Posts

Comprendre les limites du SPF dans l'authentification des e-mails

Sender Policy Framework ou SPF ne suffit pas lorsqu'il s'agit de sécuriser les e-mails d'entreprise contre le phishing et du spamming et du spamming. La limite SPF sur le nombre maximum de consultations DNS et le désalignement de l'adresse From et du domaine provoquent des erreurs de mise en œuvre qui entraînent des problèmes de délivrabilité des e-mails. Ce blog aborde ces problèmes et la manière dont DMARC aide à surmonter ces limites SPF.

Quelles sont les limites de l'enregistrement SPF ?

Il existe deux limites majeures au SPF qui le rendent un peu délicat à mettre en œuvre et à maintenir. 

1. La limite SPF 10-Lookup

Lorsqu'un utilisateur interroge le serveur DNS, les ressources de son validateur, comme la bande passante, le temps, le processeur et la mémoire, sont utilisées. Pour éviter toute charge sur le validateur, il existe une limite SPF de 10 consultations supplémentaires. Cependant, la requête DNS pour l'enregistrement de politique SPF lui-même ne compte pas dans cette limite.

Conformément à la RFC7208 section 4.6.4le serveur de messagerie du destinataire ne devrait pas poursuivre le traitement lorsque la limite de 10 consultations est atteinte. Dans ce cas, le courriel rejette la validation SPF avec une erreur Permerror. L'erreur Permerror est l'un des messages qui apparaissent couramment dans le processus de mise en œuvre du SPF. Il entraîne la non-livraison de l'e-mail et se produit si plusieurs enregistrements SPF existent sur un domaine, si une erreur de syntaxe apparaît ou si les limites d'enregistrement SPF sont dépassées.

Vous pouvez utiliser le Vérificateur d'enregistrement SPF pour éliminer cette erreur et garantir la sécurité des conversations par courrier électronique.

De plus, selon la RFC, une requête DNS d'un nom d'hôte trouvé dans un enregistrement enregistrement MX ne devrait pas générer plus de 10 enregistrements A ou AAAA. Si une requête DNS PTR génère plus de 10 résultats, seuls les 10 premiers résultats sont affichés et utilisés.

2. L'adresse de départ lisible par l'homme

La deuxième limitation du SPF est que les enregistrements SPF s'appliquent à des domaines spécifiques du chemin de retour et non à l'adresse de départ. Les destinataires ne prêtent généralement pas beaucoup d'attention à l'adresse de retour et se concentrent uniquement sur l'adresse d'origine lorsqu'ils ouvrent un courrier électronique. Les pirates profitent de cette faille pour tenter des attaques de phishing en falsifiant l'adresse d'origine.

L'impact de la taille de l'enregistrement SPF sur la livraison des e-mails

Lorsqu'un destinataire dépasse la limite d'enregistrement SPF, il échoue aux vérifications SPF et un Permerror se produit. Vous pouvez observer cette erreur en utilisant la surveillance DMARC. Le destinataire peut choisir comment traiter les courriels ayant un échec de Permerror. Il peut choisir de rejeter son entrée, ce qui signifie que l'e-mail sera renvoyé. Certains destinataires le configurent pour qu'il affiche un résultat SPF "neutre" (comme si aucun SPF n'était utilisé). Ils peuvent également choisir "fail" ou "softfail", ce qui signifie que les e-mails qui échouent aux contrôles d'authentification SPF ne sont pas rejetés mais atterrissent dans le dossier spam. 

Ces résultats sont également déterminés en tenant compte des résultats de DMARC, DKIM et de l'évaluation du spam. Le dépassement de la limite SPF a un impact sur la délivrabilité des e-mails en réduisant la probabilité que les e-mails atterrissent dans la boîte de réception principale des destinataires.

Le validateur évalue la politique SPF de gauche à droite et lorsqu'une correspondance sur l'adresse IP de l'expéditeur est trouvée, le processus s'arrête. Désormais, selon l'expéditeur, un validateur peut ne pas toujours atteindre la limite de consultation, même si la politique SPF exige plus de 10 consultations pour une évaluation complète. Cela crée des difficultés pour identifier les problèmes de délivrabilité des e-mails liés à la limite des enregistrements SPF. 

Comment réduire le nombre de recherches nécessaires ?

Il est difficile pour certains propriétaires de domaines de respecter la limite de 10 recherches SPF, car les habitudes d'échange d'e-mails ont considérablement changé depuis 2006 (date de mise en œuvre de la RFC4408). Aujourd'hui, les entreprises utilisent plusieurs programmes et services basés sur le cloud avec un seul domaine. Voici donc quelques moyens de surmonter cette limite SPF courante.

