La longueur de votre enregistrement SPF a-t-elle une limite ? En bref, oui. La limite de votre enregistrement SPF est une chaîne de 255 caractères dont le dépassement peut casser le SPF et entraîner un échec de l'authentification. Si vous avez rencontré le message "SPF exceeds maximum character limit", cela signifie simplement que l'enregistrement SPF dans votre DNS est plus long que la limite de caractères spécifiée par la RFC(RFC 7208). Cela peut être un problème, surtout si la livraison de vos e-mails dépend fortement de l'alignement SPF.

Vous avez déjà un enregistrement SPF ? Vérifiez sa validité avec notre vérificateur SPF.

Optimiser le FPS pour rester sous la limite de longueur du FPS

  1. Évitez d'utiliser le mécanisme ptr dans votre enregistrement. En effet, il n'est pas actuellement pris en charge conformément aux directives RFC pour le SPF et augmente encore le nombre de caractères dans votre chaîne SPF.
  2. Si vous voulez contourner la limite de 255 caractères pour le SPF afin de contourner le message d'erreur sans échouer le SPF, la RFC autorise l'utilisation de plusieurs chaînes pour un seul enregistrement DNS SPF. Cependant, ces chaînes doivent toutes être reliées entre elles sans espace pour que votre enregistrement soit valide. Assurez-vous qu'il s'agit d'une ligne continue et non pas de plusieurs lignes, car chaque ligne est traitée comme un enregistrement distinct. Les enregistrements multiples pour un seul domaine ne fonctionneront pas avec SPF.
  3. Veillez à supprimer les mécanismes redondants, répétés et NULL dans votre enregistrement SPF, ce qui augmente également la limite de caractères. Cela garantit que votre enregistrement est court, net et valide.
  4. Vous pouvez utiliser notre aplatissement SPF pour optimiser automatiquement votre enregistrement afin qu'il ne dépasse jamais la limite de 255 caractères fixée pour les enregistrements SPF.

Que se passe-t-il lorsque vous dépassez la limite de caractères de la chaîne SPF ?

Si vous dépassez la limite de 255 caractères pour le SPF, vos courriels échoueront à l'authentification du côté du destinataire car l'enregistrement dans votre DNS sera désormais considéré comme invalide. En fonction de votre politique et de votre mode d'alignement, vos courriels peuvent se perdre en transit et ne jamais être remis à vos destinataires. Il est recommandé de configurer un analyseur de rapports DMARC pour votre domaine afin d'obtenir des rapports sur les échecs d'authentification SPF. Si les rapports sont activés dans ces scénarios, vous recevrez un message d'erreur du type "SPF exceeds maximum character limit" ou votre DNS communiquera avec BIND pour afficher le message : "invalid rdata format : ran out of space". L'un ou l'autre de ces messages indique simplement que vous avez dépassé la limite d'enregistrement SPF. 

Limitation de votre limite d'enregistrement SPF avec PowerSPF

 

PowerSPF est votre solution unique pour tous les problèmes liés au SPF. Qu'il s'agisse de rester sous la limite de recherche de 10, ou de restreindre la longueur de votre enregistrement à la limite spécifiée, PowerSPF fait tout cela instantanément et facilement !

Optimiser vos enregistrements DNS pour bénéficier d'une mise en œuvre sans erreur est une possibilité avec la suite de sécurité du courrier électronique de PowerDMARC. Inscrivez-vous à un essai DMARC pour profiter d'un SPF optimisé en un clic qui ne dépasse jamais la limite de 255 caractères du SPF.

Si vous n'avez pas suivi le débat sur la norme DMARC et SPF, essayons de comprendre ce qu'ils sont et comment ils peuvent vous aider. Si vous êtes novice en matière d'authentification des e-mails, il y a de fortes chances que vous ayez rencontré des termes éphémères comme DMARC et SPF et que vous souhaitiez mieux les comprendre pour décider lequel vous convient le mieux.

Sender Policy Framework, alias SPF, vous permet de mettre en cache une liste d'adresses IP autorisées à envoyer des courriels à vos clients en votre nom(RFC 4408). D'autre part, DMARC permet de spécifier une politique pour les courriels dont l'authentification échoue, aidant ainsi les propriétaires de domaines à contrôler l'austérité de leurs protocoles de sécurité mis en œuvre. Cela dit, examinons de plus près la différence entre DMARC et SPF. 

