Comment corriger " SPF Softfail Domain Does Not Designate IP as Permitted Sender " ?
par
Temps de lecture : 6 min
Si votre entreprise utilise ses propres domaines et gère ses courriers électroniques, il y a de fortes chances qu'elle rencontre des problèmes de courrier électronique et qu'elle soit confrontée à l'erreur " SPF Softfail Domain Does Not Designate IP as Permitted Sender ". Il est crucial que les entreprises désignent correctement les adresses IP utilisées pour envoyer des e-mails en leur nom comme expéditeur autorisé dans l'enregistrement SPF.
Points clés à retenir
- Il est essentiel de désigner correctement les adresses IP dans l'enregistrement SPF afin d'empêcher l'usurpation d'adresse électronique et de garantir la fiabilité de la communication par courrier électronique.
- La vérification des en-têtes des courriels peut aider à déterminer si l'adresse IP utilisée pour envoyer les courriels est autorisée dans l'enregistrement SPF.
- Chaque propriétaire de domaine doit tenir à jour une liste de toutes les sources d'envoi valides, y compris les services tiers, afin de garantir le respect des exigences SPF.
- L'intégration de DMARC avec SPF et DKIM renforce la sécurité du courrier électronique et fournit un retour d'information sur les échecs d'authentification.
- DMARC permet aux propriétaires de domaines de contrôler le traitement des courriels non authentifiés, ce qui contribue à la protection contre le phishing et les escroqueries.
Qu'est-ce que le SPF ?
SPF (Sender Policy Framework) est une norme d'authentification du courrier électronique qui protège les organisations contre l'usurpation d'identité. Un pirate peut utiliser le domaine et la marque d'une entreprise pour envoyer de faux messages à ses clients. Ces courriels de phishing semblent suffisamment authentiques pour convaincre les clients et les faire tomber dans une escroquerie en ligne au nom de l'entreprise. Cela nuit à la crédibilité de la marque de l'entreprise et à son image de marque. Le SPF peut être considéré comme une liste de domaines de confiance d'une entreprise d'où peuvent provenir des communications authentiques.
Comment vérifier si votre domaine est un expéditeur autorisé ?
La première étape pour résoudre l'erreur "SPF Softfail Domain Does Not Designate IP as Permitted Sender" est de vérifier l'autorité de l'expéditeur. Pour ce faire :
Étape 1: Connectez-vous au compte de messagerie du domaine de l'entreprise, disons, [email protected].
Étape 2: Envoyez un courriel à un autre compte de courriel auquel vous avez accès ; il peut s'agir d'un domaine externe comme Gmail, Yahoo, Hotmail, ou autres.
Étape 3: Connectez-vous au compte de messagerie où vous avez envoyé le premier courrier, puis consultez les en-têtes de ce courrier. Il sera marqué comme "Show original".
Ensuite, vous verrez quelque chose de similaire à ceci. Remarquez le message SPF Softfail.
-Message original -
X-Received : ...
sam, 13 mars, 2022 11:01:19 IST
Return-Path : [email protected]
Received : de mymy2.spfrecords.com (mymy2.spfrecords.com [60.130.71.223])
par mx.google.com avec l'identifiant ESMTPS
*id*
Pour [email protected]
Received SPF : softfail (google.com : le domaine de transition [email protected] ne désigne pas 60.130.71.223 comme expéditeur autorisé) client-ip=60.130.71.223 ;
Résultats de l'authentification : mx.google.com ;
Spf = softfail (google.com : le domaine de transition [email protected] ne désigne pas 60.130.71.223 comme expéditeur autorisé) client-ip=60.130.71.223 ;
*fin du message d'en-tête
Note: Si vous observez "Received-SPF : pass" dans l'en-tête, alors le domaine que vous utilisez pour envoyer les mails est authentifié et est déjà ajouté à votre enregistrement SPF, et vous n'avez rien à craindre. Cependant, comme indiqué ci-dessus, il y a un problème de softfail. Nous allons maintenant voir comment résoudre ce problème.
Simplifiez SPF avec PowerDMARC !
Que signifie "SPF Softfail Domain Does Not Designate IP as Permitted Sender" ?
L'expéditeur de votre courriel a une IP hôte qui ressemble à ceci :
30.10.323.005
Si l'adresse IP du domaine d'envoi n'est pas incluse dans l'enregistrement SPF de votre domaine, le serveur de réception du courrier électronique ne parvient pas à identifier l'adresse IP désignée comme expéditeur autorisé. Le serveur interprète automatiquement le message comme provenant d'une source non autorisée. C'est l'une des raisons possibles de l'échec du SPF pour le message. La probabilité d'échec de DMARC est élevée si le système d'authentification du courrier électronique repose uniquement sur SPF pour la vérification de la source (et non sur DKIM).
Dans de telles circonstances, si votre politique de protocole est réglée sur le rejet, votre message ne sera jamais remis ! Le propriétaire du domaine doit donc prendre des mesures rapides et efficaces pour résoudre le problème "SPF Softfail Domain Does Not Designate IP as Permitted Sender".
