BetaSPFWise jest w wersji Beta, a wszystkie funkcje są bezpłatne do jej zakończenia. Więcej informacji otrzymasz po rejestracji.
deliverability

Czy warto wysyłać e-maile z subdomeny?

Praktyczny przewodnik po wysyłce poczty marketingowej i transakcyjnej z dedykowanych subdomen: dlaczego izolacja reputacji chroni domenę główną, jak to współgra z wyrównaniem DMARC i tagiem sp=, oraz jak to skonfigurować.

Zaktualizowano 5 lip 20268 min czytania

Dla większości nadawców odpowiedź brzmi: tak. Wysokowolumenowa poczta marketingowa oraz automatyczne wiadomości transakcyjne powinny wychodzić z dedykowanej subdomeny (czegoś w rodzaju news.example.com lub mail.example.com), a nie z domeny głównej. Dedykowana subdomena do wysyłki poczty pozwala budować i kontrolować odrębną reputację nadawcy, dzięki czemu nieudana kampania albo trafienie w pułapkę spamową nie pogorszy dostarczalności poczty pracowniczej, faktur i resetów haseł wysyłanych z Twojej domeny podstawowej. Ceną jest nieco więcej konfiguracji DNS i DMARC, przez którą przeprowadza ten przewodnik.

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

Co tak naprawdę izoluje subdomena wysyłkowa

Dostawcy skrzynek pocztowych oceniają reputację na więcej niż jednym poziomie. Śledzą wysyłający adres IP, dokładną nazwę hosta w nagłówku From oraz szerszą domenę organizacyjną. Kiedy rozdzielasz strumienie na subdomeny, dajesz Gmailowi, Yahoo i Microsoftowi odrębne tożsamości do oceny, więc te reputacje rosną i spadają niezależnie od siebie.

Wyobraź to sobie jako trzy koszyki:

  • Domena główna (example.com): poczta firmowa, odpowiedzi jeden do jednego oraz korespondencja rozliczeniowa wysyłana przez prawdziwych ludzi. Niski wolumen, praktycznie zerowy wskaźnik skarg, wysokie zaufanie.
  • Subdomena marketingowa (news.example.com): newslettery, promocje i kampanie cyklu życia klienta. Wyższy wolumen, wyższe ryzyko skarg i sporadyczne problemy z jakością listy.
  • Subdomena transakcyjna (mail.example.com lub t.example.com): potwierdzenia, powiadomienia o wysyłce i resety haseł. Wyzwalane działaniami użytkownika, więc skargi są rzadkie, a zaangażowanie wysokie.

Jeśli Twoja lista marketingowa wciągnie nieaktualny adres, który zamieni się w pułapkę spamową, szkody skupią się na subdomenie marketingowej. Twoje potwierdzenia i odpowiedzi prezesa nadal będą trafiać do skrzynki odbiorczej. Bez rozdzielenia jedna nieudana wysyłka może wciągnąć całą domenę organizacyjną do folderów ze spamem, a odbudowa zaufania do domeny głównej, która obsługuje Twoją bieżącą pocztę biznesową, to bolesne miejsce, w którym można się znaleźć.

Izolacja jest silna, ale nie absolutna. Dostawcy nadal kojarzą subdomeny z ich nadrzędną domeną organizacyjną, a poważny, utrzymujący się problem reputacyjny na jednej subdomenie może przełożyć się na ocenę domeny nadrzędnej. Subdomeny redukują i ograniczają ryzyko; nie dają całkowitej odporności. Celem jest oddzielenie najważniejszej poczty na domenie głównej od najbardziej niestabilnej poczty w masowym marketingu.

Subdomena a całkowicie odrębna domena

Zamiast subdomeny mógłbyś zarejestrować example-mail.com. To maksymalizuje izolację, ale zwykle jest złym wyborem.

CzynnikSubdomena (news.example.com)Odrębna domena (examplemail.com)
Powiązanie reputacji z markąDziedziczy część zaufania domeny nadrzędnej, rozpoznawalnaStartuje od zera, nieznana odbiorcom
Siła izolacjiSilna, zawarta w jednej domenie organizacyjnejMaksymalna, w pełni niezależna
Ryzyko phishinguNiskie, wyraźnie TwojaWyższe, podszywające się domeny osłabiają zaufanie
Zarządzanie DNS i DMARCJedna strefa, jedno drzewo politykiOdrębna strefa, odrębny DMARC, odrębne monitorowanie
Nakład na rozgrzewkęSzybszy, częściowa aura domeny nadrzędnejWolniejszy, zimny start

Dla niemal każdego nadawcy wygrywa subdomena. Odbiorcy rozpoznają news.example.com jako prawdziwie Twoją, zarządzasz jedną strefą DNS i utrzymujesz jeden spójny obraz raportowania DMARC. Odrębne domeny mają sens głównie dla bardzo dużych nadawców prowadzących dziesiątki niezależnych marek lub dla agencji wysyłających w imieniu wielu klientów, gdzie każdy strumień naprawdę potrzebuje własnej tożsamości od podstaw.

