Format SPF : Explication des formats SPF de base et avancé

Vous pouvez envoyer des courriels sans utiliser le format SPF ou sans connaître le SPF., mais cela ne sera pas sûr. Le SPF ajoute une indication de confiance supplémentaire aux fournisseurs de boîtes aux lettres des destinataires, et tous les courriels authentiques envoyés à l'aide de votre domaine atterrissent dans la boîte de réception au lieu d'être marqués comme spam.

SPF n'est pas une méthode infaillible, vous devez donc la combiner avec d'autres méthodes d'authentification du courrier électronique. authentification du courrier électronique comme DKIM, DMARCet BIMI pour améliorer la délivrabilité du courrier électronique.

Étant donné que ces protocoles sont essentiels au processus d'authentification des e-mails et que toutes les entreprises axées sur les e-mails doivent les connaître, nous nous concentrerons sur le format d'enregistrement SPF dans ce blog.

Qu'est-ce que le SPF ?

SPF est l'abréviation de Sender Policy Framework - l'un des protocoles d'authentification des e-mails les plus courants. Il fonctionne à l'aide d'une liste d'adresses IP autorisées à envoyer des e-mails en utilisant votre nom de domaine. Cette liste comprend généralement les adresses IP de vos employés, actionnaires et tiers qui utilisent directement votre domaine pour envoyer des e-mails.

Si vous avez mis en place le SPF, tout courriel envoyé à partir d'une adresse IP ne figurant pas dans la liste est considéré comme non autorisé par la boîte aux lettres du destinataire.

Comment le courrier électronique est-il authentifié à l'aide de SPF ?

Vous devez publier un enregistrement SPF valide (au format TXT ) sur votre DNS pour mettre en œuvre ce protocole. Lorsqu'un courriel est envoyé depuis votre domaine, le serveur de messagerie du destinataire vérifie l'adresse IP de l'expéditeur en la comparant aux enregistrements SPF de votre DNS. Si elle figure dans la liste, la validation passe et l'e-mail atterrit dans la boîte de réception. En revanche, si elle ne figure pas dans la liste, l'authentification échoue et les e-mails n'arrivent pas à destination.

Après l'avoir mis en place, vous devez surveiller régulièrement l'activité de votre domaine en utilisant un vérificateur SPF pour vous assurer qu'il n'est pas sur le radar d'un pirate. Cela peut empêcher le spear phishingl'escroquerie et les attaques par ransomware tentées en utilisant le nom de votre entreprise.

Format SPF

L'enregistrement SPF est compliqué et possède un format typique difficile à comprendre. Nous aborderons ici la syntaxe et la structure de l'enregistrement SPF - la tête et le cœur du format de l'enregistrement SPF..

Enregistrement SPF : Syntaxe de base

Un enregistrement SPF est un enregistrement DNS répertoriant toutes les adresses IP autorisées à envoyer des courriels en utilisant votre domaine de messagerie. Voici à quoi ressemble la syntaxe d'un enregistrement SPF :

v=spf1 ip4=193.0.1.0 ip4=193.0.1.1 include:samplesender.net -all

Voyons les éléments qui y sont inclus.

• v=spf1- Elle indique au serveur que le message contient un enregistrement SPF. Chaque enregistrement SPF doit commencer par cette chaîne.
• ip4=193.0.1.0 ip4=193.0.1.1- Il indique les adresses IP autorisées à envoyer des e-mails en utilisant un domaine spécifique.
• Inclure:examplesender.net: Il indique aux tiers autorisés à envoyer des e-mails. La balise 'include' demande aux serveurs destinataires de vérifier l'enregistrement SPF du domaine inclus (ici : samplesender.net). Vous pouvez ajouter plusieurs domaines dans un seul enregistrement SPF.
• -Tout: indique aux serveurs destinataires de rejeter les courriels provenant d'adresses IP non autorisées, c'est-à-dire celles qui ne figurent pas dans la liste. 

