Le site SPF (Sender Policy Framework) est un modificateur d'enregistrement qui pointe vers un nom de domaine distinct contenant un enregistrement SPF. Les propriétaires de domaines peuvent configurer plusieurs domaines pour utiliser un seul enregistrement SPF hébergé sur un domaine en utilisant la redirection SPF. Bien que cela puisse sembler bénéfique à certains égards, nous ne le recommandons pas. Lisez la suite pour savoir pourquoi !
Introduction au SPF et au modificateur de redirection
SPF est la norme d'authentification des e-mails qui protège votre organisation contre l'usurpation d'identité et le spam en conservant un registre des parties autorisées.
Alors que le modificateur de redirection SPF est facultatif et ne peut être utilisé qu'une fois par enregistrement SPF. Il y a certaines conditions préalables à l'utilisation de la redirection SPF. Elles sont les suivantes :
- Cela n'a de sens que lorsqu'une organisation travaille avec plusieurs domaines.
- Tous ces domaines doivent partager la même infrastructure de messagerie.
- Le deuxième domaine, qui est redirigé, doit avoir un enregistrement SPF valide en place.
- Pour utiliser la redirection SPF, le propriétaire du domaine doit avoir le contrôle de tous les domaines participant à la chaîne de redirection.
Comment fonctionne le modificateur de redirection SPF ?
Pour mieux comprendre la fonctionnalité de la redirection SPF, examinons l'exemple suivant :
Si domain_test.com a un enregistrement SPF tel que :
v=spf1 redirect=domaine_test2.com
Cela indique que l'enregistrement SPF pour "domain_test2.com" doit être utilisé à la place de "domain_test". Les mails du domaine_test seront alors redirigés en utilisant "domain_test2".
Quand pouvez-vous utiliser le modificateur de redirection SPF ?
1. Lorsqu'un seul enregistrement doit être utilisé pour plusieurs domaines
Par exemple,
delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com"
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"
Dans cet exemple, tout courrier provenant des trois domaines ci-dessus sera décrit par le même enregistrement, dans ce cas, "_spf.example1.com", ce qui offre aux utilisateurs un avantage administratif.
2. Lorsque le nom du domaine doit être modifié.
Pour tous les mécanismes, la valeur de "a", "mx" et "ptr" est facultative. Si aucune valeur spécifique n'est fournie, elles sont définies sur le domaine actuel. Toutefois, lorsqu'une "redirection" est utilisée, les mécanismes "a", "mx" et "ptr" pointent vers le domaine redirigé.
Prenons l'exemple suivant :
powerdmarc.com "v=spf1 a -all"
Ici, le mécanisme "a" n'a pas de valeur spécifiée, il pointera donc vers l'enregistrement DNS "A" de "powerdmarc.com", car c'est là que l'enregistrement SPF est hébergé comme indiqué dans l'exemple.
Considérons maintenant l'exemple suivant :
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"
Dans l'exemple ci-dessus, le mécanisme "a" pointe vers l'enregistrement DNS "A" de "_spf.powerdmarc.com", même si le domaine racine "powerdmarc.com" le redirige.
C'est l'une des causes courantes des problèmes de validation de SPF et elle est difficile à déboguer. Si votre organisation utilise une "redirection" SPF, notez que s'il existe un mécanisme "a", "mx" ou "ptr" sans nom de domaine explicitement défini dans votre enregistrement SPF redirigé, celui-ci ne pointera que vers le domaine redirigé.
Inconvénients de l'utilisation de la redirection SPF
1. Le modificateur "redirect" ajoute au nombre de recherches DNS.
Lors de l'utilisation de l'authentification SPF, chaque fois qu'un courriel est envoyé d'un domaine au domaine du destinataire, le serveur de courriel du destinataire effectue des requêtes DNS, également appelées recherches DNS, pour vérifier les adresses IP autorisées existantes dans votre DNS et les comparer à l'adresse IP dans l'en-tête return-path du courriel reçu. La norme SPF RFC7208 limite le nombre maximum de ces recherches à 10.
