SPF Avanan : comment configurer, corriger et optimiser votre enregistrement SPF Check Point Harmony Email
par
Dernière mise à jour : 9 Temps de lecture : 9 min
Points clés à retenir
- Avanan (now Check Point Email Security, formerly Harmony Email & Collaboration) requires an SPF include statement in your DNS to authenticate outbound email routed through its infrastructure. There are two valid approaches: the legacy static include:spfa.cpmails.com and the newer macro-based include:{code}.spf.checkpoint-spf.com. You use one or the other but not both.
- L'ajout SPF d'Avanan est l'étape qui conduit le plus souvent les entreprises à dépasser la limite de 10 requêtes DNS fixée par la RFC 7208, ce qui provoque SPF et empêche la livraison de tous les e-mails sortants.
- Les déploiements via API uniquement (mode « Monitor » / « Detect ») ne modifient pas le flux de messagerie et ne nécessitent aucune SPF . Seuls les déploiements en mode « Prevent » (intégré) et via une passerelle MX nécessitent l'ajout de cette ligne.
- Le mode de déploiement en ligne d'Avanan peut également perturber l'alignement DKIM si la signature DKIM n'est pas configurée au niveau du fournisseur de messagerie (Microsoft 365 ou Google Workspace), et non au sein d'Avanan.
- SPF à l'aide d'un outil tel que PowerSPF ou le mécanisme SPF intégré de Check Point résout définitivement le problème de la limite de recherche et préserve votre politique DMARC.
Si vous déployez Check Point Harmony Email & Collaboration (anciennement Avanan) en mode inline, vous devez ajouter une règle SPF à votre DNS, sans quoi vos e-mails sortants échoueront SPF et risqueront d'être rejetés par Gmail, Yahoo et Microsoft Outlook.
Depuis Google a commencé à rejeter définitivement les envois en masse non conformes fin 2025 et Microsoft a commencé à renvoyer des erreurs 550; 5.7.515 à partir de mai 2025, SPF est devenue une exigence opérationnelle incontournable.
Ce guide traite des deux syntaxes SPF valides, du choix entre le mode intégré et le mode API, de la configuration DKIM, de l'alignement DMARC, de la limite de 10 requêtes, du dépannage et des modèles multi-locataires pour les MSP.
Que vous soyez un administrateur informatique déployant Avanan pour la première fois, un prestataire de services gérés (MSP) chargé de le gérer pour des dizaines de clients, ou un responsable de la sécurité des systèmes d'information (RSSI) veillant à ce que votre dispositif d'authentification résiste à un audit, tous les cas de figure sont abordés ci-dessous.
Qu'est-ce qu'Avanan (désormais Check Point Email Security) ?
Avanan a été rachetée par Check Point Software Technologies en août 2021 et rebaptisée Harmony Email & Collaboration. En 2025, Check Point a de nouveau renommé le produit « Check Point Email Security », afin de l'aligner sur la stratégie globale de l'entreprise axée sur l'intelligence artificielle.
Malgré deux changements de marque, la plupart des administrateurs informatiques, des sites d'avis et des forums communautaires continuent d'utiliser le nom « Avanan », et Check Point maintient toujours un portail sous la marque Avanan proposant une migration à la demande vers la nouvelle interface.
L'architecture du produit est axée sur les API. Elle se connecte à Microsoft 365 ou à Google Workspace via une API pour analyser les e-mails entrants après leur réception. Lorsque les administrateurs activent le mode en ligne (également appelé « Prevent »), Avanan intercepte les e-mails sortants dans le pipeline de transport et les analyse via l'infrastructure cloud de Check Point avant de les acheminer vers leur destinataire.
C'est cette interception en ligne qui rend SPF : les e-mails sortants sont désormais envoyés depuis les adresses IP de Check Point, qui doivent être autorisées dans votre SPF .
Pour en savoir plus sur la manière dont les passerelles de sécurité de messagerie interagissent avec les protocoles d'authentification, consultez SPF, DKIM et DMARC : comment ils fonctionnent ensemble.
