Les macros SPF sont une fonctionnalité efficace et importante du Sender Policy Framework qui est utilisée lorsque les propriétaires de domaines demandent un enregistrement SPF plus dynamique et plus évolutif pour authentifier leurs domaines de courrier électronique. Les macros SPF font partie de la syntaxe de l'enregistrement syntaxe de l'enregistrement SPFElle définit des séquences de caractères qui sont remplacées par des métadonnées provenant de courriels individuels nécessitant une validation SPF. Cela permet de créer des enregistrements SPF simplifiés, évitant ainsi la génération d'enregistrements SPF longs et compliqués.
Chez PowerDMARC, nous avons conçu notre solution de gestion SPF - PowerSPF PowerSPF de manière à utiliser les technologies SPF Flattening et SPF Macros pour offrir une grande flexibilité en ce qui concerne l'authentification SPF et l'optimisation des enregistrements. Au fil des ans, PowerSPF est devenu l'un des produits préférés des clients en raison de sa facilité d'utilisation et de son efficacité.
Pour en savoir plus, vous pouvez consulter le document officiel de l'IETF.
Les macros du FPS expliquées
Les macros SPF sont des séquences de caractères qui peuvent être utilisées pour simplifier la configuration de votre enregistrement SPF en remplaçant les mécanismes définis dans ledit enregistrement SPF DNS TXT, comme expliqué dans la section 7 de la RFC 7208.
Les enregistrements SPF sont généralement simples et les instructions destinées aux serveurs des destinataires concernant le traitement des courriels illégitimes provenant de votre domaine peuvent être établies à l'aide de mécanismes SPF, de qualificateurs et de modificateurs. Cependant, dans certaines situations, les mécanismes SPF ne suffisent pas et les macros SPF doivent être utilisées.
Les macros SPF sont représentées par un signe de pourcentage (%) et comprennent une combinaison de deux lettres ou plus, des modificateurs et des délimiteurs. Au cours du processus d'authentification SPF, les macros SPF sont évaluées et remplacées par les valeurs correspondantes, comme expliqué dans le document suivant
Par exemple, les %s et %d désignent respectivement l'adresse de l'expéditeur et le nom de domaine lié à l'identité vérifiée.
Les modificateurs tels que r, l ou o sont appliqués pour extraire des éléments particuliers de l'adresse ou du domaine, et les délimiteurs tels que - ou . permettent de séparer les différents éléments au sein de la macro.
Types de macros SPF
Les macros SPF sont désignées par différents alphabets ou caractères simples entourés d'accolades { } et précédés d'un signe de pourcentage (%), qui renvoie à des mécanismes spécifiques dans votre enregistrement SPF. Voici les macros principales.
- %{s}: The “s” Macro represents the sender’s email address. Example- Mark@domain.com.
- %{l}: It’s used to denote the local part of the sender. Example- Mark.
- %{o}: This highlights the sender’s domain. Example: domain.com.
- %{d}: Similar to “o”, this Macro represents the authoritative sending domain. In most cases it is the same as the sender’s domain however, it may differ in some cases.
- %{i}: It’s used to extract the IP address of the sender of the message, e.g. 192.168.1.100
- %{h}: The hostname specified by the HELO or EHLO command used during the SMTP connection when the message is being sent is referred to by the %{h} macro.
Il existe de nombreuses autres macros qui peuvent être spécifiées dans votre enregistrement, mais nous en avons énuméré quelques-unes parmi les plus courantes.
Comment fonctionnent les macros du FPS ?
Avec les macros SPF, les propriétaires de domaines peuvent spécifier des références à certains mécanismes dans leur enregistrement SPF, remplaçant ainsi ces mécanismes. Lors d'une requête DNS par le MTA destinataire, les références sont alors utilisées pour extraire les mécanismes et étendre votre enregistrement, ce qui permet de créer des enregistrements SPF plus faciles à gérer et à adapter.
Voici un exemple de macros utilisées dans un enregistrement SPF.
