• Limites de l'enregistrement SPF : Comprendre les limites de l'enregistrement SPF dans l'authentification des courriels

Limites de l'enregistrement SPF : Comprendre les limites de l'enregistrement SPF dans l'authentification des courriels

Blog

Découvrez SPF , notamment la limite de 10 recherches DNS qui provoque des échecs d'envoi d'e-mails. Découvrez comment détecter, corriger et optimiser votre SPF .

par Ahona Rudra

Dernière mise à jour :
11 11 min de lecture
Limites de l'enregistrement SPF : Comprendre les limites de l'enregistrement SPF dans l'authentification des courriels
Table des matières-

Points clés à retenir

  • SPF Sender Policy Framework) spécifie quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de votre domaine, mais il comporte SPF intégrées qui peuvent entraîner des problèmes de délivrabilité s'il n'est pas géré correctement.
  • SPF limite les recherches DNS à 10 par SPF , y compris les recherches causées par les mécanismes « include », « a », « mx », « ptr » et « redirect ».
  • Le dépassement de la limite déclenche une erreur «SPF : trop de recherches DNS », qui entraîne l'échec de SPF et est interprétée par DMARC comme un échec, ce qui peut bloquer les e-mails dans la boîte de réception.
  • Les mécanismes tels que « ip4 » et « ip6 » ne sont pas pris en compte dans la limite, tandis que « include » et « mx » peuvent consommer plusieurs recherches chacun, en particulier avec des références imbriquées.
  • Pour rester dans la limite, supprimez les services inutilisés, évitez autant que possible les « ptr » et « mx », remplacez les mécanismes de recherche lourds par des références IP directes et envisagez l'aplatissement automatisé SPF .

Votre SPF pourrait nuire considérablement à la délivrabilité de vos e-mails, sans que vous ne vous en rendiez compte en le consultant.

SPF, ou Sender Policy Framework, est l'un des protocoles fondamentaux d'authentification des e-mails utilisés pour prévenir l'usurpation de domaine et les attaques de phishing. Mais chaque fois que vous ajoutez un nouveau fournisseur de services de messagerie, une nouvelle plateforme marketing ou un nouvel outil tiers, votre SPF s'allonge, et avec lui, le nombre de recherches DNS nécessaires pour le vérifier.

Ce guide détaille les SPF que vous devez connaître, explique pourquoi la limite de 10 recherches DNS existe et vous guide à travers les étapes permettant de détecter, corriger et prévenir SPF avant qu'ils ne nuisent à la réputation de votre domaine.

Qu'est-ce que SPF comment fonctionne-t-il ?

SPF un protocole d'authentification des e-mails conçu pour protéger votre domaine contre l'usurpation d'adresse e-mail. Il fonctionne en spécifiant quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de votre domaine, et permet aux serveurs destinataires de vérifier si un message entrant est légitime.

Comment fonctionne SPF ?

SPF est un enregistrement DNS TXT utilisé pour effectuer le processus d'authentification des e-mails.

Lorsque vous publiez un SPF pour votre domaine, vous indiquez essentiellement au monde entier quelles adresses IP et quels serveurs de messagerie sont autorisés à envoyer des e-mails en utilisant votre nom de domaine. Voici ce qui se passe lorsqu'un e-mail est envoyé :

  • Le serveur destinataire vérifie l'adresse de retour de l'expéditeur et recherche SPF pour ce domaine.
  • Le serveur évalue SPF afin de déterminer si l'adresse IP de l'expéditeur correspond aux adresses IP autorisées répertoriées.
  • Si l'adresse IP de l'expéditeur correspond, l'e-mail passe le SPF
  • Si elle ne correspond pas, l'e-mail échoue à la vérification SPF et le serveur destinataire le traite en fonction de la SPF du domaine et de la configuration DMARC

SPF au serveur du destinataire de vérifier si l'e-mail provient bien de la source qu'il prétend être. Cela en fait une première ligne de défense essentielle contre l'usurpation d'identité et un élément clé pour se conformer à la norme DMARC.

Qu'est-ce que la limite de recherche DNS SPF ?

SPF impose une limite stricte au nombre de recherches DNS pouvant être effectuées lors d'une seule vérification.

