Erreur de validation SPF : Causes et solutions
par
Dernière mise à jour : 9 Temps de lecture : 9 min
Points clés à retenir
- Les erreurs SPF se produisent lorsque le serveur destinataire ne parvient pas à évaluer correctement votre enregistrement SPF , le plus souvent en raison d'erreurs de syntaxe, d'inclusions manquantes/incorrectes ou d'un dépassement de la limite de 10 recherches DNS.
- SPF renvoient généralement des résultats tels que temperror, permerror, softfail (~all) et fail (-all). Ces résultats indiquent le niveau de risque, mais chaque système destinataire décide s'il convient de livrer, de quarantine ou de rejeter le message.
- Les causes les plus fréquentes sont SPF invalide, la présence de plusieurs enregistrements SPF sur le même domaine, des inclusions imbriquées qui poussent les recherches au-delà de 10 et la publication SPF types d'enregistrements obsolètes au lieu de TXT.
- Vous pouvez détecter plus rapidement SPF en combinant les rapports DMARC, un SPF (pour la syntaxe et le nombre de recherches) et l'inspection des en-têtes d'e-mails (Authentication-Results / SPF) pour confirmer le SPF réel.
- Pour éviter les échecs répétés, conservez un seul SPF par domaine, limitez les recherches à 10, utilisez le contrôle des modifications lorsque vous ajoutez des fournisseurs de messagerie électronique et revalidez SPF les migrations DNS/fournisseur ou les nouveaux services d'envoi.
Une erreur SPF est la manière dont votre domaine vous indique que « la configuration de votre messagerie électronique est défectueuse ». Si votre SPF est mal configuré, les fournisseurs de messagerie ne peuvent pas vérifier la légitimité des expéditeurs, ce qui entraîne une baisse de la délivrabilité, une augmentation du risque d'usurpation d'identité et une perte de temps considérable pour le dépannage. Voici comment identifier SPF et les résoudre rapidement.
Qu'est-ce qu'une erreur de validation SPF ?
SPF désigne le processus consistant à vérifier si un expéditeur est autorisé (habilité) à envoyer des e-mails au nom du domaine. Des erreurs SPF peuvent se produire lorsque votre enregistrement TXT contenant SPF comporte des erreurs de syntaxe ou de configuration. SPF d'un domaine est composé de plusieurs balises, techniquement appelées SPF et modificateurs SPF . Tenter de créer un SPF manuellement peut souvent entraîner des erreurs de syntaxe, qui peuvent se traduire par une erreur de validation lors de SPF .
Lors d'erreurs SPF , les propriétaires de domaines peuvent recevoir un message d'échec de SPF 550 tel que :
"Erreur 550 - Message refusé en raison de l'échec d'une vérification SPF ".
Messages d'erreur courants liés à SPF et leur signification
Comprendre les messages SPF vous aide à diagnostiquer rapidement les problèmes de configuration et à prendre les mesures correctives appropriées. Bien que la formulation puisse varier selon le fournisseur de messagerie, les messages suivants reflètent les résultats les plus courants SPF observés lors des vérifications d'authentification des e-mails.
| Message d'erreur | Ce que cela signifie | Action recommandée |
|---|---|---|
| « Échec deSPF » | Le serveur destinataire n'a pas pu évaluer correctement SPF | Vérifiez la syntaxe SPF , la disponibilité DNS et les limites de recherche. |
| « Avertissement : échec de SPF » | SPF faible (souvent softfail) qui peut tout de même permettre la livraison | Vérifiez les expéditeurs autorisés et renforcez la SPF |
| « ÉchecSPF (mode : normal) » | SPF a renvoyé un résultat d'échec. | Corrigez SPF ou autorisez la source d'envoi. |
| « Message refusé en raison d'un échec SPF | Le message a été rejeté car l'expéditeur n'était pas autorisé. | Mettez à jour SPF afin d'inclure l'adresse IP ou le service d'envoi. |
Important : La formulation exacte des messages d'erreur n'est pas standardisée et peut varier selon les fournisseurs, les serveurs de messagerie et les systèmes de journalisation. Ces exemples représentent des modèles couramment observés plutôt que des messages garantis.
