L'apprentissage et la mise en œuvre des concepts de SPF sont importants pour les entreprises axées sur la technologie. Cela peut les protéger contre les risques potentiels de phishing, spamming, attaques BECetc. Le SPF, ou Sender Policy Framework, fonctionne en utilisant une adresse de type SPF qui comprend la syntaxe SPF.
Ce blog traite largement de la table syntaxique SPF, des mécanismes SPF, des qualificatifs SPF et des modificateurs SPF, autant d'éléments nécessaires à une bonne maîtrise du concept d'authentification des e-mails à l'aide de protocoles techniques.
Syntaxe SPF pour les Benginners
Un enregistrement SPF est un enregistrement DNS qui comprend une liste de toutes les adresses IP autorisées à envoyer des e-mails en utilisant votre nom de domaine officiel. Lorsqu'un serveur ne figurant pas dans la liste envoie un courriel en utilisant le domaine, il est considéré comme non autorisé. Ainsi, son entrée est rejetée par la boîte aux lettres du destinataire. Cela permet de protéger le nom de votre entreprise contre les activités malveillantes initiées par des pirates informatiques.
Les entreprises doivent créer et vérifier les enregistrements SPF afin de se prémunir contre les tentatives d'hameçonnage par le biais de leurs propres noms de domaine. Plus de 255 millions d'attaques de phishing ont été enregistrées au cours du seul premier semestre 2022 ! Imaginez à quel point il est devenu crucial de mettre en œuvre le SPF et de se renseigner sur la syntaxe du SPF.
Un enregistrement SPF contient des instructions indiquant au serveur du destinataire de vérifier et de valider les courriels reçus de votre domaine. Il indique également ce qu'il faut faire avec ceux qui échouent à l'authentification. Un composant spécifique représente toutes les instructions.
Décomposons chaque élément à l'aide d'un exemple d'enregistrement SPF.. Voici à quoi ressemble une syntaxe SPF.
v=spf1 ip4:123.1.5.0 ip4:100.5.2.1 include:exampledomain.com ~all
La fonction de chaque élément est la suivante :
- v=spf1 indique au serveur récepteur qu'il s'agit d'un enregistrement SPF. Tous les enregistrements SPF doivent commencer comme ceci.
- La section suivante de cette syntaxe SPF indique les adresses IP autorisées à envoyer des e-mails en utilisant votre domaine. Dans l'exemple ci-dessus, nous avons ip4:123.1.5.0 et ip4:100.5.2.1
- La section "include:exampledomain.com". de l'exemple ci-dessus spécifie les tiers autorisés à envoyer des courriels en utilisant le domaine. La balise "include" indique aux serveurs destinataires de vérifier l'enregistrement SPF du domaine inclus (exampledomain.com) pour les adresses IP qui sont également autorisées. Vous pouvez ajouter plusieurs domaines dans un enregistrement SPF, mais ils doivent être valides.
- L'élément -all indique aux serveurs récepteurs de marquer les courriels comme NON PASSANTS pour SPF s'ils sont envoyés depuis un domaine ou une adresse IP ne figurant pas dans la liste spécifiée dans l'enregistrement SPF.
Syntaxe SPF avancée
Une table syntaxique SPF est définie à l'aide d'un enregistrement DNS TXT contenant une seule chaîne de texte. Elle commence toujours par l'élément 'v=' qui spécifie la version SPF utilisée, et il n'y a qu'une seule version pour le moment.
Tous les enregistrements SPF ont leurs propres termes spécifiques qui se comportent comme des règles pour les hôtes qui sont autorisés à partager des messages en utilisant le domaine officiel ; ils peuvent également afficher des informations supplémentaires.
Dans la syntaxe SPF avancée nous allons décomposer les les trois composants suivants : les mécanismes SPF, les qualificatifs SPF et les modificateurs SPF.
Mécanismes du SPF
- TOUTES: Il correspond toujours et est le dernier mécanisme ajouté à la fin d'un enregistrement SPF. Il affiche des résultats par défaut comme '-all' pour les adresses IP non correspondantes.
- A: Il indique un nom de domaine avec un enregistrement AAAA ou A record comme une correspondance puisqu'il trie l'adresse de l'expéditeur. Le domaine actuel est utilisé si la syntaxe de cet enregistrement DNS SPF n'est pas spécifiée.
- ip4: Une correspondance est positive si un expéditeur est connecté à la plage d'adresses ipv4 donnée dans l'enregistrement SPF. Vous l'ajoutez avec un préfixe spécifiant la longueur d'une plage. /32 est utilisé lorsqu'il n'y a pas de préfixe.
