Dla większości nadawców odpowiedź brzmi: tak. Wysokowolumenowa poczta marketingowa oraz automatyczne wiadomości transakcyjne powinny wychodzić z dedykowanej subdomeny (czegoś w rodzaju news.example.com lub mail.example.com), a nie z domeny głównej. Dedykowana subdomena do wysyłki poczty pozwala budować i kontrolować odrębną reputację nadawcy, dzięki czemu nieudana kampania albo trafienie w pułapkę spamową nie pogorszy dostarczalności poczty pracowniczej, faktur i resetów haseł wysyłanych z Twojej domeny podstawowej. Ceną jest nieco więcej konfiguracji DNS i DMARC, przez którą przeprowadza ten przewodnik.
Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.
Co tak naprawdę izoluje subdomena wysyłkowa
Dostawcy skrzynek pocztowych oceniają reputację na więcej niż jednym poziomie. Śledzą wysyłający adres IP, dokładną nazwę hosta w nagłówku From oraz szerszą domenę organizacyjną. Kiedy rozdzielasz strumienie na subdomeny, dajesz Gmailowi, Yahoo i Microsoftowi odrębne tożsamości do oceny, więc te reputacje rosną i spadają niezależnie od siebie.
Wyobraź to sobie jako trzy koszyki:
- Domena główna (
example.com): poczta firmowa, odpowiedzi jeden do jednego oraz korespondencja rozliczeniowa wysyłana przez prawdziwych ludzi. Niski wolumen, praktycznie zerowy wskaźnik skarg, wysokie zaufanie. - Subdomena marketingowa (
news.example.com): newslettery, promocje i kampanie cyklu życia klienta. Wyższy wolumen, wyższe ryzyko skarg i sporadyczne problemy z jakością listy. - Subdomena transakcyjna (
mail.example.comlubt.example.com): potwierdzenia, powiadomienia o wysyłce i resety haseł. Wyzwalane działaniami użytkownika, więc skargi są rzadkie, a zaangażowanie wysokie.
Jeśli Twoja lista marketingowa wciągnie nieaktualny adres, który zamieni się w pułapkę spamową, szkody skupią się na subdomenie marketingowej. Twoje potwierdzenia i odpowiedzi prezesa nadal będą trafiać do skrzynki odbiorczej. Bez rozdzielenia jedna nieudana wysyłka może wciągnąć całą domenę organizacyjną do folderów ze spamem, a odbudowa zaufania do domeny głównej, która obsługuje Twoją bieżącą pocztę biznesową, to bolesne miejsce, w którym można się znaleźć.
Izolacja jest silna, ale nie absolutna. Dostawcy nadal kojarzą subdomeny z ich nadrzędną domeną organizacyjną, a poważny, utrzymujący się problem reputacyjny na jednej subdomenie może przełożyć się na ocenę domeny nadrzędnej. Subdomeny redukują i ograniczają ryzyko; nie dają całkowitej odporności. Celem jest oddzielenie najważniejszej poczty na domenie głównej od najbardziej niestabilnej poczty w masowym marketingu.
Subdomena a całkowicie odrębna domena
Zamiast subdomeny mógłbyś zarejestrować example-mail.com. To maksymalizuje izolację, ale zwykle jest złym wyborem.
| Czynnik | Subdomena (news.example.com) | Odrębna domena (examplemail.com) |
|---|---|---|
| Powiązanie reputacji z marką | Dziedziczy część zaufania domeny nadrzędnej, rozpoznawalna | Startuje od zera, nieznana odbiorcom |
| Siła izolacji | Silna, zawarta w jednej domenie organizacyjnej | Maksymalna, w pełni niezależna |
| Ryzyko phishingu | Niskie, wyraźnie Twoja | Wyższe, podszywające się domeny osłabiają zaufanie |
| Zarządzanie DNS i DMARC | Jedna strefa, jedno drzewo polityki | Odrębna strefa, odrębny DMARC, odrębne monitorowanie |
| Nakład na rozgrzewkę | Szybszy, częściowa aura domeny nadrzędnej | Wolniejszy, zimny start |
Dla niemal każdego nadawcy wygrywa subdomena. Odbiorcy rozpoznają news.example.com jako prawdziwie Twoją, zarządzasz jedną strefą DNS i utrzymujesz jeden spójny obraz raportowania DMARC. Odrębne domeny mają sens głównie dla bardzo dużych nadawców prowadzących dziesiątki niezależnych marek lub dla agencji wysyłających w imieniu wielu klientów, gdzie każdy strumień naprawdę potrzebuje własnej tożsamości od podstaw.
