La différence entre SPF et ~all

Blog

Apprenez la syntaxe SPF , la différence entre -all et ~all, et comment ces mécanismes influencent l'authentification des e-mails, le DMARC et la délivrabilité.

par YunesTarada

Dernière mise à jour :
Temps de lecture : 8 min
La différence entre SPF et ~all
Table des matières-

Il est essentiel de comprendre les mécanismes SPF et ~all pour l'authentification des e-mails. Découvrez comment ces terminaisons SPF affectent la livraison des e-mails et laquelle choisir pour la sécurité de votre domaine.

Table des matières

Points clés à retenir

  • ~tout et -all indiquent tous deux SPF pour les expéditeurs non autorisés, mais -all signale une intention d'application plus stricte.
  • Les serveurs de réception peuvent traiter -all de manière plus agressive que ~all, en fonction de la politique et des signaux de réputation.
  • Commencez par ~all pendant la surveillance afin de réduire le risque de rejeter des e-mails légitimes pendant que vous confirmez toutes les sources d'envoi.
  • Utilisation -all uniquement après que SPF sont complètes et que les rapports DMARC confirment qu'il n'y a pas de lacunes dans l'authentification.
  • DMARC définit la manière dont les échecs d'authentification sont traités (surveillance, quarantine ou rejet).
  • SPF adéquate SPF permet d'éviter la limite de 10 requêtes DNS à mesure que votre infrastructure de messagerie électronique se développe.

Comprendre SPF -all vs ~all est un élément important de l'authentification des e-mails, car ces mécanismes indiquent comment les serveurs de messagerie destinataires doivent traiter les e-mails envoyés par des sources non autorisées. Les deux mécanismes indiquent un SPF , mais ils communiquent différents niveaux d'intention d'application et peuvent influencer la manière dont les e-mails sont filtrés ou rejetés en fonction de la politique du destinataire.

Le tout le apparaît à la fin d'un SPF et est précédé d'un qualificatif tel que (hardfail) ou ~ (softfail). Le choix entre les deux dépend du degré d'exhaustivité de votre SPF et du fait que vous surveillez activement les résultats d'authentification à l'aide de DMARC.

Cet article explique comment SPF -all et ~all fonctionnent, comment les fournisseurs de boîtes aux lettres les interprètent aujourd'hui et quand les utiliser en toute sécurité sans compromettre la livraison des e-mails légitimes.

Réponse rapide : Utilisez ~all lors de la validation des expéditeurs et de la surveillance avec DMARC. Passez à -all uniquement lorsque SPF complet et que les rapports DMARC n'indiquent aucune défaillance légitime.

Syntaxe et mécanismes SPF expliqués

Avant d'aborder les différences entre SPF et ~all, il est essentiel de comprendre la syntaxe complète SPF et tous les mécanismes disponibles. 

Un SPF suit un format spécifique qui indique aux serveurs de messagerie destinataires quelles adresses IP et quels domaines sont autorisés à envoyer des e-mails au nom de votre domaine.

La syntaxe de base SPF est la suivante : v=spf1 [mécanismes] [modificateurs] [all]

SPF les options du mécanisme SPF

Le mécanisme « all » à la fin de votre SPF détermine ce qui se passe lorsqu'un e-mail ne correspond à aucun des expéditeurs autorisés. Voici les quatre options disponibles :

MécanismeNomRésultatAction
#NOM ?PassezPASSAccepter tous les e-mails (non recommandé)
?toutNeutreNEUTREAucune politique spécifiée
~toutDéfaillance logicielleÉCHEC SOUPLEMarquer comme suspect mais livrer
-toutÉchec cuisantÉCHECRejeter les courriels non autorisés

Exemples SPF

Voici des exemples pratiques SPF utilisant différents mécanismes :

  • SPF de base SPF Softfail : v=spf1 include:_spf.google.com ~all
  • Inclusions multiples avec Hardfail : v=spf1 include:spf.protection.outlook.com include:_spf.salesforce.com -all
  • Adresses IP avec Softfail : v=spf1 ip4:192.168.1.0/24 ip6:2001:db8::/32 ~all
  • Mécanismes mixtes : v=spf1 a mx include:_spf.google.com ip4:203.0.113.0/24 -all

SPF -all vs ~all

Les mécanismes SPF et SPF all signifient tous deux un « NOT PASS » pour SPF . Depuis peu, les fournisseurs de messagerie utilisent SPF comme l'un des nombreux critères, les politiques DMARC et les signaux de réputation influençant fortement les décisions finales en matière de livraison.

