Points clés à retenir
- L'existence de plusieurs enregistrements SPF peut entraîner des problèmes de délivrabilité des courriels et provoquer une erreur SPF PermError.
- Un domaine ne doit avoir qu'un seul enregistrement SPF pour éviter toute confusion lors de l'authentification SPF .
- La combinaison de plusieurs inclusions SPF en un seul enregistrement est essentielle pour une configuration SPF correcte.
- Les enregistrements SPF doivent être régulièrement vérifiés et optimisés pour maintenir une authentification efficace du courrier électronique.
- Envisagez de mettre en place d'autres méthodes d'authentification par e-mail, telles que DKIM et DMARC, pour une sécurité renforcée.
Réponse rapide : Non, vous ne pouvez pas avoir plusieurs SPF sur un même domaine. Le fait d'avoir plusieurs SPF provoquera SPF et interrompra l'authentification des e-mails, ce qui entraînera des échecs de livraison.
Peut-on avoir plusieurs SPF sur son domaine ? Voici ce qu'il faut savoir pour garantir la bonne délivrabilité de vos e-mails.SPF sont essentiels pour l'authentification des e-mails, mais en avoir plusieurs peut en réalité nuire à votre délivrabilité.
Le fait d'avoir plusieurs enregistrements SPF est l'une des erreurs SPF les plus courantes que les propriétaires de domaines rencontrent. Cela peut complètement invalider votre SPF et conduire à une SPF PermError. Pour comprendre pourquoi cela se produit, nous devons savoir comment fonctionne le SPF et pourquoi le fait d'avoir plus d'un enregistrement SPF peut causer des problèmes d'authentification.
*Conseil de pro : Effectuez votre vérification de vos enregistrements de domaine dès aujourd'hui pour détecter les erreurs dans la configuration de votre SPF .
Pourquoi choisir PowerDMARC ?
- SPF automatisé SPF pour éviter les erreurs de perm
- Certifié SOC 2 et ISO 27001 pour la sécurité des entreprises
- Reconnu par les plus grandes marques mondiales
- Une assistance par des experts 24 heures sur 24, 7 jours sur 7
Fonctionnement des enregistrements SPF
Sender Policy Framework ou SPF est un protocole d'authentification des courriels très répandu qui répertorie toutes les sources d'envoi autorisées à envoyer des courriels au nom de votre domaine.
Au cours d'un SPF , les MTA destinataires effectuent des requêtes DNS, ou des recherches DNS, afin de valider l'adresse du champ Return-path de votre e-mail en la comparant à la liste d'adresses IP mentionnée dans votre SPF . Si une correspondance est trouvée, l'e-mail passe SPF; dans le cas contraire, il échoue SPF.
Par conséquent, la configuration SPF simplement SPF publier un enregistrement DNS de type TXT commençant par la syntaxe « v=spf1 ».
Simplifiez les enregistrements SPF avec PowerDMARC !
Le mythe des enregistrements SPF multiples
Bien que certains services puissent suggérer d'ajouter des enregistrements SPF séparés, la vérité est qu'un domaine ne peut avoir qu'un seul enregistrement SPF . En effet, la norme SPF (RFC 4408) interdit strictement d'en avoir plusieurs.
Lors d'une vérification SPF , le fait de rencontrer plusieurs enregistrements entraîne une "PermError", qui déroute essentiellement le serveur destinataire.
Lorsqu'un serveur MTA destinataire commence à effectuer SPF sur un e-mail, il récupère tous les enregistrements DNS de type TXT commençant par « v=spf1 ». Si SPF pas configuré pour le domaine expéditeur et aucun SPF n'est trouvé dans le DNS, un résultat « None » est renvoyé. À l’inverse, si plusieurs SPF commençant par « v=spf1 » sont détectés pour le même domaine, un résultat «SPF » est renvoyé.
Le problème des enregistrements SPF multiples
L'utilisation d'un enregistrement SPF à plusieurs reprises ou le simple fait d'avoir plusieurs enregistrements SPF pour un même domaine peut avoir de graves conséquences :
- Les courriels atterrissent dans les dossiers spam
- Les courriers électroniques sont entièrement rejetés
Il s'agit d'un problème très courant. Plusieurs rapports d'analyse de domaine par PowerDMARC ont révélé que l'une des erreurs les plus courantes commises par les propriétaires de domaines est d'avoir plus d'un enregistrement SPF par domaine. Cette erreur contribue à l'une des principales raisons pour lesquelles les configurations SPF sont erronées.
