SPF (Sender Policy Framework) est un protocole d'authentification du courrier électronique conçu pour détecter l'usurpation d'adresse électronique et empêcher les expéditeurs non autorisés d'envoyer des messages au nom d'un domaine particulier.
Les enregistrements SPF permettent de maintenir une liste d'expéditeurs vérifiés pour votre domaine qui peut être consultée publiquement et récupérée par les serveurs de réception pour authentifier les courriels. RFC 7208.
Signification de SPF dans le courrier électronique
SPF est l'acronyme de Sender Policy Framework et a été introduit pour la première fois au début des années 2000. Alors que SPF était auparavant un acronyme pour Sender Permitted From (également appelé SMTP+SPF), en février 2004, SPF a été connu sous l'acronyme populaire que nous connaissons aujourd'hui, à savoir : Sender Policy Framework.
Comment fonctionne le FPS ?
SPF fonctionne en permettant aux propriétaires de domaines de publier une liste de serveurs de messagerie autorisés (adresses IP ou noms d'hôtes) qui sont autorisés à envoyer des courriels en leur nom. Voici comment fonctionne SPF, étape par étape :
1. Publier votre enregistrement pour SPF
Le propriétaire du domaine publie un enregistrement SPF dans le DNS de son domaine. Cet enregistrement précise quels serveurs de messagerie sont autorisés à envoyer des courriels à ce domaine.
2. Votre courriel est reçu
Lorsqu'un courriel est envoyé, il contient des informations sur le domaine de l'expéditeur.
3. Extraction du domaine de l'expéditeur
Le serveur de messagerie du destinataire extrait le domaine de l'adresse électronique de l'expéditeur.
4. La recherche DNS est effectuée
Le serveur de messagerie du destinataire effectue une recherche DNS pour récupérer l'enregistrement SPF du domaine de l'expéditeur.
5. L'authentification SPF est effectuée
L'enregistrement SPF contient une politique qui définit les serveurs autorisés à envoyer des courriels pour le domaine. Le serveur de messagerie du destinataire compare l'adresse IP ou le nom d'hôte du serveur qui a envoyé le message à la liste des serveurs autorisés spécifiée dans l'enregistrement SPF.
6. Le résultat final de l'authentification est déterminé
Sur la base du contrôle SPF, le serveur de messagerie du destinataire détermine si le courrier électronique provient d'un serveur autorisé ou non.
7. Des mesures sont prises en fonction des résultats
Le serveur de messagerie du destinataire prend des mesures en fonction du résultat de la vérification SPF. Il peut accepter l'e-mail, voire le marquer comme spam.
Comment utiliser l'email SPF ?
Pour utiliser la norme de messagerie SPF, vous devez vous assurer de bien comprendre son fonctionnement et vérifier que votre domaine et votre fournisseur de services de messagerie prennent en charge la norme SPF. Ensuite, vous pouvez créer un enregistrement pour SPF, publier l'enregistrement sur votre DNS et, idéalement, combiner votre implémentation DNS SPF avec DKIM et DMARC pour empêcher l'usurpation d'identité.
Pourquoi Sender Policy Framework est-il important pour le courrier électronique ?
Le SPF est important pour garantir que les courriels envoyés à partir de votre domaine sont authentiques et ne sont pas de faux leurres créés par des cyberattaquants pour tromper vos clients. Voici quelques avantages clés du SPF :
Réduction de l'usurpation d'adresse électronique
SPF permet de lutter contre l'usurpation d'adresse électronique en vérifiant l'authenticité du serveur d'envoi.
Amélioration de la délivrabilité des e-mails
La mise en œuvre de SPF peut améliorer les taux de délivrabilité des courriels. Lorsque les serveurs destinataires effectuent une vérification SPF et constatent que le serveur d'envoi est autorisé, ils sont plus susceptibles d'accepter le courrier électronique plutôt que de le marquer comme spam ou de le rejeter.
Réduction des faux positifs
En identifiant avec précision les serveurs de messagerie autorisés, SPF réduit la probabilité que des courriels légitimes soient marqués comme étant du spam. Cela permet d'éviter les faux positifs et de s'assurer que les courriels importants arrivent dans les boîtes de réception des destinataires.
Amélioration de la réputation de l'expéditeur
SPF joue un rôle dans la construction et le maintien d'une réputation positive de l'expéditeur. En mettant en œuvre SPF, les propriétaires de domaines démontrent leur engagement en faveur de la sécurité et de l'authentification du courrier électronique.
Atténuation du phishing et du spam
Le SPF contribue à réduire l'efficacité des tentatives d'hameçonnage et des campagnes de spam. Il est plus difficile pour les acteurs malveillants d'envoyer des courriels frauduleux en prétendant qu'ils proviennent de domaines réputés.
Respect des normes en matière de courrier électronique
De nombreux fournisseurs de services de messagerie et organisations encouragent ou exigent l'utilisation de SPF dans le cadre de leur politique de messagerie.
Comment activer la politique SPF ?
Pour créer un enregistrement SPF, vous devez suivre les étapes générales suivantes :
Déterminer les serveurs de messagerie autorisés
Identifiez les adresses IP ou les noms d'hôte des serveurs de messagerie autorisés à envoyer des courriels au nom de votre domaine. Il peut s'agir des serveurs de messagerie de votre propre organisation ou de fournisseurs de services de messagerie tiers.