Avez-vous vraiment besoin de modifier votre SPF pour Avanan ?
Si vous utilisez Avanan en mode API uniquement (Monitor ou Detect), vous pouvez vous arrêter ici, car vous n'avez pas besoin de modifier votre SPF . Les e-mails continuent d'être acheminés depuis les adresses IP de Microsoft 365 ou de Google Workspace déjà autorisées dans votre DNS.
| Mode | Flux de courrier | SPF ? | Impact du DKIM | Alignement DMARC |
|---|---|---|---|---|
| API / Surveillance / Détection | Expéditeur → M365/GWS → Boîte de réception ; analyse par Avanan via l'API | Aucun. Les e-mails proviennent d'adresses IP M365/GWS déjà répertoriées dans SPF | Inchangé | Passes |
| En ligne / Prévention (sortant) | Interne → M365/GWS → Check Point HEC → Externe (double saut) | Obligatoire. Ajouter l'inclusion Check Point | Conservé si M365/GWS signe avant l'interception | Le DKIM fonctionne généralement correctement ; SPF renvoyer un « soft fail » pour le champ Return-Path |
| MX complet en ligne | MX redirige vers le cloud Check Point | Obligatoire. Ajouter les adresses IP de Check Point | Cela dépend de la configuration de la signature | Vérifiez la conformité des signatures SPF DKIM |
Avanan SPF : lequel vous convient le mieux ? (Référence 2026)
Il existe deux méthodes valides pour SPF Check Point Harmony Email. Les voici :
Inclusion héritée (statique) : include:spfa.cpmails.com
Il s'agit de SPF statique d'origine introduite par Check Point en juillet 2023, qui regroupe les anciennes listes d'adresses IP par région en une seule entrée. Lorsque vous ajoutez « include:spfa.cpmails.com » à votre SPF , cela se traduit par environ 21 entrées IPv4 couvrant les régions AWS en Amérique du Nord, en Europe, dans la région Asie-Pacifique, au Royaume-Uni, en Inde, au Canada et aux Émirats arabes unis.
Étant donné que les mécanismes IPv4 ne sont pas pris en compte dans la limite des 10 requêtes, l'inclusion elle-même ne coûte qu'une seule requête DNS sur votre quota.
Utilisez cette option si vous ne disposez pas d'une licence pour le module complémentaire DMARC Management de Check Point ou si vous préférez un enregistrement transparent et indépendant du fournisseur, que tout auditeur peut consulter directement dans le DNS.
Managed SPF Macro Include: include:{code}.spf.checkpoint-spf.com
Il s'agit de la nouvelle fonctionnalité SPF de Check Point, décrite dans le guide d'administration d'Harmony Email et accessible depuis le portail sous DMARC → SPF . Elle utilise l'expansion SPF (conformément à la RFC 7208 §5.7) via un code unique attribué à chaque tenant. La syntaxe est la suivante :
v=spf1 include:{your-org-code}.spf.checkpoint-spf.com include:spf.protection.outlook.com -all
Où {votre-code-organisation} est un identifiant unique disponible dans le portail d'administration de Check Point Email Security. Ce mécanisme nécessite une seule requête, mais passe par une zone DNS dynamique spécifique à chaque tenant, gérée par Check Point. Il est conçu pour réduire l'empreinte SPF lorsque vous utilisez plusieurs services sortants de Check Point.
