La différence entre SPF -all et SPF ~all | SPF -all vs ~all

SPF tous vs tous

SPF existe dans le DNS de votre domaine sous la forme d'un enregistrement TXT avec un ensemble de mécanismes et de modificateurs qui correspondent à des instructions spécifiques. Le mécanisme SPF all est présent à l'extrémité droite d'un enregistrement SPF, précédé de "-" ou "~". Examinons la différence entre les mécanismes SPF -all et ~all afin de déterminer quand vous devez les configurer.

SPF -all vs ~all

Les mécanismes SPF -all et ~all signifient tous deux "NOT PASS" pour l'authentification SPF. Ces derniers temps, pour une majorité de fournisseurs de services de messagerie, il n'y a pas de différence entre les mécanismes -all et ~all, et le même résultat est renvoyé. Cependant, ce n'était pas le cas il y a quelques années.

Comment le mécanisme SPF all (Softfail vs Fail) fonctionnait-il avant DMARC ?

DMARC a été créé longtemps après l'arrivée de SPF sur le marché en tant que protocole standard d'authentification des e-mails. À cette époque, le mécanisme SPF -all softfail fonctionnait de la manière suivante : 

Supposons que votre enregistrement SPF soit : 

v=spf1 include:spf.domain.com ~all (où ~all signifie SPF Softfail)

Le serveur de messagerie de votre destinataire aurait effectué une recherche DNS pour interroger le DNS de l'expéditeur sur son enregistrement SPF. Si le domaine Return-path de l'e-mail n'était pas répertorié dans l'enregistrement de l'expéditeur, le serveur de réception aurait renvoyé un résultat SPF "NOT PASS" mais aurait livré l'e-mail dans la boîte de réception du destinataire.

Supposons maintenant que votre enregistrement SPF soit : 

v=spf1 include:spf.domain.com -all (où -all signifie SPF Fail)

Le serveur de messagerie de votre destinataire aurait effectué une recherche DNS pour interroger le DNS de l'expéditeur sur son enregistrement SPF. Si le domaine Return-path de l'e-mail n'était pas répertorié dans l'enregistrement de l'expéditeur, le serveur de réception aurait renvoyé un résultat SPF "NOT PASS", mais dans ce cas, l'e-mail aurait été a été rejeté et non délivré dans la boîte de réception du destinataire.

En savoir plus sur l'histoire de Sender Policy Framework

Comment les fournisseurs de services de messagerie gèrent-ils désormais le mécanisme SPF -all vs ~all ?

Bien que vous soyez libre d'utiliser SPF -all ou ~all pour la plupart des fournisseurs de boîtes aux lettres à l'heure actuelle sans avoir à vous soucier des échecs de livraison pour les e-mails légitimes, il peut arriver qu'un serveur rejette votre courriel en cas d'utilisation de l'attribut -all..

Pour être plus sûr, vous pouvez éviter d'utiliser le mécanisme SPF hard fail -all lors de la création de votre enregistrement SPF. Voici comment procéder :

  • Ouvrez le générateur d'enregistrements SPF de PowerDMARC générateur d'enregistrements SPF pour commencer à créer un enregistrement gratuitement
  • Après avoir indiqué les adresses IP et les domaines des expéditeurs de vos courriels, passez à la dernière section destinée à indiquer aux serveurs de courriels la rigueur avec laquelle ils doivent vérifier vos courriels.
  • Choisissez l'option "Soft-fail" avant de cliquer sur le bouton "Generate SPF Record".

SPF tous

Que recommandons-nous ? SPF -all ou SPF ~all

Les problèmes de délivrabilité des e-mails liés au mécanisme SPF -all peuvent se produire en de très rares occasions. Il ne s'agit pas d'un problème récurrent que vous rencontrerez souvent. Pour vous assurer que vous ne rencontrerez jamais ce problème, vous pouvez prendre les mesures suivantes :

  • Configurer DMARC pour vos courriels et activez le reporting DMARC
  • Réglez votre politique DMARC sur la surveillance et examinez attentivement les résultats de l'authentification SPF pour repérer toute incohérence dans la délivrabilité des courriels.
  • Si tout est bon, vous pouvez utiliser le mécanisme -all dans votre enregistrement SPF. Nous recommandons d'utiliser l'attribut hard fail car il affirme que vous êtes confiant quant à l'authenticité de vos emails, ce qui peut améliorer la réputation de votre domaine.

Si vous n'êtes pas certain d'utiliser le SPF -all, vous pouvez suivre les étapes suivantes :

  • Configurer un enregistrement SPF en utilisant le mécanisme ~all
  • Configurer DMARC pour vos e-mails et activer le rapport DMARC
  • Définissez votre politique DMARC pour rejeter

Dépannage d'autres erreurs SPF

Lorsque vous utilisez des outils en ligne, vous rencontrez souvent le message "Aucun enregistrement SPF trouvé"Il s'agit d'un état d'erreur courant résultant d'un résultat nul renvoyé lorsqu'un serveur recherche l'enregistrement SPF de votre domaine. Nous avons couvert un article en détail parlant de ce problème et aidant les utilisateurs à le résoudre. Cliquez sur le texte lié pour en savoir plus !

Si vous avez mis en place DMARC pour votre domaine en plus de SPF, les serveurs de messagerie vérifieront la politique DMARC de votre domaine pour déterminer comment vous souhaitez que les courriels dont l'authentification échoue soient traités. Cette politique DMARC déterminera si vos e-mails seront livrés, mis en quarantaine ou rejetés. 

Le rejet DMARC permet de protéger votre domaine contre diverses attaques par usurpation d'identité telles que l'usurpation d'identité, le phishing et les ransomwares.

SPF tous

Derniers messages de Syuzanna Papazyan (voir tous)
/par
Vous pourriez également aimer
SPF SoftfailComment corriger " SPF Softfail Domain Does Not Designate IP as Permitted Sender " ?
Correction de l'authentification spfPourquoi l'authentification SPF échoue-t-elle ? Comment réparer l'échec de SPF ?
Types d'attaques d'ingénierie sociale en 2022Attaques d'ingénierie socialeCyber-résilience et DMARCCyber-résilience et DMARC