Explication de la redirection SPF

Le SPF (Sender Policy Framework) est un modificateur d'enregistrement qui pointe vers un nom de domaine distinct contenant un enregistrement SPF . Les propriétaires de domaines peuvent configurer plusieurs domaines pour utiliser un seul enregistrement SPF hébergé sur un domaine à l'aide de la redirection SPF . Bien que cela puisse sembler avantageux à certains égards, nous ne le recommandons pas. Lisez la suite pour savoir pourquoi !

Points clés à retenir

La redirection SPF permet à plusieurs domaines de partager un seul enregistrement SPF , mais nécessite une configuration minutieuse pour éviter les problèmes de validation.
Le modificateur de redirection SPF peut augmenter le nombre de consultations DNS, dépassant potentiellement le maximum autorisé et provoquant des échecs d'authentification.
L'utilisation du mécanisme d'inclusionSPF offre une plus grande flexibilité et réduit le risque de tomber dans des états d'erreur lors de la gestion des enregistrements SPF .
Des enregistrements SPF invalides ou manquants dans des domaines redirigés peuvent conduire à un résultat "hard fail", ce qui complique les processus de vérification des courriels.
Pour renforcer la sécurité du courrier électronique, les organisations devraient mettre en œuvre SPF , DKIM et DMARC afin d'assurer une protection solide contre les attaques par usurpation d'identité et par hameçonnage.

Introduction à SPF et au modificateur de redirection

SPF est la norme d'authentification des courriels qui protège votre organisation contre l'usurpation d'identité et le spam en conservant un registre des parties autorisées.

Le modificateur de redirection SPF est facultatif et ne peut être utilisé qu'une seule fois par enregistrement SPF . Il existe certaines conditions préalables à l'utilisation de la redirection SPF . Elles sont les suivantes :

Cela n'a de sens que lorsqu'une organisation travaille avec plusieurs domaines.
Tous ces domaines doivent partager la même infrastructure de messagerie.
Le second domaine, qui est redirigé, doit disposer d'un enregistrement SPF valide.
Pour utiliser la redirection SPF , le contrôle de tous les domaines participant à la chaîne de redirection doit être exercé par le propriétaire du domaine.

Simplifiez la redirection SPF avec PowerDMARC !

15 jours d'essai Réservez une démo

Comment fonctionne le modificateur de redirection SPF ?

Pour mieux comprendre la fonctionnalité de la redirection SPF , examinons l'exemple suivant :

Si domain_test.com a un enregistrement SPF tel que :
v=spf1 redirect=domaine_test2.com

Cela indique que l'enregistrement SPF pour "domain_test2.com" doit être utilisé au lieu de "domain_test". Les mails du domaine_test seront alors redirigés en utilisant "domaine_test2".

Quand pouvez-vous utiliser le modificateur de redirection SPF ?

1. Lorsqu'un seul enregistrement doit être utilisé pour plusieurs domaines

Par exemple,

delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com"
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

Dans cet exemple, tout courrier provenant des trois domaines ci-dessus sera décrit par le même enregistrement, dans ce cas, "_spf.example1.com", ce qui offre aux utilisateurs un avantage administratif.

2. Lorsque le nom du domaine doit être modifié.

Pour tous les mécanismes, la valeur de "a", "mx" et "ptr" est facultative. Si aucune valeur spécifique n'est fournie, elles sont définies sur le domaine actuel. Toutefois, lorsqu'une "redirection" est utilisée, les mécanismes "a", "mx" et "ptr" pointent vers le domaine redirigé.

Prenons l'exemple suivant :
powerdmarc.com "v=spf1 a -all"

Ici, le mécanisme "a" n'a pas de valeur spécifiée, il pointera donc vers l'enregistrement DNS "A" de "powerdmarc.com" car c'est là que l'enregistrement SPF est hébergé comme spécifié dans l'exemple.

Considérons maintenant l'exemple suivant :
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"

Dans l'exemple ci-dessus, le mécanisme "a" pointe vers l'enregistrement DNS "A" de "_spf.powerdmarc.com", même si le domaine racine "powerdmarc.com" le redirige.

Il s'agit là d'une des causes courantes des problèmes de validation SPF, difficile à déboguer. Si votre organisation utilise une SPF , notez que s'il existe un mécanisme « a », « mx » ou « ptr » sans nom de domaine explicitement défini dans votre SPF redirigé, celui-ci pointera uniquement vers le domaine redirigé.

Inconvénients de la redirection SPF

1. Le modificateur "redirect" ajoute au nombre de recherches DNS.

Lors de l'utilisation de l'authentification SPF , chaque fois qu'un courriel est envoyé d'un domaine au domaine du destinataire, le serveur de messagerie du destinataire effectue des requêtes DNS, également connues sous le nom de "DNS lookups", pour vérifier les adresses IP autorisées existantes dans votre DNS et les comparer à l'adresse IP dans l'en-tête "return-path" du courriel reçu. La norme SPF RFC7208 limite le nombre maximum de ces recherches à 10.

