Violation du SPF

Les courriels envoyés par les spécialistes du marketing peuvent être rebondis pour diverses raisons. Ils ont eu des problèmes de livraison d'emails pour des mises à jour de cas et des commentaires faits.

Dans la plupart des cas, les utilisateurs reçoivent une notification d'échec, telle que : "Violation SPF ".

Raison principale : Ils n'ont pas inclus un enregistrement SPF.

Qu'est-ce qu'un enregistrement SPF ?

Un enregistrement SPF (sender policy framework) est un enregistrement TXT du DNS qui identifie tous les serveurs autorisés à envoyer des courriels à partir d'un domaine spécifique.

Un administrateur de domaine peut utiliser un enregistrement DNS TXT ("texte") pour ajouter n'importe quel texte au système de noms de domaine (DNS). Les enregistrements TXT ont été conçus pour contenir des avis de domaine importants, mais ils ont évolué pour remplir diverses fonctions.

SPF est vérifié en interrogeant la valeur Return-Path du domaine dans les en-têtes du courrier électronique par les serveurs recevant les messages. Lorsque ce Return-Path est utilisé, le serveur destinataire recherche un enregistrement TXT dans le serveur DNS. Si la fonction SPF est activée, elle affiche une liste de tous les serveurs acceptés à partir desquels le courrier peut être envoyé. La vérification SPF échoue et génère un message d'erreur indiquant "Violation SPF" si l'adresse IP ne figure pas sur la liste.

Pourquoi est-il important de récupérer une violation du SPF ?

Le Sender Policy Framework (SPF) est une méthode de validation simple mais efficace pour détecter les courriels frauduleux.

Pour la prévention du spam et des faux e-mails, un enregistrement SPF est nécessaire. Bien que le protocole SMTP (Simple Mail Transfer Protocol) ne puisse pas bloquer complètement les faux e-mails, l'en-tête SPF indique si l'e-mail est authentique ou non. Si vous disposez d'un enregistrement SPF, les serveurs de messagerie peuvent vérifier si les adresses IP répertoriées dans l'enregistrement SPF sont autorisées ou non à envoyer un courriel au nom de votre domaine. Si ce n'est pas le cas, ils rejetteront tous les messages qu'ils recevront de ces adresses IP.

Pour récupérer une violation SPF, votre enregistrement doit être valide et mis à jour. Afin de vérifier la syntaxe et les serveurs MTA, assurez-vous que l'enregistrement DNS SPF est configuré correctement en effectuant des contrôles de routine avec notre outil de vérification de l'enregistrement SPF. Si une erreur est détectée, vous devrez accéder au panneau de contrôle DNS de votre domaine pour modifier votre enregistrement et résoudre le problème de violation SPF. Si vous utilisez un service d'hébergement DNS, le processus est assez simple car il gère la mise à jour pour vous.

De plus, fournissez un enregistrement SPF défensif pour tout domaine de votre organisation qui ne délivre pas d'e-mails, comme un domaine parqué. Cette mesure est également recommandée par le Messaging, Malware, and Mobile Anti-Abuse Working Group (M3AAWG). Les acteurs malveillants peuvent envoyer des e-mails usurpés en imitant n'importe quel domaine (même les domaines inactifs).

Prêt à créer votre enregistrement SPF pour atténuer la violation du SPF ?

Votre hôte DNS détermine la manière dont vous délivrez un enregistrement SPF. Si vous utilisez le serveur DNS de votre registraire de domaine, vous devriez pouvoir ajouter et supprimer des entrées DNS à partir du tableau de bord du registraire. C'est l'écran où vous pouvez créer un enregistrement SPF.