Exemple d'enregistrements SPF multiples
Voici un exemple de plusieurs enregistrements SPF distincts publiés pour le même domaine.
Erreurs courantes à éviter concernant SPF :
| TYPE D'ENREGISTREMENT | NOM DE DOMAINE | VALEUR DE L'ENREGISTREMENT | TTL |
|---|---|---|---|
| TXT | exampledomain.com | v=spf1 include:_spf.zoho.com -all | par défaut |
| TXT | exampledomain.com | v=spf1 include:_spf.google.com -all | par défaut |
Dans cet exemple, pour le domaine exampledomain.com, deux enregistrements SPF TXT SPF distincts ont été publiés dans le DNS du domaine. Dans ce cas, SPF échoue et une erreur permanente est renvoyée pour votre domaine. Chacune de ces inclusions est traitée comme une enregistrement distinct, ce qui entraîne la présence de plusieurs SPF sur le même domaine.
Comment combiner correctement SPF :
| TYPE D'ENREGISTREMENT | NOM DE DOMAINE | VALEUR DE L'ENREGISTREMENT | TTL |
|---|---|---|---|
| TXT | exampledomain.com | v=spf1 include:_spf.zoho.com include:_spf.google.com -all | par défaut |
Dans cet exemple, le domaine exampledomain.com n'a qu'un seul enregistrement DNS TXT SPF au lieu de plusieurs enregistrements SPF . Ceci est réalisé en ajoutant les mécanismes d'inclusion multiple SPF dans un seul enregistrement. L'enregistrement est valide et SPF ne renvoie pas de résultat PermError dans ce cas.
| Scénario | Enregistrement DNS | Résultat attendu |
|---|---|---|
| Incorrect : plusieurs SPF | Deux enregistrements TXT distincts avec v=spf1 | SPF - Échec de l'authentification |
| Correct : SPF seule SPF | Un enregistrement TXT avec plusieurs inclusions | SPF - Authentification réussie |
*Conseil de pro : Découvrez comment optimiserSPF afin d'éviter les erreurs SPF à l'avenir.
Comment identifier plusieurs SPF dans le DNS
Avant de corriger la présence de plusieurs SPF , vous devez vérifier si votre domaine est concerné par ce problème. Voici plusieurs méthodes pour vérifier s'il existe plusieurs SPF :
Utilisation SPF en ligne
Le plus simple est d'utiliser l'outil gratuit SPF de PowerDMARC. Il vous suffit d'entrer votre nom de domaine pour qu'il détecte immédiatement si vous disposez de plusieurs SPF .
Requêtes DNS en ligne de commande
Pour les utilisateurs avertis, vous pouvez utiliser des outils en ligne de commande :
- Windows : nslookup -type=TXT votredomaine.com
- Linux/Mac : dig TXT votredomaine.com
Console de gestion DNS
Connectez-vous à votre fournisseur de DNS (Cloudflare, GoDaddy, Namecheap, etc.) et consultez la section des enregistrements TXT. Recherchez les entrées commençant par « v=spf1 ».
Comment résoudre le problème des enregistrements SPF multiples ?
Corriger l'erreur des enregistrements SPF multiples est facile avec PowerDMARC ! Suivez les étapes ci-dessous pour configurer correctement les multiples inclusions SPF pour votre domaine :
Liste de contrôle pour le dépannage :
- Vérifiez la propagation DNS (cela peut prendre entre 24 et 48 heures)
- Testez les modifications à l'aide de plusieurs outils de vérification DNS
- Surveiller la distribution des e-mails pendant 48 heures après les modifications
- Consignez toutes les modifications pour pouvoir vous y référer ultérieurement
Étape 1 : Confirmer l'erreur SPF concernant les enregistrements multiples
La première étape consiste à vérifier la présence d'enregistrements multiples SPF . Inscrivez-vous gratuitement sur PowerDMARC et utilisez notre outil de génération d'enregistrements SPF pour confirmer la présence de cette erreur.
Vous pouvez également rechercher manuellement votre enregistrement dans votre DNS. Si vous utilisez un fournisseur d'hébergement DNS comme Cloudflare, CloudDNS, DNS Made Easy, Namecheap, ou d'autres, la procédure ne sera pas la même pour chaque fournisseur. Cependant, les étapes générales habituelles consistent à entrer dans votre console de gestion DNS, à accéder à votre éditeur de zone DNS et à cliquer sur Gérer les domaines. Vous pourrez trouver vos enregistrements DNS pour SPF dans la zone DNS de votre domaine.
