La différence entre SPF -all et ~all

Le mécanisme SPF all est un mécanisme SPF qui existe dans le DNS de votre domaine en tant qu'enregistrement TXT ; il est situé à l'extrémité droite d'un enregistrement SPF, précédé par "-" ou "~". Examinons la différence entre les mécanismes SPF -all et ~all afin de déterminer quand vous devez les configurer.

SPF -all vs ~all

Les mécanismes SPF -all et SPF ~all signifient tous deux un "NOT PASS" pour l'authentification SPF. Récemment, pour la majorité des fournisseurs de services de courrier électronique, il n'y a pas de différence entre les mécanismes -all et ~all, et le même résultat est renvoyé. Toutefois, ce n'était pas le cas il y a quelques années.

Comment le mécanisme SPF all (Softfail vs Fail) fonctionnait-il avant DMARC ?

DMARC a été créé bien longtemps après que SPF ait été lancé sur le marché en tant que protocole standard d'authentification des e-mails. À cette époque, le mécanisme de softfail de SPF fonctionnait de la manière suivante : 

Supposons que votre enregistrement SPF soit : 

v=spf1 include:spf.domain.com ~all (où ~all signifie SPF Softfail)

Le serveur de messagerie de votre destinataire aurait effectué une recherche DNS pour interroger le DNS de l'expéditeur sur son enregistrement SPF. Si le domaine Return-path de l'e-mail n'était pas répertorié dans l'enregistrement de l'expéditeur, le serveur de réception aurait renvoyé un résultat SPF "NOT PASS" mais aurait livré l'e-mail dans la boîte de réception du destinataire.

Supposons maintenant que votre enregistrement SPF soit : 

v=spf1 include:spf.domain.com -all (où -all signifie SPF Fail)

Le serveur de messagerie de votre destinataire aurait effectué une recherche DNS pour interroger le DNS de l'expéditeur sur son enregistrement SPF. Si le domaine Return-path de l'e-mail n'était pas répertorié dans l'enregistrement de l'expéditeur, le serveur de réception aurait renvoyé un résultat SPF "NOT PASS", mais dans ce cas, l'e-mail aurait été a été rejeté et non délivré dans la boîte de réception du destinataire.

En savoir plus sur l'histoire de Sender Policy Framework. 

Simplifiez SPF avec PowerDMARC !

Comment les fournisseurs de services de messagerie gèrent-ils désormais le mécanisme SPF -all vs ~all ?

Bien que vous soyez libre d'utiliser SPF -all ou ~all pour la plupart des fournisseurs de boîtes aux lettres à l'heure actuelle sans avoir à vous soucier des échecs de livraison pour les e-mails légitimes, il peut arriver qu'un serveur rejette votre courriel en cas d'utilisation de l'attribut -all..

Pour être plus sûr, vous pouvez éviter d'utiliser le mécanisme SPF hard fail -all lors de la création de votre enregistrement SPF. Voici comment procéder :

• Ouvrez le générateur d'enregistrements SPF de PowerDMARC générateur d'enregistrements SPF pour commencer à créer un enregistrement gratuitement
• Après avoir indiqué les adresses IP et les domaines des expéditeurs de vos courriels, passez à la dernière section destinée à indiquer aux serveurs de courriels la rigueur avec laquelle ils doivent vérifier vos courriels.
• Choisissez l'option "Soft-fail" avant de cliquer sur le bouton "Generate SPF Record".

Que recommandons-nous ? SPF -all ou SPF ~all

Les problèmes de délivrabilité des e-mails liés au mécanisme SPF -all peuvent se produire en de très rares occasions. Il ne s'agit pas d'un problème récurrent que vous rencontrerez souvent. Pour vous assurer que vous ne rencontrerez jamais ce problème, vous pouvez prendre les mesures suivantes :

• Configurer DMARC pour vos courriels et activez le reporting DMARC
• Réglez votre politique DMARC sur la surveillance et examinez attentivement les résultats de l'authentification SPF pour repérer toute incohérence dans la délivrabilité des courriels.
• Si tout est bon, vous pouvez utiliser le mécanisme -all dans votre enregistrement SPF. Nous recommandons d'utiliser l'attribut hard fail car il affirme que vous êtes confiant quant à l'authenticité de vos emails, ce qui peut améliorer la réputation de votre domaine.

Si vous n'êtes pas certain d'utiliser le SPF -all, vous pouvez suivre les étapes suivantes :

• Configurer un enregistrement SPF en utilisant le mécanisme ~all
• Configurez DMARC pour vos courriels et activez les rapports DMARC.
• Définissez votre politique DMARC pour rejeter

Dépannage d'autres erreurs SPF

Lorsque vous utilisez des outils en ligne, vous rencontrez souvent le message "Aucun enregistrement SPF trouvé"Il s'agit d'un état d'erreur courant résultant d'un résultat nul renvoyé lorsqu'un serveur recherche l'enregistrement SPF de votre domaine. Nous avons couvert un article en détail parlant de ce problème et aidant les utilisateurs à le résoudre. Cliquez sur le texte lié pour en savoir plus !

Si vous avez mis en place DMARC pour votre domaine en plus de SPF, les serveurs de messagerie vérifieront la politique DMARC de votre domaine pour déterminer comment vous souhaitez que les courriels dont l'authentification échoue soient traités. Cette politique DMARC déterminera si vos e-mails seront livrés, mis en quarantaine ou rejetés. 

Le rejet DMARC permet de protéger votre domaine contre diverses attaques par usurpation d'identité telles que l'usurpation d'identité, le phishing et les ransomwares.

• À propos de
• Derniers messages

Yunes Tarada

Expert en sécurité des domaines et des courriels chez PowerDMARC

Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.

Derniers messages de Yunes Tarada (voir tous)

• Règles d'envoi d'e-mails en masse pour Google, Yahoo, Microsoft et Apple iCloud Mail - 14 avril 2025
• Attaques par salage des courriels : Comment le texte caché contourne la sécurité - 26 février 2025
• L'aplatissement du FPS : Qu'est-ce que c'est et pourquoi en avez-vous besoin ? - 26 février 2025