Une SPF ne peut pas exiger plus de 10 termes nécessitant des recherches DNS supplémentaires pour être évalués. Cela inclut toutes les recherches déclenchées par des mécanismes tels que « include », « a », « mx », « ptr » et le modificateur « redirect ».

Ce qui compte dans la limite

SPF utilisent une combinaison de mécanismes et de modificateurs pour définir quels serveurs sont autorisés à envoyer des e-mails pour votre domaine.

Certaines d'entre elles nécessitent que le serveur de messagerie destinataire effectue des opérations supplémentaires. requêtes DNS supplémentaires pour les résoudre, et chaque requête compte dans la limite de 10 recherches DNS. Les mécanismes et modificateurs qui nécessitent des recherches DNS comprennent :

  • include — déclenche une recherche de SPF d'un autre domaine, ainsi que toutes les recherches imbriquées qu'il contient
  • a — nécessite une requête DNS pour résoudre les enregistrements A ou AAAA pour le domaine spécifié
  • mx — nécessite une requête DNS pour résoudre l'enregistrement MX, suivie de requêtes supplémentaires pour résoudre les adresses IP de chaque serveur de messagerie répertorié
  • ptr — nécessite une requête DNS ptr pour effectuer une recherche inversée, et est fortement déconseillé en raison de son manque de fiabilité et du risque de provoquer plusieurs recherches supplémentaires.
  • rediriger — déclenche une recherche de SPF du domaine redirigé
  • existe — nécessite une requête DNS pour vérifier si un domaine spécifique est résolu

Si SPF contient de nombreux mécanismes, en particulier des inclusions imbriquées, il peut rapidement dépasser la limite de 10 recherches DNS.

Ce qui n'est pas pris en compte dans la limite

Les mécanismes et éléments suivants ne sont pas pris en compte dans la limite de 10 recherches :

  • ip4 et ip6 — ceux-ci spécifient directement les adresses IP autorisées, sans nécessiter de résolution DNS supplémentaire.
  • tout — le mécanisme fourre-tout à la fin de l'enregistrement ne nécessite pas de recherche
  • La requête DNS initiale pour l'enregistrement de SPF elle-même — la requête DNS visant à récupérer l'enregistrement SPF à partir du DNS du domaine n'est pas prise en compte dans la limite
  • v=spf1 — balise de version qui identifie l'enregistrement comme SPF

L'utilisation des mécanismes ip4 ou ip6 dans SPF ne nécessite pas de recherches supplémentaires et peut aider à rester dans les limites. C'est pourquoi le remplacement des mécanismes nécessitant de nombreuses recherches par des références IP directes est l'une des stratégies d'optimisation les plus efficaces.

SPF PowerDMARC

SPF sans prévenir. On ne s'en rend compte que lorsque les e-mails ne parviennent plus à leur destinataire.

PowerDMARC a aidé plus de 10 000 clients à :

Tableau de bord unique pour SPF, DMARC et DKIM
Surveillance automatisée — plus besoin de fouiller dans les rapports bruts
Alertes immédiates en cas de erreurs de configuration et de lacunes dans les politiques
S'adapter à des domaines clients multi-locataires

Vos 15 premiers jours sont offerts par nos soins

Inscrivez-vous pour un essai gratuit

Pourquoi existe-t-il une limite de recherche SPF ?

La limite de 10 requêtes DNS peut sembler restrictive, en particulier pour les organisations qui utilisent plusieurs fournisseurs de services de messagerie électronique, mais elle existe pour des raisons importantes liées à la sécurité et aux performances.

Prévention des attaques par déni de service

La limite de 10 recherches supplémentaires est imposée afin d'éviter une charge excessive sur le DNS et de prévenir les attaques par déni de service (DoS).

Sans cette limite, un pirate pourrait créer un SPF contenant des centaines d'inclusions imbriquées, obligeant chaque serveur de messagerie destinataire qui traite un e-mail provenant de ce domaine à effectuer un nombre considérable de requêtes DNS. Cela pourrait saturer les serveurs DNS et dégrader les performances sur l'ensemble d'Internet.