Lequel utiliser ?
| Scénario | Approche recommandée | Pourquoi |
|---|---|---|
| Votre enregistrement SPF actuel comporte moins de 7 requêtes DNS | Fichier d'inclusion statique (spfa.cpmails.com) | Simple, transparent, facile à contrôler |
| Vous en êtes déjà à 8-10 requêtes DNS | SPF gérée ou SPF | Il faut limiter les recherches. Les macros sont intégrées ; l'aplatissement est indépendant du fournisseur. |
| En tant que prestataire de services gérés (MSP), vous gérez plus de 10 domaines clients | SPF à l'aide d'un outil centralisé tel que PowerSPF | Répétable, indépendant du fournisseur, vérifiable pour tous les clients |
| Les auditeurs doivent vérifier directement les adresses IP autorisées | Inclusion statique ou SPF | Les macros restent opaques tant qu'elles ne sont pas résolues ; les auditeurs ne peuvent pas facilement identifier les adresses IP autorisées |
Important : N'utilisez pas les deux inclusions simultanément. Les ajouter toutes les deux entraîne une duplication des autorisations, gaspille des requêtes DNS et complique les audits. Choisissez une approche et appliquez-la de manière cohérente.
Suggestion d'image : Tableau comparatif des deux options, présentant leurs avantages et leurs inconvénients.
Texte alternatif : « Comparaison entre SPF traditionnelle d'Avanan (spfa.cpmails.com) et l'inclusion basée sur des macros (spf.spf), mettant en évidence les différences en matière de transparence, de coût de consultation et d'auditabilité. »
Comment ajouter SPF Avanan à votre domaine (étape par étape)
Avant de modifier des enregistrements DNS, commencez par vérifier votre SPF actuel et le nombre de requêtes. Utilisez un SPF gratuit pour voir combien de requêtes DNS votre domaine consomme actuellement. Si vous en êtes à 8 ou plus, consultez la section de dépannage ci-dessous avant d'ajouter de nouvelles instructions d'inclusion.
Étape 1 : Vérifiez votre mode de déploiement
Connectez-vous au portail d'administration de Check Point Email Security. Accédez à votre politique de sécurité sortante. Si vous utilisez uniquement le mode API/Monitor, aucune SPF n'est nécessaire. Si le mode Prevent (inline) ou l'analyse DLP sortante est activé, passez à l'étape 2.
Étape 2 : Accédez à votre fournisseur de services DNS
Connectez-vous à la console de gestion DNS de votre domaine (GoDaddy, Cloudflare, AWS Route 53, Azure DNS, Namecheap ou tout autre fournisseur hébergeant votre domaine). Recherchez l'enregistrement SPF existant pour votre domaine. Il commence par v=spf1. S'il n'y a pas SPF , vous pouvez en créer un.
Étape 3 : Ajoutez l'en-tête « Include » d'Avanan à votre SPF
Intégrez l'en-tête Avanan à votre enregistrement existant. Ne créez pas de deuxième SPF TXT SPF . Le DNS n'en autorise qu'un seul par domaine. Voici un exemple illustrant la situation avant et après pour un environnement Microsoft 365 :
Avant :
v=spf1 include:spf.protection.outlook.com include:_spf.salesforce.com ~all
Après :
v=spf1 include:spf.protection.outlook.com include:_spf.salesforce.com include:spfa.cpmails.com ~all
Étape 4 : Valider l'enregistrement mis à jour
Une fois la modification DNS enregistrée, attendez que la propagation soit effective (généralement entre 15 minutes et 48 heures, selon votre paramètre TTL). Utilisez ensuite SPF de PowerDMARC pour vérifier que la syntaxe de l'enregistrement est valide, que le nombre total de requêtes DNS reste inférieur à 10 et qu'aucune erreur PermError n'est détectée.
Étape 5 : Envoyer un e-mail de test et surveiller les rapports DMARC
Envoyez un e-mail de test depuis un compte utilisateur qui passe par le mode en ligne d'Avanan. Vérifiez dans les en-têtes de l'e-mail que spf est bien présente à l'aide d'un analyseur d’en-têtes d’e-mail. Surveillez ensuite vos rapports agrégés DMARC pendant 48 à 72 heures pour vous assurer qu'aucune source d'envoi légitime ne présente désormais de non-conformité.
