Comment corriger le message "Échec de l'alignement SPF" ?

Pour protéger votre domaine et votre identité en ligne contre les fraudeurs qui tentent de se faire passer pour vous, vous devez configurer DMARC pour vos domaines de messagerie. DMARC fonctionne grâce aux efforts cumulés d'authentification des e-mails des protocoles SPF et DKIM. Par la suite, les utilisateurs de DMARC bénéficient également de la réception de rapports sur les problèmes de livraison, les échecs d'authentification et d'alignement de leurs e-mails. Pour en savoir plus sur ce qu'est DMARC, cliquez ici.

Si votre rapport d'agrégation DMARC indique "SPF alignment failed", voyons ce que signifie l'alignement de votre SPF et comment vous pouvez résoudre ce problème.

Qu'est-ce que l'alignement SPF ?

Un message électronique est composé de plusieurs en-têtes différents. Chaque en-tête contient des informations sur certains attributs d'un message électronique, notamment la date d'envoi, l'endroit d'où il a été envoyé et son destinataire. SPF traite deux types d'en-têtes de courriel :

  • The <From:> header
  • L'en-tête Return-Path

Lorsque le domaine dans l'en-tête From : et le domaine dans l'en-tête Return-path correspondent pour un courriel, l'alignement SPF passe pour ce courriel. En revanche, lorsque les deux ne correspondent pas, il échoue. L'alignement SPF est un critère important qui permet de décider si un message électronique est légitime ou faux.

L'exemple ci-dessus montre que l'en-tête From : est aligné (correspond exactement) avec l'en-tête Return-path (Mail From). L'alignement SPF est donc accepté pour cet e-mail.

Pourquoi l'alignement SPF échoue-t-il ?

Cas 1: Votre mode d'alignement SPF est réglé sur strict

Bien que le mode d'alignement SPF par défaut soit détendu, la définition d'un mode d'alignement SPF strict peut entraîner des échecs d'alignement si le domaine du chemin de retour se trouve être un sous-domaine du domaine organisationnel racine, alors que l'en-tête From : intègre le domaine organisationnel. En effet, pour que SPF s'aligne en mode strict, les domaines des deux en-têtes doivent correspondre exactement. Cependant, pour un alignement relaxé, si les deux domaines partagent le même domaine de premier niveau, l'alignement SPF passera.

L'illustration ci-dessus est un exemple de courrier qui partage le même domaine de premier niveau, mais le nom de domaine n'est pas une correspondance exacte (le domaine "Mail From" est un sous-domaine du domaine organisationnel company.com). Dans ce cas, si votre mode d'alignement SPF est défini sur "relaxed", votre courriel passera l'alignement SPF, cependant pour un mode strict, il échouera de la même manière. 

Cas 2: Votre domaine a été usurpé

Une raison très courante des échecs d'alignement SPF est l'usurpation de domaine. Il s'agit du phénomène par lequel un cybercriminel prend votre identité en falsifiant votre nom de domaine ou votre adresse pour envoyer des courriels à vos destinataires. Alors que le domaine From : porte toujours votre identité, l'en-tête Return-path affiche l'identité originale de l'usurpateur. Si vous avez mis en place l'authentification SPF pour votre faux domaine, le courriel échoue inévitablement à l'alignement du côté du destinataire.

Correction de l'erreur d'alignement SPF

Pour réparer les échecs d'alignement du SPF, vous pouvez : 

  • Réglez votre mode d'alignement sur "détendu" au lieu de "strict". 
  • Configurez DMARC pour votre domaine, en plus de SPF et DKIM, de sorte que même si votre courriel échoue à l'alignement de l'en-tête SPF et passe l'alignement DKIM, il passe DMARC et est remis à votre destinataire.

Notre site analyseur de rapports DMARC peut vous aider à obtenir une conformité DMARC à 100 % pour vos courriels sortants et à prévenir les tentatives d'usurpation ou les échecs d'alignement dus à une mauvaise configuration du protocole. Profitez d'une expérience d'authentification plus sûre et plus fiable en faisant votre essai gratuit de DMARC dès aujourd'hui !

/par