Erreurs courantes à éviter lors de la configuration des paramètres SPF

LA VALIDATION SPF est importante pour améliorer le taux de délivrabilité des courriels et pour protéger votre domaine contre l'hameçonnage (phishing) et le spam. phishing et du spam et du spam. Cependant, les paramètres SPF sont compliqués et vous pouvez vous tromper en les configurant. En corrigeant et en évitant ces erreurs courantes, vous vous assurez qu'il n'y a pas de faux positifs et que le protocole DMARC pour votre domaine d'envoi d'e-mails.

7 erreurs courantes à éviter lors de la configuration des paramètres SPF

Certains mécanismes DNS sont utilisés pour indiquer les adresses IP des systèmes autorisés à envoyer des courriels avec une adresse de chemin de retour. Mais leur utilisation incorrecte provoque des erreurs telles que le dépassement de la taille de l'enregistrement SPF, plus de 10 recherches DNS, plus de 2 recherches DNS non résolues, etc.

Nous avons répertorié les erreurs SPF les plus courantes afin de vous aider à les éviter lors de la configuration des paramètres SPF.

Erreur 1 : plusieurs enregistrements SPF

Il doit y avoir une entrée SPF par domaine, sinon les serveurs de réception refuseront les deux. Supprimez les entrées SPF qui ne sont pas utilisées actuellement, par exemple les services obsolètes avec des entrées SPF actives.

Vous pouvez résoudre cette erreur de paramétrage SPF en fusionnant deux ou plusieurs enregistrements en un seul. Supposons qu'un domaine d'utilisateur possède un enregistrement SPF et inclut une entrée Elastic Email SPF mais ne passe pas les contrôles de vérification. La raison possible est la présence de deux enregistrements sur le domaine. 

v=spf1 a mx include:_sampledomain1.com include:_spf.elasticemail.com ~all

v=spf1 a mx include:_sampledomain2.com ~all

Vous pouvez résoudre ce problème en les fusionnant en un seul enregistrement :

v=spf1 a mx include:_sampledomain1.com include:_sampledomain2.com include:_spf.elasticemail.com ~all

Erreur 2 : Trop de recherches DNS

Il y a une limite de 10 recherches "include", ce qui signifie que vous ne pouvez pas générer plus de 10 références à d'autres domaines. Chaque occurrence des paramètres "include", "a", "mx", "ptr", "exists" et "redirect" génère une recherche. En outre, si un domaine auquel il est fait référence dans un paramètre 'includecontient un autre paramètre, il sera également pris en compte dans la limite des 10 consultations. Le dépassement de la limite de consultation est donc l'une des erreurs les plus fréquentes lors de la configuration des paramètres SPF.

Vous pouvez corriger cela en supprimant 'inclutet les références aux domaines inactifs.

Erreur 3 : Permissive tous Mécanisme

Un enregistrement SPF est interprété de gauche à droite, et le caractèretous correspondra au mécanismetous qui ne correspondent pas aux mécanismes précédents. Il est suggéré de placer le mécanisme 'tous" à la fin de votre enregistrement SPF. à la fin de votre enregistrement SPF et de l'utiliser avec le préfixe ~ (softfail) ou - (fail). Si aucun préfixe n'est défini, le préfixe + (pass) est utilisé par défaut.

Erreur 4 : L'utilisation de la fonction ptr Mécanisme

L'élément SPF 'ptr' est utilisé pour la recherche DNS inversée qui renvoie le nom d'hôte à l'adresse IP correspondante. Ces informations sont utiles aux marques B2B en particulier. Mais ce mécanisme présente des problèmes de fiabilité et pèse sur les serveurs DNS inversés et les systèmes de messagerie électronique qui y sont connectés.

C'est pourquoi la RFC7208 déconseille l'utilisation de l'élément 'ptr' est déconseillée. Dans la plupart des cas, vous pouvez le remplacer par le mécanisme 'a' dans la plupart des cas.