La limite de 10 requêtes : pourquoi l'ajout d'Avanan perturbe votre messagerie électronique
La RFC 7208 fixe une limite stricte de 10 requêtes DNS par SPF . Les mécanismes qui consomment des requêtes sont notamment include, a, mx, ptr, exists et redirect. Chaque instruction include déclenche également des requêtes récursives pour toute instruction include imbriquée qu'elle contient. Les mécanismes tels que ip4, ip6 et all ne consomment pas de requêtes.
Si le nombre de requêtes dépasse 10, une erreur « PermError » est générée, et le serveur de messagerie destinataire doit considérer SPF a échoué dans son ensemble, non seulement pour les e-mails acheminés par Avanan, mais aussi pour tous les e-mails sortants provenant de votre domaine.
Voici la répartition type d'une pile d'applications d'entreprise : Microsoft 365 consomme environ 3 requêtes, Salesforce en ajoute 3, HubSpot en ajoute 2, Mailchimp en ajoute 1, Zendesk en ajoute 2 et Avanan en ajoute 1. Cela fait un total de 12 requêtes, soit deux de plus que la limite autorisée. En savoir plus sur SPF la limite de requêtes.
Exemples concrets SPF avec Avanan
| Pile SPF | Nombre approximatif de recherches | Statut | Mesures à prendre |
|---|---|---|---|
| M365 + Avanan uniquement | 4–5 | Sûr | Aucun |
| M365 + Avanan + Salesforce + HubSpot | 9–11 | À la limite | Aplatir ou utiliser des macros |
| M365 + Avanan + Salesforce + HubSpot + Mailchimp + Zendesk | 14–16 | Erreur de permission | Il faut aplatir ; SPF pour TOUS les e-mails |
| Données aplaties (via PowerSPF) | 1–2 | Optimal | Mise à jour automatique ; aucune intervention manuelle sur le DNS |
| Vous avez déjà dépassé la limite de 10 requêtes ? PowerDMARC PowerSPF de PowerDMARC aplatit automatiquement votre SPF et le maintient sous la limite, même lorsque vous ajoutez de nouveaux services comme Avanan. Commencez votre essai gratuit de 15 jours |
Comparaison entre SPF et SPF d'Avanan
La gestion SPF grande échelle revient souvent à respecter les limites de recherche sans perturber les sources d'envoi légitimes. À mesure que les enregistrements gagnent en complexité, des approches telles que SPF et SPF sont utilisées pour maîtriser cette complexité, mais elles résolvent le problème de manière très différente.
Avant de faire un choix entre les deux, il est important de comprendre comment fonctionne chaque approche, quels compromis elles impliquent et comment elles s'intègrent dans les environnements de messagerie électronique réels.
Fonctionnement de SPF de Check Point :
Lorsque vous activez SPF dans le portail d'administration, celle-ci remplace vos fichiers d'inclusion standard par un seul fichier d'inclusion basé sur des macros qui résout dynamiquement les adresses IP autorisées au moment de la requête. Check Point gère la zone DNS. Vous n'aurez plus jamais à intervenir sur le DNS pour la partie Avanan.
Comment fonctionne SPF :
L'aplatissement convertit tous les mécanismes d'inclusion en adresses IPv4/IPv6 fixes, réduisant ainsi le nombre de recherches à pratiquement zéro. L'aplatissement manuel cesse de fonctionner lorsque les fournisseurs changent d'adresse IP. Les services automatisés tels que PowerSPF gèrent automatiquement les changements d'IP en cours, afin que votre enregistrement reste valide.
