• Connexion
  • S'inscrire
  • Contactez-nous
PowerDMARC
  • Caractéristiques
    • PowerDMARC
    • DKIM hébergé
    • PowerSPF
    • PowerBIMI
    • PowerMTA-STS
    • PowerTLS-RPT
    • PowerAlerts
  • Services
    • Services de déploiement
    • Services gérés
    • Services de soutien
    • Prestations de service
  • Prix
  • Boîte à outils électrique
  • Partenaires
    • Programme pour les revendeurs
    • Programme MSSP
    • Partenaires technologiques
    • Partenaires industriels
    • Trouver un partenaire
    • Devenir partenaire
  • Ressources
    • DMARC : Qu'est-ce que c'est et comment cela fonctionne-t-il ?
    • Fiches techniques
    • Études de cas
    • Le DMARC dans votre pays
    • DMARC par industrie
    • Soutien
    • Blog
    • Formation DMARC
  • À propos de
    • Notre société
    • Clients
    • Contactez-nous
    • Réservez une démo
    • Événements
  • Menu Menu

Comprendre les limites du SPF dans l'authentification des e-mails

Blogs
Comprendre les limites du SPF dans l'authentification du courrier électronique

Sender Policy Framework ou SPF ne suffit pas lorsqu'il s'agit de sécuriser les e-mails d'entreprise contre le phishing et du spamming et du spamming. La limite SPF sur le nombre maximum de consultations DNS et le désalignement de l'adresse From et du domaine provoquent des erreurs de mise en œuvre qui entraînent des problèmes de délivrabilité des e-mails. Ce blog aborde ces problèmes et la manière dont DMARC aide à surmonter ces limites SPF.

Quelles sont les limites de l'enregistrement SPF ?

Il existe deux limites majeures au SPF qui le rendent un peu délicat à mettre en œuvre et à maintenir. 

1. La limite SPF 10-Lookup

Lorsqu'un utilisateur interroge le serveur DNS, les ressources de son validateur, comme la bande passante, le temps, le processeur et la mémoire, sont utilisées. Pour éviter toute charge sur le validateur, il existe une limite SPF de 10 consultations supplémentaires. Cependant, la requête DNS pour l'enregistrement de politique SPF lui-même ne compte pas dans cette limite.

Conformément à la RFC7208 section 4.6.4le serveur de messagerie du destinataire ne devrait pas poursuivre le traitement lorsque la limite de 10 consultations est atteinte. Dans ce cas, le courriel rejette la validation SPF avec une erreur Permerror. L'erreur Permerror est l'un des messages qui apparaissent couramment dans le processus de mise en œuvre du SPF. Il entraîne la non-livraison de l'e-mail et se produit si plusieurs enregistrements SPF existent sur un domaine, si une erreur de syntaxe apparaît ou si les limites d'enregistrement SPF sont dépassées.

Vous pouvez utiliser le Vérificateur d'enregistrement SPF pour éliminer cette erreur et garantir la sécurité des conversations par courrier électronique.

De plus, selon la RFC, une requête DNS d'un nom d'hôte trouvé dans un enregistrement enregistrement MX ne devrait pas générer plus de 10 enregistrements A ou AAAA. Si une requête DNS PTR génère plus de 10 résultats, seuls les 10 premiers résultats sont affichés et utilisés.

2. L'adresse de départ lisible par l'homme

La deuxième limitation du SPF est que les enregistrements SPF s'appliquent à des domaines spécifiques du chemin de retour et non à l'adresse de départ. Les destinataires ne prêtent généralement pas beaucoup d'attention à l'adresse de retour et se concentrent uniquement sur l'adresse d'origine lorsqu'ils ouvrent un courrier électronique. Les pirates profitent de cette faille pour tenter des attaques de phishing en falsifiant l'adresse d'origine.

