Peut-on avoir plusieurs enregistrements SPF ?
par
Temps de lecture : 7 min
Est-il possible d'avoir plusieurs enregistrements SPF sur votre domaine ? La réponse pourrait vous surprendre ! Les enregistrements SPF sont essentiels pour l'authentification des courriels, mais le fait d'en avoir plusieurs peut en fait nuire à votre capacité de livraison.
Le fait d'avoir plusieurs enregistrements SPF est l'une des erreurs SPF les plus courantes que les propriétaires de domaines rencontrent. Cela peut complètement invalider votre SPF et conduire à une SPF PermError. Pour comprendre pourquoi cela se produit, nous devons savoir comment fonctionne le SPF et pourquoi le fait d'avoir plus d'un enregistrement SPF peut causer des problèmes d'authentification.
*Conseil Pro: Effectuez votre vérification de l'enregistrement du domaine aujourd'hui pour trouver des erreurs dans la configuration de votre enregistrement SPF.
Points clés à retenir
- L'existence de plusieurs enregistrements SPF peut entraîner des problèmes de délivrabilité des courriels et provoquer une erreur SPF PermError.
- Un domaine ne doit avoir qu'un seul enregistrement SPF pour éviter toute confusion lors de l'authentification SPF.
- La combinaison de plusieurs inclusions SPF en un seul enregistrement est essentielle pour une configuration SPF correcte.
- Les enregistrements SPF doivent être régulièrement vérifiés et optimisés pour maintenir une authentification efficace du courrier électronique.
- Envisagez de mettre en œuvre des méthodes supplémentaires d'authentification du courrier électronique, telles que DKIM et DMARC, pour une meilleure sécurité.
Fonctionnement des enregistrements SPF
Sender Policy Framework ou SPF est un protocole d'authentification des courriels très répandu qui répertorie toutes les sources d'envoi autorisées à envoyer des courriels au nom de votre domaine.
Lors d'une vérification SPF, les MTA de réception effectuent des requêtes DNS ou des recherches DNS pour valider l'adresse Return-path de votre courriel en la comparant à la liste des adresses IP mentionnées dans votre enregistrement SPF. Si une correspondance est trouvée, l'e-mail passe le SPF, sinon il échoue au SPF.
Par conséquent, la configuration de SPF consiste simplement à publier un enregistrement DNS TXT commençant par la syntaxe "v=spf1".
Simplifiez les enregistrements SPF avec PowerDMARC !
Le mythe des enregistrements SPF multiples
Bien que certains services puissent suggérer d'ajouter des enregistrements SPF séparés, la vérité est qu'un domaine ne peut avoir qu'un seul enregistrement SPF. En effet, la norme SPF (RFC 4408) interdit strictement d'en avoir plusieurs.
Lors d'une vérification SPF, le fait de rencontrer plusieurs enregistrements entraîne une "PermError", qui déroute essentiellement le serveur destinataire.
Lorsqu'un MTA récepteur commence à effectuer l'authentification SPF sur un courriel, il récupère tous les enregistrements DNS TXT qui commencent par "v=spf1". Si SPF n'est pas configuré pour le domaine d'envoi et qu'aucun enregistrement SPF n'est trouvé dans le DNS, un résultat "None" est renvoyé. Au contraire, si plusieurs enregistrements SPF commençant par "v=spf1" sont trouvés pour le même domaine, une SPF PermError est renvoyé.
Le problème des enregistrements SPF multiples
L'utilisation d'un enregistrement SPF à plusieurs reprises ou le simple fait d'avoir plusieurs enregistrements SPF pour un même domaine peut avoir de graves conséquences :
- Les courriels atterrissent dans les dossiers spam
- Les courriers électroniques sont entièrement rejetés
Il s'agit d'un problème très courant. Plusieurs rapports d'analyse de domaines par PowerDMARC ont révélé que l'une des erreurs les plus courantes commises par les propriétaires de domaines est d'avoir plus d'un enregistrement SPF par domaine. Cette erreur contribue à l'une des principales raisons pour lesquelles les configurations SPF sont erronées.
