SPF Softfail Le domaine ne désigne pas l'IP comme expéditeur autorisé

Si votre entreprise utilise ses propres domaines et gère ses courriers électroniques, il y a de fortes chances qu'elle rencontre des problèmes de courrier électronique et qu'elle soit confrontée à l'erreur " SPF Softfail Domain Does Not Designate IP as Permitted Sender ". Il est crucial que les entreprises désignent correctement les adresses IP utilisées pour envoyer des e-mails en leur nom comme expéditeur autorisé dans l'enregistrement SPF.

Qu'est-ce que le SPF ?

SPF ou Sender Policy Framework est une norme d'authentification du courrier électronique qui protège les organisations contre l'usurpation d'identité. Un attaquant peut utiliser le domaine et la marque d'une entreprise pour envoyer de faux messages à ses clients. Ces courriels de phishing semblent suffisamment authentiques pour convaincre les clients et les faire tomber dans une escroquerie sur Internet au nom de l'entreprise. Cela nuit à la crédibilité de la marque de l'entreprise et à son image publique. Le SPF peut être vu comme une liste de domaines de confiance d'une entreprise d'où peuvent provenir des communications authentiques.

Comment vérifier si votre domaine est un expéditeur autorisé ?

La première étape pour résoudre l'erreur "SPF Softfail Domain Does Not Designate IP as Permitted Sender" est de vérifier l'autorité de l'expéditeur. Pour ce faire :

Étape 1: Connectez-vous au compte de messagerie du domaine de l'entreprise, disons, [email protected]

Étape 2: Envoyez un courriel à un autre compte de courriel auquel vous avez accès ; il peut s'agir d'un domaine externe comme Gmail, Yahoo, Hotmail, ou autres.

Étape 3: Connectez-vous au compte de messagerie où vous avez envoyé le premier courrier, puis consultez les en-têtes de ce courrier. Il sera marqué comme "Show original".

Ensuite, vous verrez quelque chose de similaire à ceci. Remarquez le message SPF Softfail.

-Message original -

X-Received : ...

sam, 13 mars, 2022 11:01:19 IST

Return-Path : [email protected]

Received : de mymy2.spfrecords.com (mymy2.spfrecords.com [60.130.71.223])

par mx.google.com avec l'identifiant ESMTPS 

*id*

Pour [email protected]

Received SPF : softfail (google.com : le domaine de transition [email protected] ne désigne pas 60.130.71.223 comme expéditeur autorisé) client-ip=60.130.71.223 ; 

Résultats de l'authentification : mx.google.com ;

Spf = softfail (google.com : le domaine de transition [email protected] ne désigne pas 60.130.71.223 comme expéditeur autorisé) client-ip=60.130.71.223 ; 

*fin du message d'en-tête

Note: Si vous observez "Received-SPF : pass" dans l'en-tête, alors le domaine que vous utilisez pour envoyer les mails est authentifié et est déjà ajouté à votre enregistrement SPF, et vous n'avez rien à craindre. Cependant, comme indiqué ci-dessus, il y a un problème de softfail. Nous allons maintenant voir comment résoudre ce problème.

Que signifie "SPF Softfail Domain Does Not Designate IP as Permitted Sender" ?

L'expéditeur de votre courriel a une IP hôte qui ressemble à ceci :

30.10.323.005

Si cette adresse IP du domaine expéditeur ne figure pas dans l'enregistrement SPF de votre domaine, le serveur de réception des e-mails ne parvient pas à identifier l'IP désignée comme un expéditeur autorisé. Le serveur interprète automatiquement le message comme provenant d'une source non autorisée. C'est une raison possible pour laquelle le SPF a échoué pour le message. Il y a une forte probabilité d'échec de DMARC si le système d'authentification du courrier électronique dépend uniquement de SPF pour la vérification de la source (et non de DKIM). 

Dans de telles circonstances, si votre politique de protocole est réglée sur le rejet, votre message ne sera jamais remis ! Le propriétaire du domaine doit donc prendre des mesures rapides et efficaces pour résoudre le problème "SPF Softfail Domain Does Not Designate IP as Permitted Sender".

Comment inclure une IP comme expéditeur autorisé pour SPF ?

La solution à ce problème peut être divisée en plusieurs étapes : 

1. Créez une liste de sources d'envoi pour votre domaine. Vous pouvez utiliser une liste d'adresses e-mail basée sur votre domaine, ainsi que des sources d'envoi tierces pour les transactions par e-mail.