L'impact de la taille de l'enregistrement SPF sur la livraison des e-mails

Lorsqu'un destinataire dépasse la limite d'enregistrement SPF, il échoue aux vérifications SPF et un Permerror se produit. Vous pouvez observer cette erreur en utilisant la surveillance DMARC. Le destinataire peut choisir comment traiter les courriels ayant un échec de Permerror. Il peut choisir de rejeter son entrée, ce qui signifie que l'e-mail sera renvoyé. Certains destinataires le configurent pour qu'il affiche un résultat SPF "neutre" (comme si aucun SPF n'était utilisé). Ils peuvent également choisir "fail" ou "softfail", ce qui signifie que les e-mails qui échouent aux contrôles d'authentification SPF ne sont pas rejetés mais atterrissent dans le dossier spam. 

Ces résultats sont également déterminés en tenant compte des résultats de DMARC, DKIM et de l'évaluation du spam. Le dépassement de la limite SPF a un impact sur la délivrabilité des e-mails en réduisant la probabilité que les e-mails atterrissent dans la boîte de réception principale des destinataires.

Le validateur évalue la politique SPF de gauche à droite et lorsqu'une correspondance sur l'adresse IP de l'expéditeur est trouvée, le processus s'arrête. Désormais, selon l'expéditeur, un validateur peut ne pas toujours atteindre la limite de consultation, même si la politique SPF exige plus de 10 consultations pour une évaluation complète. Cela crée des difficultés pour identifier les problèmes de délivrabilité des e-mails liés à la limite des enregistrements SPF. 

Comment réduire le nombre de recherches nécessaires ?

Il est difficile pour certains propriétaires de domaines de respecter la limite de 10 recherches SPF, car les habitudes d'échange d'e-mails ont considérablement changé depuis 2006 (date de mise en œuvre de la RFC4408). Aujourd'hui, les entreprises utilisent plusieurs programmes et services basés sur le cloud avec un seul domaine. Voici donc quelques moyens de surmonter cette limite SPF courante.

  • Supprimer les services non utilisés

Évaluez votre dossier SF et regardez s'il y a des services inutilisés ou non requis. Vérifiez si l'option 'inclure' ou d'autres mécanismes qui indiquent les domaines des services qui ne sont plus utilisés.

  • Supprimer les valeurs SPF par défaut

La politique SPF par défaut est généralement fixée à 'v=spf1 a mx. Étant donné que la plupart des enregistrements A et AAAA sont utilisés pour des serveurs web qui n'envoient pas nécessairement de courriers électroniques, la valeur 'aet 'mx ne sont pas nécessaires.

  • Évitez d'utiliser la fonction ptr Mécanisme

Le site ptr est fortement déconseillé en raison de sa faible sécurité et de son manque de fiabilité. Ce mécanisme provoque le problème de la limite SPF en exigeant plus de recherches. Il doit donc être évité autant que possible.

  • Évitez d'utiliser le mx Mécanisme

Le site mx est utilisé pour recevoir des courriels, et pas nécessairement pour les envoyer. C'est pourquoi vous pouvez éviter de l'utiliser pour rester dans la limite d'enregistrement SPF fixée pour les recherches. Si vous utilisez un service de messagerie basé sur le cloud, utilisez le mécanisme 'inclure à la place.

  • Utiliser IPv6 ou IPv4 

L'IPv4 et l'IPv6 ne nécessitent pas de vérifications supplémentaires, ce qui signifie qu'ils vous aident à ne pas dépasser la limite SPF de 10 vérifications maximum. Cependant, vous devez rester à jour et entretenir régulièrement les deux mécanismes car ils sont plus sujets aux erreurs lorsqu'ils ne sont pas reconditionnés.

  • N'aplatissez pas les disques SPF

Certaines ressources affirment que plus la politique SPF est aplatie (ou courte), meilleure est la réputation du domaine. Elles suggèrent cette méthode pour rester dans les limites de l'enregistrement SPF fixées pour les recherches. Cependant, l'aplatissement est déconseillé car il rend votre enregistrement plus sujet aux erreurs et nécessite des mises à jour régulières. 

Le rôle de DMARC pour surmonter les limites du SPF

DMARC répond à la limitation SPF de l'adresse de départ lisible par l'homme en exigeant une correspondance ou un alignement entre le champ de départ lisible par l'homme et le serveur authentifié par SPF.