Exemple d'enregistrements SPF multiples
Voici un exemple de plusieurs enregistrements SPF distincts publiés pour le même domaine.
Le mauvais chemin :
| TYPE D'ENREGISTREMENT | NOM DE DOMAINE | VALEUR DE L'ENREGISTREMENT | TTL |
|---|---|---|---|
| TXT | exampledomain.com | v=spf1 include:_spf.zoho.com -all | par défaut |
| TXT | exampledomain.com | v=spf1 include:_spf.google.com -all | par défaut |
Dans cet exemple, pour le domaine exampledomain.com, 2 enregistrements TXT DNS SPF distincts ont été publiés dans le DNS du domaine. Dans ce cas, l'authentification SPF échoue avec un résultat d'erreur permanent renvoyé pour votre domaine. Chacune de ces inclusions est traitée comme des enregistrements distincts, ce qui se traduit par plusieurs enregistrements SPF sur le même domaine.
La bonne méthode :
| TYPE D'ENREGISTREMENT | NOM DE DOMAINE | VALEUR DE L'ENREGISTREMENT | TTL |
|---|---|---|---|
| TXT | exampledomain.com | v=spf1 include:_spf.zoho.com include:_spf.google.com -all | par défaut |
Dans cet exemple, le domaine exampledomain.com n'a qu'un seul enregistrement DNS TXT SPF au lieu de plusieurs enregistrements SPF. Ceci est réalisé en ajoutant les mécanismes d'inclusion multiple SPF dans un seul enregistrement. L'enregistrement est valide et SPF ne renverrait pas de résultat PermError dans ce cas.
*Conseil Pro: Apprenez à optimiser le optimiser les enregistrements SPF de manière correcte afin d'éviter les erreurs d'enregistrement SPF à l'avenir.
Comment résoudre le problème des enregistrements SPF multiples ?
Corriger l'erreur des enregistrements SPF multiples est facile avec PowerDMARC ! Suivez les étapes ci-dessous pour configurer correctement les multiples inclusions SPF pour votre domaine :
Étape 1 : Confirmer l'erreur SPF concernant les enregistrements multiples
La première étape consiste à vérifier la présence d'enregistrements multiples SPF. Inscrivez-vous gratuitement sur PowerDMARC et utilisez notre outil de génération d'enregistrements SPF pour confirmer la présence de cette erreur.
Vous pouvez également rechercher manuellement votre enregistrement dans votre DNS. Si vous utilisez un fournisseur d'hébergement DNS comme Cloudflare, CloudDNS, DNS Made Easy, Namecheap, ou d'autres, la procédure ne sera pas la même pour chaque fournisseur. Cependant, les étapes générales habituelles consistent à entrer dans votre console de gestion DNS, à accéder à votre éditeur de zone DNS et à cliquer sur Gérer les domaines. Vous pourrez trouver vos enregistrements DNS pour SPF dans la zone DNS de votre domaine.
Étape 2 : Supprimer les enregistrements SPF multiples pour un seul domaine
Si votre domaine contient plusieurs enregistrements SPF, il est temps de modifier les enregistrements DNS et de supprimer tous les enregistrements sauf un. Assurez-vous qu'il ne reste qu'un seul enregistrement SPF par domaine.
Étape 3 : Combiner les enregistrements SPF
Enfin, modifiez l'enregistrement SPF unique restant pour combiner plusieurs inclusions. C'est un moyen facile de corriger l'erreur tout en vous permettant d'inclure plusieurs enregistrements SPF dans un seul enregistrement.
- Entrez dans votre console de gestion DNS
- Cliquez sur Modifier votre enregistrement SPF
- Dans la syntaxe, utilisez le mécanisme SPF "include" pour inclure plusieurs domaines que vous souhaitez autoriser. Vous trouverez ci-dessous un exemple de combinaison d'enregistrements SPF en 1 :
Vous pouvez continuer à ajouter d'autres "includes" au même enregistrement SPF pour autoriser tous vos services tiers. Une fois que vous avez terminé, assurez-vous de sauvegarder votre enregistrement dans le DNS.
