Qu'est-ce que l'enregistrement SPF ? Fonction, syntaxe et erreurs

Saviez-vous que toutes les 39 secondes, a cyberattaque a lieu quelque part dans le monde, souvent à partir d'un simple faux courriel ? Les conséquences peuvent être dévastatrices. Les entreprises risquent de perdre la confiance de leurs clients et de voir leur image de marque ternie à jamais. L'une des astuces les plus courantes de ces attaques est l'usurpation de domaine, qui consiste pour les criminels à se faire passer pour des domaines de confiance afin de tromper les destinataires.

La bonne nouvelle, c'est que l'enregistrement SPF, également connu sous le nom de Sender Policy Framework, peut constituer votre meilleure ligne de défense. Dans ce guide, vous apprendrez ce qu'est l'enregistrement SPF, pourquoi il est important et comment il peut protéger votre domaine contre l'usurpation d'identité.

Qu'est-ce que l'enregistrement SPF ?

La politique SPF, définie dans l'enregistrement enregistrement DNSliste les serveurs de messagerie autorisés à envoyer des messages au nom de votre domaine. Plus précisément, le Sender Policy Framework (SPF) est un protocole d'authentification du courrier électronique qui fonctionne comme une liste d'invités pour votre domaine. Imaginez que vous organisiez un événement exclusif où seuls les invités peuvent entrer. De la même manière, SPF vous permet de créer une liste de serveurs officiellement autorisés à envoyer des e-mails au nom de votre domaine.

L'objectif principal de SPF est d'empêcher les expéditeurs non autorisés de se faire passer pour vous, bloquant ainsi les attaques par usurpation d'identité. En prime, la mise en œuvre de SPF peut également améliorer la délivrabilité de vos courriels et renforcer votre réputation d'expéditeur, ce qui augmente la probabilité que des courriels légitimes arrivent dans les boîtes de réception plutôt que dans les dossiers de spam.

D'un point de vue technique, SPF est un type d'enregistrement TXT que vous publiez dans le DNS (Domain Name System) de votre domaine. Cet enregistrement informe les serveurs de messagerie destinataires de l'existence de sources fiables, ce qui garantit que l'identité de votre domaine ne peut pas être facilement falsifiée.

Comment fonctionne la vérification des courriels SPF ?

SPF permet au propriétaire d'un domaine de publier un enregistrement DNS TXT qui répertorie les serveurs de messagerie par IP ou par nom d'hôte qui peuvent envoyer des messages au nom de ce domaine. Il s'agit en quelque sorte d'une liste d'expéditeurs approuvés. 

Voici comment fonctionne le SPF, étape par étape :

1. Publier un enregistrement SPF dans votre DNS

Le fondement de SPF commence avec le système de noms de domaine (DNS). Le DNS est l'infrastructure qui établit la correspondance entre les noms de domaine lisibles par l'homme, tels que exemple.com, et les adresses IP que les ordinateurs et les serveurs utilisent pour communiquer. Il garantit que lorsqu'un courriel est envoyé, le serveur de réception peut localiser et vérifier le domaine dont il prétend provenir.

Pour que SPF fonctionne, le propriétaire du domaine doit publier un enregistrement SPF dans le DNS de son domaine. Cet enregistrement prend la forme d'un enregistrement TXT qui spécifie quels serveurs de messagerie, identifiés par des adresses IP ou des noms d'hôtes, sont autorisés à envoyer des courriels au nom du domaine.

La publication de l'enregistrement SPF est une première étape obligatoire. Sans cet enregistrement, il n'y a pas de point de référence pour les serveurs de courrier électronique de réception, ce qui signifie que les contrôles SPF ne peuvent pas être effectués.

2. Envoyez un e-mail depuis votre domaine

Le processus de vérification SPF commence dès l'envoi d'un courrier électronique. Chaque message sortant contient des informations sur le domaine de l'expéditeur, notamment dans l'adresse Return-Path (également appelée adresse de l'expéditeur de l'enveloppe ou adresse MAIL FROM). Cette adresse indique non seulement où les courriels rebondis ou non distribuables doivent être renvoyés, mais elle identifie également le domaine qui sera vérifié par rapport à l'enregistrement SPF.

