiedomein.

Voor niet-verzendende subdomeinen publiceert u onmiddellijk restrictieve records. Er is geen nadeel aan het weigeren van alle e-mail van een subdomein dat er geen zou moeten verzenden.

Voor het organisatiedomein gebruikt u de `sp=`-tag strategisch. Het instellen van `sp=reject` terwijl uw hoofddomein nog op `p=quarantine` of `p=none` staat, stelt u in staat subdomeinen agressief te vergrendelen terwijl u nog werkt aan de handhavingsreis van uw hoofddomein.

Subdomeinactiviteit monitoren

Uw DMARC-aggregatierapporten bevatten gegevens voor alle subdomeinen, niet alleen uw hoofddomein. Let op authenticatieresultaten voor subdomeinen — onverwachte verzendactiviteit van een subdomein dat geen e-mail zou moeten verzenden is een sterke indicator van ofwel een verkeerde configuratie of actieve spoofing.

DMARC Analyser Pro biedt dashboards en waarschuwingen per subdomein, waardoor u gedetailleerd inzicht krijgt in elk onderdeel van het e-mailecosysteem van uw domein. Want het beschermen van uw voordeur heeft weinig zin als de achterdeur wagenwijd openstaat.

---