Cependant, ce n'était pas le cas il y a quelques années.

Que signifie v=spf1 -all ? 

SPF se terminant par « -all » (hardfail) indique aux serveurs de messagerie destinataires de rejeter tous les e-mails qui ne proviennent pas d'expéditeurs autorisés répertoriés dans votre SPF . Il s'agit de la SPF la plus stricte, qui offre la protection la plus efficace contre l'usurpation d'adresse e-mail.

Que signifie « ~all » dans SPF? 

Le mécanisme « ~all » (softfail) indique aux serveurs destinataires que les e-mails provenant d'expéditeurs non autorisés doivent être marqués comme suspects, mais tout de même livrés dans la boîte de réception du destinataire, souvent dans le dossier spam.

Comment fonctionnait le mécanisme SPF (Softfail vs Fail) avant DMARC ?

DMARC a été créé longtemps après que SPF soit devenu le protocole standard d'authentification du courrier électronique. À cette époque, le mécanisme SPF -all softfail fonctionnait de la manière suivante : 

Supposons que votre enregistrement SPF soit : 

v=spf1 include:spf.domain.com ~all (où ~all signifie SPF ) 

Le serveur de messagerie de votre destinataire aurait effectué une recherche DNS pour interroger le DNS de l'expéditeur afin d'obtenir son SPF . Si le domaine du chemin de retour de l'e-mail ne figurait pas dans l'enregistrement de l'expéditeur, le serveur de réception aurait renvoyé un résultat SPF », mais aurait tout de même livré l'e-mail dans la boîte de réception du destinataire. 

Supposons maintenant que votre enregistrement SPF soit : 

v=spf1 include:spf.domain.com -all (où -all signifie SPF ) 

Le serveur de messagerie de votre destinataire aurait effectué une recherche DNS pour interroger le DNS de l'expéditeur afin d'obtenir son SPF . Si le domaine du chemin de retour de l'e-mail ne figurait pas dans l'enregistrement de l'expéditeur, le serveur de réception aurait renvoyé un résultat SPF », mais dans ce cas, l'e-mail aurait été rejeté et n'aurait pas été livré dans la boîte de réception du destinataire.

En savoir plus sur l' l'historique du Sender Policy Framework

Comment simplifier la gestion SPF

La gestion SPF peut devenir complexe à mesure que les organisations se développent et ajoutent davantage de services d'envoi d'e-mails. La limite de 10 recherches DNS est un problème courant qui entraîne des échecsSPF lorsqu'elle est dépassée. La solution SPF automatisée de PowerDMARC répond à ces défis grâce à des techniques d'optimisation avancées.

La technologie SPF de PowerDMARC optimise automatiquement vos SPF afin de respecter les limites de recherche DNS tout en conservant une couverture complète de l'authentification des e-mails. Cela garantit que vos e-mails légitimes continuent à s'authentifier correctement, même lorsque vous ajoutez de nouveaux services de messagerie et outils marketing.

Simplifiez SPF avec PowerDMARC !

15 jours d'essaiRéservez une démo

Comment les fournisseurs de services de messagerie électronique gèrent-ils actuellement le mécanisme SPF vs ~all ?

Les fournisseurs de services de messagerie électronique modernes tels que Gmail, Outlook et Yahoo gèrent SPF différemment de ce qui se faisait avant l'ère DMARC. La plupart des principaux fournisseurs se concentrent désormais sur les politiques DMARC plutôt que sur SPF individuels lorsqu'ils prennent des décisions en matière de livraison.