Jak subdomeny współdziałają z DMARC

Tu wysyłka z subdomeny staje się interesująca i tu ludzie się potykają. DMARC opiera się na pojęciu domeny organizacyjnej: domeny rejestrowalnej wraz z jej publicznym sufiksem, rozstrzyganej względem listy Public Suffix List. Dla news.example.com domeną organizacyjną jest example.com.

Liczą się dwa mechanizmy.

Dziedziczenie polityki i tag sp

Subdomena, która nie ma własnego rekordu DMARC, nie pozostaje bez ochrony. Wykrywanie polityki DMARC wchodzi wyżej, do domeny organizacyjnej, i stosuje jej politykę. Konkretnie:

  • Jeśli example.com publikuje p=reject bez tagu sp=, to news.example.com dziedziczy reject.
  • Jeśli example.com publikuje jawny tag sp=, subdomeny bez własnego rekordu dziedziczą tę politykę dla subdomen zamiast wartości p=.
  • Jeśli subdomena publikuje własny rekord DMARC, dla tej subdomeny obowiązuje ten rekord.

Zatem rekord główny w rodzaju v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@example.com; wymusza odrzucanie w całym drzewie, chyba że subdomena go nadpisze. Tag sp= pozwala ustawić inne podejście dla subdomen niż dla domeny głównej. Zwróć uwagę na pewien niuans: tag sp= ma znaczenie tylko w rekordzie domeny organizacyjnej. Jeśli opublikujesz sp= we własnym rekordzie DMARC subdomeny, zostanie zignorowany, ponieważ ten rekord i tak zarządza już bezpośrednio pojedynczą subdomeną. Pełne omówienie wartości p= i sp= znajdziesz w artykule Polityka DMARC: none, quarantine, reject.

Częsty schemat wdrożenia utrzymuje domenę główną na p=reject od pierwszego dnia, aby zabezpieczyć domenę, a następnie publikuje dedykowany rekord DMARC na subdomenie marketingowej z p=none podczas walidowania nowego strumienia wysyłki, zaostrzając go do quarantine, a potem do reject, gdy raporty są czyste.

Wyrównanie: relaxed a strict

DMARC przechodzi tylko wtedy, gdy uwierzytelniony identyfikator wyrównuje się z domeną From. W przypadku SPF sprawdzenie wyrównania porównuje domenę Return-Path (koperty) z domeną From. W przypadku DKIM porównuje domenę d= z podpisu z domeną From.

Tryb ma ogromne znaczenie dla subdomen:

  • Wyrównanie relaxed, domyślne, wymaga jedynie, aby oba identyfikatory dzieliły tę samą domenę organizacyjną. Wiadomość z news.example.com przechodzi, jeśli jej podpis DKIM to d=example.com, ponieważ oba sprowadzają się do example.com.
  • Wyrównanie strict wymaga dokładnej zgodności nazwy hosta. Ta sama wiadomość nie przeszłaby, chyba że podpis DKIM to dokładnie d=news.example.com.

Jeśli wysyłasz z subdomeny, ale Twój dostawca podpisuje domeną główną lub własną współdzieloną domeną, wyrównanie strict się załamie, a relaxed Cię uratuje. Ponieważ większość konfiguracji z subdomenami miesza identyfikatory w ten sposób, wyrównanie relaxed jest niemal zawsze właściwym wyborem. Przeczytaj DMARC: wyrównanie relaxed a strict, aby poznać dokładne reguły dopasowania i sytuacje, w których strict jest wart dodatkowej rygorystyczności.

Konfigurowanie subdomeny do wysyłki e-maili

Rekordy mieszczą się w DNS subdomeny, nie w domenie głównej. Każda subdomena potrzebuje własnego uwierzytelniania.