J'ai déployé SPF, ai-je encore besoin de DMARC ?

SPF ne fournit pas aux propriétaires de domaines un mécanisme permettant d'envoyer des rapports sur les échecs de livraison et les tentatives d'usurpation d'identité. C'est là que DMARC entre en jeu. Si vous activez la fonction de rapport DMARC pour vos domaines, vous pourrez recevoir des notifications sur les résultats de votre authentification SPF, ce qui inclut, sans s'y limiter, les échecs de livraison et les tentatives d'usurpation. Il s'agit d'une fonction importante qui devrait être un ajout indispensable à votre suite de sécurité du courrier électronique, même si vous n'avez déployé que SPF pour vos domaines.

La surveillance de vos domaines peut être utile pour traiter les informations sur les performances de vos courriels et mesurer le taux de réussite de vos campagnes de marketing par courriel. Elle vous aide également à répondre plus rapidement aux attaques et à mettre sur liste noire les adresses d'expéditeurs suspectes. 

Puis-je déployer DMARC sans DKIM ?

Oui. Il est possible de publier un enregistrement DMARC même sans la présence d'un enregistrement DKIM dans votre DNS. En effet, pour que vos courriels soient considérés comme conformes à la norme DMARC, ils doivent passer l'authentification SPF ou DKIM, mais pas les deux. Si vous n'avez pas d'enregistrement DKIM en place, les MTA de réception vérifient uniquement l'alignement SPF qui détermine l'authenticité des messages, tandis que DKIM échoue automatiquement pour chaque message.

Cependant, ce n'est pas une situation idéale. Voyons pourquoi :

Le problème de la redirection des e-mails et des listes de diffusion

Dans le cas des e-mails transférés, votre message passe par un serveur intermédiaire avant d'atterrir dans la boîte de réception de votre destinataire. Ce serveur a une adresse IP différente qui peut ne pas être incluse dans l'enregistrement SPF de votre domaine. Par conséquent, les courriels transférés ne respectent pas le SPF du côté du destinataire.

Si vous n'avez pas d'enregistrement DKIM, un échec du SPF se traduirait essentiellement par un échec du DMARC. Dans le cas d'une politique de rejet, vos courriels légitimes envoyés par le biais de listes de diffusion ne parviendraient pas du tout à vos destinataires. C'est pourquoi l'implémentation de SPF et DKIM pour votre domaine et l'obtention d'une conformité DMARC complète en alignant vos courriels sur les deux protocoles sont les meilleurs moyens d'assurer une bonne délivrabilité.

DMARC Vs SPF : Pour résumer

 

Pour résumer la discussion sur DMARC vs SPF, notre recommandation est de commencer par publier un enregistrement TXT pour SPF et un enregistrement DMARC en maintenant la politique à zéro tout en permettant la création de rapports agrégés. De cette façon, vous pouvez garder un œil sur le volume d'e-mails qui sont transférés ou envoyés via des listes de diffusion. Une politique "none" n'aura aucun effet sur la délivrabilité de vos e-mails et vous permettra de surveiller efficacement vos domaines.

Toutefois, pour améliorer vos défenses contre les attaques de phishing et les usurpations d'identité imminentes, vous devez appliquer une politique plus stricte (p=rejeter/quarantaine) pour DMARC. La seule mise en œuvre du SPF n'offre aucune protection contre la fraude par courriel, pour laquelle une politique DMARC est impérative.

Avantages d'une solution logicielle DMARC

Nous recommandons l'utilisation de l'analyseur de rapports DMARC de PowerDMARC. analyseur de rapport DMARC pour obtenir des conseils d'experts et tirer le meilleur parti de vos normes d'authentification des e-mails dès aujourd'hui. Cela vous aidera :

  • Passez à une politique de rejet à la vitesse du marché, sans affecter votre capacité de livraison. 
  • Obtenez une conformité DMARC à 100 % pour vos courriels sortants.
  • Surveillez vos canaux de messagerie lorsque vous êtes en mode p=none pour avoir une idée précise du volume d'e-mails transférés. 
  • Prenez plus rapidement des décisions concernant les modes et les configurations de votre politique de protocole et profitez d'un déploiement sans heurts de vos normes d'authentification des e-mails.