SPF : comment corriger un nombre trop élevé de requêtes DNS

Blog

Découvrez pourquoi SPF se produit et comment la résoudre rapidement. Suivez ces étapes pour restaurer l'authentification des e-mails et éviter les problèmes liés à un nombre trop important de requêtes DNS.

par Maitham Al Lawati

Dernière mise à jour :
8 Temps de lecture : 8 min
SPF : comment corriger un nombre trop élevé de requêtes DNS
Table des matières-

Points clés à retenir

  • SPF Permerror indique qu'il y a un problème fondamental avec l'enregistrement SPF d'un domaine, empêchant une évaluation précise.
  • Le dépassement de la limite de 10 consultations DNS peut entraîner de graves problèmes, tels que le rejet du courrier électronique ou sa classification en tant que spam.
  • Les erreurs de syntaxe dans l'enregistrement SPF peuvent conduire à Permerror, ce qui nécessite un formatage et une vérification minutieux.
  • Les enregistrements SPF surdimensionnés peuvent dépasser les limites de caractères établies, ce qui contribue à des problèmes de délivrabilité et à des erreurs SPF potentielles.
  • L'utilisation d'outils d'aplatissementSPF permet d'optimiser les enregistrements afin d'éviter les Permerrors et d'améliorer l'authentification des courriels.

Le Sender Policy Framework (SPF) est une méthode d'authentification des e-mails qui permet aux propriétaires de domaines de définir quels serveurs de messagerie sont autorisés à envoyer des messages en utilisant leur nom de domaine. Lorsqu'un message arrive, les serveurs de messagerie destinataires vérifient SPF voir s'il provient de l'une de ces sources approuvées avant de décider comment le traiter.

Lors de SPF , une erreur PermError indique un problème permanent dans SPF qui empêche son évaluation correcte. Cela se produit généralement lorsque l'enregistrement dépasse la limite de recherche DNS ou comporte des problèmes structurels qui perturbent SPF . Au lieu d'échouer occasionnellement, l'authentification échoue à chaque fois.

Lorsque cela se produit, même les e-mails légitimes peuvent commencer à paraître suspects aux serveurs destinataires. Les messages peuvent être rejetés, acheminés vers le dossier spam ou déclencher des échecs DMARC, tout cela parce que SPF lui-même ne peut pas être évalué de manière fiable.

Si vous cherchez à corriger SPF , la première étape consiste à comprendre ce qui la déclenche. Dans cet article, nous analysons les causes courantes des SPF et expliquons des moyens pratiques pour les résoudre afin que vos e-mails soient authentifiés correctement et parviennent à leurs destinataires.

Qu'est-ce que le SPF Permerror ?

Un SPF Permerror est une erreur permanente dans votre enregistrement SPF , ce qui signifie qu'il y a un problème qui l'empêche de fonctionner.

Un résultat Permerror est renvoyé par les serveurs de messagerie destinataires lorsque votre enregistrement SPF présente un problème critique qui le rend impossible à évaluer, tel qu'une syntaxe incorrecte, un trop grand nombre de consultations DNS (au-delà de la limite de 10) ou des mécanismes non valides. Contrairement à un échec SPF classique (qui signifie qu'un courriel n'a pas passé l'authentification), une Permerror indique que l'enregistrement SPF lui-même est défectueux ou mal configuré. Cela n'affecte pas seulement la délivrabilité, mais peut également affaiblir votre protocole DMARC si SPF est le seul mécanisme que vous utilisez pour aligner votre courrier électronique.

Pourquoi le SPF a-t-il une limite de 10 recherches DNS ?

Vous pouvez penser que la limite de 10 consultations DNS dans SPF est restrictive, mais elle est là pour une très bonne raison.

Selon le RFC 7208cette limite existe principalement pour des raisons de sécurité et de performance. Plus précisément, elle permet de protéger les serveurs de messagerie destinataires contre attaques par déni de service (DoS) de service (DoS) causées par des requêtes DNS excessives.

Voici comment on pourrait en abuser :

Un acteur de la menace peut créer un enregistrement SPF malveillant qui déclenche des centaines de recherches DNS en faisant référence à plusieurs domaines ou inclusions. Cet enregistrement pourrait être lié à un domaine usurpé se faisant passer pour une entreprise de confiance. Chaque fois qu'un serveur de réception tente de valider un tel courriel, il est obligé de résoudre toutes ces recherches, ce qui ralentit le serveur, voire le fait tomber en panne.