Scénarios d'erreurs SPF dans les plateformes de messagerie courantes
Les plateformes de messagerie électronique signalent les échecs SPF de différentes manières, en fonction de leurs politiques et de leurs formats de journalisation. Vous trouverez ci-dessous des exemples typiques, et non des chaînes fixes ou universelles.
- Gmail
Les notifications de rebond ou de livraison peuvent indiquer qu'un message a été bloqué ou marqué comme suspect en raison de problèmes d'évaluation SPF .
- Microsoft 365 / Outlook
Les rapports de livraison font généralement référence aux codes d'état SMTP 5.7.x (tels que 550 5.7.1) lorsque SPF échouent ou que l'expéditeur n'est pas autorisé.
- Yahoo Mail
Les rejets peuvent indiquer que le message n'a pas été accepté en raison d'un échec SPF ou de l'authentification de l'expéditeur.
| Comment interpréter ces résultats : SPF renvoie des résultats standardisés tels que « pass », « fail », « softfail », « neutral », « temperror » ou « permerror ». Chaque système récepteur décide ensuite s'il doit livrer, quarantine ou rejeter le message en fonction de sa propre politique et du contexte global d'authentification. |
Types d'erreurs de validation du SPF
SPF peuvent renvoyer différents types de résultats en fonction de ce que le serveur destinataire trouve lors de l'évaluation. Voici les SPF les plus courants que vous verrez lors de SPF :
- Temperror : Il peut s'agir d'une erreur de validation causée par un problème temporaire, tel qu'un délai d'expiration DNS ou un problème similaire, survenu pendant la procédure SPF . Cela ne signifie pas que SPF est invalide, indisponible ou qu'il a échoué SPF validation SPF . Vous ne devez pas vous inquiéter si vous ne recevez un SPF qu'à partir d'un seul serveur de messagerie. Cependant, vous devez vérifier votre SPF si vous commencez à recevoir régulièrement ce type de notifications.
Exemple : Un serveur DNS est temporairement indisponible pendant SPF , ce qui provoque un délai d'attente.
- Erreur permanente : Lorsque les serveurs de messagerie ne parviennent pas à vérifier correctement les SPF , ils émettent ces SPF . Ces problèmes sont généralement dus à des fautes de frappe ou à la problèmes deSPF . Une erreur permanente se produit également lorsque SPF dépassent la limite de 10 recherches DNS.
Exemple : Un SPF contient « v=spf2 » au lieu de « v=spf1 », ou inclut 12 recherches DNS alors que la limite est de 10.
- Softail : L'expéditeur est autorisé ou non à envoyer des e-mails depuis le domaine. L'hôte peut être « probablement non approuvé » si le domaine n'a pas établi de politique claire et stricte qui aboutit à un « échec ». Cela fonctionne en ajoutant un mécanisme « all » à SPF . Toute adresse IP fournira un résultat «SPF » lors de l'évaluation. Le résultat SPF fail est, en fait, une déclaration faible.
Le DMARC interprète le résultat SPF comme un « Pass » ou un « Fail », en fonction des paramètres du serveur de messagerie, tout comme le résultat SPF .
Exemple : Un SPF se termine par « ~all » et un expéditeur non autorisé tente d'envoyer un e-mail, ce qui entraîne un échec soft.
- Échec : La déclarationSPF , contrairement à «SPF », est une affirmation explicite ou définitive selon laquelle l'hôte n'est pas autorisé à utiliser le domaine. Cette condition est mise en œuvre dans l'SPF à l'aide de la technique « -all ».
Si une adresse IP est utilisée, cela produira un «SPF » lors de la vérification SPF . Cette situation est traitée de la même manière par tous les domaines ayant implémenté DMARC et est interprétée comme un « échec ».
Exemple : Un SPF se termine par « -all » et une adresse IP totalement non autorisée tente d'envoyer un e-mail, ce qui entraîne un échec complet et le rejet de l'e-mail.
Causes courantes des erreurs SPF
Les erreurs SPF proviennent généralement d'un petit ensemble de problèmes de configuration. Comprendre ces causes profondes vous aide à corriger rapidement les erreurs et à éviter qu'elles ne se reproduisent.
1. Incorrect Syntaxe de l'enregistrementSPF
Une cause fréquente d'erreur SPF est un enregistrement SPF incorrect. Des espaces supplémentaires, un formatage incorrect et une ponctuation incorrecte peuvent entraîner des erreurs de validation SPF invalider votre enregistrement. De plus, les vulnérabilités DNS, telles que les enregistrements DNS , peuvent créer des failles que les pirates peuvent exploiter, compliquant encore davantage la configuration de l'authentification de vos e-mails.
