Macros SPF - Tout ce qu'il faut savoir

Blog

Découvrez comment SPF simplifient l'authentification des e-mails pour les responsables informatiques, les administrateurs et les équipes de sécurité. Le guide PowerDMARC couvre les cas d'utilisation, les exemples et les meilleures pratiques.

par Maitham Al Lawati

Dernière mise à jour :
Temps de lecture : 7 min
Macros SPF - Tout ce qu'il faut savoir
Table des matières-

Les macros SPF sont des séquences de caractères qui peuvent être utilisées pour simplifier un enregistrement SPF en remplaçant les mécanismes définis dans ledit enregistrement DNS.

Points clés à retenir

  1. Les macros SPF permettent d'obtenir des enregistrements SPF plus dynamiques et plus évolutifs, ce qui facilite l'authentification du courrier électronique pour les propriétaires de domaines.
  2. Les macros dans SPF réduisent la longueur et la complexité des enregistrements SPF , ce qui permet d'éviter de dépasser la limite de longueur du DNS.
  3. Les entreprises disposant d'infrastructures multi-domaines peuvent bénéficier de la flexibilité et de l'optimisation offertes par les macros SPF .
  4. L'utilisation de macros SPF peut contribuer à atténuer les problèmes liés au DNS et aux recherches de vide, ce qui permet d'améliorer les taux de distribution des courriels.
  5. Idéal pour les organisations qui gèrent plusieurs domaines ou des infrastructures de messagerie complexes.
  6. PowerSPF utilise les macros SPF pour améliorer la flexibilité et l'efficacité de la gestion des enregistrements SPF .

Les macrosSPF sont une fonctionnalité efficace et importante du Sender Policy Framework qui est utilisée lorsque les propriétaires de domaines demandent un enregistrement SPF plus dynamique et plus évolutif pour authentifier leurs domaines de courrier électronique. Les macros SPF font partie de la syntaxe de l'enregistrement syntaxe de l'enregistrementSPF Elle définit des séquences de caractères qui sont remplacées par des métadonnées provenant de courriels individuels nécessitant une validation SPF . Cela permet de créer des enregistrements SPF simplifiés, évitant ainsi la génération d'enregistrements SPF longs et compliqués.

Contrairement aux solutions traditionnelles, PowerSPF offre une prise en charge automatisée des macros, SPF en temps réel et des conseils d'experts dédiés, auxquels font confiance plus de 2 000 organisations à travers le monde.

Pour en savoir plus, vous pouvez consulter le document officiel de l'IETF.

Que sont SPF ?

SPF sont des séquences de caractères qui peuvent être utilisées pour simplifier la configuration SPF votre SPF en remplaçant les mécanismes définis dans ledit enregistrement SPF enregistrement DNS TXT, comme expliqué dans la section RFC 7208, section 7.

Les enregistrements SPF sont généralement simples et les instructions destinées aux serveurs des destinataires concernant le traitement des courriels illégitimes provenant de votre domaine peuvent être établies à l'aide de mécanismes SPF , de qualificateurs et de modificateurs. Cependant, dans certaines situations, les mécanismes SPF ne suffisent pas et les macros SPF doivent être utilisées. 

SPF sont représentées par un signe pourcentage (%) et comprennent une combinaison de deux lettres ou plus, de modificateurs et de délimiteurs. Au cours du processus SPF , les SPF sont évaluées et remplacées par leurs valeurs correspondantes.

Par exemple, les %s et %d désignent respectivement l'adresse de l'expéditeur et le nom de domaine lié à l'identité vérifiée. 

Les modificateurs tels que r, l ou o sont appliqués pour extraire des éléments particuliers de l'adresse ou du domaine, et les délimiteurs tels que - ou . permettent de séparer les différents éléments au sein de la macro.

Comprendre le rôle du protocole SMTP dans SPF

Pour bien comprendre SPF , il est essentiel de saisir comment elles interagissent avec le protocole SMTP (Simple Mail Transfer Protocol), le protocole fondamental pour la transmission des e-mails.

Variables SMTP dans SPF

  • Sender IP Address: Retrieved from the SMTP connection (%{i} macro)
  • HELO/EHLO Hostname: Captured during SMTP handshake (%{h} macro)
  • Envelope Sender: From the MAIL FROM command (%{s} macro)
  • Domain Information: Extracted from various SMTP headers (%{d} macro)

Cette approche dynamique permet SPF de valider les sources d'envoi en temps réel sur la base des données réelles des transactions SMTP, ce qui les rend particulièrement utiles pour les organisations disposant d'infrastructures de messagerie complexes.

SPF PowerDMARC

SPF sans prévenir. On ne s'en rend compte que lorsque les e-mails ne parviennent plus à leur destinataire.