  1. Wybierz jasne nazwy. Używaj opisowych etykiet, takich jak news. dla marketingu oraz mail. lub t. dla poczty transakcyjnej. Unikaj tajemniczych ciągów, które wyglądają jak phishing.
  2. Opublikuj SPF na subdomenie. news.example.com potrzebuje własnego rekordu SPF TXT autoryzującego Twoją platformę wysyłkową, na przykład v=spf1 include:_spf.yourprovider.com -all. SPF nie dziedziczy z domeny nadrzędnej, a limit 10 zapytań DNS obowiązuje w obrębie każdego rekordu, więc utrzymuj includes oszczędnie, aby uniknąć PermError. Zobacz Rekord SPF dla subdomeny, aby poznać rozmieszczenie i częste błędy.
  3. Skonfiguruj DKIM na subdomenie. Twój dostawca daje Ci selektor i klucz, zwykle publikowany jako CNAME lub TXT pod subdomeną, na przykład s1._domainkey.news.example.com. Używaj kluczy 2048-bitowych tam, gdzie dostawca je obsługuje. Podpisuj wartością d=, która wyrównuje się pod example.com, aby zadziałało wyrównanie relaxed.
  4. Dodaj rekord DMARC lub polegaj na dziedziczeniu. Jeśli domena główna już wymusza politykę, subdomena jest objęta ochroną. Opublikuj dedykowany rekord _dmarc.news.example.com, gdy chcesz mieć inną politykę lub odrębne raportowanie rua dla tego strumienia.
  5. Rozgrzewaj subdomenę stopniowo. Nowa subdomena nie ma historii. Zwiększaj wolumen przez dni lub tygodnie, aby dostawcy budowali zaufanie. Zobacz jak rozgrzać domenę e-mail.

Nie zapominaj o strumieniach, które nigdy nie wysyłają. Jeśli posiadasz subdomeny, które są zaparkowane lub nigdy nie powinny nadawać poczty, zabezpiecz je restrykcyjną polityką, aby atakujący nie mogli się pod nie podszyć. Ten schemat opisano w artykule DMARC dla domen zaparkowanych i niewysyłających.

Kiedy subdomena nie jest tego warta

Subdomeny dają wartość proporcjonalnie do wolumenu i ryzyka. Jeśli wysyłasz kilkaset niskoryzykownych wiadomości miesięcznie z jednej małej firmy, nakład operacyjny na zarządzanie wieloma konfiguracjami uwierzytelniania może przewyższyć korzyść, a dobrze uwierzytelniona domena główna w zupełności wystarczy. Rachunek zmienia się szybko, gdy prowadzisz cykliczne kampanie, przekraczasz progi masowych nadawców ustalone przez Gmail i Yahoo albo mieszasz modele zgody, takie jak marketing za zgodą i wyzwalane potwierdzenia, pod jedną tożsamością. W tym momencie izolacja przestaje być opcjonalna.

Najczęściej zadawane pytania

Czy subdomena automatycznie dziedziczy politykę DMARC mojej domeny głównej?

Tak. Jeśli subdomena nie ma własnego rekordu DMARC, wykrywanie DMARC stosuje politykę domeny organizacyjnej. Używa tagu sp= z rekordu domeny głównej, jeśli jest obecny, a w przeciwnym razie wraca do wartości p= domeny głównej.

Czy potrzebuję osobnego SPF i DKIM dla każdej subdomeny wysyłkowej?

Tak. SPF i DKIM są publikowane dla każdej nazwy hosta i nie dziedziczą z domeny nadrzędnej. Każda subdomena potrzebuje własnego rekordu SPF TXT oraz własnego selektora DKIM, aby poczta z tej subdomeny uwierzytelniała się i wyrównywała poprawnie.

Czy subdomena w pełni ochroni reputację mojej domeny głównej?

Zawiera większość ryzyka, ale nie całe. Dostawcy skrzynek pocztowych izolują reputację na poziomie subdomeny, wciąż kojarząc subdomeny z nadrzędną domeną organizacyjną, więc poważny, przedłużający się problem może częściowo wpłynąć na domenę nadrzędną.

Czy poczta transakcyjna i marketingowa powinny dzielić jedną subdomenę?

Nie, w miarę możliwości trzymaj je osobno. Marketing niesie wyższe ryzyko skarg i problemów z jakością listy, podczas gdy poczta transakcyjna ma praktycznie zerowe skargi i wysokie zaangażowanie. Rozdzielenie ich na odrębne subdomeny zapobiega temu, aby problemy marketingowe pogarszały dostarczalność potwierdzeń i resetów haseł.

Chcesz zobaczyć, jak Twoje subdomeny uwierzytelniają się w tej chwili? Uruchom bezpłatne skanowanie w SPFWise, aby sprawdzić SPF, DKIM i DMARC na domenie głównej oraz każdej subdomenie wysyłkowej i potwierdzić, że wyrównanie i dziedziczenie polityki są skonfigurowane zgodnie z Twoim zamiarem.

Sprawdź własną domenę

Uruchom darmowe skanowanie i uzyskaj swoją ocenę wraz z dokładnymi rekordami do poprawienia.

Skanuj domenę

Powiązane poradniki