  • Approche de Gmail : Gmail traite les échecs SPF (~all) comme un signal d'authentification plus faible, tandis que le hardfail (-all) peut accroître la suspicion pour les messages qui ne correspondent pas aux sources d'envoi autorisées. Les décisions finales de livraison dépendent de la politique DMARC et d'autres signaux de filtrage.
  • Gestion par Microsoft Outlook : Outlook.com et Microsoft 365 prennent en compte SPF dans le cadre de leur évaluation du filtrage et de l'authentification. Un hardfail (-all) peut être traité de manière plus stricte qu'un softfail (~all), mais le traitement final dépend toujours de la politique DMARC et d'autres signaux.

Bien que vous soyez actuellement libre d'utiliser SPF ou ~all pour la plupart des fournisseurs de messagerie sans avoir à vous soucier des échecs de livraison des e-mails légitimes, il peut arriver qu'un serveur rejette votre e-mail en cas d'attribut -all. Par mesure de sécurité, vous pouvez éviter d'utiliser le mécanisme SPF fail -all lors de la création SPF votre SPF . Voici comment procéder :

  • Ouvrez le générateur d'enregistrements PowerDMARC générateurSPF pour commencer à créer un enregistrement gratuitement.
  • Après avoir indiqué les adresses IP et les domaines des expéditeurs de vos courriels, passez à la dernière section destinée à indiquer aux serveurs de courriels la rigueur avec laquelle ils doivent vérifier vos courriels.
  • Choisissez l'option "Soft-fail" avant de cliquer sur le bouton "Generate SPF Record".

Que recommandons-nous ? SPF ou SPF all

Utilisez SPF all (softfail) si :

  • Vous débutez dans l'authentification des e-mails et souhaitez minimiser les risques liés à la livraison.
  • Votre organisation ajoute fréquemment de nouveaux services d'envoi d'e-mails.
  • Vous n'avez pas encore mis en place la surveillance DMARC.
  • Vous êtes en phase de test et souhaitez observer les résultats de l'authentification.

Utilisez SPF (hardfail) si :

  • Vous avez correctement configuré et surveillé DMARC.
  • Votre SPF inclut toutes les sources d'envoi légitimes.
  • Vous souhaitez bénéficier d'une protection maximale contre l'usurpation d'adresse e-mail.
  • Votre infrastructure de messagerie électronique est stable et bien documentée.

Les problèmes de délivrabilité des courriels liés au mécanisme SPF -all peuvent se produire à de très rares occasions. Il ne s'agit pas d'un problème récurrent que vous rencontrerez souvent. Pour vous assurer que vous ne rencontrerez jamais ce problème, vous pouvez suivre les étapes suivantes :

  • Configurer DMARC pour vos e-mails et activez les les rapports DMARC
  • Définissez votre politique DMARC sur surveillance et examinez attentivement les résultats SPF votre SPF afin de repérer toute incohérence dans la délivrabilité des e-mails.
  • Si tout va bien, vous pouvez utiliser le mécanisme -all dans votre enregistrement SPF . Nous vous recommandons d'utiliser l'attribut hard fail car il affirme que vous êtes sûr de l'authenticité de vos courriels, ce qui peut améliorer la réputation de votre domaine.

Si vous n'êtes pas sûr d'utiliser le SPF -all, vous pouvez suivre les étapes suivantes :

Comment résoudre les erreurs courantes liées SPF 

SPF se répartissent généralement en quatre catégories : enregistrement manquant, enregistrement dupliqué, enregistrement non valide ou échec de la recherche DNS. Utilisez l'étiquette d'erreur ci-dessous pour identifier rapidement la solution.

SPF courantes comprennent :

  • SPF : votre SPF n'est pas valide. Cela est généralement dû à des erreurs de syntaxe ou au fait que l'enregistrement dépasse la limite de 10 recherches DNS (par exemple, trop de mécanismes d'inclusion ).
  • SPF : problème temporaire de résolution DNS (délais d'attente, défaillances DNS transitoires). Ce problème peut se résoudre de lui-même, mais des erreurs TempError répétées indiquent généralement des problèmes d'instabilité du DNS ou du serveur de noms.
  • SPF : aucun SPF n'a été trouvé pour le domaine vérifié. Cela signifie souvent que SPF publié, qu'il est publié sur le mauvais domaine ou que le DNS ne s'est pas propagé.
  • Enregistrements SPF multiples: plusieurs enregistrements SPF existent pour le même domaine, ce qui perturbe SPF et entraîne généralement des échecs d'authentification.