PowerDMARC a aidé plus de 10 000 clients à :

Tableau de bord unique pour SPF, DMARC et DKIM
Surveillance automatisée — plus besoin de fouiller dans les rapports bruts
Alertes immédiates en cas de erreurs de configuration et de lacunes dans les politiques
S'adapter à des domaines clients multi-locataires

Vos 15 premiers jours sont offerts par nos soins

Inscrivez-vous pour un essai gratuit

Types de macros SPF

Les macros SPF sont désignées par différents alphabets ou caractères simples entourés d'accolades { } et précédés d'un signe de pourcentage (%), qui renvoie à des mécanismes spécifiques dans votre enregistrement SPF . Voici les macros principales.

MacroSyntaxeSignificationExemple
%{s}%{s}Adresse e-mail de l'expéditeur[email protected]
%{l}%{l}Partie locale de l'expéditeurmarquer
%{o}%{o}Domaine de l'expéditeurexemple.com
%{d}%{d}Domaine d'envoi faisant autoritéexemple.com
%{i}%{i}Adresse IP de l'expéditeur192.168.1.100
%{h}%{h}Nom d'hôte HELO/EHLOmail.exemple.com

Il existe de nombreuses autres macros qui peuvent être spécifiées dans votre enregistrement, mais nous en avons énuméré quelques-unes parmi les plus courantes.

Comment fonctionnent SPF ?

Avec les macros SPF , les propriétaires de domaines peuvent spécifier des références à certains mécanismes dans leur enregistrement SPF , remplaçant ainsi ces mécanismes. Lors d'une requête DNS par le MTA destinataire, les références sont alors utilisées pour extraire les mécanismes et étendre votre enregistrement, ce qui permet de créer des enregistrements SPF plus faciles à gérer et à adapter.

Voici un exemple de macros utilisées dans un enregistrement SPF .

“v=spf1 include:%{i}_.%{d}._spf.powerdmarc.com ~all”

  • Ici, l'option include : contient les macros SPF .
  • Il existe deux macros SPF , chacune représentée par une séquence de caractères composée d'un signe de pourcentage, d'une accolade gauche, d'une lettre de macro et d'une accolade droite. Dans l'exemple ci-dessus, %{i} indique l'adresse IP de l'expéditeur et %{d} représente le domaine de l'expéditeur à partir de la commande "MAIL FROM".
  • Si l'on considère que l'adresse IP 192.168.1.100 est l'adresse IP du domaine d'envoi, lorsqu'un courrier électronique est envoyé à partir de cette IP, le serveur de réception lance une requête DNS pour consulter l'enregistrement DNS SPF du domaine SPF
  • Lorsque le destinataire consulte l'enregistrement SPF du domaine expéditeur, il tombe sur des macros SPF qui sont ensuite remplacées par leurs valeurs correspondantes.
  • Cet enregistrement SPF étendu est ensuite examiné pour déterminer si le courrier électronique réussit à passer la validation SPF ou s'il échoue. 

Quand les macros sont-elles utilisées dans votre enregistrement SPF ?

Les macros SPF peuvent être utilisées dans toute une série de scénarios différents, en fonction des besoins des propriétaires de domaines. Elles peuvent s'avérer utiles si vous souhaitez simplifier une infrastructure complexe d'authentification des courriels, si vous utilisez plusieurs services tiers de traitement des courriels ou si vous souhaitez simplement réduire la taille de votre enregistrement SPF .

Voici quelques cas courants où les macros SPF peuvent s'avérer avantageuses :

Organisations dotées d'une infrastructure multi-domaine

Les organisations de niveau entreprise qui exploitent plusieurs domaines sont les utilisatrices les mieux adaptées aux SPF , bien que celles-ci puissent être utilisées par des organisations de toutes tailles. Les macros offrent une flexibilité nettement supérieure et une optimisation plus efficace des SPF par rapport aux méthodes traditionnelles d'aplatissement, afin de garantir SPF transparent SPF , même dans des environnements multi-domaines. Cela vous évite également de devoir créer plusieurs SPF .

Pour un prestataire de soins de santé qui gère plusieurs domaines pour différentes cliniques, les macros rationalisent SPF sur l'ensemble du réseau.

Grandes infrastructures de courrier électronique

Les entreprises dotées d'infrastructures de courrier électronique complexes peuvent avoir besoin d'incorporer un certain nombre de mécanismes SPF , optimisés par l'utilisation de macros SPF . Ces macros permettent de définir des références à des mécanismes, en veillant à ce que l'enregistrement ne devienne pas trop long et reste en deçà de la limite fixée par le spécifiée par le RFC spécifiée par le RFC de 512 octets.