  • Supprimer les services non utilisés

Évaluez votre dossier SF et regardez s'il y a des services inutilisés ou non requis. Vérifiez si l'option 'inclure' ou d'autres mécanismes qui indiquent les domaines des services qui ne sont plus utilisés.

  • Supprimer les valeurs SPF par défaut

La politique SPF par défaut est généralement fixée à 'v=spf1 a mx. Étant donné que la plupart des enregistrements A et AAAA sont utilisés pour des serveurs web qui n'envoient pas nécessairement de courriers électroniques, la valeur 'aet 'mx ne sont pas nécessaires.

  • Évitez d'utiliser la fonction ptr Mécanisme

Le site ptr est fortement déconseillé en raison de sa faible sécurité et de son manque de fiabilité. Ce mécanisme provoque le problème de la limite SPF en exigeant plus de recherches. Il doit donc être évité autant que possible.

  • Évitez d'utiliser le mx Mécanisme

Le site mx est utilisé pour recevoir des courriels, et pas nécessairement pour les envoyer. C'est pourquoi vous pouvez éviter de l'utiliser pour rester dans la limite d'enregistrement SPF fixée pour les recherches. Si vous utilisez un service de messagerie basé sur le cloud, utilisez le mécanisme 'inclure à la place.

  • Utiliser IPv6 ou IPv4 

L'IPv4 et l'IPv6 ne nécessitent pas de vérifications supplémentaires, ce qui signifie qu'ils vous aident à ne pas dépasser la limite SPF de 10 vérifications maximum. Cependant, vous devez rester à jour et entretenir régulièrement les deux mécanismes car ils sont plus sujets aux erreurs lorsqu'ils ne sont pas reconditionnés.

  • N'aplatissez pas les disques SPF

Certaines ressources affirment que plus la politique SPF est aplatie (ou courte), meilleure est la réputation du domaine. Elles suggèrent cette méthode pour rester dans les limites de l'enregistrement SPF fixées pour les recherches. Cependant, l'aplatissement est déconseillé car il rend votre enregistrement plus sujet aux erreurs et nécessite des mises à jour régulières. 

Le rôle de DMARC pour surmonter les limites du SPF

DMARC répond à la limitation SPF de l'adresse de départ lisible par l'homme en exigeant une correspondance ou un alignement entre le champ de départ lisible par l'homme et le serveur authentifié par SPF.

Ainsi, si un courriel passe les contrôles SPF mais que le domaine n'est pas le même que l'adresse d'origine, DMARC annule cette authentification. Cela signifie que l'e-mail échoue au test d'authentification.

Comment l'aplatissement des enregistrements SPF aide-t-il à surmonter la limite de 10 consultations du DNS ?

Aplatissement des enregistrements SPF est une technique utilisée pour optimiser les enregistrements SPF (Sender Policy Framework) afin de surmonter la limite de 10 recherches DNS pour SPF. La limite de 10 consultations DNS est une restriction imposée par de nombreux résolveurs DNS, qui limite le nombre de requêtes DNS pouvant être effectuées lors de la vérification d'un enregistrement SPF pour un domaine.

Lorsqu'un courriel est reçu, le serveur de messagerie du destinataire interroge le DNS du domaine de l'expéditeur pour son enregistrement SPF afin de vérifier si l'expéditeur est autorisé à envoyer des courriels depuis ce domaine. Toutefois, si l'enregistrement SPF contient de nombreuses inclusions imbriquées, il peut rapidement dépasser la limite de 10 consultations du DNS, ce qui entraîne des échecs de vérification SPF et des détections de spam faussement positives.

Pour surmonter cette limitation, l'aplatissement des enregistrements SPF est utilisé. L'aplatissement des enregistrements SPF est une technique qui remplace toutes les déclarations d'inclusion imbriquées dans un enregistrement SPF par leurs adresses IP ou leurs plages CIDR correspondantes. Cela réduit le nombre de requêtes DNS nécessaires pour vérifier l'enregistrement SPF, car chaque domaine inclus n'est plus interrogé individuellement.

En aplatissant l'enregistrement SPF, le nombre de requêtes DNS nécessaires pour vérifier l'enregistrement SPF est considérablement réduit, ce qui permet aux messages électroniques de passer la vérification SPF même si l'enregistrement original a fait l'objet de plus de 10 consultations DNS. Cette technique réduit également le risque d'échecs de validation de l'enregistrement SPF dus à des délais d'interrogation du DNS ou à des problèmes temporaires de serveur DNS.

Les défis de la mise en œuvre du SPF dans les grandes entreprises

SPF a imposé la limitation à 10 recherches maximum pour prévenir les attaques DoS et DDoS. Malheureusement, ces vérifications peuvent s'accumuler très rapidement, surtout dans les grandes entreprises. Auparavant, les entreprises exploitaient leurs propres serveurs de messagerie, mais aujourd'hui, elles font appel à des expéditeurs tiers. Cela crée un problème car chacun d'entre eux peut prendre jusqu'à 3 ou 4 serveurs et vous atteignez la limite très rapidement.