Cette étape est l'événement déclencheur de l'ensemble du processus de vérification SPF. Sans l'acte d'envoi et la déclaration du domaine dans le Return-Path, le serveur destinataire n'a rien à valider. À partir de ce moment, le serveur de messagerie du destinataire commence à vérifier si le serveur d'envoi est autorisé conformément à l'enregistrement SPF publié.

3. Identifier le domaine de l'expéditeur à partir de l'en-tête du courriel

Une fois que le courrier électronique a atteint le serveur de messagerie du destinataire, l'étape suivante consiste à déterminer le domaine à vérifier. Pour ce faire, le serveur examine l'adresse Return-Path, également appelée adresse de l'expéditeur de l'enveloppe ou adresse MAIL FROM. Ce champ est important car il indique où les messages rebondis ou non distribuables doivent être renvoyés.

Il est important de noter que les contrôles SPF sont basés sur l'adresse technique de retour (Return-Path), et non sur l'adresse "From" visible dans la boîte de réception de l'utilisateur. Les attaquants tentent souvent d'exploiter cette différence en falsifiant le champ "From" affiché pour tromper les destinataires.

4. Consulter l'enregistrement SPF du domaine pour le courrier électronique

Une fois le domaine de l'expéditeur identifié, le serveur de réception doit vérifier quels sont les serveurs autorisés à envoyer du courrier électronique pour ce domaine. Pour ce faire, il consulte l'enregistrement SPF du domaine dans le DNS. Le DNS, ou système de noms de domaine, fonctionne comme le carnet d'adresses public de l'internet, traduisant les noms de domaine en informations lisibles par les serveurs.

Le serveur recherche en particulier un enregistrement TXT commençant par v=spf1, qui contient la liste des serveurs d'envoi autorisés. Cet enregistrement indique au serveur si le courriel provient d'une source approuvée et constitue une étape cruciale du processus de vérification SPF.

5. Comparez l'adresse IP de l'expéditeur à l'enregistrement

L'enregistrement SPF contient une politique qui définit quels serveurs sont autorisés à envoyer des courriels pour le domaine. Le serveur de messagerie du destinataire compare l'adresse IP du serveur qui a envoyé le courrier électronique à la liste des serveurs autorisés spécifiée dans l'enregistrement SPF. L'adresse électronique du chemin de retour fait l'objet d'un contrôle croisé au niveau du destinataire afin de vérifier si l'adresse IP d'envoi figure ou non dans les enregistrements SPF.

6. Déterminer le résultat de l'authentification SPF

Après avoir vérifié l'enregistrement SPF, le serveur destinataire détermine le résultat de l'authentification.

Les résultats possibles sont les suivants :

• Réussir : L'adresse IP d'envoi est répertoriée comme un expéditeur autorisé.
• Échec : L'adresse IP d'envoi n'est pas autorisée et le courriel doit être rejeté.
• SoftFail : L'adresse IP d'envoi n'est probablement pas autorisée, mais le courriel est accepté avec prudence.
• Neutre : Aucune affirmation spécifique n'est faite au sujet de l'adresse IP émettrice.
• Aucun : Aucun enregistrement SPF n'existe pour le domaine, aucune vérification n'est donc possible.

7. Prendre des mesures en fonction des résultats

Le serveur de messagerie du destinataire prend des mesures en fonction du résultat de la vérification SPF et de la politique DMARC du domaine (s'il y en a une). Il peut accepter l'e-mail, le marquer comme spam ou le rejeter entièrement. Si l'approbation est positive, les courriels sont généralement envoyés dans la boîte de réception ; dans le cas contraire, il peut en résulter un échec SPF.

Configurer SPF avec PowerDMARC !

Comment activer et utiliser votre enregistrement SPF pour les courriels

Avant de tirer parti de SPF, il est important de comprendre son rôle et de s'assurer que votre domaine et votre fournisseur de services de messagerie électronique le prennent en charge. SPF authentifie le serveur d'envoi, mais ne vérifie pas l'identité de l'expéditeur ni le contenu du message. C'est pourquoi SPF fonctionne mieux lorsqu'il est associé à d'autres protocoles tels que DKIM et DMARC, voire BIMI, afin de créer un cadre d'authentification du courrier électronique plus solide et plus complet.