Un modificateur "redirect", lorsqu'il est utilisé, augmente également ce nombre. Votre organisation doit donc être prudente lorsqu'elle utilise un modificateur de "redirection", car la limite de limite de 10 recherches DNS peut être dépassée. Cela peut entraîner un dysfonctionnement de SPF et des échecs d'authentification.

Chez PowerDMARC, nos utilisateurs configurent PowerSPF, un outilefficace d'aplatissement duSPF , afin de limiter le nombre de consultations et de bénéficier d'un SPF sans erreur.

2. Un résultat erroné est renvoyé si aucune politique SPF n'est définie dans les domaines utilisant "redirect"

Si vous incluez un domaine qui ne contient pas d'enregistrement SPF ou dont l'enregistrement est invalide, un résultat softfail (none) est renvoyé, ce qui n'affecte pas le processus de vérification.

Cependant, lors de l'utilisation du modificateur de redirection SPF , si le domaine redirigé contient un enregistrement invalide ou manquant pour SPF, un résultat SPF Permerror est renvoyé, ce qui constitue un échec brutal et peut entraîner le blocage de SPF .

Utilisation du mécanisme d'inclusion SPF au lieu du modificateur de redirection SPF

Nous recommandons d'utiliser le mécanisme d'inclusion SPF au lieu du modificateur de redirection pour éviter certaines complications courantes :

Lorsqu'un mécanisme de redirection est utilisé, il marque la fin de l'enregistrement et aucune autre modification ne peut être apportée. En revanche, si vous utilisez un include SPF , vous pouvez modifier votre enregistrement et ajouter d'autres includes, enregistrements a ou mx à votre guise, ce qui offre une plus grande flexibilité.
Le mécanisme d'inclusion peut vous aider à raccourcir votre enregistrement SPF de manière à ce qu'il soit inférieur à la limite de longueur des caractères SPF . Vous pouvez créer un enregistrement TXT SPF sur spfrecord1.xyz.com et spfrecord2.abc.com en divisant le long enregistrement SPF initial et en incluant les deux domaines dans l'enregistrement TXT de l'un des domaines (par exemple : xyz.com).
Au cas où il y aurait aucun enregistrement SPF n'a été trouvé dans un domaine redirigé, la conservation de l'état d'erreur (valeur permerror) pour la redirection comme mentionné ci-dessus peut également être contournée en utilisant le mécanisme include qui renverra un résultat softfail à la place avec vos emails toujours délivrés.
Contrairement à SPF include qui n'a pas d'effet sur le mécanisme all, le modificateur de redirection de SPF oblige le serveur à rendre l'élément SPF ~all pour le domaine racine en utilisant une redirection comme dans le cas suivant :

domain1.com "v=spf1 redirect=_spf.domain2.com"
_spf.domain2.com "v=spf1 ip4:164.100.226.127 ~all

Ceci est dû au fait que pour tout enregistrement utilisant la redirection, le mécanisme "all" est absent en premier lieu, ce qui peut coexister pendant l'utilisation des mécanismes include. Par conséquent, l'ensemble "~all" pour le sous-domaine redirigé est également prélevé sur le domaine racine.

Conclusion

Il y a beaucoup de choses dont il faut se méfier lorsqu'on utilise un modificateur de "redirection", comme la limite de 10 consultations DNS, et votre organisation doit donc être prudente lorsqu'elle configure son enregistrement SPF . Votre organisation doit optimiser les enregistrements SPF de temps à autre en veillant à ce que les consultations DNS ne dépassent pas la limite. Pour toutes les questions SPF de votre organisation, consultez PowerSPF. Il effectue un aplatissement automatique et une mise à jour automatique des blocs de réseau afin de garantir que les IP autorisées sont toujours à jour et sécurisées. En outre, vous n'avez pas à vous soucier des limites de recherche DNS.

La meilleure façon de sécuriser vos courriers électroniques avec SPF est de les mettre en œuvre avec DKIM et DMARC gratuit. Cela contribuera à protéger votre organisation contre le spam et les éventuelles tentatives de spear-phishing. Consultez PowerDMARC et assurez-vous que votre organisation utilise un fournisseur de services technologiques DMARC actif et anti-spoofing.

À propos de
Derniers messages

Yunes Tarada

Expert en sécurité des domaines et des courriels chez PowerDMARC

Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.

Derniers messages de Yunes Tarada (voir tous)

Le format du numéro de série SOA n'est pas valide : causes et solutions - 13 avril 2026
Comment envoyer des e-mails sécurisés dans Gmail : guide étape par étape - 7 avril 2026
Comment envoyer des e-mails sécurisés dans Outlook : guide étape par étape - 2 avril 2026

Redirection SPF