Syntaxe SPF : Un guide complet

Blog

Ce blog traite de la table syntaxique SPF , du mécanisme SPF , du qualificateur SPF et du modificateur SPF .

par YunesTarada

Temps de lecture : 5 min
Syntaxe SPF : Un guide complet
Table des matières-

L'apprentissage et la mise en œuvre des concepts de SPF sont importants pour les entreprises axées sur la technologie. Cela peut les protéger contre les risques potentiels d'hameçonnage, de spamming, attaques BECetc. Le SPF (Sender Policy Framework) fonctionne à l'aide d'un fichier SPF qui comprend la syntaxe SPF .

Ce blog traite de manière générale du tableau syntaxiqueSPF , des mécanismes SPF , des qualificateurs SPF et des modificateurs SPF , autant d'éléments nécessaires pour bien comprendre le concept d'authentification des courriers électroniques à l'aide de protocoles techniques.

Points clés à retenir

  1. Comprendre le SPF est essentiel pour les entreprises axées sur la technologie afin de se protéger contre le phishing et l'usurpation d'adresse électronique.
  2. Un enregistrement SPF est une entrée DNS cruciale qui spécifie quelles adresses IP sont autorisées à envoyer des courriels au nom de votre domaine.
  3. La création et la vérification régulière des enregistrements SPF sont essentielles pour se défendre contre l'utilisation non autorisée de votre domaine dans les attaques par courrier électronique.
  4. Les mécanismes SPF , les qualificateurs et les modificateurs sont des éléments clés qui déterminent la manière dont les serveurs de réception interprètent les enregistrements SPF .
  5. Le maintien d'un enregistrement SPF unique et correctement formaté est nécessaire pour garantir une sécurité et une délivrabilité optimales du courrier électronique.

Syntaxe SPF pour les Benginners 

Un enregistrement SPF est un enregistrement DNS qui comprend une liste de toutes les adresses IP autorisées à envoyer des courriels en utilisant votre nom de domaine officiel. Lorsqu'un serveur ne figurant pas sur la liste envoie un courriel en utilisant le domaine, il est considéré comme non autorisé. Son entrée est donc rejetée par la boîte aux lettres du destinataire. Le nom de votre entreprise est ainsi protégé contre les activités malveillantes des pirates informatiques. 

Les entreprises doivent créer et vérifier les enregistrements SPF afin de se prémunir contre les attaques de phishing tentées en utilisant leurs propres noms de domaine. Plus de 255 millions d'attaques de phishing ont été enregistrées au cours du seul premier semestre 2022 ! Imaginez à quel point il est devenu crucial de mettre en œuvre SPF et d'apprendre la syntaxe SPF .

Un enregistrement SPF contient des instructions indiquant au serveur du destinataire de vérifier et de valider les courriels reçus de votre domaine. Il indique également ce qu'il faut faire avec ceux qui échouent à l'authentification. Un composant spécifique représente toutes les instructions.  

Décortiquons chaque élément à l'aide d'un exemple d'enregistrement SPF . Voici à quoi ressemble la syntaxe d'un enregistrement SPF .

v=spf1 ip4:123.1.5.0 ip4:100.5.2.1 include:exampledomain.com ~all

La fonction de chaque élément est la suivante :

  • v=spf1 indique au serveur destinataire qu'il s'agit d'un enregistrement SPF . Tous les enregistrements SPF doivent commencer ainsi.
  • La section suivante de la syntaxe SPF indique les adresses IP autorisées à envoyer des courriels en utilisant votre domaine. Dans l'exemple ci-dessus, nous avons ip4:123.1.5.0 et ip4:100.5.2.1.
  • La section 'include:exampledomain.com' de l'exemple ci-dessus précise les tiers autorisés à envoyer des courriels en utilisant le domaine. La balise 'include' indique aux serveurs destinataires de vérifier l'enregistrement SPF du domaine inclus (exampledomain.com) pour les adresses IP qui sont également autorisées. Vous pouvez ajouter plusieurs domaines dans un enregistrement SPF ; cependant, ils doivent être valides.
  • L'élément -all indique aux serveurs de réception de marquer les courriels comme NOT PASS pour SPF s'ils sont envoyés à partir d'un domaine ou d'une adresse IP en dehors de la liste spécifiée dans l'enregistrement SPF .

Simplifiez la syntaxe avec PowerDMARC !

15 jours d'essaiRéservez une démo

Syntaxe SPF avancée

Une table syntaxique SPF est définie à l'aide d'un enregistrement DNS TXT contenant une seule chaîne de texte. Il commence toujours par l'élément "v=" qui spécifie la version SPF utilisée, et il n'y a qu'une seule version pour l'instant.

Tous les enregistrements SPF comportent des termes spécifiques qui servent de règles pour les hôtes autorisés à partager des messages en utilisant le domaine officiel et peuvent également afficher des informations supplémentaires. 

Dans la syntaxe SPF avancée nous allons décomposer les les trois composants suivants : les mécanismes SPF , les qualificateurs SPF et les modificateurs SPF .