• Commencez par l'élément v=spf1 (version 1) puis ajoutez les adresses IP autorisées à envoyer du courrier. v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 Voici un exemple.
• Si vous faites appel à un tiers pour envoyer un courriel en votre nom, vous devez rédiger une déclaration "include" dans votre enregistrement SPF (par exemple, include:thirdparty.com) pour désigner le tiers comme un véritable expéditeur. Un rédacteur d'IA peut vous aider à gagner du temps et à créer des textes uniques.
• Ajoutez la balise all ou -all une fois que vous avez ajouté toutes les adresses IP approuvées et les déclarations d'inclusion.
• Un échec SPF doux est indiqué par une balise all, mais un échec SPF dur est indiqué par une balise -all. Selon les principaux fournisseurs de boîtes aux lettres, les balises all et -all entraînent un échec SPF. La balise -all est la plus sûre.
• Les enregistrements SPF ne peuvent pas dépasser 255 caractères et ne peuvent pas comporter plus de 10 déclarations d'inclusion (également appelées "lookups"). Voici un exemple de la façon dont votre enregistrement pourrait apparaître :

v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:thirdparty.com -all

• L'enregistrement SPF exclura toute modification sauf -all pour vos domaines qui ne délivrent pas de courrier électronique. Pour un domaine non expéditeur, voici un exemple d'enregistrement :

v=spf1 -all

Vous pouvez également utiliser Générateur d'enregistrement SPF de PowerDMARC pour générer un enregistrement instantané et sans erreur.

Découvrez les violations du SPF avec SPF Record Checker

Avec le vérificateur d'enregistrement SPF de PowerDMARC, vous pouvez connaître les données suivantes :

• Si vous avez déjà un enregistrement SPF dans votre DNS ou non.
• si votre enregistrement a été jugé invalide en raison de problèmes SPF fréquents tels que le dépassement de la limite de 10 recherches DNS, la publication de plusieurs enregistrements SPF pour le même domaine ou une syntaxe incorrecte.

Si le SPF est activé pour votre domaine, vous devez régulièrement vérifier les enregistrements SPF pour rester au courant des mises à jour du DNS.

• Commencez par taper le nom de votre domaine dans la case prévue à cet effet. (Par exemple, si l'URL de votre domaine est, le nom de domaine suivant est compagnie.com, qui n'a pas de préfixe).
• Vous avez terminé lorsque vous cliquez sur le bouton "Rechercher".

Exemple de détails de la politique SPF :

Adresse IP : 13.108.238.141

SPF Record: v=spf1 ip4:13.108.238.141/26 ip4:87.222.138.192/26 ip4:80.43.144.0/20 ip4:126.146.128.64/27 ip4:116.146.208.0/21 ip4:136.147.32.0/19 ip4:112.50.78.64/28 exists:%{i}._spf.mta.dummyvalue.com -all

Adresse pour HELO/EHLO : myaddress@salesforce.com

Exemple de sortie

Courrier envoyé depuis cette adresse IP : 13.108.238.141

Serveur de messagerie HELO/EHLO identité : myaddress@salesforce.com

Résultats HELO/EHLO - PASS expéditeur SPF autorisé

Le mot de la fin

La violation de SPF est un risque majeur qui vous empêche d'envoyer des courriels importants. Vous pouvez adopter une approche plus simple en ne choisissant pas de balises d'application et en optant pour une politique plus souple qui permet à tous les courriels d'être délivrés (même ceux qui échouent à l'authentification). C'est une bonne solution pour les débutants qui souhaitent uniquement contrôler le flux d'e-mails par le biais des rapports DMARC. Cependant, pour se protéger contre le spam et la fraude par courrier électronique, ce problème doit être résolu en priorité.

PowerDMARC, avec ses derniers outils, permet de configurer facilement les enregistrements TXT DNS corrects pour mettre fin aux violations SPF. Créez un compte PowerDMARC gratuit et faites un essai de la technologie DMARC dès aujourd'hui pour avoir accès à toute une gamme d'outils d'authentification et de validation !

• À propos de
• Derniers messages

Ahona Rudra

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

• La blockchain peut-elle contribuer à améliorer la sécurité des courriels ? - 9 mai 2024
• Proxy pour centres de données : Dévoiler le cheval de bataille du monde des proxys - 7 mai 2024
• Kimsuky exploite les politiques DMARC "None" dans de récentes attaques de phishing - 6 mai 2024