example.nl en www.example.nl zijn bestaande webdomeinen en hebben dus A- en/of AAAA-records. Wat voor www.example.nl geldt eventueel ook voor andere bestaande subdomeinen zoals mijn.example.nl.
Vanaf example.nl wordt mail verstuurd vanaf IP-adres van MX, met DKIM-ondertekening, en daarvoor is een SPF-policy en DMARC-reject-policy ingesteld, en worden (geaggregeerde) DMARC-rapportages ontvangen. Het hoofddomein example.nl is daarmee maximaal beschermd.
Vanaf subdomeinen wordt geen mail verstuurd. Alle subdomeinen (niet-bestaande en het in dit geval bestaande www.example.nl) zijn daarom maximaal 'dichtgezet' met DMARC en SPF. Het opnemen van een lege DKIM-key voor deze subdomeinen is een good practice waarmee expliciet wordt gemaakt dat DKIM-key niet bestaat, maar lijkt in de praktijk niets toe te voegen.
II. Instellingen
DMARC:
example.nl TXT "v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc-rua@example.nl"
Beschermd het hoofddomein example.nl en bestaande (zoals www) en niet-bestaande subdomeinen. Met "sp=*" kan een andere DMARC-policy voor subdomeinen worden gedefinieerd dan voor het hoofddomein. Deze is strikgenomen niet noodzakelijk als beide policies gelijk zijn.
SPF:
example.nl TXT "v=spf1 mx -all"
Beschermd het hoofddomein example.nl. Alleen het IP-adres van de mailserver (MX) mag mail versturen. Dat kan ook een ander IP-adres zijn.
*.example.nl TXT "v=spf1 -all"
Beschermd niet-bestaande subdomeinen van example.nl.
www.example.nl TXT "v=spf1 -all"
Beschermd het bestaande subdomein www.example.nl.
*.www.example.nl TXT "v=spf1 -all"
Beschermd niet-bestaande subdomeinen van www.example.nl.
DKIM:
example.nl TXT "v=DKIM1; p=<$hier publieke DKIM-key opnemen$> "
Beschermd het hoofddomein example.nl wanneer de uitgaande mailserver mails met als afzendadres example.nl ondertekend met de bijhorende private DKIM-key.
Also cover existing and non-existing subdomains in "Parked domain how-to".
Sources:
A. https://www.m3aawg.org/sites/default/files/m3aawg_parked_domains_bp-2015-12.pdf (IV. Examples)
B.
I. Casus
II. Instellingen
DMARC: example.nl TXT "v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc-rua@example.nl" Beschermd het hoofddomein example.nl en bestaande (zoals www) en niet-bestaande subdomeinen. Met "sp=*" kan een andere DMARC-policy voor subdomeinen worden gedefinieerd dan voor het hoofddomein. Deze is strikgenomen niet noodzakelijk als beide policies gelijk zijn.
SPF: example.nl TXT "v=spf1 mx -all" Beschermd het hoofddomein example.nl. Alleen het IP-adres van de mailserver (MX) mag mail versturen. Dat kan ook een ander IP-adres zijn.
*.example.nl TXT "v=spf1 -all" Beschermd niet-bestaande subdomeinen van example.nl.
www.example.nl TXT "v=spf1 -all" Beschermd het bestaande subdomein www.example.nl.
*.www.example.nl TXT "v=spf1 -all" Beschermd niet-bestaande subdomeinen van www.example.nl.
DKIM: example.nl TXT "v=DKIM1; p=<$hier publieke DKIM-key opnemen$> " Beschermd het hoofddomein example.nl wanneer de uitgaande mailserver mails met als afzendadres example.nl ondertekend met de bijhorende private DKIM-key.