Mécanismes SPF

  1. TOUS: Il correspond toujours et est le dernier mécanisme ajouté à la fin d'un enregistrement SPF . Il affiche des résultats par défaut comme '-all' pour les IP qui ne correspondent pas.
  2. A: Il indique un nom de domaine avec un enregistrement AAAA ou A car il permet de trier l'adresse de l'expéditeur. Le domaine actuel est utilisé si la syntaxe de cet enregistrement DNS SPF n'est pas spécifiée.
  3. ip4: Une correspondance est positive si l'expéditeur est connecté à la plage d'adresses ipv4 donnée dans l'enregistrement SPF . Vous l'ajoutez avec un préfixe spécifiant la longueur d'une plage. /32 est utilisé lorsqu'il n'y a pas de préfixe.
  4. ip6: Une correspondance est positive lorsque l'expéditeur est allié à la plage d'adresses ipv6 spécifiée. Elle est ajoutée avec la directive ip4 et un préfixe indiquant la longueur de la plage. /128 est utilisé lorsqu'il n'y a pas de préfixe.
  5. MX: Il autorise les expéditeurs dont l'adresse IP est la même que celle incluse dans l'enregistrement MX spécifié. Les enregistrements MX consistent en une adresse IP et une valeur de priorité pour chaque serveur devant accepter des messages.
  6. PTR: Il spécifie le domaine autorisé pour aider à résoudre les adresses IP vers des sous-domaines ou des domaines. Pour tous les domaines ou sous-domaines correspondant exactement, une recherche en avant est effectuée pour obtenir l'adresse IP.

Ce mécanisme est considéré comme long et peu fiable car il nécessite plusieurs recherches. Il n'est pas recommandé selon les directives du RFC 7208.

  1. EXISTS: Il effectue une recherche d'enregistrement A du DNS pour le domaine saisi. Une correspondance est réussie lorsqu'un enregistrement A valide est trouvé, quel que soit le résultat de la recherche.
  2. INCLURE: Il autorise les expéditeurs de courrier électronique tiers en indiquant leurs domaines. Un expéditeur n'est autorisé que si son adresse IP correspond aux adresses IP ou aux domaines indiqués dans l'enregistrement SPF du domaine listé.

Qualificatifs SPF

Lorsqu'un mécanisme n'a pas de qualificateur et qu'il y a quand même une correspondance, l'authentification SPF est réussie. Chacun des huit mécanismes est associé à l'un des quatre qualificateurs mentionnés ci-dessous.

Qualification Résultat Mesures prises par le serveur récepteur 
+ Passez Le courriel passe avec succès l'authentification SPF et le serveur peut échanger des courriels. Les courriels sont marqués comme authentiques. Il s'agit de l'action par défaut appliquée en l'absence de qualificatif.
- Échec Le courrier électronique échoue à l'authentification parce que le serveur d'envoi n'appartient pas à la liste. Le courrier peut être rejeté par la boîte aux lettres du destinataire.
~ SoftFail La boîte aux lettres du destinataire accepte le message, mais celui-ci est marqué comme suspect et atterrit dans le dossier spam.
? Neutre Le message électronique ne passe ni ne rate l'authentification. L'action entreprise n'est pas spécifiée et le message est accepté par le destinataire.

Modificateurs SPF

Les modificateurs SPD sont chargés de déterminer les paramètres de travail d'une syntaxe SPF . Ils comprennent des paires de noms ou de valeurs séparées par le symbole "=", qui partagent des détails supplémentaires et des exceptions aux règles, le cas échéant.

Les modificateurs n'apparaissent qu'une seule fois et uniquement dans la dernière section d'un enregistrement SPF . Tous les modificateurs non identifiés sont ignorés dans le processus. Le modificateur "redirect" est utilisé pour diriger d'autres enregistrements SPF pour l'authentification. Il est utilisé lorsque vous souhaitez que plusieurs domaines aient le même contenu d'enregistrement SPF .

Le mécanisme "include" est utilisé pour les domaines tiers autorisés à envoyer des courriers électroniques en votre nom ou en utilisant votre nom commercial. Le modificateur "exp" indique pourquoi le serveur de réception a renvoyé un qualificatif SPF "Fail" lorsqu'un mécanisme correspond.

Lignes directrices pour les enregistrements SPF

Gardez les points suivants à l'esprit lorsque vous créez un enregistrement SPF à l'aide du tableau de syntaxe SPF .

  • Vous ne pouvez pas aligner plusieurs enregistrements SPF pour un domaine.
  • Un enregistrement SPF ne doit pas comporter de lettres majuscules, sinon des erreurs se produiraient.
  • Il ne doit pas y avoir plus de 255 caractères. Toute chaîne dépassant ce nombre entraînera un échec de l'authentification.
  • Supprimer s'il existe des mécanismes SPF résolvant le même domaine.
  • Supprimez tous les mécanismes SPF ip4 et ip6 qui ne sont pas utilisés. Vérifiez également si vous pouvez fusionner des plages d'adresses.
  • Vous pouvez créer des sous-domaines pour stocker les informations SPF . Pour ce faire, utilisez "_spf.domain.com". Cette méthode est recommandée pour les grandes entreprises informatiques, qui disposent de plusieurs adresses IP à ajouter à un enregistrement SPF .

Derniers messages de Yunes Tarada (voir tous)
ChatGPT connaît PowerDMARC !ChatGPT Knows PowerDMARCLa Commission européenne recommande le DMARC pour la sécurité des communications par courrier électronique 1La Commission européenne recommande DMARC pour la sécurité des communications par courrier électronique