Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Cover existing and non-existing subdomains in "Parked domain how-to" #7

Open
baknu opened this issue Jul 17, 2020 · 0 comments
Open

Cover existing and non-existing subdomains in "Parked domain how-to" #7

baknu opened this issue Jul 17, 2020 · 0 comments
Assignees
@dennisbaaten
Labels
enhancement New feature or request

Comments

@baknu
Copy link
Collaborator

baknu commented Jul 17, 2020
edited
Loading

Also cover existing and non-existing subdomains in "Parked domain how-to".

Sources:

A.
https://www.m3aawg.org/sites/default/files/m3aawg_parked_domains_bp-2015-12.pdf (IV. Examples)

B.

I. Casus

  • example.nl en www.example.nl zijn bestaande webdomeinen en hebben dus A- en/of AAAA-records. Wat voor www.example.nl geldt eventueel ook voor andere bestaande subdomeinen zoals mijn.example.nl.
  • Vanaf example.nl wordt mail verstuurd vanaf IP-adres van MX, met DKIM-ondertekening, en daarvoor is een SPF-policy en DMARC-reject-policy ingesteld, en worden (geaggregeerde) DMARC-rapportages ontvangen. Het hoofddomein example.nl is daarmee maximaal beschermd.
  • Vanaf subdomeinen wordt geen mail verstuurd. Alle subdomeinen (niet-bestaande en het in dit geval bestaande www.example.nl) zijn daarom maximaal 'dichtgezet' met DMARC en SPF. Het opnemen van een lege DKIM-key voor deze subdomeinen is een good practice waarmee expliciet wordt gemaakt dat DKIM-key niet bestaat, maar lijkt in de praktijk niets toe te voegen.

II. Instellingen

DMARC:
example.nl TXT "v=DMARC1; p=reject; sp=reject; rua=mailto:[email protected]"
Beschermd het hoofddomein example.nl en bestaande (zoals www) en niet-bestaande subdomeinen. Met "sp=*" kan een andere DMARC-policy voor subdomeinen worden gedefinieerd dan voor het hoofddomein. Deze is strikgenomen niet noodzakelijk als beide policies gelijk zijn.

SPF:
example.nl TXT "v=spf1 mx -all"
Beschermd het hoofddomein example.nl. Alleen het IP-adres van de mailserver (MX) mag mail versturen. Dat kan ook een ander IP-adres zijn.

*.example.nl TXT "v=spf1 -all"
Beschermd niet-bestaande subdomeinen van example.nl.

www.example.nl TXT "v=spf1 -all"
Beschermd het bestaande subdomein www.example.nl.

*.www.example.nl TXT "v=spf1 -all"
Beschermd niet-bestaande subdomeinen van www.example.nl.

DKIM:
example.nl TXT "v=DKIM1; p=<$hier publieke DKIM-key opnemen$> "
Beschermd het hoofddomein example.nl wanneer de uitgaande mailserver mails met als afzendadres example.nl ondertekend met de bijhorende private DKIM-key.
@baknu baknu added the enhancement New feature or request label Jul 17, 2020
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees

@dennisbaaten dennisbaaten

Labels
enhancement New feature or request
Milestone
No milestone
Development

No branches or pull requests
2 participants
@baknu @dennisbaaten