“v=spf1 include:%{i}_.%{d}._spf.powerdmarc.com ~all”
- Ici, l'option include : contient les macros SPF.
- Il existe deux macros SPF, chacune représentée par une séquence de caractères composée d'un signe de pourcentage, d'une accolade gauche, d'une lettre de macro et d'une accolade droite. Dans l'exemple ci-dessus, %{i} indique l'adresse IP de l'expéditeur et %{d} représente le domaine de l'expéditeur à partir de la commande "MAIL FROM".
- Si l'on considère que l'adresse IP 192.168.1.100 est l'adresse IP du domaine d'envoi, lorsqu'un courrier électronique est envoyé à partir de cette IP, le serveur de réception lance une requête DNS pour consulter l'enregistrement DNS SPF du domaine.
- Lorsque le destinataire consulte l'enregistrement SPF du domaine expéditeur, il tombe sur des macros SPF qui sont ensuite remplacées par leurs valeurs correspondantes.
- Cet enregistrement SPF étendu est ensuite examiné pour déterminer si le courrier électronique réussit à passer la validation SPF ou s'il échoue.
Quand les macros sont-elles utilisées dans votre enregistrement SPF ?
Les macros SPF peuvent être utilisées dans toute une série de scénarios différents, en fonction des besoins des propriétaires de domaines. Elles peuvent s'avérer utiles si vous souhaitez simplifier une infrastructure complexe d'authentification des courriels, si vous utilisez plusieurs services tiers de traitement des courriels ou si vous souhaitez simplement réduire la taille de votre enregistrement SPF.
Voici quelques cas courants où les macros SPF peuvent s'avérer avantageuses :
Organisations dotées d'une infrastructure multi-domaine
Les entreprises qui exploitent plusieurs domaines sont les mieux placées pour utiliser les macros SPF, bien qu'elles puissent être utilisées par des organisations de toutes tailles. Les macros offrent beaucoup plus de souplesse et une optimisation efficace des enregistrements SPF par rapport aux méthodes d'aplatissement traditionnelles, afin de garantir le bon fonctionnement de SPF, même dans les environnements multi-domaines. Elles permettent également d'éviter la création de plusieurs enregistrements SPF.
Grandes infrastructures de courrier électronique
Les entreprises dotées d'infrastructures de courrier électronique complexes peuvent avoir besoin d'incorporer un certain nombre de mécanismes SPF, optimisés par l'utilisation de macros SPF. Ces macros permettent de définir des références à des mécanismes, en veillant à ce que l'enregistrement ne devienne pas trop long et reste en deçà de la limite fixée par le spécifiée par le RFC spécifiée par le RFC de 512 octets.
Services de tiers
Les organisations qui utilisent plusieurs fournisseurs de courrier électronique tiers peuvent désormais être tranquilles en sachant que SPF ne sera pas rompu, grâce à l'inclusion de macros SPF qui facilitent l'optimisation des inclusions de tiers tout en garantissant que votre enregistrement ne dépasse pas les limites autorisées pour les recherches DNS et les recherches de vide.
Les organisations résolvent les problèmes de SPF grâce aux macros SPF
Vous pouvez inclure plusieurs macros SPF dans un enregistrement et vous débarrasser des problèmes courants mis en évidence lors des contrôles SPF effectués manuellement ou à l'aide d'un vérificateur SPF. Voici ce que vous pouvez faire :
1. Empêcher les enregistrements SPF longs qui provoquent des erreurs d'interprétation
Lorsque votre enregistrement SPF comporte plusieurs include : cela peut éviter que votre enregistrement ne devienne trop long. Cependant, il ne s'agit pas d'une solution permanente. En utilisant des macros SPF dans la configuration SPF de votre domaine, vous éliminez les risques que votre enregistrement dépasse la limite de longueur spécifiée par la RFC pour les enregistrements DNS TXT (512 caractères).