/par

Comment optimiser l'enregistrement du SPF ?

Dans cet article, nous allons voir comment optimiser facilement l'enregistrement SPF pour votre domaine. Pour les entreprises et les petites entreprises qui possèdent un domaine de messagerie pour envoyer et recevoir des messages à leurs clients, partenaires et employés, il est fort probable qu'un enregistrement SPF existe par défaut et qu'il ait été configuré par votre fournisseur de services de messagerie. Que vous disposiez d'un enregistrement SPF préexistant ou que vous deviez en créer un nouveau, vous devez optimiser votre enregistrement SPF correctement pour votre domaine afin de vous assurer qu'il ne pose aucun problème de livraison des e-mails.

Certains destinataires de courriels ont strictement besoin d'un SPF, ce qui indique que si vous n'avez pas d'enregistrement SPF publié pour votre domaine, vos courriels peuvent être marqués comme spam dans la boîte de réception de votre destinataire. De plus, le SPF aide à détecter les sources non autorisées qui envoient des courriels au nom de votre domaine.

Laissez-nous d'abord comprendre ce qu'est le SPF et pourquoi vous en avez besoin.

Cadre politique de l'expéditeur (SPF)

Le SPF est essentiellement un protocole d'authentification de courrier électronique standard qui spécifie les adresses IP autorisées à envoyer des courriers électroniques à partir de votre domaine. Il fonctionne en comparant les adresses des expéditeurs à la liste des hôtes d'envoi autorisés et des adresses IP pour un domaine spécifique qui est publiée dans le DNS pour ce domaine.

SPF, ainsi que DMARC (Domain-based Message Authentication, Reporting and Conformance), est conçu pour détecter les adresses d'expéditeur falsifiées lors de la distribution du courrier électronique et prévenir les attaques par usurpation d'identité, le phishing et les escroqueries par courrier électronique.

Il est important de savoir que, bien que le SPF par défaut intégré à votre domaine par votre fournisseur d'hébergement garantisse que les e-mails envoyés depuis votre domaine sont authentifiés par rapport au SPF, si vous avez plusieurs fournisseurs tiers pour envoyer des e-mails depuis votre domaine, cet enregistrement SPF préexistant doit être adapté et modifié pour répondre à vos besoins. Comment faire ? Examinons deux des méthodes les plus courantes :

  • Créer un tout nouveau record du SPF
  • Optimisation d'un dossier SPF existant

Instructions sur la façon d'optimiser l'enregistrement SPF

Créer un tout nouveau dossier SPF

Créer un enregistrement SPF consiste simplement à publier un enregistrement TXT dans le DNS de votre domaine afin de configurer SPF pour votre domaine. Il s'agit d'une étape obligatoire avant de commencer à savoir comment optimiser l'enregistrement SPF. Si vous débutez avec l'authentification et que vous n'êtes pas sûr de la syntaxe, vous pouvez utiliser notre générateur d'enregistrement SPF en ligne gratuit pour créer un enregistrement SPF pour votre domaine.

Une entrée d'enregistrement SPF avec une syntaxe correcte ressemblera à ceci :

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Précise la version du SPF utilisée
ip4/ip6Ce mécanisme spécifie les adresses IP valides qui sont autorisées à envoyer des courriels à partir de votre domaine.
inclureCe mécanisme indique aux serveurs récepteurs d'inclure les valeurs de l'enregistrement SPF du domaine spécifié.
-toutCe mécanisme précise que les courriels qui ne sont pas conformes au SPF seront rejetés. C'est la balise recommandée que vous pouvez utiliser lors de la publication de votre enregistrement SPF. Cependant, elle peut être remplacée par ~ pour SPF Soft Fail (les courriels non conformes seraient marqués comme soft fail mais seraient quand même acceptés) ou + qui spécifie que tout serveur serait autorisé à envoyer des courriels au nom de votre domaine, ce qui est fortement déconseillé.

Si vous avez déjà configuré le SPF pour votre domaine, vous pouvez également utiliser notre vérificateur d'enregistrement SP F gratuit pour consulter et valider votre enregistrement SPF et détecter les problèmes.

Défis et erreurs courants lors de la configuration du SPF

1) 10 Limite de recherche DNS 

Le défi le plus courant auquel sont confrontés les propriétaires de domaines lorsqu'ils configurent et adoptent le protocole d'authentification SPF pour leur domaine, est que le SPF est assorti d'une limite du nombre de consultations DNS, qui ne peut dépasser 10. Pour les domaines qui dépendent de plusieurs fournisseurs tiers, la limite de 10 consultations DNS est facilement dépassée, ce qui entraîne la rupture du SPF et le renvoi d'une PermError SPF. Dans ce cas, le serveur récepteur invalide automatiquement votre enregistrement SPF et le bloque.