Si vous voyez fréquemment «Aucun SPF trouvé», cela signifie que le serveur destinataire a renvoyé un résultat nul lors de la requête DNS pour votre enregistrement SPF . Cela peut être dû à un enregistrement manquant, à une vérification incorrecte du domaine (Return-Path vs From) ou à des problèmes de publication/propagation DNS. (Lien vers votre article « Aucun SPF trouvé » ici.)

Si vous avez configuré DMARC en parallèle avec SPF, les serveurs de réception évalueront également votre politique DMARC afin de déterminer comment traiter les messages dont l'authentification a échoué. En fonction de votre politique, les messages rejetés peuvent être livrés, mis en quarantaine ou rejetés. Une politique DMARC de rejet peut réduire considérablement les attaques par usurpation d'identité telles que le spoofing et le phishing en demandant aux destinataires de bloquer les e-mails non authentifiés.

SPF de PowerDMARC vous aide à détecter ces erreurs à un stade précoce en signalant les problèmes d'authentification, en identifiant la cause profonde et en vous guidant vers les corrections à apporter avant que la délivrabilité ne soit affectée.

Foire aux questions

Que signifie v=spf1 -all ?

SPF « v=spf1 -all » signifie que seules les adresses IP et les domaines explicitement répertoriés dans SPF sont autorisés à envoyer des e-mails pour votre domaine. Tout e-mail provenant de sources non autorisées sera rejeté (hardfail). Il s'agit de la SPF la plus stricte, qui offre une protection maximale contre l'usurpation d'adresse e-mail.

Quelle est la différence entre SPF DKIM ?

SPF Sender Policy Framework) vérifie que les e-mails proviennent d'adresses IP autorisées, tandis que DKIM (DomainKeys Identified Mail) utilise des signatures cryptographiques pour vérifier l'intégrité et l'authenticité des e-mails. SPF le serveur d'envoi, tandis que le DKIM vérifie que le contenu de l'e-mail n'a pas été altéré pendant le transit.

SPF est-il identique chez SPF les fournisseurs de messagerie électronique ?

Non, différents fournisseurs de messagerie peuvent interpréter différemment SPF . Si la plupart des fournisseurs modernes suivent des normes similaires, certains peuvent se montrer plus indulgents avec les résultats softfail (~all), tandis que d'autres appliquent strictement les politiques hardfail (-all). DMARC contribue à normaliser ces comportements entre les différents fournisseurs.

Que fait +all dans SPF?

Le mécanisme « +all » dans SPF « tout autoriser » : il permet à n'importe quelle adresse IP d'envoyer des e-mails au nom de votre domaine. Cette pratique est fortement déconseillée, car elle n'offre aucune protection contre l'usurpation d'adresse e-mail et rend votre SPF inefficace.

Dois-je utiliser SPF ou ~all pour mon domaine ?

Commencez par ~all (softfail) pendant que vous confirmez toutes les sources d'envoi légitimes ou que votre configuration est en cours de modification. Passez à -all (hardfail) uniquement une fois que votre SPF est complet et que les rapports DMARC indiquent que les e-mails légitimes ne échouent pas à l'authentification, afin de pouvoir appliquer une protection plus stricte avec un risque moindre.

Comment puis-je corriger les échecs SPF ?

Les corrections courantes comprennent : l'ajout d'adresses IP ou de domaines manquants à votre SPF , la réduction des recherches DNS pour rester sous la limite de 10 recherches, la suppression SPF en double et la vérification de la syntaxe correcte SPF . SPF automatisée SPF de PowerDMARC peut aider à résoudre ces problèmes automatiquement.

Derniers messages de Yunes Tarada (voir tous)
Dernière mise à jour :
Types d'attaques d'ingénierie sociale en 2022Attaques d'ingénierie socialeCyber-résilience et DMARCCyber-résilience et DMARC