Violation du SPF

Les courriels envoyés par les spécialistes du marketing peuvent être rebondis pour diverses raisons. Ils ont eu des problèmes de livraison d'emails pour des mises à jour de cas et des commentaires faits.

Dans la plupart des cas, les utilisateurs reçoivent une notification d'échec, telle que : "Violation SPF ".

Raison principale : Ils n'ont pas inclus un enregistrement SPF.

Qu'est-ce qu'un enregistrement SPF ?

Un enregistrement SPF (sender policy framework) est un enregistrement TXT du DNS qui identifie tous les serveurs autorisés à envoyer des courriels à partir d'un domaine spécifique.

Un administrateur de domaine peut utiliser un enregistrement DNS TXT ("texte") pour ajouter n'importe quel texte au système de noms de domaine (DNS). Les enregistrements TXT ont été conçus pour contenir des avis de domaine importants, mais ils ont évolué pour remplir diverses fonctions.

SPF est vérifié en interrogeant la valeur Return-Path du domaine dans les en-têtes de courriel par les serveurs qui reçoivent les messages. Lorsque ce Return-Path est utilisé, le serveur destinataire recherche un enregistrement TXT dans le serveur DNS. Dans le cas où SPF est activé, il affiche une liste de tous les serveurs acceptés à partir desquels le courrier peut être envoyé. La vérification SPF échouera et générera un message d'erreur indiquant "SPF Violation" si l'adresse IP ne figure pas dans la liste.

Pourquoi est-il important de récupérer une violation du SPF ?

Le Sender Policy Framework (SPF) est une méthode de validation simple mais efficace pour détecter les courriels frauduleux.

Pour la prévention du spam et des faux e-mails, un enregistrement SPF est nécessaire. Bien que le protocole SMTP (Simple Mail Transfer Protocol) ne puisse pas bloquer complètement les faux e-mails, l'en-tête SPF indique si l'e-mail est authentique ou non. Si vous disposez d'un enregistrement SPF, les serveurs de messagerie peuvent vérifier si les adresses IP répertoriées dans l'enregistrement SPF sont autorisées ou non à envoyer un courriel au nom de votre domaine. Si ce n'est pas le cas, ils rejetteront tous les messages qu'ils recevront de ces adresses IP.

Pour récupérer une violation SPF, votre enregistrement doit être valide et mis à jour. Afin de vérifier la syntaxe et les serveurs MTA, assurez-vous que l'enregistrement DNS SPF est configuré correctement en effectuant des contrôles de routine avec notre outil de vérification de l'enregistrement SPF. Si une erreur est détectée, vous devrez accéder au panneau de contrôle DNS de votre domaine pour modifier votre enregistrement et résoudre le problème de violation SPF. Si vous utilisez un service d'hébergement DNS, le processus est assez simple car il gère la mise à jour pour vous.

De plus, fournissez un enregistrement SPF défensif pour tout domaine de votre organisation qui ne délivre pas d'e-mails, comme un domaine parqué. Cette mesure est également recommandée par le Messaging, Malware, and Mobile Anti-Abuse Working Group (M3AAWG). Les acteurs malveillants peuvent envoyer des e-mails usurpés en imitant n'importe quel domaine (même les domaines inactifs).

Prêt à créer votre enregistrement SPF pour atténuer la violation du SPF ?

Votre hôte DNS détermine la manière dont vous délivrez un enregistrement SPF. Si vous utilisez le serveur DNS de votre registraire de domaine, vous devriez pouvoir ajouter et supprimer des entrées DNS à partir du tableau de bord du registraire. C'est l'écran où vous pouvez créer un enregistrement SPF.

  • Commencez par l'élément v=spf1 (version 1) puis ajoutez les adresses IP autorisées à envoyer du courrier. v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 Voici un exemple.
  • Si vous faites appel à un tiers pour envoyer un courriel en votre nom, vous devez inscrire une déclaration "include" dans votre enregistrement SPF (par exemple, include:thirdparty.com) pour désigner le tiers comme un véritable expéditeur.
  • Ajoutez la balise all ou -all une fois que vous avez ajouté toutes les adresses IP approuvées et les déclarations d'inclusion.
  • Un échec SPF doux est indiqué par une balise all, mais un échec SPF dur est indiqué par une balise -all. Selon les principaux fournisseurs de boîtes aux lettres, les balises all et -all entraînent un échec SPF. La balise -all est la plus sûre.
  • Les enregistrements SPF ne peuvent pas dépasser 255 caractères et ne peuvent pas comporter plus de 10 déclarations d'inclusion (également appelées "lookups"). Voici un exemple de la façon dont votre enregistrement pourrait apparaître :

v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:thirdparty.com -all

  • L'enregistrement SPF exclura toute modification sauf -all pour vos domaines qui ne délivrent pas de courrier électronique. Pour un domaine non expéditeur, voici un exemple d'enregistrement :

v=spf1 -all

Vous pouvez également utiliser Générateur d'enregistrement SPF de PowerDMARC pour générer un enregistrement instantané et sans erreur.

Découvrez les violations du SPF avec SPF Record Checker

Avec le vérificateur d'enregistrement SPF de PowerDMARC, vous pouvez connaître les données suivantes :

  • Si vous avez déjà un enregistrement SPF dans votre DNS ou non.
  • si votre enregistrement a été jugé invalide en raison de problèmes SPF fréquents tels que le dépassement de la limite de 10 recherches DNS, la publication de plusieurs enregistrements SPF pour le même domaine ou une syntaxe incorrecte.

Si le SPF est activé pour votre domaine, vous devez régulièrement vérifier les enregistrements SPF pour rester au courant des mises à jour du DNS.

  • Commencez par taper le nom de votre domaine dans la case prévue à cet effet. (Par exemple, si l'URL de votre domaine est, le nom de domaine suivant est compagnie.com, qui n'a pas de préfixe).
  • Vous avez terminé lorsque vous cliquez sur le bouton "Rechercher".

Exemple de détails de la politique SPF :

Adresse IP : 13.108.238.141

SPF Record: v=spf1 ip4:13.108.238.141/26 ip4:87.222.138.192/26 ip4:80.43.144.0/20 ip4:126.146.128.64/27 ip4:116.146.208.0/21 ip4:136.147.32.0/19 ip4:112.50.78.64/28 exists:%{i}._spf.mta.dummyvalue.com -all

Adresse pour HELO/EHLO : [email protected]

Exemple de sortie

Courrier envoyé depuis cette adresse IP : 13.108.238.141

Serveur de messagerie HELO/EHLO identité : [email protected]

Résultats HELO/EHLO - PASS expéditeur SPF autorisé

Le mot de la fin

La violation du SPF est un risque majeur qui vous empêche d'envoyer des courriels importants. Vous pouvez adopter une approche plus simple en ne choisissant pas de balises de mise en application et en optant pour une politique plus souple qui autorise la distribution de tous les e-mails (même ceux qui échouent à l'authentification). C'est une bonne solution pour les débutants qui souhaitent uniquement surveiller le flux d'e-mails par le biais de rapports DMARC. Cependant, pour la protection contre le spam et la fraude par courriel, ce problème doit être résolu en priorité.

PowerDMARC, avec ses derniers outils, permet de configurer facilement les enregistrements TXT DNS corrects pour mettre fin aux violations SPF. Créez un compte PowerDMARC gratuit et faites un essai de la technologie DMARC dès aujourd'hui pour avoir accès à toute une gamme d'outils d'authentification et de validation !

Derniers messages de Ahona Rudra (voir tous)