En limitant les consultations DNS à 10, le SPF est utile :

  • Maintenir la performance du traitement du courrier électronique
  • Protection contre les attaques par épuisement des ressources
  • Améliorer la fiabilité de la lutte contre l'usurpation d'identité en encourageant une meilleure conception des enregistrements SPF

Quelles sont les causes de la perversion du SPF ?

Une erreur SPF peut être déclenchée par plusieurs problèmes, notamment des recherches DNS excessives, des erreurs de syntaxe, des enregistrements mal configurés ou même des entrées SPF trop volumineuses. Voyons les causes les plus courantes :

1. Erreurs SPF

Un formatage incorrect ou une syntaxe non valide dans l'enregistrement SPF peut conduire à une Permerror, empêchant une évaluation correcte.

Causes courantes :

  • Caractères manquants ou mal placés (par exemple, guillemets " ou deux-points 🙂
  • Mécanismes ou qualificateurs non valides ou mal formés (par exemple, utilisation de include_spf.example.com au lieu de includespf.example.com)
  • Définitions de macros incorrectes ou macros non prises en charge

Exemples :

❌ v=spf1 include_spf.example.com -all → deux points manquants dans include

❌ v=spf1 +mx a:mail.example.com -all → le qualificatif + est inutile et souvent mal utilisé

2. Problèmes de configuration DNS

Il s'agit de problèmes de configuration DNS liés à votre enregistrement SPF .

Problèmes courants :

  • Enregistrement SPF pointant vers des domaines inexistants ou mal configurés
  • Enregistrements SPF manquants sur les domaines référencés
  • Types d'enregistrements DNS invalides ou obsolètes (par exemple, utilisation d'enregistrements de SPF au lieu de TXT)

Exemple :

Vos références de domaine incluentspf.partner.com, mais spf.partner.com n'existe pas ou n'a pas d'enregistrement TXT, ce qui entraîne un échec de l'évaluation SPF .

3. Trop de recherches DNS

SPF n'autorise que 10 consultations DNS pendant l'évaluation de l'enregistrement, comme défini dans la RFC 7208, section 4.6.4. Il s'agit d'une mesure de sécurité visant à prévenir les abus (par exemple, les attaques par déni de service) et à maintenir la légèreté des évaluations.

Ce qui compte pour une consultation :

  • inclure
  • a, mx, ptr
  • existe, rediriger

Les recherches nulles (requêtes qui ne renvoient aucune donnée DNS) sont également limitées à 2.

Cause commune :

Un enregistrement SPF comportant de nombreux mécanismes include : ou des includes imbriqués qui dépassent collectivement la limite de 10 recherches.

4. La circulaire comprend

Les inclusions circulaires se produisent lorsque les enregistrements SPF se renvoient les uns aux autres en boucle, créant ainsi des cycles de résolution infinis.

Exemple :

  • Domaine A : v=spf1 include:domainB.com -all
  • Domaine B : v=spf1 include:domainA.com -all

Cette référence circulaire entraîne l'échec de l'évaluation du SPF , ce qui provoque souvent une erreur de perception.

5. Mécanismes ou qualificatifs invalides

L'utilisation de mécanismes non reconnus ou dépréciés dans votre enregistrement SPF peut entraîner une erreur Permerror.

Erreurs courantes :

  • Des fautes de frappe comme ip6v au lieu de ip6
  • Mécanismes non pris en charge tels que all :, ptr : utilisés de manière incorrecte
  • Utilisation inutile ou incorrecte des qualificatifs + ou ?

Exemple :

❌ v=spf1 ptr:mail.example.com -all → mécanisme déconseillé
❌ v=spf1 ip4v:192.0.2.0/24 -all → mécanisme non valide (ip4v devrait être ip4)

6. SPF surdimensionnés

Les enregistrements SPF doivent respecter des limites de taille :

  • Chaque chaîne d'un enregistrement TXT doit comporter ≤ 255 caractères.
  • La longueur totale de l'enregistrement TXT ne doit pas dépasser 512 octets.
Causes des dossiers surdimensionnés :
  • Trop d'adresses IP, d'inclusions ou de mécanismes
  • Entrées en double ou inutiles

Exemple :

Un enregistrement tel que v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.0/24 include:spf1.example.com include:spf2.example.com include:spf3.example.com include:spf4.example.com -all peut dépasser les limites DNS ou les contraintes de taille.