Définir votre politique SPF
Déterminer la politique de SPF. Il s'agit de spécifier quels serveurs sont autorisés à envoyer des courriels pour votre domaine. Vous pouvez choisir d'autoriser uniquement des serveurs spécifiques ou d'inclure une série de serveurs sur la base d'adresses IP ou de noms d'hôtes.
Déterminer le format du FPS
Les enregistrements SPF sont publiés sous la forme d'un enregistrement TXT dans le DNS de votre domaine. L'enregistrement doit avoir un format spécifique et contenir les informations nécessaires. Voici un exemple d'enregistrement SPF :
Publier l'enregistrement SPF
Accédez au système de gestion DNS de votre domaine, qui est généralement fourni par votre registraire de domaine ou votre fournisseur d'hébergement. Localisez les paramètres DNS de votre domaine et ajoutez un nouvel enregistrement TXT contenant votre enregistrement SPF. Spécifiez le nom d'hôte (généralement "@" pour le domaine lui-même) et collez l'enregistrement SPF dans le champ de valeur.
Exemple d'enregistrement SPF
L'enregistrement SPF TXT dans votre DNS ressemblera à ceci :
Cet enregistrement définit un ensemble d'hôtes en tant qu'expéditeurs valides pour tous les messages envoyés par l'intermédiaire du serveur 192.168.0.0/16, mais il ne spécifie pas où ces messages seront livrés - ils peuvent être livrés localement ou par un autre serveur sur Internet, selon la façon dont les autres serveurs sont configurés dans l'infrastructure de messagerie (ce que nous verrons plus tard).
Comment vérifier le SPF ?
Une fois que vous avez ajouté l'enregistrement SPF, il peut s'écouler un certain temps avant que les modifications ne se propagent dans le système DNS. Utilisez notre vérification de l'enregistrement SPF pour vérifier l'exactitude de votre enregistrement et vous assurer qu'il est reconnu par le DNS.
Il est important de noter que les enregistrements SPF peuvent être complexes, en fonction des exigences spécifiques de votre infrastructure de messagerie. Si vous n'êtes pas sûr de la syntaxe ou si vous avez besoin de configurations plus avancées, il est recommandé de consulter votre administrateur système ou votre support informatique pour obtenir de l'aide afin de créer correctement l'enregistrement SPF.
SPF pour les vendeurs tiers
Qu'est-ce que le SPF pour vos fournisseurs tiers ? Pour aligner vos tiers pour le SPF, vous devez inclure les adresses IP ou les domaines de traitement SPF qui leur sont propres dans l'enregistrement de votre domaine. Mais attention, n'incluez pas plusieurs enregistrements SPF pour le même domaine !
Par exemple, si vous utilisez SuperEmails.net comme expéditeur de courrier électronique et que leur domaine de traitement SPF est spf.superemails.net, votre enregistrement SPF pourrait être le suivant :
v=spf1 include:spf.superemails.net -all
Nous avons ce qu'il vous faut. Nos connaissances contiennent une liste des célèbres fournisseurs de messagerie tiers avec des instructions spécifiques sur la façon de configurer le protocole pour chacun d'eux.
Quelles sont les limites du FPS ?
Bien que SPF protège votre domaine contre le spam et les fausses adresses d'expéditeur, il n'est pas parfait ! Voici pourquoi :
- L'authentification SPF peut rencontrer des difficultés avec le transfert de courrier électronique. Lorsqu'un courriel est transféré d'un serveur à un autre, l'authentification SPF initiale peut échouer parce que le serveur de transfert n'est pas répertorié dans l'enregistrement SPF du domaine de l'expéditeur.
- La complexité de la gestion et de la maintenance des enregistrements SPF s'accroît avec l'augmentation du nombre de serveurs de messagerie autorisés et de services tiers.
- SPF se concentre uniquement sur la vérification de l'authenticité du serveur d'envoi et ne fournit pas de cryptage ou de vérification du contenu comme le fait la norme DKIM le fait.
- SPF ne permet pas de connaître l'identité de l'expéditeur d'un courrier électronique. Il ne fait que valider l'authenticité du serveur d'envoi. C'est pourquoi il est essentiel d'associer SPF à DMARC.
Rendre le SPF encore meilleur avec PowerDMARC
Le SPF en lui-même est toujours efficace, mais les cybercriminels ont trouvé des moyens de contourner la phase de vérification de l'adresse IP. L'intégration de la technologie SPF dans DMARC lui redonne toute sa pertinence.
Nous associons SPF à DKIM et DMARC
En plus d'aligner DMARC sur SPF et DKIM, PowerDMARC va encore plus loin grâce à une modélisation des menaces en temps réel basée sur l'IA, qui permet de découvrir les attaques par usurpation d'identité dans le monde entier.
Rapport et retour d'information
Ni SPF ni DKIM ne donnent au propriétaire du domaine un retour d'information sur les courriels qui échouent à l'authentification. DMARC envoie des rapports DMARC détaillés que l'application PowerDMARC convertit en graphiques et tableaux faciles à lire. Grâce aux données analytiques, vous pouvez modifier votre stratégie d'email marketing à la volée.
Contrôler ce qui arrive aux courriers électroniques non authentifiés
DMARC vous permet de décider si un courriel dont la validation échoue est envoyé dans la boîte de réception, dans le pourriel ou s'il est rejeté. Avec PowerDMARC, il vous suffit de cliquer sur un bouton pour définir votre politique DMARC. C'est aussi simple que cela.