Erreur 5 : L'utilisation de mx Mécanisme

Utiliser 'mx' pour les noms de domaine et non pour les noms de serveurs de messagerie. En disant mx:mailserver.sample.com est considérée comme incorrecte, à moins que vous ne demandiez à la validation SPF de rechercher tous les hôtes acceptant le courrier pour le domaine "mailserver.sample.com". Dans la plupart des cas, il n'y aura pas de tels hôtes car "mailserver.sample.com" est lui-même un hôte et non un domaine.

Il ne s'agit pas d'une erreur de syntaxe, mais cela ne correspond à rien.

La méthode correcte pour valider l'enregistrement MX de "sample.com" est la suivante mx:sample.com. Lorsque vous devez définir le nom d'hôte ou l'adresse IP d'un serveur de messagerie donné, vous devez utiliser a:mailserver.sample.com ou ip4:x.x.x.x, a:mailserver.sample.com ou ip4:x.x.x.x doit être utilisé.

Erreur 6 : Création d'un enregistrement SPF sans recherche appropriée

Ceci est particulièrement vrai pour les fournisseurs d'accès à Internet. Ne créez pas d'enregistrements contenant des informations incomplètes sur le domaine, son propriétaire et la marque à laquelle il appartient. Recherchez le serveur de messagerie qu'ils utilisent, sinon vous risquez de bloquer le chemin de livraison des courriels sortants depuis leur serveur de messagerie interne.

Septième erreur : les fautes de frappe

Évitez de commettre des erreurs courantes lors de la configuration des paramètres SPF en vérifiant deux fois que l'enregistrement SPF ne contient pas de fautes de frappe. Vous pouvez taper "inlcude" au lieu de "include". Cela peut rendre l'enregistrement entier invalide.

Erreur 8 : Ne pas publier les enregistrements SPF pour les noms HELO utilisés par vos serveurs de courrier électronique

Verifying HELO or EHLO names is encouraged by the SPF RFC. HELO or its developed version EHLO is used when Mail from is <> despite the recipient’s failure in doing 100% HELO checking.

La publication d'un protocole HELO comprend la génération d'un enregistrement SPF correspondant au FQDN HELO utilisé par votre serveur de messagerie. Par exemple : mailserver.sample1.com

En général, il doit s'agir d'une règle SPF totalement distincte de celle qui vérifie l'adresse From dans votre domaine lié à "sample1.com".

Erreur 9 : Le contenu de l'enregistrement TXT n'est pas affiché avec des guillemets doubles

Le contenu d'un enregistrement DNS TXT est toujours entre guillemets ("-"), mais ceux-ci ne doivent jamais faire partie du contenu réel de l'enregistrement DNS. Ces guillemets ne servent qu'à l'affichage, car ils permettent de séparer le début et la fin du contenu d'un enregistrement TXT.

Un enregistrement SPF doit commencer par v=spf1 mais s'il commence par "v=spf1il ne sera pas reconnu du tout.

Toujours un problème ?

Chaque modification des paramètres SPF nécessite un certain temps pour se propager sur l'internet. Cela peut prendre jusqu'à 72 heures. Mais si vous rencontrez toujours des problèmes, utilisez notre vérificateur d'enregistrement SPF ou contactez notre équipe d'experts à l'adresse suivante [email protected].

• À propos de
• Derniers messages

Ahona Rudra

Responsable du marketing numérique et de la rédaction de contenu chez PowerDMARC

Ahona travaille en tant que responsable du marketing numérique et de la rédaction de contenu chez PowerDMARC. Elle est une rédactrice, une blogueuse et une spécialiste du marketing passionnée par la cybersécurité et les technologies de l'information.

Derniers messages de Ahona Rudra (voir tous)

• Comment protéger vos mots de passe de l'IA - 20 septembre 2023
• Que sont les attaques basées sur l'identité et comment les arrêter ? - 20 septembre 2023
• Qu'est-ce que la gestion continue de l'exposition aux menaces (CTEM) ? - 19 septembre 2023