Comment un trop grand nombre de requêtes DNS peut perturber vos e-mails

Lorsque votre enregistrement SPF déclenche plus de 10 recherches DNS, cela peut sérieusement perturber la livraison de votre courrier électronique. Voici ce qui peut se passer :

  • Retards de livraison: Les serveurs de messagerie peuvent ralentir le traitement lorsqu'ils essaient d'évaluer votre enregistrement SPF , ce qui entraîne des retards de livraison.
  • Erreurs de dépassement de délai : Un trop grand nombre de recherches peut entraîner des dépassements de délai lors de l'évaluation SPF , ce qui fait que les messages échouent silencieusement ou sont abandonnés.
  • Courriels rejetés : Certains serveurs de réception peuvent rejeter purement et simplement ou signaler les courriels avec SPF Permerror afin de protéger leur infrastructure.
  • Échec de DMARC : Si votre politique DMARC repose sur l'alignement SPF , l'échec d'un contrôleSPF peut rompre DMARC et réduire la crédibilité de votre domaine.

Comment réparer les erreurs de SPF (étape par étape)

Corrections manuelles

  • Supprimer les mécanismes d'inclusion inutilisés

Examinez chaque include : de votre enregistrement SPF et vérifiez s'il est toujours nécessaire. S'il est lié à un service que vous n'utilisez plus, supprimez-le.

  • Remplacer include par des adresses IP (si elles sont statiques)

Si un include : pointe simplement vers une IP statique ou une petite plage d'IP, remplacez-le directement par un mécanisme ip4 : ou ip6 : pour éviter une recherche DNS.

  • Éliminer les mécanismes PTR

PTR est déconseillé par la RFC 7208 pour des raisons de performance et de fiabilité. Il faut le supprimer complètement pour réduire les recherches et éviter les erreurs.

  • Consolider inclure les domaines

Certains services (par exemple, les plateformes ou fournisseurs de messagerie) proposent plusieurs entrées SPF. Vérifiez leur documentation, car ils fournissent souvent une seule entrée consolidée que vous pouvez utiliser au lieu de plusieurs.

  • Utilisez ip4 / ip6 lorsque cela est possible.

Si vous connaissez les adresses IP de vos serveurs d'envoi, ajoutez-les directement en utilisant ip4 : ou ip6 : au lieu de vous fier à des mécanismes tels que MX ou A qui nécessitent des recherches.

Meilleure pratique : utiliser un outil SPF automatique

L'aplatissement automatique du SPF est le processus de conversion dynamique de plusieurs déclarations "include" et d'autres recherches basées sur le DNS en une liste simplifiée d'adresses IP. Cette approche permet de réduire le nombre de recherches DNS lors des vérifications SPF .

SPF manuel SPF peut sembler être une solution rapide, mais il comporte des risques importants. Si votre fournisseur de services de messagerie modifie ses adresses IP d'envoi, votre SPF ne reflétera pas ce changement, sauf si vous le mettez à jour manuellement. Il nécessite donc une surveillance constante et des modifications manuelles pour rester conforme. Une adresse IP obsolète dans votre enregistrement aplati peut entraîner SPF , ce qui affecte la délivrabilité des e-mails et l'alignement DMARC.

PowerSPF est notre outil hébergé d'aplatissement et d'optimisation SPF qui automatise l'ensemble du processus, de sorte que vous n'ayez plus jamais à vous soucier des limites de consultation ou des changements d'IP.

  • Mises à jour automatiques lorsque les fournisseurs changent d'adresse IP: nous mettons à jour votre SPF en temps réel.
  • Configuration unique: configurez-le une fois et n'y pensez plus. Aucune maintenance continue n'est nécessaire.
  • Le nombre de recherches reste faible: votre SPF reste allégé et conforme aux directives et restrictions RFC.

Différences clés entre SPF et SPF

Échec du SPFSPF Permerror
Ce que cela signifieL'enregistrement SPF a été trouvé et évalué, mais l'expéditeur n'est pas autorisé.L'enregistrement SPF n'a pas pu être évalué en raison d'une erreur ou d'une mauvaise configuration.
CauseL'adresse IP de l'expéditeur ne figure pas dans l'enregistrement SPF du domaineSyntaxeSPF non respectée, trop de consultations DNS, ou autres problèmes critiques
Type de problèmeProblème temporaire (courriel non autorisé)Erreur permanenteSPF l'enregistrementSPF est invalide ou illisible)
ImpactLe courrier électronique risque d'être rejeté ou marqué comme spamLe courrier électronique peut être rejeté ou passer sans validation SPF .
Alignement DMARCPeut entraîner l'échec du DMARC si SPF n'SPF pas aligné.Peut rompre DMARC, en particulier si SPF est votre seul mécanisme aligné.
FixerPassez en revue votre liste d'expéditeurs pour autoriser les expéditeurs légitimes.Nécessite la correction de l'enregistrement SPF pour rétablir la fonctionnalité

Évitez les boucles DNS excessives et autres SPF

La prévention SPF nécessite une attention constante, en particulier lorsque votre infrastructure de messagerie évolue et que de nouveaux services tiers sont ajoutés au fil du temps. Quelques pratiques cohérentes permettent de garantir la validité SPF vos SPF et leur conformité aux limites du protocole (même si votre configuration continue d'évoluer).