| Facteur | SPF de Check Point | SPF (par exemple, PowerSPF) |
|---|---|---|
| Nombre de requêtes DNS | Réduit la contribution d'Avanan à environ une consultation | Réduit TOUTES les inclusions à environ une seule recherche |
| Transparence / Contrôlabilité | Problème non résolu. Les auditeurs ne peuvent pas voir les adresses IP autorisées dans le DNS | Entièrement transparent. Toutes les adresses IP sont visibles directement dans le DNS |
| Dépendance vis-à-vis des fournisseurs | SPF de la disponibilité du DNS despf.com | SPF de la simplification de l'infrastructure du fournisseur |
| Champ d'application | Cela ne résout que la partie Avanan de votre SPF | Résout l'intégralité de SPF . Tous les fournisseurs |
| Évolutivité du MSP | Doit être configuré par organisation via le portail Check Point | Peut être géré de manière centralisée pour tous les domaines client à partir d'un seul tableau de bord |
| Portabilité | La désactivation d'Avanan nécessite SPF complète SPF | En quittant le fournisseur de mise à plat, vous pouvez exporter l'enregistrement aplati |
Comment le mode en ligne d'Avanan influe sur l'alignement DKIM et DMARC
Check Point propose un service DKIM géré via la délégation d'enregistrements NS, dans le cadre duquel les administrateurs délèguent à Check Point des sous-domaines de sélecteur DKIM spécifiques afin d'assurer la gestion et la rotation automatisées des clés.
La signature DKIM native dans Microsoft 365 ou Google Workspace est également conservée en mode intégré, à condition que la signature ait lieu avant qu'Avanan n'intercepte le message.
Le véritable risque est subtil. Le mode « inline » d'Avanan intercepte les e-mails au cours de leur acheminement et peut modifier les en-têtes, ce qui peut invalider les signatures DKIM qui dépendent de valeurs spécifiques des en-têtes et du corps du message.
Contrairement aux solutions exclusivement basées sur une API qui analysent les e-mails après leur remise sans intervenir sur la chaîne d'authentification, le mode « inline » redirige activement le message via l'infrastructure de Check Point.
Le piège de l'alignement DMARC :
DMARC nécessite soit SPF ou DKIM pour s'aligner avec le domaine « De ». Si le mode inline perturbe le fonctionnement de DKIM, DMARC s'appuie alors uniquement sur SPF . Si SPF également mal configuré (problème d'inclusion décrit ci-dessus), DMARC échoue complètement.
Le pire scénario : les administrateurs affaiblissent le paramètre DMARC en passant de « p=reject » à « p=none » pour éviter que des e-mails légitimes ne soient bloqués, ce qui va exactement à l'encontre de l'objectif visé par le déploiement d'un outil de sécurité.
Comment éviter cela :
Configurez SPF avant d'activer le mode intégré. Assurez-vous que la signature DKIM s'effectue au niveau du fournisseur de messagerie (Microsoft 365 ou Google Workspace), et non au sein d'Avanan. Vérifiez la conformité DMARC à l'aide d'un outil de vérification DMARC avant et après le déploiement. Ce n'est qu'alors que vous pourrez activer l'analyse en ligne.
Pour une surveillance en temps réel de toutes les sources d'envoi, le service DMARC hébergé de PowerDMARC détecte les failles d'authentification dès qu'elles se produisent.
Ordre de déploiement : DMARC + Avanan sans compromettre la sécurité
L'erreur la plus courante consiste à activer le mode en ligne d'Avanan avant que l'infrastructure d'authentification ne soit prête. Suivez plutôt cette procédure :
- Évaluez votre niveau de sécurité actuel en matière d'authentification. Vérifiez l'état de vos paramètres SPF, DKIM et DMARC à l'aide d'un outil gratuit d'analyse de domaine.
- Résolvez tout problème SPF existant. Assurez-vous que SPF de résolutions SPF inférieur à 10 et que la signature DKIM est correctement générée au niveau du fournisseur de messagerie.
- Ajoutez SPF d'Avanan (ou activez SPF gérée). Suivez les étapes décrites dans la section ci-dessus.
- Vérifiez SPF . Effectuez un test à l'aide de l'outil SPF et de l'analyse des en-têtes d'e-mail.
- Activer le mode en ligne d'Avanan. Uniquement après validation des protocoles SPF DKIM.
- Surveillez les rapports DMARC pendant 72 heures. Soyez attentif à tout nouvel échec de validation SPF DKIM.