Étape 2 : Supprimer les enregistrements SPF multiples pour un seul domaine
Si votre domaine contient plusieurs enregistrements SPF, il est temps de modifier les enregistrements DNS et de supprimer tous les enregistrements sauf un. Assurez-vous qu'il ne reste qu'un seul enregistrement SPF par domaine.
Étape 3 : Combiner les enregistrements SPF
Enfin, modifiez l'enregistrement SPF unique restant pour combiner plusieurs inclusions. C'est un moyen facile de corriger l'erreur tout en vous permettant d'inclure plusieurs enregistrements SPF dans un seul enregistrement.
- Entrez dans votre console de gestion DNS
- Cliquez sur Modifier votre enregistrement SPF
- Dans la syntaxe, utilisez le mécanisme SPF "include" pour inclure plusieurs domaines que vous souhaitez autoriser. Vous trouverez ci-dessous un exemple de combinaison d'enregistrements SPF en 1 :
Vous pouvez continuer à ajouter d'autres "includes" au même enregistrement SPF pour autoriser tous vos services tiers. Une fois que vous avez terminé, assurez-vous de sauvegarder votre enregistrement dans le DNS.
Note : Au lieu de la politique d'application (-all), vous pouvez configurer (~all) pour une approche plus souple et flexible en cas d'échec deSPF .
Comment autoriser correctement plusieurs expéditeurs d'e-mails dans un seul SPF
Si vous utilisez plusieurs fournisseurs de messagerie pour un même domaine, configurer plusieurs SPF distincts n'est pas la bonne façon de configurer le SPF pour ceux-ci. Voici plutôt ce que vous devez faire :
1. PowerDMARC peut vous aider à ajouter facilement plusieurs enregistrements SPF pour votre domaine. Utilisez notre générateur d'enregistrements SPF pour créer un enregistrement gratuit.
2. Dans le champ intitulé « Autoriser les domaines ou les services tiers qui envoient des e-mails au nom de ce domaine », saisissez tous les fournisseurs tiers que vous souhaitez autoriser. Il s'agit d'une étape importante pour fusionner SPF .
3. Copiez et collez l'enregistrement SPF généré qui contient plusieurs enregistrements SPF pour vos expéditeurs autorisés dans votre DNS. Sauvegardez l'enregistrement.
Limites et risques liés à l'utilisation de plusieurs SPF
Le fait d'avoir SPF à plusieurs reprises n'est pas toujours la bonne approche. Si le fait de combiner SPF de cette manière vous aide à éliminer l'erreur liée à la présence de SPF enregistrements SPF , cela peut entraîner d'autres erreurs. Chaque fournisseur de services de messagerie effectue une requête DNS lors de SPF . Avoir plusieurs inclusions dans votre SPF équivaut à autant de requêtes. Or, la RFC spécifie SPF la limite maximale de requêtes pour SPF 10.
Le dépassement de la limite de recherche SPF 10 peut également entraîner une erreur SPF PermError et interrompre SPF.
Pour rester en dessous de la limite de 10 consultations DNS pour SPF:
- Vous pouvez aplatir manuellement votre enregistrement SPF . Cependant, l'aplatissement manuel de toutes les adresses IP derrière votre mécanisme d'inclusion peut conduire à un enregistrement long qui peut dépasser la limite de la chaîne de caractères pour SPF.
- Vous pouvez également choisir MacrosSPF . Les macros vous aident à respecter les limites de consultation et de longueur de caractères.
Pour éviter la multiplication SPF et d'autres erreurs courantes, utilisez le service solution SPF hébergée de PowerDMARC. Nous intégrons des macros dans votre SPF pour vous garantir SPF sans erreur SPF optimisé et mis à jour.
De plus, vous pouvez configurer notre analyseur DMARC pour configurer DMARC pour vos domaines. DMARC vous aide à vous protéger contre les attaques de phishing, l'usurpation d'identité et l'utilisation abusive de domaines.