Jak subdomeny współdziałają z DMARC
Tu wysyłka z subdomeny staje się interesująca i tu ludzie się potykają. DMARC opiera się na pojęciu domeny organizacyjnej: domeny rejestrowalnej wraz z jej publicznym sufiksem, rozstrzyganej względem listy Public Suffix List. Dla news.example.com domeną organizacyjną jest example.com.
Liczą się dwa mechanizmy.
Dziedziczenie polityki i tag sp
Subdomena, która nie ma własnego rekordu DMARC, nie pozostaje bez ochrony. Wykrywanie polityki DMARC wchodzi wyżej, do domeny organizacyjnej, i stosuje jej politykę. Konkretnie:
- Jeśli
example.compublikujep=rejectbez tagusp=, tonews.example.comdziedziczy reject. - Jeśli
example.compublikuje jawny tagsp=, subdomeny bez własnego rekordu dziedziczą tę politykę dla subdomen zamiast wartościp=. - Jeśli subdomena publikuje własny rekord DMARC, dla tej subdomeny obowiązuje ten rekord.
Zatem rekord główny w rodzaju v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@example.com; wymusza odrzucanie w całym drzewie, chyba że subdomena go nadpisze. Tag sp= pozwala ustawić inne podejście dla subdomen niż dla domeny głównej. Zwróć uwagę na pewien niuans: tag sp= ma znaczenie tylko w rekordzie domeny organizacyjnej. Jeśli opublikujesz sp= we własnym rekordzie DMARC subdomeny, zostanie zignorowany, ponieważ ten rekord i tak zarządza już bezpośrednio pojedynczą subdomeną. Pełne omówienie wartości p= i sp= znajdziesz w artykule Polityka DMARC: none, quarantine, reject.
Częsty schemat wdrożenia utrzymuje domenę główną na p=reject od pierwszego dnia, aby zabezpieczyć domenę, a następnie publikuje dedykowany rekord DMARC na subdomenie marketingowej z p=none podczas walidowania nowego strumienia wysyłki, zaostrzając go do quarantine, a potem do reject, gdy raporty są czyste.
Wyrównanie: relaxed a strict
DMARC przechodzi tylko wtedy, gdy uwierzytelniony identyfikator wyrównuje się z domeną From. W przypadku SPF sprawdzenie wyrównania porównuje domenę Return-Path (koperty) z domeną From. W przypadku DKIM porównuje domenę d= z podpisu z domeną From.
Tryb ma ogromne znaczenie dla subdomen:
- Wyrównanie relaxed, domyślne, wymaga jedynie, aby oba identyfikatory dzieliły tę samą domenę organizacyjną. Wiadomość z
news.example.comprzechodzi, jeśli jej podpis DKIM tod=example.com, ponieważ oba sprowadzają się doexample.com. - Wyrównanie strict wymaga dokładnej zgodności nazwy hosta. Ta sama wiadomość nie przeszłaby, chyba że podpis DKIM to dokładnie
d=news.example.com.
Jeśli wysyłasz z subdomeny, ale Twój dostawca podpisuje domeną główną lub własną współdzieloną domeną, wyrównanie strict się załamie, a relaxed Cię uratuje. Ponieważ większość konfiguracji z subdomenami miesza identyfikatory w ten sposób, wyrównanie relaxed jest niemal zawsze właściwym wyborem. Przeczytaj DMARC: wyrównanie relaxed a strict, aby poznać dokładne reguły dopasowania i sytuacje, w których strict jest wart dodatkowej rygorystyczności.
Konfigurowanie subdomeny do wysyłki e-maili
Rekordy mieszczą się w DNS subdomeny, nie w domenie głównej. Każda subdomena potrzebuje własnego uwierzytelniania.