Ainsi, si un courriel passe les contrôles SPF mais que le domaine n'est pas le même que l'adresse d'origine, DMARC annule cette authentification. Cela signifie que l'e-mail échoue au test d'authentification.

Comment l'aplatissement des enregistrements SPF aide-t-il à surmonter la limite de 10 consultations du DNS ?

Aplatissement des enregistrements SPF est une technique utilisée pour optimiser les enregistrements SPF (Sender Policy Framework) afin de surmonter la limite de 10 recherches DNS pour SPF. La limite de 10 consultations DNS est une restriction imposée par de nombreux résolveurs DNS, qui limite le nombre de requêtes DNS pouvant être effectuées lors de la vérification d'un enregistrement SPF pour un domaine.

Lorsqu'un courriel est reçu, le serveur de messagerie du destinataire interroge le DNS du domaine de l'expéditeur pour son enregistrement SPF afin de vérifier si l'expéditeur est autorisé à envoyer des courriels depuis ce domaine. Toutefois, si l'enregistrement SPF contient de nombreuses inclusions imbriquées, il peut rapidement dépasser la limite de 10 consultations du DNS, ce qui entraîne des échecs de vérification SPF et des détections de spam faussement positives.

Pour surmonter cette limitation, l'aplatissement des enregistrements SPF est utilisé. L'aplatissement des enregistrements SPF est une technique qui remplace toutes les déclarations d'inclusion imbriquées dans un enregistrement SPF par leurs adresses IP ou leurs plages CIDR correspondantes. Cela réduit le nombre de requêtes DNS nécessaires pour vérifier l'enregistrement SPF, car chaque domaine inclus n'est plus interrogé individuellement.

En aplatissant l'enregistrement SPF, le nombre de requêtes DNS nécessaires pour vérifier l'enregistrement SPF est considérablement réduit, ce qui permet aux messages électroniques de passer la vérification SPF même si l'enregistrement original a fait l'objet de plus de 10 consultations DNS. Cette technique réduit également le risque d'échecs de validation de l'enregistrement SPF dus à des délais d'interrogation du DNS ou à des problèmes temporaires de serveur DNS.

Les défis de la mise en œuvre du SPF dans les grandes entreprises

SPF a imposé la limitation à 10 recherches maximum pour prévenir les attaques DoS et DDoS. Malheureusement, ces vérifications peuvent s'accumuler très rapidement, surtout dans les grandes entreprises. Auparavant, les entreprises exploitaient leurs propres serveurs de messagerie, mais aujourd'hui, elles font appel à des expéditeurs tiers. Cela crée un problème car chacun d'entre eux peut prendre jusqu'à 3 ou 4 serveurs et vous atteignez la limite très rapidement.

Limite du FPS

  • À propos de
  • Derniers messages
Ahona Rudra
Responsable du marketing numérique et de la rédaction de contenu chez PowerDMARC
Ahona travaille en tant que responsable du marketing numérique et de la rédaction de contenu chez PowerDMARC. Elle est une rédactrice, une blogueuse et une spécialiste du marketing passionnée par la cybersécurité et les technologies de l'information.
Derniers messages de Ahona Rudra (voir tous)
  • Méthodes de protection contre l'usurpation d'identité - 29 septembre 2023
  • Le rôle du DNS dans la sécurité du courrier électronique - 29 septembre 2023
  • Menaces d'hameçonnage d'un autre âge et comment les anticiper - 29 septembre 2023
27 février 2023/par Ahona Rudra
Tags :Limite SPF, Limitations SPF, Limites SPF, Limite d'enregistrement SPF, Limites d'enregistrement SPF, Limites d'enregistrement SPF, Limites d'enregistrement SPF
Partager cette entrée
  • Partager sur Facebook
  • Partager sur Twitter
  • Partager sur WhatsApp
  • Partagez sur LinkedIn
  • Partager par courrier
Vous pourriez également aimer
limite de spfComment corriger le message "SPF dépasse le nombre maximal de caractères" ?
SPF Permerror - SPF Too many DNS lookups (trop de recherches DNS)Corriger l'erreur SPF : Dépasser la limite de trop de consultations DNS du SPF
blog sur l'optimisation des spfComment optimiser l'enregistrement du SPF ?