Assurer le traitement rapide des e-mails

Chaque recherche DNS effectuée lors d'une SPF ajoute une latence au processus de livraison des e-mails. Si SPF pouvaient effectuer un nombre illimité de recherches, le temps nécessaire à SPF pourrait augmenter considérablement, entraînant des délais d'attente pour les requêtes DNS et des problèmes temporaires au niveau du serveur DNS.

La limite de 10 recherches garantit que SPF peuvent être effectuées rapidement et de manière fiable sans créer de goulots d'étranglement dans la livraison des e-mails.

Maintenir la stabilité du DNS

L'infrastructure DNS est une ressource partagée. Autoriser des recherches illimitées pendant SPF exercerait une pression excessive sur les résolveurs récursifs et les serveurs de noms faisant autorité, en particulier pour les expéditeurs à haut volume.

Cette limite protège l'écosystème DNS dans son ensemble en maintenant le volume des requêtes SPF à un niveau gérable.

Que se passe-t-il lorsque vous dépassez la limite SPF ?

Le dépassement de la limite SPF n'entraîne pas seulement un avertissement mineur. Il provoque une défaillance grave qui peut avoir un impact direct sur la réception de vos e-mails dans les boîtes de réception de vos destinataires.

SPF et échec de vérification

Lorsque SPF sur le serveur de messagerie destinataire rencontre plus de 10 mécanismes de requête DNS ou modificateurs dans SPF du domaine de l'expéditeur, elle renvoie «SPF : trop de recherches DNS ».

Selon la SPF , si un destinataire dépasse la limite de recherche DNS lors de l'évaluation de la SPF , il doit échouer à la SPF pour ce message avec une erreur permanente.

Cela signifie que l'e-mail n'obtient pas simplement un résultat « soft » ou neutre. Il reçoit une erreur permanente qui indique au serveur destinataire que SPF ne peut pas être évalué.

Impact sur DMARC et la délivrabilité des e-mails

Si votre politique DMARC est définie sur quarantine rejet, les e-mails qui déclenchent une erreur SPF peuvent être envoyés dans les spams ou bloqués complètement.

Le dépassement de la limite SPF a un impact sur la délivrabilité des e-mails, car il réduit la probabilité que ceux-ci arrivent dans la boîte de réception principale des destinataires visés. À long terme, SPF répétés peuvent également nuire à la réputation de votre domaine, rendant plus difficile la délivrabilité même des e-mails légitimes.

Autres causes de SPF

Bien que le dépassement de la limite de 10 recherches DNS soit la cause la plus fréquente d'SPF , ce n'est pas la seule. Une erreur SPF peut également se produire lorsque :

  • L' SPF contient des erreurs de syntaxe qui empêchent son interprétation correcte.
  • Plusieurs enregistrements SPF sont publiés pour un seul domaine, ce qui enfreint la SPF .
  • L'enregistrement utilise des mécanismes obsolètes ou non pris en charge.
  • La circularité inclut la création d'une boucle infinie dans la chaîne de recherche.

Chacun de ces problèmes peut entraîner SPF et la non-livraison des e-mails. Il est donc important de vérifier régulièrement l'ensemble de votre SPF .

Comment vérifier si votre SPF dépasse la limite

La première étape pour résoudre les problèmes de délivrabilité consiste à déterminer si votre SPF dépasse la limite de 10 recherches DNS. Il existe plusieurs façons d'effectuer une vérification SPF et de vérifier votre nombre actuel de recherches.

Utilisez un outil SPF .

L'utilisation d'un outil SPF peut aider à vérifier qu'un SPF est valide et fonctionne correctement. Ces outils analysent votre SPF , comptent chaque recherche DNS, y compris les inclusions imbriquées, et signalent les erreurs ou avertissements éventuels.

Le vérificateur SPF gratuit de PowerDMARC vous permet de voir instantanément le nombre total de recherches, d'identifier les mécanismes qui consomment le plus de requêtes et de repérer les erreurs de configuration avant qu'elles ne causent des problèmes de livraison.

Suivez manuellement votre SPF

Si vous préférez inspecter vous-même votre SPF , vous pouvez compter manuellement les recherches DNS en parcourant chaque mécanisme de l'enregistrement.