Comment inclure une IP comme expéditeur autorisé pour SPF ?
La solution à ce problème peut être divisée en plusieurs étapes :
1. Créez une liste de sources d'envoi pour votre domaine. Vous pouvez utiliser une liste d'adresses e-mail basée sur votre domaine, ainsi que des sources d'envoi tierces pour les transactions par e-mail.
2. Maintenant, identifiez les adresses IP des hôtes de ces sources d'envoi.
Comment trouver les adresses IP liées à vos sources d'envoi d'e-mails ?
C'est assez simple ! Pour trouver l'adresse IP de votre source d'envoi, ouvrez le courriel et affichez l'en-tête complet de votre courriel. Pour ce faire, vous devez cliquer sur les trois points situés dans le coin supérieur droit de votre courriel pour afficher le menu déroulant, et sélectionner "Afficher l'original".
Sur le message d'origine, faites défiler vers le bas jusqu'à la rubrique Reçu vous pourrez repérer l'adresse IP de l'expéditeur initial, comme indiqué ci-dessous :
3. Utilisez notre Générateur d'enregistrements SPF pour générer un enregistrement SPF gratuit pour votre domaine.
- Dans le générateur d'enregistrements, ajoutez toutes les adresses IP que vous souhaitez voir authentifiées pour envoyer des e-mails et des communications au nom de l'entreprise.
- Ajoutez tout serveur tiers ou service de livraison externe comme source d'envoi autorisée pour votre domaine. De cette façon, tous les mails envoyés via des serveurs tiers passeront également l'authentification SPF.
4. Une fois que vous avez utilisé le générateur d'enregistrement SPF pour générer l'enregistrement SPF pour votre domaine avec tous les domaines et adresses IP de confiance ajoutés, il ne reste plus qu'à mettre en œuvre le SPF en le publiant sur votre DNS. Voici comment vous pouvez y parvenir :
- Connectez-vous à votre console de gestion DNS
- Ensuite, naviguez vers le domaine de votre choix (le domaine pour lequel vous essayez d'ajouter/modifier l'enregistrement SPF).
- Spécifiez que votre type de ressource est "TXT".
- Spécifiez le nom d'hôte comme "_spf".
- Collez la valeur de votre enregistrement SPF généré.
- Sauvegarder les changements pour configurer SPF pour votre domaine
Note: Les noms ou en-têtes ci-dessus peuvent varier en fonction de la console de gestion DNS que vous utilisez pour votre entreprise..
De cette façon, les propriétaires de domaines peuvent s'assurer que toutes leurs adresses IP et domaines de confiance qu'ils pourraient utiliser pour envoyer des communications au nom de l'entreprise sont ajoutés au serveur, et une erreur similaire où le domaine SPF Softfail ne désigne pas l'IP comme expéditeur autorisé ne se produira pas.
Comment utiliser efficacement la norme SPF ?
La seule façon de consolider la technologie SPF d'une entreprise est de l'intégrer à la norme DMARC. Voici les avantages de cette démarche,
1. DMARC = SPF + DKIM
Les protocoles d'authentification des e-mails tels que DMARC sont configurés en ajoutant un enregistrement TXT à votre DNS. Outre la configuration d'une politique pour les e-mails de votre domaine, vous pouvez également tirer parti de DMARC pour activer un mécanisme de rapport qui vous enverra une foule d'informations sur vos domaines, vos fournisseurs et vos sources d'e-mails.
DMARC peut vous aider à utiliser les technologies SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) en tandem pour donner à votre domaine une protection encore meilleure contre l'usurpation.
Note: Ceci est recommandé, mais pas obligatoire. DMARC peut fonctionner avec l'alignement des identifiants SPF ou DKIM.
2. Rapport et retour d'information avec PowerDMARC
Ni SPF ni DKIM ne donnent au propriétaire du domaine un retour d'information sur les courriels qui échouent à l'authentification. DMARC vous envoie directement des rapports détaillés que la plateforme PowerDMARC convertit en graphiques et tableaux faciles à lire.
3. Contrôler ce qui arrive aux courriels non authentifiés
DMARC vous permet, en tant que propriétaire du domaine, de décider si un courriel dont la validation échoue est envoyé dans la boîte de réception, dans les spams ou s'il est rejeté. Avec PowerDMARC, il vous suffit de cliquer sur un bouton pour définir votre politique DMARC, et c'est aussi simple que cela.
Les expéditeurs non autorisés peuvent constituer une menace dangereuse pour la sécurité de vos clients ainsi que pour l'image et la valeur de marque de votre entreprise. Protégez vos clients contre le phishing et les escroqueries en incorporant DMARC dans votre entreprise, et ne permettez que les courriers provenant d'expéditeurs authentifiés de leur parvenir.
Expert en sécurité des domaines et des courriels chez PowerDMARC
Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.
Derniers messages de Yunes Tarada (voir tous)