Sécurisez votre courrier électronique

Mettre fin à l'usurpation d'identité par courriel et améliorer la délivrabilité des courriels

Essai gratuit de 15 jours !


Catégories

  • Blogs
  • Nouvelles
  • Communiqués de presse

Derniers blogs

  • Méthodes de protection contre l'usurpation d'identité
    Méthodes pour se protéger contre le vol d'identité29 septembre 2023 - 12:11 pm
  • Le rôle du DNS dans la sécurité du courrier électronique
    Le rôle du DNS dans la sécurité du courrier électronique29 septembre 2023 - 12:08 pm
  • Menaces d'hameçonnage d'un autre âge et comment les anticiper
    Menaces d'hameçonnage d'un nouvel âge et comment s'y préparer29 septembre 2023 - 12:06 pm
  • Comment visualiser et analyser les en-têtes de messages en ligne
    Comment visualiser et analyser les en-têtes de messages en ligne ?26 septembre 2023 - 12:59 pm
logo footer powerdmarc
SOC2 GDPR PowerDMARC conforme au GDPR service commercial crown
une cyber alliance mondiale certifiée powerdmarc csa

Connaissances

Qu'est-ce que l'authentification des e-mails ?
Qu'est-ce que DMARC ?
Qu'est-ce que la politique DMARC ?
Qu'est-ce que SPF ?
Qu'est-ce que DKIM ?
Qu'est-ce que BIMI ?
Qu'est-ce que MTA-STS ?
Qu'est-ce que TLS-RPT ?
Qu'est-ce que RUA ?
Qu'est-ce que RUF ?
AntiSpam vs DMARC
Alignement DMARC
Conformité DMARC
Application de la norme DMARC
Guide de mise en œuvre du BIMI
Permerror
Guide de mise en œuvre de MTA-STS et TLS-RPT

Outils

Générateur d'enregistrements DMARC gratuit
Vérificateur de dossiers DMARC gratuit
Générateur d'enregistrements SPF gratuit
Recherche gratuite de dossiers SPF
Générateur d'enregistrements DKIM gratuit
Recherche gratuite d'enregistrements DKIM
Générateur d'enregistrements BIMI gratuit
Recherche gratuite de dossiers BIMI
Recherche gratuite d'enregistrements FCrDNS
Vérificateur de dossiers TLS-RPT gratuit
Vérificateur de dossiers MTA-STS gratuit
Générateur d'enregistrements TLS-RPT gratuit

Produit

Tour du produit
Caractéristiques
PowerSPF
PowerBIMI
PowerMTA-STS
PowerTLS-RPT
PowerAlerts
Documentation API
Services gérés
Protection contre l'usurpation d'identité par courriel
Protection des marques
Anti Phishing
DMARC pour Office365
DMARC pour Google Mail GSuite
DMARC pour Zimbra
Formation DMARC gratuite

Essayez-nous

Nous contacter
Essai gratuit
Réserver une démo
Partenariat
Tarification
FAQ
Support
Blog
Événements
Demande de fonctionnalité
Journal des modifications
Statut du système

  • English
  • Dansk
  • Nederlands
  • Deutsch
  • Русский
  • Polski
  • Español
  • Italiano
  • 日本語
  • 中文 (简体)
  • Português
  • Norsk
  • Svenska
  • 한국어
PowerDMARC est une marque déposée.
  • Twitter
  • Youtube
  • LinkedIn
  • Facebook
  • Instagram
  • Contactez-nous
  • Conditions générales
  • Politique de confidentialité
  • Politique en matière de cookies
  • Politique de sécurité
  • Conformité
  • Avis GDPR
  • Plan du site
Comment saisir les valeurs TXT dans Google Cloud DNS ?Comment saisir des valeurs TXT dans Google Cloud DNS ?Qu'est-ce que Malware as a Service MaaS ?Logiciel malveillant en tant que service (MaaS) : Qu'est-ce que c'est et comment s'en prémunir ?
Haut de page