- Ne renforcez la politique DMARC qu'après avoir vérifié que la surveillance fonctionne correctement (si vous passez de p=none àquarantine p=reject).
Dépannage des problèmes liés à l'authentification SPF d'Avanan
Voici les cinq problèmes les plus courants rencontrés après le déploiement, tirés de la communauté CheckMates de Check Point, des forums dmarcian, des avis d'utilisateurs sur G2 et Capterra, ainsi que des discussions entre administrateurs informatiques. Chacun d'entre eux correspond à une solution concrète.
| Erreur / Symptôme | Cause la plus probable | Fixer |
|---|---|---|
| spf | Plus de 10 requêtes DNS après l'ajout d'Avanan, en plus de M365, Salesforce et d'autres services | Aplatissez SPF PowerSPF ou activez l'inclusion basée sur des macros de Check Point pour réduire le nombre de recherches |
| spf ou spf | Avanan : déclaration d'inclusion manquante ou incorrecte, ou enregistrement SPF en double dans le DNS | Vérifiez que la déclaration d'inclusion correspond à la section 2 ; assurez-vous qu'il n'existe qu'un seul enregistrement SPF par domaine |
| dkim=échec après l'activation de l'option « inline » | Les modifications apportées par Avanan à l'en-tête en ligne ont invalidé la signature DKIM | Configurer la signature DKIM au niveau de M365/Google Workspace (et non dans Avanan) ; vérifier la délégation NS DKIM gérée |
| dmarc=échec ( SPF DKIM) | Une rupture de la validation SPF + DKIM en mode intégré entraîne un double échec d'alignement | Corrigez SPF DKIM séparément, puis revérifiez leur cohérence avant de réactiver l'application des règles |
| cpmails.com ou cloud-sec-av.com apparaissent de manière inattendue dans les rapports DMARC | La fonction « Inline outbound » est activée (comme prévu) ou un administrateur précédent a ajouté spfa.cpmails.com et cette configuration est toujours en place | Vérifier SPF pour détecter les entrées orphelines ; si l'utilisation en ligne est prévue, il s'agit d'un comportement normal |
Pour un diagnostic plus approfondi au niveau des en-têtes, collez l'en-tête d'un message rejeté dans l'analyseur d'en-têtes d'e-mails de PowerDMARC pour déterminer précisément à quel moment la chaîne de livraison a été interrompue par SPF DKIM.
Avanan SPF les MSP : gestion de l'authentification multi-locataires à grande échelle
C'est là que le fossé opérationnel est le plus grand. Une trentaine de domaines clients, voire plus, chacun hébergé chez un fournisseur DNS différent, chacun utilisant une pile SaaS différente, chacun générant un nombre différent de SPF . Déployer Avanan sur l'ensemble de ces domaines implique de modifier chaque SPF , de vérifier chaque nombre de requêtes et de surveiller chaque rapport DMARC, pour chaque client et chaque domaine.
Les trois stratégies propres aux MSP qui permettent d'éviter le chaos lors du déploiement :
- Vérifiez SPF de chaque client SPF son intégration : Utilisez un outil de recherche automatisé (et non la commande manuelle nslookup) pour vérifier SPF actuel de chaque domaine, compter les requêtes et signaler tout domaine ayant déjà atteint ou approchant la limite de 10 requêtes. L'API de PowerDMARC prend en charge les vérifications groupées de domaines pour l'ensemble de votre portefeuille de clients.
- Adoptez un fournisseur unique de services de « flattening » pour tous les locataires : SPF de Check Point doit être configurée par locataire au sein du portail Check Point. Une solution centralisée SPF telle que PowerSPF vous permet de gérer les enregistrements de chaque client à partir d'un seul tableau de bord, quelle que soit la passerelle de sécurité qu'ils utilisent.
