子域策略(sp=)与多品牌
DMARC 的 sp= 用于为“子域”指定与根域不同的策略。这对多品牌/多业务线尤为有用: 根域先收紧(例如 p=reject),新业务线在子域上以 sp=quarantine 逐步推进。
先审查(3 秒)
输入任意子域,体检会分析策略与对齐,并提示是否需要 sp=。
常见模式与示例
| 场景 | 记录示例 |
|---|---|
| 根域强,子域弱 | v=DMARC1; p=reject; sp=quarantine; rua=mailto:d@rua.example |
| 根域观察,子域先行 | v=DMARC1; p=none; sp=quarantine; rua=mailto:d@rua.example |
| 多品牌(子域独立推进) | v=DMARC1; p=reject; sp=reject; rua=...(配合子域各自 DKIM 对齐) |
实施要点
- 根域记录只能放在
_dmarc.example.com;子域无需单独放 DMARC 时由sp=继承。 - 对齐优先走 DKIM(
d=brand.example),SPF 作为补充;避免供应商d=破坏子域独立性。 - 每次策略变化生成 PDF 证据并记录
scanId/sha256;便于审核与回滚。
灰度与回滚
- 以
none→quarantine→reject推进;每步至少观察 7–14 天。 - 把投诉率/退信率与对齐/One‑Click 联动,阈值超限自动回退。
- 配合 SenderGuard 的 RulePack 版本记录,任何时候可一键回滚。