Commencez par l'enregistrement SPF de votre domaine et comptez tous les mécanismes « include », « a », « mx », « ptr », « redirect » et « exists ». Ensuite, pour chaque « include », recherchez SPF du domaine référencé et comptez également ses mécanismes de recherche.

Les inclusions imbriquées s'additionnent rapidement, c'est pourquoi les organisations qui utilisent plusieurs fournisseurs de services de messagerie électronique dépassent souvent la limite sans s'en rendre compte.

Surveiller SPF au fil du temps

SPF ne sont pas statiques. Lorsque vous ajoutez ou supprimez des fournisseurs de services de messagerie, modifiez les environnements d'hébergement ou mettez à jour votre infrastructure de messagerie, votre SPF change également. Il est recommandé de valider SPF après avoir apporté des modifications afin de garantir la conformité avec la limite de 10 recherches.

La mise en place d'une surveillance continue via la plateforme PowerDMARC vous offre une visibilité permanente sur votre SPF et vous alerte lorsque des modifications font dépasser la limite de votre enregistrement.

Comment corriger et optimiser votre SPF

Si votre SPF dépasse ou approche la limite de 10 recherches DNS, vous pouvez prendre plusieurs mesures pratiques pour réduire le nombre de recherches sans sacrifier la couverture de l'authentification des e-mails.

Supprimer les services inutilisés ou inutiles

L'optimisation la plus simple consiste à vérifier votre SPF et à supprimer tous les mécanismes qui font référence à des services que vous n'utilisez plus.

Au fil du temps, les organisations ajoutent des fournisseurs de services de messagerie électronique, des plateformes marketing et des outils tiers à leur SPF , mais oublient de les supprimer lorsqu'ils ne sont plus actifs.

Pour réduire le nombre de recherches nécessaires, les organisations doivent supprimer les services inutilisés de leur SPF . Cela implique également de supprimer SPF par défaut qui ont été ajoutées lors de la configuration initiale, mais qui ne servent plus à rien aujourd'hui.

Remplacer les mécanismes nécessitant de nombreuses recherches par ip4 ou ip6

Chaque mécanisme « include », « a » et « mx » nécessite au moins une recherche DNS. Dans la mesure du possible, remplacez-les par des mécanismes ip4 ou ip6 qui spécifient directement les adresses IP autorisées. L'utilisation des mécanismes ip4 ou ip6 dans SPF ne nécessite pas de recherches supplémentaires et peut aider à respecter la limite de recherche.

Par exemple, si SPF d'un fournisseur de services de messagerie électronique renvoie à un ensemble connu d'adresses IP statiques, vous pouvez répertorier ces adresses IP directement plutôt que d'utiliser une instruction « include » qui déclenche plusieurs recherches DNS.

Évitez le mécanisme ptr

L'utilisation du mécanisme ptr est fortement déconseillée, car elle peut entraîner une augmentation des recherches requises, ce qui peut causer des problèmes de permerror.

Le mécanisme ptr effectue une recherche DNS inversée pour chaque adresse IP connectée, ce qui est à la fois lent et peu fiable. La SPF elle-même déconseille son utilisation. Si votre SPF inclut actuellement un mécanisme ptr, supprimez-le et remplacez-le par des références IP directes.

Réduire au minimum l'utilisation du mécanisme mx

Éviter le mécanisme mx dans SPF peut aider à rester dans la limite de 10 recherches DNS. Le mécanisme mx résout d'abord l'enregistrement MX du domaine, puis effectue des recherches supplémentaires pour résoudre l'adresse IP de chaque serveur de messagerie répertorié.

Si votre domaine comporte plusieurs enregistrements MX, un seul mécanisme « mx » peut nécessiter plusieurs recherches. Remplacez-le par des entrées ip4 ou ip6 pour vos serveurs de messagerie lorsque cela est possible.

Consolider les déclarations incluses

Si votre SPF comporte plusieurs mécanismes « include » pointant vers des services connexes, vérifiez s'ils peuvent être consolidés.