Services de tiers

Les organisations qui utilisent plusieurs fournisseurs de messagerie tiers peuvent désormais être tranquilles en sachant que SPF ne sera pas rompu, grâce à l'inclusion de macros SPF qui facilitent l'optimisation des inclusions de tiers tout en garantissant que votre enregistrement ne dépasse pas les limites autorisées pour le DNS et les recherches de nullité.

Les organisations résolvent les problèmes de SPF grâce aux macros SPF

Vous pouvez inclure plusieurs macros SPF dans un enregistrement et vous débarrasser des problèmes courants mis en évidence lors des contrôles SPF effectués manuellement ou à l'aide d'un vérificateurSPF . Voici ce que vous pouvez faire :

1. Empêcher les enregistrements SPF longs qui provoquent des erreurs d'interprétation

Lorsque votre SPF comporte plusieurs include: , cela peut empêcher votre enregistrement de devenir trop long. Cependant, ce n'est pas une solution permanente. En utilisant SPF dans la configuration SPF de votre domaine SPF de votre domaine, vous éliminez le risque que votre enregistrement dépasse la limite de longueur spécifiée par la RFC pour les enregistrements DNS TXT (512 caractères).

2. Limiter les consultations DNS et Void et atténuer les effets de la perversion

Les organisations qui utilisent plusieurs sources d'envoi tierces et fournisseurs de messagerie électronique sont susceptibles de dépasser les limites de recherche spécifiées par la RFC pour les requêtes DNS. En effet, chaque fournisseur ajoute au moins une ou plusieurs recherches. Cela peut s'accumuler et entraîner la rupture de votre SPF , ce qui se traduit par une erreur SPF permerror.

En utilisant les macros SPF pour ajouter des références aux adresses IP ou aux domaines de ces fournisseurs externes, vous pouvez limiter les sources non autorisées tout en vous assurant que vous restez en deçà des limites de consultation.

Comment tester et dépanner SPF

Il est essentiel de tester SPF afin de s'assurer qu'elles fonctionnent correctement dans votre infrastructure de messagerie électronique. Voici une approche étape par étape pour valider et dépanner la mise en œuvre SPF vos SPF .

Liste de contrôle étape par étape pour les tests

  1. Utilisez SPF en ligne : testez votre SPF avec la syntaxe macro à l'aide d'outils tels que SPF de PowerDMARC.
  2. Test de recherche DNS : utilisez des outils en ligne de commande tels que nslookup ou dig pour vérifier l'expansion des macros.
  3. Envoyer des e-mails tests : envoyez des e-mails à partir de différentes sources et vérifiez les en-têtes d'authentification.
  4. Surveiller les rapports DMARC: examiner les rapports relatifs aux échecsSPF
  5. Vérifier les en-têtes des e-mails : examinez les en-têtes Authentication-Results pour SPF

Problèmes courants et dépannage

  1. Erreurs de syntaxe : formatage incorrect des macros ou absence d'accolades
  2. Résolution DNS : expansion de macro entraînant des domaines inexistants
  3. Limites de recherche : dépassement de la limite de 10 recherches DNS, même avec des macros
  4. Limites de caractères : les macros étendues créent des enregistrements DNS trop longs.
  • PowerDMARC SPF – SPF complète
  • Outils en ligne de commande : dig, nslookup, host
  • Analyseurs d'en-têtes d'e-mails pour l'inspection des résultats d'authentification

Tirez parti des macros dans votre configuration SPF avec PowerSPF

SPF ont été largement prises en charge par les MTA afin de permettre un certain dynamisme et une certaine évolutivité en termes SPF , de création d'enregistrements et de gestion. PowerSPF intègre de manière transparente SPF afin que nos clients puissent générer des enregistrements SPF avec une flexibilité accrue. 

Pourquoi l'aplatissement de votre enregistrement SPF ne suffit-il pas ?

Le traditionnel méthodeSPF s'avère efficace dans la plupart des cas impliquant des organisations de petite à moyenne taille avec des configurations plus simples et moins SPF . Cependant, les choses peuvent devenir progressivement plus difficiles lorsque les mécanismes augmentent, ce qui conduit aux situations défavorables suivantes : 

  • Le nombre de consultations DNS peut aller jusqu'à 10.
  • La longueur du dernier enregistrement DNS peut dépasser 512 caractères (taille maximale autorisée pour un enregistrement DNS TXT).
  • Les adresses IP autorisées et les sources d'envoi sont visibles publiquement, ce qui pose des problèmes de protection de la vie privée.