Les problèmes syntaxiques courants comprennent :
- Utilisation d'une version non valide (par exemple, v=spf2 au lieu de v=spf1)
- Omission de la mention obligatoire tout mécanisme (~all ou -all)
- Ajout de séparateurs non pris en charge ou erreurs de formatage
Exemple :
| SPF non valide | Problème | Version corrigée |
|---|---|---|
| v=spf2 include:_spf.google.com ~all | SPF non valide | v=spf1 include:_spf.google.com ~all |
| v=spf1 inclure :_spf.google.com | Absence totale de mécanisme | v=spf1 include:_spf.google.com ~all |
2. Plusieurs SPF pour le même domaine
Un domaine ne doit avoir qu'un seul SPF . La publication de plusieurs enregistrements SPF entraîne l'échec SPF , car les serveurs destinataires ne peuvent pas déterminer quel enregistrement appliquer.
Cela se produit généralement lorsque :
- Plusieurs services de messagerie électronique sont ajoutés indépendamment.
- SPF sont créés par différentes équipes ou différents fournisseurs.
- SPF anciens SPF ne sont pas supprimés lors des migrations.
Résultat : SPF peut renvoyer une erreur permanente, entraînant l'échec de l'authentification des e-mails légitimes.
3) Dépassement de la limite de recherche SPF
SPF un maximum de 10 recherches DNS pendant l'évaluation. Si cette limite est dépassée, SPF échoue avec une erreur permanente.
Les recherches DNS sont déclenchées par des mécanismes tels que :
- inclure
- a
- mx
- ptr
- existe
- rediriger
Scénario réel : Une entreprise SaaS utilise Google Workspace, Microsoft 365, une plateforme marketing et un service de messagerie transactionnelle. Chacun d'entre eux ajoute plusieurs instructions include , et les inclusions imbriquées poussent silencieusement SPF au-delà de la limite de 10 recherches, provoquant des échecs d'envoi d'e-mails malgré des enregistrements « corrects en apparence ».
4. Utilisation d'un type SPF obsolète
L'enregistrement SPF de type 99SPF) a été déprécié comme indiqué dans la RFC 7208, section 3.1, car il n'est pas très utile. Il a le même format que le type RR TXT qui est le type de ressource recommandé pour les enregistrements SPF . L'utilisation d'un type d'enregistrement déprécié peut entraîner des erreurs SPF .
Point clé à retenir : La plupart des erreurs SPF sont causées par des erreurs de syntaxe, SPF multiples ou le dépassement de la limite de 10 recherches DNS, et non par des pannes du serveur de messagerie ou des problèmes du côté du destinataire.
Comment trouver les erreurs de validation SPF ?
Avant de corriger les erreurs SPF , vous devez identifier où elles se produisent : dans votre enregistrement DNS, lors de SPF (recherches/syntaxe) ou lors des tentatives de livraison réelles.
Liste de contrôle étape par étape pour la détection SPF
- Vérifiez les rapports DMARC → recherchez SPF et les modèles d'erreur
- Validez votre SPF → confirmez la syntaxe et le nombre de recherches DNS
- Inspecter les en-têtes des e-mails → confirmer le SPF renvoyé par le destinataire
- Vérifier les messages de rebond → identifier les codes de rejet liés au SPF
- Vérifier la publication DNS → confirmer qu'il existe exactement un enregistrement SPF pour le domaine
1. Utiliser les rapports DMARC
Vous pouvez détecter les erreurs SPF en surveillant vos rapports DMARC. Les rapports DMARC fournissent une multitude d'informations sur votre trafic e-mail, votre expéditeur et SPF DKIM . Si votre SPF comporte une erreur de validation, celle-ci sera probablement mise en évidence dans votre rapport DMARC. L'utilisation d'un outil d'analyse des rapports DMARC peut vous aider dans ce processus en rendant les rapports XML complexes beaucoup plus faciles à lire et à comprendre.