2. Maintenant, identifiez les adresses IP des hôtes de ces sources d'envoi. 

Comment trouver les adresses IP liées à vos sources d'envoi d'e-mails ?

C'est assez simple ! Pour trouver l'adresse IP de votre source d'envoi, ouvrez le courriel et affichez l'en-tête complet de votre courriel. Pour ce faire, vous devez cliquer sur les trois points situés dans le coin supérieur droit de votre courriel pour afficher le menu déroulant, et sélectionner "Afficher l'original".

Sur le message d'origine, faites défiler vers le bas jusqu'à la rubrique Reçu vous pourrez repérer l'adresse IP de l'expéditeur initial, comme indiqué ci-dessous :

3. Utilisez notre Générateur d'enregistrements SPF pour générer un enregistrement SPF gratuit pour votre domaine.

  • Dans le générateur d'enregistrements, ajoutez toutes les adresses IP que vous souhaitez voir authentifiées pour envoyer des e-mails et des communications au nom de l'entreprise.
  • Ajoutez tout serveur tiers ou service de livraison externe comme source d'envoi autorisée pour votre domaine. De cette façon, tous les mails envoyés via des serveurs tiers passeront également l'authentification SPF.

4. Une fois que vous avez utilisé le générateur d'enregistrement SPF pour générer l'enregistrement SPF pour votre domaine avec tous les domaines et adresses IP de confiance ajoutés, il ne reste plus qu'à mettre en œuvre le SPF en le publiant sur votre DNS. Voici comment vous pouvez y parvenir :

  • Connectez-vous à votre console de gestion DNS
  • Ensuite, naviguez vers le domaine de votre choix (le domaine pour lequel vous essayez d'ajouter/modifier l'enregistrement SPF).
  • Spécifiez que votre type de ressource est "TXT".
  • Spécifiez le nom d'hôte comme "_spf".
  • Collez la valeur de votre enregistrement SPF généré. 
  • Sauvegarder les changements pour configurer SPF pour votre domaine

Note: Les noms ou en-têtes ci-dessus peuvent varier en fonction de la console de gestion DNS que vous utilisez pour votre entreprise..

De cette façon, les propriétaires de domaines peuvent s'assurer que toutes leurs adresses IP et domaines de confiance qu'ils pourraient utiliser pour envoyer des communications au nom de l'entreprise sont ajoutés au serveur, et une erreur similaire où le domaine SPF Softfail ne désigne pas l'IP comme expéditeur autorisé ne se produira pas. 

Comment utiliser efficacement la norme SPF ?

La seule façon de consolider la technologie SPF d'une entreprise est de l'intégrer à la norme DMARC. Voici les avantages de cette démarche,

1. DMARC = SPF + DKIM

Les protocoles d'authentification des e-mails tels que DMARC sont configurés en ajoutant un enregistrement TXT à votre DNS. Outre la configuration d'une politique pour les e-mails de votre domaine, vous pouvez également tirer parti de DMARC pour activer un mécanisme de rapport qui vous enverra une foule d'informations sur vos domaines, vos fournisseurs et vos sources d'e-mails.

DMARC peut vous aider à utiliser les technologies SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) en tandem pour donner à votre domaine une protection encore meilleure contre l'usurpation.

Note: Ceci est recommandé, mais pas obligatoire. DMARC peut fonctionner avec l'alignement des identifiants SPF ou DKIM.

2. Rapport et retour d'information avec PowerDMARC

Ni SPF ni DKIM ne donnent au propriétaire du domaine un retour d'information sur les courriels dont l'authentification échoue. DMARC vous envoie directement des rapports détaillés, que la plateforme PowerDMARC convertit en graphiques et tableaux faciles à lire.

3. Contrôler ce qui arrive aux courriels non authentifiés 

DMARC vous permet, à vous, le propriétaire du domaine, de décider si un email qui échoue à la validation va dans la boîte de réception, dans les spams, ou est rejeté. Avec PowerDMARC, il vous suffit de cliquer sur un bouton pour définir votre politique DMARC, c'est aussi simple que cela.

Les expéditeurs non autorisés peuvent constituer une menace dangereuse pour la sécurité de vos clients ainsi que pour l'image et la valeur de marque de votre entreprise. Protégez vos clients contre le phishing et les escroqueries en incorporant DMARC dans votre entreprise, et ne permettez que les courriers provenant d'expéditeurs authentifiés de leur parvenir.