Note : Au lieu de la politique d'application (-all), vous pouvez configurer (~all) pour une approche plus souple et flexible en cas d'échec de SPF.
Étapes à suivre pour ajouter plusieurs enregistrements SPF
Si vous utilisez plusieurs fournisseurs d'emails pour un même domaine, configurer plusieurs enregistrements SPF séparés n'est pas la bonne façon de configurer SPF pour eux. Voici ce qu'il faut faire :
1. PowerDMARC peut vous aider à ajouter facilement plusieurs enregistrements SPF pour votre domaine. Utilisez notre générateur d'enregistrements SPF pour créer un enregistrement gratuit.
2. Dans le champ intitulé "Autoriser les domaines ou les services tiers qui envoient des e-mails au nom de ce domaine", entrez tous les fournisseurs tiers que vous souhaitez autoriser. que vous souhaitez autoriser. Il s'agit d'une étape importante pour fusionner les enregistrements SPF.
3. Copiez et collez l'enregistrement SPF généré qui contient plusieurs enregistrements SPF pour vos expéditeurs autorisés dans votre DNS. Sauvegardez l'enregistrement.
Le problème d'un enregistrement SPF avec plusieurs inclusions
L'inclusion de plusieurs enregistrements SPF n'est pas toujours la bonne approche. Bien que la combinaison d'enregistrements SPF de cette manière vous aide à vous débarrasser de l'erreur SPF d'enregistrements multiples, elle peut conduire à d'autres erreurs. Chaque fournisseur de services de messagerie ajoute une recherche DNS lors de l'authentification SPF. Le fait d'avoir plusieurs inclusions dans votre enregistrement SPF équivaut à autant de recherches. Cependant, le RFC spécifie que la limite maximale de consultation pour SPF est de 10.
Le dépassement de la limite de consultation de SPF 10 peut également renvoyer SPF PermError et casser SPF.
Pour rester en dessous de la limite de 10 consultations DNS pour SPF :
- Vous pouvez aplatir manuellement votre enregistrement SPF. Cependant, l'aplatissement manuel de toutes les adresses IP derrière votre mécanisme d'inclusion peut conduire à un enregistrement long qui peut dépasser la limite de la chaîne de caractères pour SPF.
- Vous pouvez également choisir Macros SPF. Les macros vous aident à respecter les limites de consultation et de longueur de caractères.
Afin d'éviter les enregistrements SPF multiples et d'autres erreurs courantes, utilisez la solution SPF hébergée de PowerDMARC. Nous intégrons des macros dans votre enregistrement SPF pour vous garantir un SPF sans erreur, optimisé et mis à jour.
En outre, vous pouvez configurer notre DMARC Analyzer pour configurer DMARC pour vos domaines. DMARC vous aide à vous protéger contre les attaques de phishing, le spoofing et les abus de domaine.
Le mot de la fin
Il est essentiel d'avoir un seul enregistrement SPF bien configuré pour assurer une distribution optimale des courriels. Dans ce blog, nous avons expliqué comment combiner des enregistrements SPF en un seul pour une configuration SPF sans erreur. Bien que le SPF soit une excellente première étape, il convient d'explorer d'autres méthodes d'authentification du courrier électronique, telles que DKIM et DMARC, pour une protection encore plus efficace.
Pour en savoir plus sur ces solutions de sécurité de domaine pour simplifier la sécurité de vos emails - contactez-nous dès aujourd'hui !
Expert en sécurité des domaines et des courriels chez PowerDMARC
Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.
Derniers messages de Ahona Rudra (voir tous)
- Outlook applique DMARC : les nouvelles exigences de Microsoft concernant les expéditeurs expliquées ! - 3 avril 2025
- Configuration de DKIM : Guide étape par étape pour configurer DKIM pour la sécurité du courrier électronique (2025) - 31 mars 2025
- PowerDMARC reconnu comme le leader de la grille pour DMARC dans les rapports du printemps 2025 de G2 - 26 mars 2025
