Comment réparer " SPF Softfail Domain Does Not Designate IP as Permitted Sender " ?
par
Dernière mise à jour : 6 Temps de lecture : 2 min
Si votre entreprise utilise ses propres domaines et ses propres courriers électroniques, il y a de fortes chances qu'elle rencontre des problèmes de courrier électronique et qu'elle soit confrontée à l'erreur " SPF Softfail Domain Does Not Designate IP as Permitted Sender " (Échec logiciel SPF : le domaine ne désigne pas l'adresse IP en tant qu'expéditeur autorisé). Il est essentiel que les entreprises désignent correctement les adresses IP utilisées pour envoyer des courriers électroniques en leur nom comme expéditeur autorisé dans l'enregistrement SPF .
Points clés à retenir
- Il est essentiel de désigner correctement les adresses IP dans l'enregistrement SPF afin d'empêcher l'usurpation d'adresse électronique et de garantir la fiabilité de la communication par courrier électronique.
- La vérification des en-têtes des courriels peut aider à déterminer si l'adresse IP utilisée pour envoyer les courriels est autorisée dans l'enregistrement SPF .
- Chaque propriétaire de domaine doit tenir à jour une liste de toutes les sources d'envoi valides, y compris les services tiers, afin de garantir le respect des exigences SPF .
- L'intégration de DMARC avec SPF et DKIM renforce la sécurité du courrier électronique et fournit un retour d'information sur les échecs d'authentification.
- DMARC permet aux propriétaires de domaines de contrôler le traitement des courriels non authentifiés, ce qui contribue à la protection contre le phishing et les escroqueries.
Qu'est-ce que le SPF?
SPF (Sender Policy Framework) est une norme d'authentification du courrier électronique qui protège les organisations contre l'usurpation d'identité. Un pirate peut utiliser le domaine et la marque d'une entreprise pour envoyer de faux messages à ses clients. Ces courriels de phishing semblent suffisamment authentiques pour convaincre les clients et les faire tomber dans une escroquerie en ligne au nom de l'entreprise. Cela nuit à la crédibilité de la marque de l'entreprise et à son image de marque. Le SPF peut être considéré comme une liste de domaines de confiance d'une entreprise d'où peuvent provenir des communications authentiques.
Comment vérifier si votre domaine est un expéditeur autorisé ?
La première étape pour résoudre l'erreur "SPF Softfail Domain Does Not Designate IP as Permitted Sender" est de vérifier l'autorité de l'expéditeur. Pour ce faire, procédez comme suit
Étape 1: Connectez-vous au compte de messagerie du domaine de l'entreprise, disons, [email protected].
Étape 2: Envoyez un courriel à un autre compte de courriel auquel vous avez accès ; il peut s'agir d'un domaine externe comme Gmail, Yahoo, Hotmail, ou autres.
Étape 3: Connectez-vous au compte de messagerie où vous avez envoyé le premier courrier, puis consultez les en-têtes de ce courrier. Il sera marqué comme "Show original".
Vous verrez alors quelque chose de similaire à ceci. Remarquez le message SPF Softfail.
-Message original -
X-Received : ...
sam, 13 mars, 2022 11:01:19 IST
Return-Path : [email protected]
Received : de mymy2.spfrecords.com (mymy2.spfrecords.com [60.130.71.223])
par mx.google.com avec l'identifiant ESMTPS
*id*
Pour [email protected]
Received SPF: softfail (google.com : domain of transitioning [email protected] does not designate 60.130.71.223 as permitted sender) client-ip=60.130.71.223 ;
Résultats de l'authentification : mx.google.com ;
Spf = softfail (google.com : domain of transitioning [email protected] does not designate 60.130.71.223 as permitted sender) client-ip=60.130.71.223 ;
*fin du message d'en-tête
Note: Si vous observez "SPF: pass" dans l'en-tête, alors le domaine que vous utilisez pour envoyer les mails est authentifié et est déjà ajouté à votre enregistrement SPF , et vous n'avez pas à vous inquiéter. Cependant, comme indiqué ci-dessus, il y a un problème de softfail. Nous allons maintenant voir comment résoudre ce problème.
Simplifiez SPF avec PowerDMARC !
Que signifie "SPF Softfail Domain Does Not Designate IP as Permitted Sender" ?
L'expéditeur de votre courriel a une IP hôte qui ressemble à ceci :
30.10.323.005
Si cette adresse IP pour le domaine d'envoi n'est pas incluse dans SPF de votre domaine, le serveur de réception des e-mails ne parvient pas à identifier l'IP désignée comme expéditeur autorisé. Le serveur interprète automatiquement le message comme provenant d'une source non autorisée. C'est une raison possible pour laquelle SPF pour le message. Cela entraîne une forte probabilité d'échec du DMARC si le système d'authentification des e-mails repose uniquement sur SPF la vérification de la source (et non sur le DKIM).
Dans de telles circonstances, si votre politique de protocole est réglée sur le rejet, votre message ne sera jamais délivré ! Par conséquent, le propriétaire du domaine doit prendre des mesures rapides et réalisables pour résoudre le problème "SPF Softfail Domain Does Not Designate IP as Permitted Sender" (Le domaineSPF Softfail ne désigne pas l'adresse IP comme expéditeur autorisé).
