Subdomain-Policy (sp=)
Das DMARC-Tag, das festlegt, welche Policy für Subdomains gilt — wichtig, damit Subdomains kein Einfallstor bleiben.
Das sp=-Tag in einem DMARC-Record legt die Policy für Subdomains fest, getrennt von der Hauptdomain-Policy (p=).
Ohne sp= erben Subdomains automatisch die Policy der Hauptdomain. Das klingt bequem, hat aber zwei Tuecken. Erstens: Wenn die Hauptdomain auf p=reject steht, gilt das auch für jede Subdomain — auch für eine alte Marketing-Subdomain mit kaputtem SPF, die sich damit selbst aussperrt. Zweitens nutzen Angreifer gezielt nicht existierende Subdomains (rechnung.ihre-domain.de), weil viele Domains dort keine durchgesetzte Policy haben.
Best Practice ist, sp= bewusst und konsistent zur jeweiligen Durchsetzungsstufe zu setzen:
_dmarc.ihre-domain.de. IN TXT "v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@ihre-domain.de"
So ist sichergestellt, dass auch Subdomains geschützt sind und nicht als blinder Fleck offenstehen. Wer Subdomains für abweichende Zwecke nutzt (etwa einen separaten Newsletter-Versand), kann sp= gezielt milder setzen — aber das sollte eine bewusste Entscheidung sein, kein Versehen.