Une fois que vous êtes prêt à mettre en œuvre SPF, le processus consiste à créer et à publier un enregistrement SPF dans le DNS de votre domaine. Cet enregistrement définit clairement quels serveurs sont autorisés à envoyer des courriels en utilisant votre nom de domaine, ce qui aide les serveurs de messagerie à filtrer les messages non autorisés ou usurpés.

Pour activer le SPF pour votre courrier électronique, vous devez :

Déterminer les serveurs de messagerie autorisés

Identifiez les adresses IP ou les noms d'hôte de tous les serveurs de messagerie autorisés à envoyer des e-mails au nom de votre domaine. Cela inclut les serveurs de messagerie de votre propre organisation, les fournisseurs de services de messagerie tiers (comme Google Workspace, Microsoft 365, SendGrid, Mailchimp, etc.) et tous les autres services qui envoient des courriels en utilisant votre nom de domaine. Rassemblez une liste complète de toutes ces adresses IP et domaines d'envoi.

Définir votre politique SPF

Déterminer la politique en matière de SPF. Il s'agit de spécifier quels serveurs sont autorisés à envoyer des courriels pour votre domaine en utilisant les mécanismes SPF. Vous devez également décider de la rigueur avec laquelle les serveurs destinataires doivent appliquer la politique en utilisant des qualificatifs (par exemple, `-tout` pour Fail, `~tous` pour SoftFail).

Construisez votre format SPF

Les enregistrements SPF sont publiés sous la forme d'un enregistrement TXT dans le DNS de votre domaine. L'enregistrement doit avoir un format spécifique, commençant par `v=spf1` suivi de mécanismes, de modificateurs et d'un mécanisme final `all` avec un qualificatif.

Publier l'enregistrement SPF

Tout d'abord, créez votre enregistrement SPF. Vous pouvez utiliser notre outil gratuit de génération SPF ou construire manuellement l'enregistrement sur la base de vos expéditeurs autorisés et de votre politique. Ensuite, accédez au système de gestion DNS de votre domaine, qui est généralement fourni par votre registraire de domaine ou votre fournisseur d'hébergement. Localisez les paramètres DNS de votre domaine et ajoutez un nouvel enregistrement TXT. Spécifiez le nom d'hôte (généralement "@" ou vide pour le domaine racine lui-même) et collez la chaîne complète de l'enregistrement SPF dans le champ valeur/données.

Syntaxe de l'enregistrement SPF

Un enregistrement SPF a une structure spécifique que les serveurs de messagerie destinataires utilisent pour vérifier les expéditeurs autorisés.

Les principales parties d'un enregistrement SPF sont les suivantes :

• v=spf1 : spécifie la version SPF utilisée.
• Mécanismes : Définir quels serveurs sont autorisés à envoyer des emails pour votre domaine. Les mécanismes courants sont `a`, `mx`, `ip4`, `ip6`, `include`, `exists`, et `all`.
• Qualificatifs : Indique la rigueur avec laquelle le mécanisme doit être appliqué. Les exemples sont `+` (Pass), `-` (Fail), `~` (SoftFail), et `?` (Neutral).
• Modificateurs : Ils fournissent des instructions supplémentaires ou des exceptions aux règles, telles que `redirect` ou `exp`.

Chacun de ces éléments est expliqué en détail dans le guide complet de la syntaxe SPF, qui comprend également des exemples d'enregistrements SPF valides et la manière de les structurer en fonction de différents scénarios.

Comment vérifier votre enregistrement SPF

Une fois que vous avez configuré votre enregistrement SPF, il peut s'écouler un certain temps (jusqu'à 48 heures, mais souvent beaucoup moins) avant que les modifications DNS ne se propagent sur l'internet. Utilisez notre vérification de l'enregistrement SPF pour valider et tester votre enregistrement. Cela permet de vérifier l'exactitude de la syntaxe et de s'assurer qu'il est reconnu par les serveurs DNS.