Macros SPF - Une meilleure approche

Conçues pour les entreprises ayant des configurations SPF complexes, mais tout aussi efficaces pour les petites et moyennes organisations, les macros dans SPF vous aident à optimiser et à gérer vos enregistrements de manière plus efficace que l'approche classique d'aplatissement. Voici comment : 

  • Les macros dans SPF limitent vos recherches DNS et void pour rester en dessous des limites maximales de 10 et 2 respectivement. 
  • Il conserve la longueur de votre enregistrement, en veillant à ce qu'il ne dépasse pas la limite de 512 caractères.
  • Les adresses IP et les sources d'envoi autorisées sont remplacées par des références de caractère, ce qui les dissimule aux yeux du public. 

SPF Flattening vs SPF Macros

Enregistrement SPF initial (5 consultations)Macros SPF (1 lookup)SPF Flattening (2 lookups)
v=spf1 include:_spf.google.com include:zcsend.net -allv=spf1 exists:%{i}.abcde12345.macrospf.powerspf.com -allabcde12345.powerspf.com :
v=spf1 ip6:2c0f:fb50:4000::/36 ip6:2a00:1450:4000::/36 ip6:2800:3f0:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2404:6800:4000::/36 ip6:2001:4860:4000::/36 ip4:74.125.0.0/16 ip4:35.191.0.0/16 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:72.14.192.0/18 ip4:64.233.160.0/19 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ip4:172.217.192.0/19 ip4:172.217.128.0/19 ip4:172.217.0.0/19 ip4:108.177.96.0/19 ip4:66.249.80.0/20 ip4:66.102.0.0/20 ip4:172.253.112.0/20 ip4:172.217.32.0/20 include:_s1.abcde12345.powerspf.com -all
_s1.abcde12345.powerspf.com :
v=spf1 ip4:172.217.160.0/20 ip4:172.253.56.0/21 ip4:108.177.8.0/21 ip4:130.211.0.0/22 ip4:136.143.160.0/23 ip4:135.84.82.0/23 ip4:35.190.247.0/24 ip4:165.173.128.0/24 ip4:135.84.81.0/24 -all

Quand utiliser SPF plutôt que SPF ?

  • Utilisez SPF lorsque : vous disposez d'infrastructures de messagerie complexes et dynamiques ou que vous avez besoin de confidentialité pour les sources autorisées.
  • Utilisez SPF lorsque : vous disposez de configurations plus simples avec des plages d'adresses IP statiques et moins de services tiers.
  • Approche hybride : combinez les deux méthodes pour obtenir des résultats optimaux dans les environnements d'entreprise.

Résumé et prochaines étapes

SPF constituent une solution puissante pour les organisations disposant d'infrastructures de messagerie complexes, offrant une authentification dynamique qui s'adapte à vos besoins commerciaux.

Mesures clés à prendre :

  • Évaluez la complexité et les limites de recherche de votre SPF actuelle.
  • Testez vos SPF à l'aide des outils de validation de PowerDMARC.
  • Envisagez la mise en œuvre SPF pour les environnements multi-domaines.
  • Surveillez les rapports DMARC pour suivre les performances SPF
  • Commencez votre essai gratuit pour découvrir la gestion automatisée SPF

Découvrez la différence PowerDMARC : contactez-nous pour bénéficier d'une démonstration individuelle avec un expert chevronné en matière de sécurité des domaines et des e-mails

Foire aux questions

1. Qu'est-ce qu'une SPF ?

Une SPF est une séquence de caractères dans un SPF qui est remplacée dynamiquement par des valeurs réelles lors de l'authentification des e-mails. Les macros utilisent des variables telles que %{i} pour l'adresse IP ou %{d} pour le domaine afin de créer SPF flexibles et évolutifs qui s'adaptent à différents scénarios d'envoi.

2. Le TXT est-il identique au SPF?

Non, TXT est un type d'enregistrement DNS, tandis que SPF un protocole d'authentification des e-mails. SPF sont publiés sous forme d'enregistrements TXT dans le DNS, mais tous les enregistrements TXT ne contiennent pas SPF . SPF commencent toujours par « v=spf1 » afin de les identifier comme SPF .

3. Comment vérifier si mes SPF fonctionnent ?

Vous pouvez tester SPF à l'aide de SPF en ligne, en envoyant des e-mails de test et en vérifiant les en-têtes d'authentification, en surveillant les rapports DMARC pour SPF et en utilisant des outils de recherche DNS pour vérifier l'expansion des macros. L'outil SPF de PowerDMARC permet de valider la syntaxe et la fonctionnalité des macros.

Derniers messages de Maitham Al Lawati (voir tous)
Dernière mise à jour :
7 bonnes pratiques pour sécuriser votre MacBookmeilleures pratiques pour sécuriser votre macbookL'influence de l'IA et de l'apprentissage automatique sur la cybersécurité éducativeL'influence de l'IA et de l'apprentissage automatique sur la cybersécurité dans l'enseignement