Un modificateur "redirect", lorsqu'il est utilisé, augmente également ce nombre. Votre organisation doit donc faire attention lorsqu'elle utilise un modificateur de "redirection", car la limite de 10 consultations DNS est dépassée. limite de 10 consultations de DNS peut être dépassée. Cela peut provoquer une rupture du SPF et conduire à des échecs d'authentification.
Chez PowerDMARC, nos utilisateurs configurent PowerSPF qui est un outil efficace d'aplatissement du SPF pour limiter le nombre de consultations et bénéficier d'un SPF sans erreur.
2. Un résultat erroné est retourné si aucune politique SPF n'est définie dans les domaines utilisant "redirect".
Dans le cas où vous incluez un domaine qui ne contient pas d'enregistrement SPF ou dont l'enregistrement est invalide, un résultat softfail (none) est renvoyé, ce qui n'affecte pas le processus de vérification.
Cependant, lors de l'utilisation du modificateur de redirection SPF, si le domaine redirigé contient un enregistrement SPF invalide ou manquant, un résultat SPF Permerror est renvoyé, ce qui constitue un échec cuisant et peut entraîner la rupture de SPF.
Utilisation du mécanisme SPF include au lieu du modificateur de redirection SPF
Nous recommandons d'utiliser le mécanisme d'inclusion SPF au lieu du modificateur de redirection pour éviter certaines complications courantes :
- Lorsqu'un mécanisme de redirection est utilisé, il indique la fin de l'enregistrement et aucune autre modification ne peut être apportée. En revanche, si vous utilisez un include SPF, vous pouvez modifier votre enregistrement et ajouter des includes, des a ou des mx à votre guise, ce qui vous offre une plus grande souplesse.
- Le mécanisme d'inclusion peut aider à raccourcir votre enregistrement SPF afin qu'il soit en dessous de la limite de longueur de caractères du SPF. Vous pouvez créer un enregistrement TXT SPF pour spfrecord1.xyz.com et spfrecord2.abc.com en divisant l'enregistrement SPF long et unique d'origine et en incluant les deux domaines dans l'enregistrement TXT pour l'un des domaines (par exemple : xyz.com).
- Dans le cas où il n'y a aucun enregistrement SPF trouvé dans un domaine redirigé, la conservation de l'état d'erreur (valeur permerror) pour la redirection comme mentionné ci-dessus peut également être évitée en utilisant le mécanisme include qui renverra un résultat softfail à la place avec vos emails toujours livrés.
- Contrairement à SPF include qui n'a pas d'effet sur le mécanisme all, le modificateur SPF redirect donne l'instruction au serveur de rendre l'élément SPF ~all pour le domaine racine en utilisant la redirection comme dans le cas suivant :
domain1.com "v=spf1 redirect=_spf.domain2.com"
_spf.domain2.com "v=spf1 ip4:164.100.226.127 ~all
Ceci est dû au fait que pour tout enregistrement utilisant la redirection, le mécanisme "all" est absent en premier lieu, ce qui peut coexister pendant l'utilisation des mécanismes d'inclusion. Par conséquent, le paramètre "~all" défini pour le sous-domaine redirigé est également appliqué au domaine racine.
Conclusion
Il y a beaucoup de choses dont il faut se méfier lorsqu'on utilise un modificateur de "redirection" comme la limite de 10 recherches DNS, donc votre organisation doit être prudente lors de la mise en place de votre enregistrement SPF. Votre organisation doit optimiser les enregistrements SPF de temps en temps en s'assurant que les recherches DNS restent dans la limite. Pour toutes les requêtes SPF de votre organisation, consultez PowerSPF. Il effectue un aplatissement automatique et une mise à jour automatique des blocs de réseau afin de garantir que les IP autorisées sont toujours à jour et sécurisées. En outre, vous n'avez pas à vous soucier de la permerrorisation ou du dépassement des limites de consultation des DNS.
La meilleure façon de sécuriser vos courriers électroniques avec SPF est de les mettre en œuvre avec DKIM et DMARC gratuit. Cela contribuera à protéger votre organisation contre le courrier indésirable et les éventuelles tentatives de spear-phishing. Consultez PowerDMARC et assurez-vous que votre organisation utilise un fournisseur de services technologiques DMARC actif et anti-spoofing.