Mécanismes qui déclenchent les consultations du DNS : MX, A, INCLUDE, REDIRECTION du modificateur

2) Recherche de l'absence de SPF 

Les consultations nulles font référence aux consultations DNS qui renvoient soit une réponse NOERROR soit une réponse NXDOMAIN (réponse nulle). Lors de la mise en œuvre du SPF, il est recommandé de s'assurer que les consultations DNS ne renvoient pas de réponse nulle en premier lieu.

3) SPF Boucle récursive

Cette erreur indique que l'enregistrement SPF pour votre domaine spécifié contient des problèmes récursifs avec un ou plusieurs des mécanismes INCLUDE. Cela se produit lorsque l'un des domaines spécifiés dans la balise INCLUDE contient un domaine dont l'enregistrement SPF contient la balise INCLUDE du domaine d'origine. Il en résulte une boucle sans fin qui amène les serveurs de courrier électronique à effectuer en permanence des recherches DNS pour les enregistrements SPF. Cela conduit finalement à dépasser la limite de 10 recherches DNS, ce qui entraîne l'échec des courriels SPF.

4) Erreurs de syntaxe 

Un enregistrement SPF peut exister dans le DNS de votre domaine, mais il n'est d'aucune utilité s'il contient des erreurs de syntaxe. Si votre enregistrement SPF TXT contient des espaces blancs inutiles lors de la saisie du nom de domaine ou du nom du mécanisme, la chaîne précédant l'espace supplémentaire sera complètement ignorée par le serveur récepteur lors de la recherche, ce qui invalidera l'enregistrement SPF.

5) Plusieurs enregistrements SPF pour le même domaine

Un seul domaine ne peut avoir qu'une seule entrée SPF TXT dans le DNS. Si votre domaine contient plus d'un enregistrement SPF, le serveur de réception les invalide tous, ce qui entraîne l'échec du SPF des courriels.

6) Durée de l'enregistrement du SPF 

La longueur maximale d'un enregistrement SPF dans le DNS est limitée à 255 caractères. Toutefois, cette limite peut être dépassée et un enregistrement TXT pour SPF peut contenir plusieurs chaînes concaténées ensemble, mais pas au-delà d'une limite de 512 caractères, pour s'adapter à la réponse à la requête DNS (selon la RFC 4408). Bien que cette disposition ait été révisée par la suite, les destinataires utilisant des versions DNS plus anciennes ne pouvaient pas valider les courriers électroniques envoyés par des domaines contenant un enregistrement SPF trop long.

Optimiser votre dossier SPF

Afin de modifier rapidement votre dossier SPF, vous pouvez utiliser les bonnes pratiques suivantes :

  • Essayez de taper vos sources de courrier électronique par ordre décroissant d'importance de gauche à droite dans votre dossier SPF
  • Supprimer les sources de courrier électronique obsolètes de votre DNS
  • Utiliser les mécanismes IP4/IP6 au lieu de A et MX
  • Maintenez votre nombre de mécanismes INCLUS le plus bas possible et évitez les includes imbriqués
  • Ne publiez pas plus d'un enregistrement SPF pour le même domaine dans votre DNS
  • Assurez-vous que votre dossier SPF ne contient pas d'espaces blancs redondants ou d'erreurs de syntaxe

Remarque : l'aplatissement du SPF n'est pas recommandé, car il ne s'agit pas d'une opération ponctuelle. Si votre fournisseur de services de messagerie électronique modifie son infrastructure, vous devrez modifier vos enregistrements SPF en conséquence, à chaque fois.

Optimiser votre dossier SPF en toute simplicité avec PowerSPF

Vous pouvez essayer de mettre en œuvre toutes les modifications mentionnées ci-dessus pour optimiser votre enregistrement SPF manuellement, ou vous pouvez oublier les tracas et compter sur notre PowerSPF dynamique pour faire tout cela pour vous automatiquement ! PowerSPF vous aide à optimiser votre enregistrement SPF d'un simple clic, ce qui vous est possible :

  • Ajouter ou supprimer facilement des sources d'envoi
  • Mettre à jour les enregistrements facilement sans avoir à modifier manuellement votre DNS
  • Obtenez un enregistrement SPF automatique optimisé d'un simple clic
  • Restez toujours en dessous de la limite de 10 consultations DNS
  • Atténuer avec succès l'erreur de permis
  • Oubliez les erreurs de syntaxe des enregistrements SPF et les problèmes de configuration
  • Nous vous déchargeons de la charge de résoudre les limitations du SPF en votre nom

Inscrivez-vous à PowerDMARC dès aujourd'hui pour mettre fin aux limitations du SPF pour toujours !  

/par