Enregistrement SPF : Syntaxe avancée

Selon le format de l'enregistrement SPF pour les syntaxes, il commence toujours par l'élément "v=". Il indique la version du SPF ; actuellement, il n'y a qu'une seule version, donc tous les formats d'enregistrement SPF commencent comme ceci.

La syntaxe de l'enregistrement SPF comporte trois éléments principaux : le mécanisme SPF, les qualificatifs SPF et les modificateurs SPF. Voyons ce qu'ils sont.

Mécanismes

Voici les huit mécanismes

1. ALL: Cela signifie qu'il y a toujours une correspondance. Vous verrez des résultats par défaut comme '-all' pour les adresses IP non correspondantes.
2. A: Le nom de domaine avec un enregistrement d'adresse A ou AAAA correspond car il peut être résolu à l'adresse de l'expéditeur.
3. IP4: La correspondance est valable lorsque l'expéditeur est lié à la plage d'adresses IPv4 donnée.
4. IP6: La correspondance est valable lorsque l'expéditeur est lié à la plage d'adresses IPv6 donnée.
5. MX: L'adresse électronique de l'expéditeur n'est validée que si son nom de domaine comprend un enregistrement MX pour la résolution.
6. PTR: La correspondance est autorisée si l'enregistrement PTR appartient à un domaine donné se résolvant à l'adresse du client. Les experts ne suggèrent pas son utilisation, car elle pourrait bloquer tous les courriels envoyés en utilisant votre domaine.
7. EXISTS: Il fonctionne si le nom de domaine donné est validé. Ce mécanisme SPF fonctionne avec toutes les adresses résolues. 
8. INCLUDE: Il fait référence à d'autres politiques de domaine. Donc, si elle passe, elle passe automatiquement. Cependant, si la politique incluse échoue, le traitement continue. 

Modificateurs

Les modificateurs déterminent le cadre fonctionnel d'un enregistrement SPF. Ils consistent en des paires de noms ou de valeurs séparées par le symbole '=', indiquant des informations supplémentaires. Vous les voyez plusieurs fois à la fin de l'enregistrement SPF, et tous les modificateurs non reconnus sont ignorés dans le processus.

Le modificateur "redirect" dirige vers d'autres enregistrements SPF responsables d'un fonctionnement efficace. Les experts les utilisent lorsque plusieurs domaines sont liés au même enregistrement SPF. Ce modificateur doit être utilisé si une seule entité contrôle tous les domaines ; sinon, le modificateur "include" est utilisé.

Qualifications

Chaque mécanisme peut être combiné avec l'un des quatre qualificatifs suivants.

'+' pour le résultat du PASS

'?' pour un résultat NEUTRE interprété comme la politique NONE.

'~' pour SOFTFAIL. En général, les messages qui renvoient un SOFTFAIL sont acceptés mais marqués. 

'-' pour FAIL, l'email est rejeté.

Conclusion

Le SPF empêche les cyberattaques engagées d'utiliser le nom et la réputation de votre marque. Vous pouvez empêcher les courriels envoyés par des pirates utilisant votre domaine d'atteindre leur public cible. Pour ce faire, vous n'autorisez que les entités de confiance à envoyer des courriels en utilisant votre domaine. 

Après avoir compris la structure et les composants du format d'enregistrement SPF, vous pouvez utiliser l'utilitaire Générateur d'enregistrements SPF si vous n'avez pas encore implémenté le protocole.

• À propos de
• Derniers messages

Ahona Rudra

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

• Augmentation des escroqueries fiscales et des attaques d'usurpation d'identité par courriel de l'IRS pendant la saison des impôts - 2 mai 2024
• Sécurité des courriels 101 pour lutter contre les escroqueries aux cryptomonnaies - 30 avril 2024
• Comment trouver le meilleur fournisseur de solutions DMARC pour votre entreprise ? - 25 avril 2024