2. Utiliser des outils de validation SPF en ligne
Seuls les outils SPF tels que SPF peuvent vous aider à détecter facilement et instantanément les erreurs de validation. Ces outils en ligne sont généralement gratuits et peuvent rapidement inspecter votre SPF afin de mettre en évidence les erreurs de syntaxe et de configuration. Certains outils avancés vous indiquent également si votre SPF la limite de 10 recherches DNS.
Essayez l'outil gratuit de vérification du SPF de PowerDMARC SPF PowerDMARC.
3. Vérifier les en-têtes du courrier électronique
Enfin, vous pouvez toujours vérifier les erreursSPF en examinant manuellement les en-têtes de vos e-mails. Il vous suffit d'ouvrir l'e-mail. Cliquez sur « Plus » et sélectionnez « Afficher l'original ». Un nouvel onglet s'ouvrira, affichant le résumé de votre message original et un aperçu détaillé de l'en-tête de votre e-mail. Vous pouvez également utiliser un analyseur d'en-tête d'e-mail qui vous fournira des informations détaillées sur les informations contenues dans l'en-tête de votre e-mail, mais dans un format complet et lisible.
Analyse étape par étape de l'en-tête : Recherchez les lignes commençant par «SPF: » ou « Authentication-Results: » pour trouver les résultats SPF . Les résultats courants sont « pass », « fail », « softfail », « neutral », « temperror » ou « permerror ».
Comment éviter les erreurs de validation SPF
Pour éviter les erreurs de validation SPF :
- Vérifiez que votre enregistrement SPF a bien été mis à jour ou désactivé s'il n'est plus utilisé en envoyant un courriel au propriétaire de votre domaine.
- Supposons que vous ayez récemment changé de fournisseur de messagerie (par exemple, Gmail) ou que les serveurs de noms de domaine aient été modifiés. Dans ce cas, votre SPF peut être interrompu parce que Google ne peut pas faire correspondre l'adresse de l'expéditeur avec les enregistrements existants. Si vous avez récemment apporté l'une de ces modifications à votre domaine, assurez-vous que vos enregistrements SPF ont été mis à jour en contactant votre hébergeur ou votre fournisseur de messagerie.
- Assurez-vous que votre fournisseur d'hébergement DNS est fiable et qu'il propose de bonnes options d'hébergement web. options d'hébergement web. Cela vous permettra de vous assurer que votre enregistrement SPF est toujours disponible et que les serveurs de réception peuvent y accéder facilement, ce qui réduira les risques d'erreur de validation SPF .
- Il est important de choisir un hébergeur DNS digne de confiance et de vérifier régulièrement que votre enregistrement SPF est exact et à jour afin d'éviter tout problème potentiel.
Pour les MSP et les entreprises : Mettez en place SPF automatisée et établissez des processus de gestion des changements afin d'éviter toute dérive de configuration sur plusieurs domaines et clients.
Comment corriger les erreurs SPF
Les propriétaires de domaines peuvent corriger les erreurs en prenant quelques mesures simples indiquées ci-dessous :
1. Vérifier la syntaxe de l'enregistrement SPF
Vérifiez votre SPF pour vous assurer qu'elle ne contient aucune erreur. Un SPF sans erreur peut ressembler à ceci : v=spf1 include:spf.domain.com ~all. Le type de version (v) et le mécanismeSPF sont des champs obligatoires qui doivent être inclus dans la syntaxe de votre enregistrement. Vous devez également vous assurer de ne pas ajouter d'espaces supplémentaires, de points-virgules ou d'autres caractères spéciaux non pris en charge par SPF.
Pour les entreprises SaaS : Lorsque vous intégrez plusieurs services de messagerie électronique (automatisation du marketing, e-mails transactionnels, systèmes d'assistance), assurez-vous que SPF de chaque service sont correctement prises en compte sans dépasser les limites de recherche.
2. Limiter les consultations DNS
Pour éviter les erreurs SPF et les erreurs permanentes, il est essentiel de limiter les recherches SPF à un maximum de 10. Bien qu'il existe des méthodes traditionnelles de simplification pour y parvenir, une manière plus moderne et plus efficace de résoudre ce problème consiste à utiliser des SPF . Les macros vous aident à rester en dessous des limites de recherche DNS et de longueur.