2. Limiter les consultations DNS et Void et atténuer les effets de la perversion
Les organisations qui utilisent plusieurs sources d'envoi tierces et fournisseurs de courrier électronique sont susceptibles de dépasser les limites de consultation spécifiées par le RFC pour les requêtes DNS. En effet, chaque fournisseur ajoute au moins une ou plusieurs consultations. Celles-ci peuvent s'accumuler et entraîner la rupture de votre enregistrement SPF, ce qui se traduit par une erreur SPF.
En utilisant les macros SPF pour ajouter des références aux adresses IP ou aux domaines de ces fournisseurs externes, vous pouvez limiter les sources non autorisées tout en vous assurant que vous restez en deçà des limites de consultation.
Tirez parti des macros dans votre configuration SPF avec PowerSPF
Les macros SPF ont été largement supportées par les MTA pour permettre le dynamisme et l'évolutivité en termes d'authentification SPF, de création d'enregistrements et de gestion. PowerSPF intègre les macros SPF de manière transparente afin que nos clients puissent générer des enregistrements SPF avec une flexibilité accrue.
Pourquoi l'aplatissement de votre enregistrement SPF ne suffit-il pas ?
La méthode traditionnelle d'aplatissement des FPS s'avère efficace dans la plupart des cas impliquant des organisations de petite ou moyenne taille, avec des configurations plus simples et un nombre réduit de mécanismes de FPS. Toutefois, les choses peuvent se compliquer progressivement lorsque le nombre de mécanismes augmente, ce qui entraîne les situations défavorables suivantes :
- Le nombre de consultations DNS peut aller jusqu'à 10.
- La longueur du dernier enregistrement DNS peut dépasser 512 caractères (taille maximale autorisée pour un enregistrement DNS TXT).
- Les adresses IP autorisées et les sources d'envoi sont visibles publiquement, ce qui pose des problèmes de protection de la vie privée.
Macros SPF - Une meilleure approche
Conçues pour les entreprises ayant des configurations SPF complexes, mais tout aussi efficaces pour les petites et moyennes organisations, les macros dans SPF vous aident à optimiser et à gérer vos enregistrements de manière plus efficace que l'approche classique d'aplatissement. Voici comment :
- Les macros dans SPF limitent vos recherches DNS et void pour rester en dessous des limites maximales de 10 et 2 respectivement.
- Il maintient la longueur des caractères de votre enregistrement, en veillant à ce qu'il ne dépasse pas la limite de 512 caractères
- Les adresses IP et les sources d'envoi autorisées sont remplacées par des références de caractère, ce qui les dissimule aux yeux du public.
SPF Flattening vs SPF Macros
| Enregistrement SPF initial (5 consultations) | Macros SPF (1 lookup) | SPF Flattening (2 lookups) |
| v=spf1 include:_spf.google.com include:zcsend.net -all | v=spf1 exists:%{i}.abcde12345.macrospf.powerspf.com -all | abcde12345.powerspf.com :
v=spf1 ip6:2c0f:fb50:4000::/36 ip6:2a00:1450:4000::/36 ip6:2800:3f0:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2404:6800:4000::/36 ip6:2001:4860:4000::/36 ip4:74.125.0.0/16 ip4:35.191.0.0/16 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:72.14.192.0/18 ip4:64.233.160.0/19 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ip4:172.217.192.0/19 ip4:172.217.128.0/19 ip4:172.217.0.0/19 ip4:108.177.96.0/19 ip4:66.249.80.0/20 ip4:66.102.0.0/20 ip4:172.253.112.0/20 ip4:172.217.32.0/20 include:_s1.abcde12345.powerspf.com -all _s1.abcde12345.powerspf.com : v=spf1 ip4:172.217.160.0/20 ip4:172.253.56.0/21 ip4:108.177.8.0/21 ip4:130.211.0.0/22 ip4:136.143.160.0/23 ip4:135.84.82.0/23 ip4:35.190.247.0/24 ip4:165.173.128.0/24 ip4:135.84.81.0/24 -all |
Essayez nos solutions SPF dès aujourd'hui - contactez-nous pour une démonstration individuelle avec un expert expérimenté en sécurité des domaines et des emails!