- ip6: Une correspondance est positive lorsque l'expéditeur est allié à la plage d'adresses ipv6 spécifiée. Elle est ajoutée avec la directive ip4 et un préfixe indiquant la longueur de la plage. /128 est utilisé lorsqu'il n'y a pas de préfixe.
- MX: Il autorise les expéditeurs dont l'adresse IP est la même que celle incluse dans l'enregistrement MX spécifié. Les enregistrements MX consistent en une adresse IP et une valeur de priorité pour chaque serveur devant accepter des messages.
- PTR: Il spécifie le domaine autorisé pour aider à résoudre les adresses IP vers des sous-domaines ou des domaines. Pour tous les domaines ou sous-domaines correspondant exactement, une recherche en avant est effectuée pour obtenir l'adresse IP.
Ce mécanisme est considéré comme long et peu fiable car il nécessite plusieurs recherches. Il n'est pas recommandé selon les directives du RFC 7208.
- EXISTS: Il effectue une recherche d'enregistrement A du DNS pour le domaine saisi. Une correspondance est réussie lorsqu'un enregistrement A valide est trouvé, quel que soit le résultat de la recherche.
- INCLUDE: Il autorise les expéditeurs d'e-mails tiers en indiquant leurs domaines. Un expéditeur n'est autorisé que si son adresse IP correspond aux adresses IP ou aux domaines fournis dans l'enregistrement SPF du domaine listé.
Qualificatifs SPF
Lorsqu'un mécanisme n'a pas de qualificateur, et qu'il y a quand même une correspondance réussie, l'authentification SPF passe. Chacun des 8 mécanismes est couplé à l'un des quatre qualificatifs mentionnés ci-dessous.
| Qualification | Résultat | Mesures prises par le serveur récepteur |
| + | Passez | Le courriel passe avec succès l'authentification SPF, et le serveur peut échanger des courriels. Les courriels sont marqués comme authentiques. C'est l'action par défaut appliquée s'il n'y a pas de qualificatif. |
| - | Échec | Le courrier électronique échoue à l'authentification parce que le serveur d'envoi n'appartient pas à la liste. Le courrier peut être rejeté par la boîte aux lettres du destinataire. |
| ~ | SoftFail | La boîte aux lettres du destinataire accepte le message, mais celui-ci est marqué comme suspect et atterrit dans le dossier spam. |
| ? | Neutre | Le message électronique ne passe ni ne rate l'authentification. L'action entreprise n'est pas spécifiée et le message est accepté par le destinataire. |
Modificateurs de SPF
Les modificateurs SPD sont chargés de déterminer les paramètres de travail d'une syntaxe SPF. Ils comprennent des paires de noms ou de valeurs séparés par le symbole '=', qui partagent des détails supplémentaires et des exceptions aux règles, le cas échéant.
Les modificateurs n'apparaissent qu'une seule fois et uniquement dans la dernière section d'un enregistrement SPF. Tous les modificateurs non identifiés sont ignorés dans le processus. Le modificateur "redirect" est utilisé pour diriger d'autres enregistrements SPF pour l'authentification. Il est utilisé lorsque vous souhaitez que plusieurs domaines aient le même contenu d'enregistrement SPF.
Le mécanisme "include" est utilisé pour les domaines tiers autorisés à envoyer des courriers électroniques en votre nom ou en utilisant votre nom commercial. Le modificateur "exp" indique pourquoi le serveur de réception a renvoyé un qualificatif SPF d'échec lorsqu'un mécanisme correspond.
Directives pour les enregistrements SPF
Gardez les points suivants à l'esprit lorsque vous créez un enregistrement SPF à l'aide du tableau de syntaxe SPF.
- Vous ne pouvez pas aligner plusieurs enregistrements SPF pour un même domaine.
- Un enregistrement SPF ne doit pas comporter de lettres majuscules, sinon vous verrez des erreurs.
- Il ne doit pas y avoir plus de 255 caractères. Toute chaîne dépassant ce nombre entraînera un échec de l'authentification.
- Supprimer s'il y a des mécanismes SPF qui se résolvent vers le même domaine.
- Supprimez tous les mécanismes SPF ip4 et ip6 qui ne sont pas utilisés. Vérifiez également si vous pouvez fusionner des plages d'adresses.
- Vous pouvez créer des sous-domaines pour stocker les informations SPF. Pour ce faire, utilisez '_spf.domain.com'. Cette méthode est recommandée pour les grandes entreprises informatiques, car elles disposent de plusieurs adresses IP à ajouter à un enregistrement SPF.