3. Consolider les enregistrements SPF
Pour éviter de publier plusieurs enregistrements SPF , ce qui peut entraîner des erreurs de validation, fusionner les enregistrements SPF en utilisant le mécanisme include :. Les "includes" SPF peuvent aider à consolider plusieurs enregistrements en un seul, en ajoutant simplement votre domaine autorisé l'un après l'autre, comme indiqué ci-dessous :
v=spf1 includespf.domain.com includespf.example.com includespf.company.com ~all
4. Inclure les ajustements du mécanisme
Ne pas tenir compte des sources d'envoi tierces et des fournisseurs d'e-mails comme Google, Microsoft Office 365, Zoho Mail, etc. peut entraîner des erreurs de validation. Ajustez le mécanisme SPF "include" pour autoriser tous vos fournisseurs tiers, garantissant ainsi une configuration sans erreur.
En savoir plus sur configuration de la source du fournisseur.
Prenez le contrôle de la sécurité de votre domaine
L'authentificationSPF est nécessaire pour assurer l'intégrité du courrier électronique et la prévention du spam. A faux courriel peut facilement entrer dans la boîte aux lettres d'un destinataire en raison d'une erreur de validation SPF . Il peut nuire à la réputation du propriétaire légitime du domaine en envoyant des spams ou en hameçonnant le destinataire.
Bien que la méthode SPF vise à empêcher les e-mails indésirables n'envahissent la boîte de réception, il arrive parfois que des e-mails légitimes soient enregistrés comme des échecs d'authentification en raison d'une erreur de configuration ou d'un SPF défectueux. Par conséquent, un administrateur de messagerie doit comprendre les causes SPF et savoir comment améliorer la délivrabilité de ses e-mails.
Chez PowerDMARC, nous comprenons l'importance cruciale de la sécurité des e-mails pour les entreprises de toutes tailles. Que vous protégiez une plateforme SaaS en pleine croissance, gériez la conformité d'un secteur réglementé ou supervisiez la sécurité des e-mails pour plusieurs clients en tant que MSP, nous sommes là pour vous aider à réussir.
Prochaines étapes
Prêt à éliminer les erreurs SPF et à sécuriser votre infrastructure de messagerie électronique ? Voici ce que vous pouvez faire ensuite :
- Testez votre SPF actuel avec notre SPF gratuit
- Générer un nouvel SPF à l'aide de notre générateur SPF
- Analysez vos rapports DMARC pour identifier SPF persistants
- Commencez votre essai gratuit pour une gestion complète de l'authentification des e-mails
Foire aux questions
1. Quelles sont les causes d'une SPF ?
SPF sont généralement dus à des enregistrements DNS incorrects, des erreurs de syntaxe, le dépassement de la limite de 10 recherches DNS, la présence de plusieurs SPF pour le même domaine ou l'utilisation de types SPF obsolètes. Des problèmes DNS temporaires peuvent également provoquer SPF .
2. Comment corriger les erreurs SPF ?
Pour corriger les erreurs SPF : 1) Vérifiez et corrigez la syntaxe SPF , 2) Assurez-vous qu'il n'existe qu'un seul SPF par domaine, 3) Limitez les recherches DNS à 10 ou moins, 4) Incluez toutes les sources d'e-mails autorisées et 5) Utilisez le type d'enregistrement TXT au lieu du type SPF obsolète.
3. Que signifie « rejeté en raison de SPF ?
SPF Rejeté en raison de SPF signifie que le serveur de messagerie destinataire a vérifié SPF de votre domaine et a déterminé que le serveur expéditeur n'était pas autorisé à envoyer des e-mails au nom de votre domaine. L'e-mail est alors rejeté ou marqué comme spam.
4. Combien de temps faut-il pour que les modifications apportées à SPF prennent effet ?
Les modifications apportées SPF prennent généralement effet dans un délai de quelques minutes à 48 heures, selon les paramètres TTL (Time To Live) de votre fournisseur DNS. La plupart des modifications se propagent dans le monde entier en 1 à 4 heures.
5. Puis-je avoir plusieurs SPF pour les sous-domaines ?
Oui, vous pouvez avoir SPF distincts pour différents sous-domaines, mais chaque domaine ou sous-domaine individuel ne doit avoir qu'un seul SPF . Par exemple, vous pouvez avoir un SPF pour example.com et un autre pour mail.example.com.
Expert en sécurité des domaines et des courriels chez PowerDMARC
Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.
Derniers messages de Yunes Tarada (voir tous)