Il est important de noter que les enregistrements SPF peuvent être complexes, en fonction des exigences spécifiques de votre infrastructure de messagerie. Si vous n'êtes pas sûr de la syntaxe ou si vous avez besoin de configurations plus avancées, il est recommandé de consulter votre administrateur système, votre support informatique ou un expert en authentification de messagerie pour obtenir de l'aide dans la création correcte de l'enregistrement SPF.

Évitez ces erreurs courantes dans les courriels SPF

Une mauvaise configuration peut rendre votre politique SPF inefficace ou bloquer des courriels légitimes.

Évitez ces pièges courants :

• Utilisation de plusieurs enregistrements SPF: Combinez tous les services d'envoi en un seul enregistrement pour éviter les erreurs de validation.
• Syntaxe incorrecte : Veillez à ce que la syntaxe et le mécanisme soient correctement utilisés afin d'éviter l'invalidation de l'enregistrement.
• Ne comprend pas tous les expéditeurs autorisés : Listez tous les serveurs et services tiers qui envoient des courriels pour votre domaine.
• Dépassement de la limite de 10 consultations DNS : Maintenez les mécanismes en deçà de la limite de consultation pour garantir le bon fonctionnement de SPF.
• Dépassement des limites de caractères : Respectez les limites de 255 caractères par chaîne et la taille totale du DNS.
• Utilisation du mauvais type d'enregistrement : Publiez toujours SPF sous la forme d'un enregistrement TXT, et non sous la forme d'un type d'enregistrement SPF obsolète.
• Absence de mise à jour : Mettez à jour votre enregistrement SPF chaque fois que vous ajoutez ou supprimez des services de messagerie ou des serveurs.

Rendez votre politique SPF pour les courriels plus puissante avec PowerDMARC

La mise en place d'un enregistrement SPF est une étape essentielle dans la protection de votre domaine contre l'usurpation d'identité, l'hameçonnage et le spam. En configurant et en maintenant correctement votre enregistrement SPF, vous vous assurez que seuls les serveurs autorisés peuvent envoyer des courriels en votre nom et vous protégez la réputation de votre marque.

Comprendre la syntaxe SPF, éviter les erreurs de configuration courantes et combiner SPF avec DKIM et DMARC renforcent votre stratégie d'authentification du courrier électronique et réduisent le risque que des courriels frauduleux parviennent à vos destinataires.

Pour ceux qui cherchent à renforcer la sécurité de leur courrier électronique, une étude plus approfondie du SPF et l'utilisation d'outils fiables peuvent faire une différence significative. PowerDMARC offre des solutions faciles à utiliser pour surveiller, gérer et optimiser vos enregistrements SPF, vous aidant ainsi à préserver la sécurité de votre domaine et la fiabilité de vos courriels.

Foire aux questions

Quelles sont les limites de l'enregistrement SPF ?

SPF ne peut vérifier que le serveur d'envoi, et non l'identité de l'expéditeur ou le contenu du courrier électronique. Il a également une limite de 10 recherches DNS et des exigences strictes en matière de syntaxe.

SPF est-il la même chose que DKIM ?

SPF valide le serveur d'envoi, tandis que DKIM utilise des signatures cryptographiques pour vérifier que le contenu du message n'a pas été modifié.

Pourquoi un courriel échoue-t-il dans SPF ?

Un courriel peut échouer s'il est envoyé par un serveur non autorisé, si l'enregistrement SPF contient des erreurs de syntaxe ou si la limite de consultation DNS est dépassée.

• À propos de
• Derniers messages

Maitham Al Lawati

Expert en cybersécurité, PDG de PowerDMARC

Maitham est un entrepreneur technologique, expert en cybersécurité, PDG et fondateur de PowerDMARC avec plus de 15 ans d'expérience dans l'industrie. Maitham est titulaire d'un Global MBA de l'Université de Manchester et de diverses certifications professionnelles, notamment CISSP, CISM, CRISC et ISC2 CCSP.

Derniers messages de Maitham Al Lawati (voir tous)

• Politique d'utilisation acceptable : Éléments clés et exemples - 9 septembre 2025
• Qu'est-ce que le CASB ? Explication du courtier en sécurité de l'accès au nuage (Cloud Access Security Broker) - 8 septembre 2025
• Comment corriger le message "DMARC Policy Not Enabled" dans 2025 ? - 25 août 2025