Comment inclure une adresse IP en tant qu'expéditeur autorisé pour SPF?
La solution à ce problème peut être divisée en plusieurs étapes :
1. Créez une liste de sources d'envoi pour votre domaine. Vous pouvez utiliser une liste d'adresses e-mail basée sur votre domaine, ainsi que des sources d'envoi tierces pour les transactions par e-mail.
2. Maintenant, identifiez les adresses IP des hôtes de ces sources d'envoi.
Comment trouver les adresses IP liées à vos sources d'envoi d'e-mails ?
C'est assez simple ! Pour trouver l'adresse IP de votre source d'envoi, ouvrez le courriel et affichez l'en-tête complet de votre courriel. Pour ce faire, vous devez cliquer sur les trois points situés dans le coin supérieur droit de votre courriel pour afficher le menu déroulant, et sélectionner "Afficher l'original".
Sur le message d'origine, faites défiler vers le bas jusqu'à la rubrique Reçu vous pourrez repérer l'adresse IP de l'expéditeur initial, comme indiqué ci-dessous :
3. Utilisez notre Générateur d'enregistrementSPF pour générer un enregistrement SPF gratuit pour votre domaine.
- Dans le générateur d'enregistrements, ajoutez toutes les adresses IP que vous souhaitez voir authentifiées pour envoyer des e-mails et des communications au nom de l'entreprise.
- Ajoutez tout serveur tiers ou service de livraison externe comme source d'envoi autorisée pour votre domaine. De cette façon, tous les courriers envoyés via des serveurs tiers passeront également l'authentification SPF .
4. Une fois que vous avez utilisé le générateur d'enregistrements SPF pour générer l'enregistrement SPF pour votre domaine avec tous les domaines et adresses IP de confiance ajoutés, il ne reste plus qu'à implémenter SPF en le publiant sur votre DNS. Voici comment vous pouvez y parvenir :
- Connectez-vous à votre console de gestion DNS
- Ensuite, naviguez vers le domaine de votre choix (le domaine pour lequel vous essayez d'ajouter/modifier l'enregistrement SPF )
- Spécifiez que votre type de ressource est "TXT".
- Spécifiez le nom d'hôte comme "_spf".
- Collez la valeur de l'enregistrement SPF généré
- Enregistrer les modifications pour configurer SPF pour votre domaine
Note: Les noms ou en-têtes ci-dessus peuvent varier en fonction de la console de gestion DNS que vous utilisez pour votre entreprise..
De cette manière, les propriétaires de domaines peuvent s'assurer que toutes les adresses IP et tous les domaines de confiance qu'ils sont susceptibles d'utiliser pour envoyer des communications au nom de l'entreprise sont ajoutés au serveur, et qu'une erreur similaire ne se produira pas lorsque le domaine SPF Softfail ne désigne pas l'adresse IP comme expéditeur autorisé.
Comment utiliser efficacement la norme SPF ?
La seule façon de consolider la technologie SPF d'une entreprise est de l'intégrer à la technologie DMARC. Voici les avantages d'une telle démarche,
1. DMARC = SPF + DKIM
Les protocoles d'authentification des e-mails tels que DMARC sont configurés en ajoutant un enregistrement TXT à votre DNS. Outre la configuration d'une politique pour les e-mails de votre domaine, vous pouvez également tirer parti de DMARC pour activer un mécanisme de rapport qui vous enverra une foule d'informations sur vos domaines, vos fournisseurs et vos sources d'e-mails.
DMARC peut vous aider à utiliser les technologies SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) en tandem pour offrir à votre domaine une protection encore meilleure contre l'usurpation d'identité.
Note: Ceci est recommandé, mais pas obligatoire. DMARC peut fonctionner avec l'alignement des identifiants SPF ou DKIM.
2. Rapport et retour d'information avec PowerDMARC
Ni SPF ni DKIM ne donnent au propriétaire du domaine un retour d'information sur les courriels qui échouent à l'authentification. DMARC vous envoie directement des rapports détaillés que la plateforme PowerDMARC convertit en graphiques et tableaux faciles à lire.
3. Contrôler ce qui arrive aux courriels non authentifiés
DMARC vous permet, en tant que propriétaire du domaine, de décider si un e-mail qui échoue à la validation doit être envoyé dans la boîte de réception, dans le dossier spam ou s'il doit être rejeté. Avec PowerDMARC, il vous suffit de cliquer sur un bouton pour définir votre politique DMARC, c'est aussi simple que cela.
Les expéditeurs non autorisés peuvent constituer une menace dangereuse pour la sécurité de vos clients ainsi que pour l'image et la valeur de marque de votre entreprise. Protégez vos clients contre le phishing et les escroqueries en incorporant DMARC dans votre entreprise, et ne permettez que les courriers provenant d'expéditeurs authentifiés de leur parvenir.
Expert en sécurité des domaines et des courriels chez PowerDMARC
Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.
Derniers messages de Yunes Tarada (voir tous)