- Générer des rapports DMARC en marque blanche pour les QBR : Les clients s'intéressent aux résultats, pas au XML brut. Le programme de partenariat MSP/MSSP de PowerDMARC fournit des tableaux de bord multi-locataires, des portails en marque blanche et SPF pilotée par API pour tous les locataires protégés par Check Point, transformant ainsi la surveillance DMARC en revenus récurrents pour votre cabinet.
Veillez à ce que votre SPF reste SPF après le déploiement d'Avanan
SPF d'Avanan n'est pas compliquée dès lors que l'on tient compte de la limite de requêtes, que l'on choisit la bonne approche d'inclusion en fonction de son mode de déploiement et que l'on vérifie la conformité DKIM et DMARC avant la mise en service. Le véritable défi ne réside pas dans Avanan en soi, mais dans le fait que la plupart des entreprises ont déjà presque atteint le plafond SPF avant même d'ajouter un nouvel outil.
La configuration SPF pas une opération ponctuelle. Chaque nouvel outil SaaS, chaque nouvelle plateforme marketing ou chaque nouveau service de messagerie électronique adopté par votre entreprise nécessite une nouvelle requête de vérification. SPF continue SPF est le seul moyen d'éviter que le même problème ne se reproduise avec le prochain fournisseur que vous intégrerez.
| Prenez le contrôle de votre SPF . La plateforme PowerDMARC vous offre SPF automatisée SPF , une surveillance DMARC en temps réel et une visibilité totale sur tous vos domaines ; ainsi, l'ajout d'un nouvel outil ne perturbera plus jamais votre messagerie. |
Foire aux questions
Quelle est la version actuelle SPF pour Avanan ?
There are two options: the static include:spfa.cpmails.com and the managed SPF macro include:{orgcode}.spf.checkpoint-spf.com. Use one or the other—not both. Your org code is found in the Check Point Email Security Administrator Portal under DMARC → SPF Management.
Avanan prend-il en charge DKIM ?
Oui. Check Point propose désormais le service DKIM géré via la délégation par enregistrement NS, et la signature DKIM native de M365/Google Workspace est conservée grâce au mode intégré. Certaines pages de référence tierces plus anciennes indiquent encore qu'Avanan ne prend pas en charge DKIM, mais cette information est obsolète.
Combien de requêtes DNS l'ajout SPF de l'en-tête SPF d'Avanan génère-t-il ?
L'inclusion statique (spfa.cpmails.com) entraîne exactement une requête DNS. Elle aboutit à environ 21 entrées IPv4, qui ne nécessitent pas de requêtes supplémentaires. De même, la SPF gérée entraîne une seule requête.
Puis-je utiliser à la fois l'inclusion statique Avanan et l'inclusion par macro ?
Non. Utiliser les deux entraîne une duplication des autorisations, gaspille des requêtes et complique les audits. Choisissez une seule approche en fonction de votre environnement et de vos licences.
Dois-je modifier mon SPF j'utilise Avanan en mode API uniquement ?
Non. En mode API / Monitor / Detect, le courrier est acheminé via les adresses IP de Microsoft 365 ou de Google Workspace déjà autorisées dans votre SPF. Seuls le mode inline (Prevent) et les déploiements MX complets nécessitent l'inclusion.
Qu'est-ce que cpmails.com ? Qu'est-ce que spf.com?
cpmails.com est SPF de Check Point dédié au flux sortant statique existant.spf.spf est le domaine basé sur des macros et spécifique à chaque client, utilisé par le nouveau module complémentaire SPF de Check Point. Ces deux domaines font partie de l'infrastructure officielle de Check Point.
Dois-je utiliser ~all ou -all avec Avanan ?
Check Point recommande d'utiliser l'option -all (hardfail) une fois que vous êtes certain que tous les expéditeurs légitimes sont inclus. Par mesure de sécurité, utilisez l'option ~all (softfail) lors du déploiement initial. N'utilisez jamais l'option +all.
Expert en sécurité des domaines et des courriels chez PowerDMARC
Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.
Derniers messages de Ahona Rudra (voir tous)