Bonnes pratiques pour la gestion SPF
Suivez ces bonnes pratiques concrètes pour assurer une gestion efficace SPF :
- Audits réguliers : Vérifiez vos SPF tous les trimestres pour vous assurer qu'ils sont à jour
- Surveiller les requêtes DNS : Suivez le nombre de vos requêtes DNS afin de rester en dessous de la limite de 10 requêtes
- Modifications apportées aux documents : Conserver un journal de toutes les modifications apportées SPF , avec les dates et les motifs
- Tester avant la mise en production : Vérifiez toujours SPF à l'aide d'outils de vérification en ligne avant la mise en service.
- Évitez les inclusions imbriquées : Réduisez au minimum les chaînes d'inclusions complexes qui peuvent dépasser les limites de recherche
- Recourir à l'automatisation : Envisagez d'utiliser des outils SPF automatisée SPF pour les environnements complexes
Les pièges les plus courants et comment les éviter
Évitez ces SPF courantes SPF qui peuvent compromettre l'authentification des e-mails :
SPF courantes SPF et leurs solutions
- Plus de 10 requêtes DNS : Utilisez SPF ou des macros pour réduire le nombre de requêtes
- Utilisation de plusieurs enregistrements TXT : Regroupez toutes SPF dans un seul enregistrement
- Syntaxe incorrecte : Commencez toujours par « v=spf1 » et terminez par un mécanisme « all ».
- Limite de caractères dépassée : Veillez à ce que SPF ne dépassent pas 255 caractères par chaîne
- Fournisseurs de messagerie à ne pas oublier : Inclure tous les services d'envoi d'e-mails légitimes
- Utilisation de types d'enregistrements obsolètes : Utilisez toujours des enregistrements TXT, et non le type SPF
Résumé et prochaines étapes
Il est essentiel de disposer d'un seul SPF correctement configuré pour garantir une délivrabilité optimale des e-mails. Dans ce guide, nous vous avons expliqué comment regrouper SPF en un seul afin d'obtenir SPF sans faille. Bien que SPF une excellente première étape, pensez à explorer d'autres méthodes d'authentification des e-mails, telles que DKIM et DMARC, pour bénéficier d'une protection encore plus efficace.
Prêt à sécuriser votre infrastructure de messagerie ? Voici la marche à suivre :
- Testez votre SPF actuel avec notre SPF gratuit
- Générez un SPF optimisé à l'aide de notre générateurSPF
- Mettez en place une sécurité complète des e-mails grâce à la protection DMARC
« Nous avons résolu nos SPF en une seule journée grâce aux outils automatisés de PowerDMARC. » – Directeur informatique, FinTech Corp.
Pour découvrir d'autres solutions de sécurité de domaine de ce type afin de simplifier la sécurité de vos e-mails – contactez-nous dès aujourd'hui !
Foire aux questions
Puis-je avoir plusieurs SPF sur un même domaine ?
Non, vous ne pouvez pas avoir plusieurs SPF sur un même domaine. La présence de plusieurs SPF entraînera SPF et empêchera l'authentification des e-mails. Il est préférable de regrouper tous les expéditeurs autorisés dans un seul SPF en utilisant plusieurs mécanismes d'inclusion.
Combien d'SPF peut-on ajouter dans le DNS d'un domaine ?
Un seul SPF doit figurer dans le DNS d'un domaine. La SPF (RFC 4408) interdit formellement la présence de plusieurs SPF . Si plusieurs enregistrements sont détectés, les serveurs destinataires renverront une erreur « PermError » et rejetteront l'e-mail.
Que se passe-t-il si vous avez plusieurs SPF ?
Si vous disposez de plusieurs SPF , les serveurs de messagerie destinataires rencontreront une erreur permanente lors de SPF . Cela empêche l'authentification des e-mails, ce qui peut entraîner leur classification comme spam ou leur rejet pur et simple par les serveurs destinataires.
Comment regrouper plusieurs services de messagerie dans un seul SPF ?
Utilisez le mécanisme « include: » pour regrouper plusieurs services de messagerie dans un seul SPF . Par exemple : « v=spf1 include:_spf.google.com include:mailgun.org include:_spf.salesforce.com ~all ». Cela permet d'autoriser les trois services dans un seul enregistrement.
Quel est le nombre maximal de requêtes DNS autorisées dans le cadre du SPF?
Le nombre maximal de requêtes DNS autorisées dans SPF 10. Chaque mécanisme « include: » compte pour une requête. Le dépassement de cette limite entraînera SPF . Utilisez SPF ou des macros pour rester dans les limites fixées.