Certains fournisseurs de services de messagerie électronique partagent des infrastructures qui se chevauchent, ce qui signifie que vous effectuez peut-être des recherches redondantes. Vérifiez chaque inclusion afin de déterminer si elle est toujours nécessaire et si les adresses IP sous-jacentes peuvent être référencées directement.

Valider après chaque modification

Il est essentiel de valider SPF après avoir apporté des modifications afin de garantir le respect de la limite de 10 recherches.

Même une petite modification, telle que l'ajout d'un seul nouvel « include » pour une plateforme marketing, peut faire dépasser la limite de votre enregistrement si elle déclenche des recherches imbriquées. Après chaque mise à jour, vérifiez la validité de votre enregistrement à l'aide d'un outil SPF .

Aplatissement SPF : qu'est-ce que c'est et quand l'utiliser ?

L'aplatissement SPF est une technique utilisée pour optimiser SPF afin de contourner la limite de 10 recherches DNS pour SPF. Il s'agit de l'une des solutions les plus discutées pour les organisations disposant d'infrastructures de messagerie complexes, mais elle comporte des compromis qu'il est important de comprendre.

Comment fonctionne l'aplatissement SPF

L'aplatissement SPF remplace les mécanismes de recherche dans un SPF par leurs adresses IP ou plages CIDR correspondantes, réduisant ainsi le nombre de requêtes DNS nécessaires pour vérifier SPF .

Au lieu d'inclure une référence telle que « include:emailprovider.com » qui déclenche une ou plusieurs recherches DNS, vous résolvez cette référence en adresses IP sous-jacentes et les répertoriez directement dans votre enregistrement à l'aide des mécanismes ip4 ou ip6.

Par exemple, si « include:emailprovider.com » renvoie trois adresses IP, l'aplatissement remplace l'instruction include par ces trois entrées ip4. La SPF renvoie désormais le même résultat sans nécessiter de requêtes DNS supplémentaires pour ce fournisseur.

Quand l'aplatissement aide

L'aplatissement d'un SPF peut réduire le nombre de mécanismes et de modificateurs de requêtes DNS afin qu'il soit inférieur à 10. Cela est particulièrement utile lorsque :

  • Votre domaine envoie des e-mails via de nombreux services tiers et le nombre d'inclusions dépasse à lui seul les 10.
  • Vous avez déjà supprimé les services inutilisés et regroupé ceux qui pouvaient l'être, mais vous dépassez toujours la limite.
  • Vous avez besoin d'un moyen rapide de mettre vos dossiers en conformité tout en planifiant une stratégie d'optimisation à plus long terme.

Les risques liés à l'aplatissement manuel

Si l'aplatissement SPF résout le problème de la limite de recherche, il pose toutefois un défi en matière de maintenance. Les adresses IP sous-jacentes de vos fournisseurs de services de messagerie électronique peuvent changer sans préavis.

Si un fournisseur ajoute, supprime ou fait tourner des adresses IP et que votre enregistrement aplati fait toujours référence aux anciennes, les e-mails légitimes envoyés à partir des nouvelles adresses IP échoueront SPF .

La maintenance manuelle d'un SPF aplati nécessite une surveillance constante afin de garantir que les adresses IP répertoriées restent à jour. C'est pourquoi l'aplatissement manuel n'est généralement pas recommandé comme solution à long terme pour les organisations disposant d'infrastructures de messagerie électronique dynamiques.

Autres limitations à connaître concernant SPF

La limite de 10 requêtes DNS est la SPF la plus connue, mais ce n'est pas la seule. Les propriétaires de domaines doivent connaître ces autres restrictions SPF afin d'éviter tout échec d'authentification inattendu.

Un seul SPF par domaine

SPF exige que chaque domaine ne publie qu'un seul enregistrement SPF .

Si SPF contient plusieurs SPF pour un domaine, cela peut entraîner une SPF , et le serveur destinataire peut rejeter ou mal traiter l'e-mail. Si vous devez autoriser des expéditeurs supplémentaires, ajoutez-les à votre SPF existant plutôt que d'en créer un second.

SPF le chemin de retour, pas l'adresse d'expéditeur.