La mise à jour régulière des paramètres des fournisseurs de services de messagerie garantit que les sources d'envoi autorisées restent conformes à votre SPF . Lorsque les fournisseurs mettent à jour leur infrastructure d'envoi ou recommandent des modifications pour inclure des domaines, le fait de ne pas refléter ces mises à jour peut entraîner des échecs d'authentification.

Il est tout aussi important de vérifier votre SPF chaque fois que des fournisseurs sont ajoutés, supprimés ou remplacés. Les plateformes marketing, les systèmes de facturation, les outils d'assistance et les services d'automatisation envoient souvent des e-mails au nom de votre domaine, et chaque modification doit donner lieu à une vérification afin de confirmer que votre SPF reflète toujours tous les expéditeurs actifs.

Le maintien d'un calendrier d'audit périodique permet d'éviter que les enregistrements ne deviennent trop complexes. Des examens réguliers facilitent la suppression des déclarations d'inclusion inutilisées, le suivi des recherches DNS et garantissent que l'enregistrement reste dans la limite SPF avant que des erreurs ne se produisent.

Le fait de répertorier tous les services qui envoient des e-mails au nom de votre domaine fournit un point de référence clair pour les mises à jour futures. Un simple inventaire des expéditeurs approuvés réduit les conjectures, accélère le dépannage et aide à maintenir une SPF propre et fiable au fil du temps.

Conclusion

SPF Permerror peut avoir un impact sur la délivrabilité, la santé du domaine et la sécurité. Des efforts simples comme la suppression des mécanismes redondants, le remplacement des mécanismes par des plages d'adresses IP et le contrôle de la délivrabilité peuvent s'avérer très utiles.

Et pour les organisations qui souhaitent éviter les tracas et gagner du temps, il existe des solutions hébergées telles que PowerSPF. Vous souhaitez découvrir comment cela fonctionne et comment cela peut transformer votre stratégie d'authentification ?Prenez rendez-vousdès aujourd'huipour une démonstration gratuiteavec l'un de nos experts internes !

Foire aux questions (FAQ)

SPF peut-il SPF 10 recherches si nécessaire ?

Non, SPF est strictement limité à 10 recherches DNS pendant l'évaluation, comme défini dans la RFC 7208. Le dépassement de cette limite provoque une erreur d'interprétation et vos courriels peuvent être rejetés ou marqués comme spam.

Puis-je avoir plusieurs enregistrements SPF ?

Non. Vous ne devez configurer qu'un seul enregistrement SPF par domaine qui autorise toutes vos sources d'envoi pour ce domaine. Plusieurs enregistrements peuvent les invalider tous, ce qui provoque des erreurs.

Quel est le moyen le plus sûr de réparer Permerror ?

Le moyen le plus sûr de corriger Permerror est d'utiliser une solution SPF hébergée comme PowerSPF pour optimiser dynamiquement SPF, avec un support expert disponible 24/7.  

L'aplatissement est-il sûr pour les IP dynamiques ?

Si votre fournisseur utilise des adresses IP dynamiques, l'aplatissement manuel peut rapidement devenir obsolète, entraînant SPF . Pour les adresses IP dynamiques ou changeant fréquemment, l'option la plus sûre consiste à utiliser une solution hébergée qui récupère et met à jour automatiquement les adresses IP à votre place. 

"Un excellent produit et une équipe formidable

Hakob Sharabkhanyan (PDG de Hacktech)

"Une entreprise, un produit et un fournisseur MSP fantastiques"

Bill Barnett (fondateur et président de Clearview IT)

PrécédentSuivant

Derniers messages de Maitham Al Lawati (voir tous)
Dernière mise à jour :
SPF, DKIM, DMARC : ce qu'ils sont et pourquoi ils sont importantsspf dkim dmarcQu'est-ce qu'un enregistrement DNS PTR ?Qu'est-ce qu'un enregistrement PTR et pourquoi est-il important ?