- Wybierz jasne nazwy. Używaj opisowych etykiet, takich jak
news.dla marketingu orazmail.lubt.dla poczty transakcyjnej. Unikaj tajemniczych ciągów, które wyglądają jak phishing. - Opublikuj SPF na subdomenie.
news.example.compotrzebuje własnego rekordu SPFTXTautoryzującego Twoją platformę wysyłkową, na przykładv=spf1 include:_spf.yourprovider.com -all. SPF nie dziedziczy z domeny nadrzędnej, a limit 10 zapytań DNS obowiązuje w obrębie każdego rekordu, więc utrzymuj includes oszczędnie, aby uniknąćPermError. Zobacz Rekord SPF dla subdomeny, aby poznać rozmieszczenie i częste błędy. - Skonfiguruj DKIM na subdomenie. Twój dostawca daje Ci selektor i klucz, zwykle publikowany jako
CNAMElubTXTpod subdomeną, na przykłads1._domainkey.news.example.com. Używaj kluczy 2048-bitowych tam, gdzie dostawca je obsługuje. Podpisuj wartościąd=, która wyrównuje się podexample.com, aby zadziałało wyrównanie relaxed. - Dodaj rekord DMARC lub polegaj na dziedziczeniu. Jeśli domena główna już wymusza politykę, subdomena jest objęta ochroną. Opublikuj dedykowany rekord
_dmarc.news.example.com, gdy chcesz mieć inną politykę lub odrębne raportowanieruadla tego strumienia. - Rozgrzewaj subdomenę stopniowo. Nowa subdomena nie ma historii. Zwiększaj wolumen przez dni lub tygodnie, aby dostawcy budowali zaufanie. Zobacz jak rozgrzać domenę e-mail.
Nie zapominaj o strumieniach, które nigdy nie wysyłają. Jeśli posiadasz subdomeny, które są zaparkowane lub nigdy nie powinny nadawać poczty, zabezpiecz je restrykcyjną polityką, aby atakujący nie mogli się pod nie podszyć. Ten schemat opisano w artykule DMARC dla domen zaparkowanych i niewysyłających.
Kiedy subdomena nie jest tego warta
Subdomeny dają wartość proporcjonalnie do wolumenu i ryzyka. Jeśli wysyłasz kilkaset niskoryzykownych wiadomości miesięcznie z jednej małej firmy, nakład operacyjny na zarządzanie wieloma konfiguracjami uwierzytelniania może przewyższyć korzyść, a dobrze uwierzytelniona domena główna w zupełności wystarczy. Rachunek zmienia się szybko, gdy prowadzisz cykliczne kampanie, przekraczasz progi masowych nadawców ustalone przez Gmail i Yahoo albo mieszasz modele zgody, takie jak marketing za zgodą i wyzwalane potwierdzenia, pod jedną tożsamością. W tym momencie izolacja przestaje być opcjonalna.
Najczęściej zadawane pytania
Czy subdomena automatycznie dziedziczy politykę DMARC mojej domeny głównej?
Tak. Jeśli subdomena nie ma własnego rekordu DMARC, wykrywanie DMARC stosuje politykę domeny organizacyjnej. Używa tagu sp= z rekordu domeny głównej, jeśli jest obecny, a w przeciwnym razie wraca do wartości p= domeny głównej.
Czy potrzebuję osobnego SPF i DKIM dla każdej subdomeny wysyłkowej?
Tak. SPF i DKIM są publikowane dla każdej nazwy hosta i nie dziedziczą z domeny nadrzędnej. Każda subdomena potrzebuje własnego rekordu SPF TXT oraz własnego selektora DKIM, aby poczta z tej subdomeny uwierzytelniała się i wyrównywała poprawnie.
Czy subdomena w pełni ochroni reputację mojej domeny głównej?
Zawiera większość ryzyka, ale nie całe. Dostawcy skrzynek pocztowych izolują reputację na poziomie subdomeny, wciąż kojarząc subdomeny z nadrzędną domeną organizacyjną, więc poważny, przedłużający się problem może częściowo wpłynąć na domenę nadrzędną.
Czy poczta transakcyjna i marketingowa powinny dzielić jedną subdomenę?
Nie, w miarę możliwości trzymaj je osobno. Marketing niesie wyższe ryzyko skarg i problemów z jakością listy, podczas gdy poczta transakcyjna ma praktycznie zerowe skargi i wysokie zaangażowanie. Rozdzielenie ich na odrębne subdomeny zapobiega temu, aby problemy marketingowe pogarszały dostarczalność potwierdzeń i resetów haseł.
Chcesz zobaczyć, jak Twoje subdomeny uwierzytelniają się w tej chwili? Uruchom bezpłatne skanowanie w SPFWise, aby sprawdzić SPF, DKIM i DMARC na domenie głównej oraz każdej subdomenie wysyłkowej i potwierdzić, że wyrównanie i dziedziczenie polityki są skonfigurowane zgodnie z Twoim zamiarem.