SPF le domaine dans l'adresse de retour, et non dans le champ « De » lisible par l'utilisateur que voit le destinataire. Cela signifie qu'un pirate peut usurper l'adresse « De » tout en passant SPF utilisant un domaine de retour différent.

DMARC comble cette lacune en exigeant une correspondance ou un alignement entre le domaine du champ « De » lisible par l'utilisateur et le domaine authentifié par SPF

Limite de 255 caractères pour les chaînes de caractères

Bien qu'un SPF puisse contenir plus de 255 caractères au total, un seul enregistrement DNS TXT est limité à 255 caractères. SPF plus longs doivent être divisés en plusieurs chaînes au sein du même enregistrement TXT.

La plupart des fournisseurs DNS gèrent cela automatiquement, mais des divisions mal configurées peuvent entraîner des erreurs d'analyse.

Limite de recherche nulle

En plus de la limite de 10 requêtes DNS, la SPF limite également le nombre de « requêtes vides », qui sont des requêtes DNS ne renvoyant aucun enregistrement (réponse vide ou réponse NXDOMAIN).

Le dépassement de cette limite, qui est généralement de deux recherches infructueuses, peut également déclencher une erreur SPF .

Aucune protection pour les e-mails transférés

Lorsqu'un e-mail est transféré, l'adresse IP d'envoi devient celle du serveur de transfert, qui n'est généralement pas répertoriée dans SPF de l'expéditeur d'origine. Cela entraîne l'échec SPF pour l'e-mail transféré, même s'il était initialement légitime.

Optimisez votre SPF avec PowerDMARC

SPF essentiel pour l'authentification des e-mails, mais ses limites intrinsèques peuvent nuire discrètement à la délivrabilité de vos e-mails si elles ne sont pas contrôlées. Un seul « include » supplémentaire ou un mécanisme obsolète négligé peut faire dépasser à votre enregistrement la limite de 10 recherches DNS, provoquant SPF qui empêchent les e-mails légitimes d'atteindre leurs destinataires.

PowerDMARC simplifie la SPF .

Avec SPF automatisé, la surveillance des recherches en temps réel, les alertes d'erreur instantanées et une suite complète d'outils pour SPF, DKIM, DMARCet BIMI, PowerDMARC vous aide à rester dans les limites de recherche et à maintenir une configuration d'authentification propre à tout moment.

Ne laissez pas SPF nuire silencieusement à la délivrabilité de vos e-mails. Contactez-nous dès aujourd'hui !

Foire aux questions

1. Que se passe-t-il si mon SPF dépasse la limite de 10 recherches DNS ?

Lorsque votre SPF dépasse la limite de 10 recherches DNS, le serveur de messagerie destinataire renvoie un résultat « Permerror ». Cela entraîne l'échec SPF , ce qui peut conduire au rejet de vos e-mails légitimes, à leur marquage comme spam ou à leur livraison avec une réputation réduite.

2. Comment puis-je vérifier le nombre de recherches DNS utilisées par mon SPF ?

Vous pouvez utiliser des outils SPF en ligne tels que SPF gratuit de PowerDMARC pour analyser votre enregistrement et compter les recherches DNS. Ces outils vous montreront exactement quels mécanismes provoquent les recherches et vous aideront à identifier les possibilités d'optimisation. Vous pouvez également tracer manuellement votre SPF , en comptant chaque mécanisme « include », « a », « mx » et « ptr ».

3. Quelles sont les meilleures pratiques pour maintenir un SPF dans la limite de recherche ?

Les meilleures pratiques consistent notamment à vérifier régulièrement votre SPF afin de supprimer les services inutilisés, à utiliser des adresses IP plutôt que des inclusions lorsque cela est possible, à éviter les mécanismes « a » et « mx » sauf en cas de nécessité, à regrouper plusieurs services de messagerie électronique, à mettre en œuvre SPF pour les configurations complexes et à surveiller votre SPF afin d'être alerté en cas de modification du nombre de recherches.

Derniers messages de Ahona Rudra (voir tous)
Dernière mise à jour :
Étude de cas DMARC MSP : Comment QIT Solutions a simplifié la sécurité des courriels pour ses clients...PowerDMARC se classe parmi les 100 entreprises de logiciels à la croissance la plus rapide selon G2 20...