Posts

Le site SPF (Sender Policy Framework) est un modificateur d'enregistrement qui pointe vers un nom de domaine distinct contenant un enregistrement SPF. Les propriétaires de domaines peuvent configurer plusieurs domaines pour utiliser un seul enregistrement SPF hébergé sur un domaine en utilisant la redirection SPF. Bien que cela puisse sembler bénéfique à certains égards, nous ne le recommandons pas. Lisez la suite pour savoir pourquoi !

Introduction au SPF et au modificateur de redirection

SPF est la norme d'authentification des e-mails qui protège votre organisation contre l'usurpation d'identité et le spam en conservant un registre des parties autorisées. 

Alors que le modificateur de redirection SPF est facultatif et ne peut être utilisé qu'une fois par enregistrement SPF. Il y a certaines conditions préalables à l'utilisation de la redirection SPF. Elles sont les suivantes :

  • Cela n'a de sens que lorsqu'une organisation travaille avec plusieurs domaines. 
  • Tous ces domaines doivent partager la même infrastructure de messagerie.
  • Le deuxième domaine, qui est redirigé, doit avoir un enregistrement SPF valide en place.
  • Pour utiliser la redirection SPF, le propriétaire du domaine doit avoir le contrôle de tous les domaines participant à la chaîne de redirection.

Comment fonctionne le modificateur de redirection SPF ?

Pour mieux comprendre la fonctionnalité de la redirection SPF, examinons l'exemple suivant : 

Si domain_test.com a un enregistrement SPF tel que :
v=spf1 redirect=domaine_test2.com

Cela indique que l'enregistrement SPF pour "domain_test2.com" doit être utilisé à la place de "domain_test". Les mails du domaine_test seront alors redirigés en utilisant "domain_test2".

Quand pouvez-vous utiliser le modificateur de redirection SPF ?

1. Lorsqu'un seul enregistrement doit être utilisé pour plusieurs domaines

Par exemple,

delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com"
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

Dans cet exemple, tout courrier provenant des trois domaines ci-dessus sera décrit par le même enregistrement, dans ce cas, "_spf.example1.com", ce qui offre aux utilisateurs un avantage administratif.

2. Lorsque le nom du domaine doit être modifié.

Pour tous les mécanismes, la valeur de "a", "mx" et "ptr" est facultative. Si aucune valeur spécifique n'est fournie, elles sont définies sur le domaine actuel. Toutefois, lorsqu'une "redirection" est utilisée, les mécanismes "a", "mx" et "ptr" pointent vers le domaine redirigé.

Prenons l'exemple suivant :
powerdmarc.com "v=spf1 a -all"

Ici, le mécanisme "a" n'a pas de valeur spécifiée, il pointera donc vers l'enregistrement DNS "A" de "powerdmarc.com", car c'est là que l'enregistrement SPF est hébergé comme indiqué dans l'exemple.

Considérons maintenant l'exemple suivant :
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"

Dans l'exemple ci-dessus, le mécanisme "a" pointe vers l'enregistrement DNS "A" de "_spf.powerdmarc.com", même si le domaine racine "powerdmarc.com" le redirige.

C'est l'une des causes courantes des problèmes de validation de SPF et elle est difficile à déboguer. Si votre organisation utilise une "redirection" SPF, notez que s'il existe un mécanisme "a", "mx" ou "ptr" sans nom de domaine explicitement défini dans votre enregistrement SPF redirigé, celui-ci ne pointera que vers le domaine redirigé.

Inconvénients de l'utilisation de la redirection SPF

1. Le modificateur "redirect" ajoute au nombre de recherches DNS.

Lors de l'utilisation de l'authentification SPF, chaque fois qu'un courriel est envoyé d'un domaine au domaine du destinataire, le serveur de courriel du destinataire effectue des requêtes DNS, également appelées recherches DNS, pour vérifier les adresses IP autorisées existantes dans votre DNS et les comparer à l'adresse IP dans l'en-tête return-path du courriel reçu. La norme SPF RFC7208 limite le nombre maximum de ces recherches à 10. 

Un modificateur "redirect", lorsqu'il est utilisé, augmente également ce nombre. Votre organisation doit donc faire attention lorsqu'elle utilise un modificateur de "redirection", car la limite de 10 consultations DNS est dépassée. limite de 10 consultations de DNS peut être dépassée. Cela peut provoquer une rupture du SPF et conduire à des échecs d'authentification.

Chez PowerDMARC, nos utilisateurs configurent PowerSPF qui est un outil efficace d'aplatissement du SPF pour limiter le nombre de consultations et bénéficier d'un SPF sans erreur.

2. Un résultat erroné est retourné si aucune politique SPF n'est définie dans les domaines utilisant "redirect".

Dans le cas où vous incluez un domaine qui ne contient pas d'enregistrement SPF ou dont l'enregistrement est invalide, un résultat softfail (none) est renvoyé, ce qui n'affecte pas le processus de vérification. 

Cependant, lors de l'utilisation du modificateur de redirection SPF, si le domaine redirigé contient un enregistrement SPF invalide ou manquant, un résultat SPF Permerror est renvoyé, ce qui constitue un échec cuisant et peut entraîner la rupture de SPF.

Utilisation du mécanisme SPF include au lieu du modificateur de redirection SPF

Nous recommandons d'utiliser le mécanisme d'inclusion SPF au lieu du modificateur de redirection pour éviter certaines complications courantes :

  • Lorsqu'un mécanisme de redirection est utilisé, il indique la fin de l'enregistrement et aucune autre modification ne peut être apportée. En revanche, si vous utilisez un include SPF, vous pouvez modifier votre enregistrement et ajouter des includes, des a ou des mx à votre guise, ce qui vous offre une plus grande souplesse.
  • Le mécanisme d'inclusion peut aider à raccourcir votre enregistrement SPF afin qu'il soit en dessous de la limite de longueur de caractères du SPF. Vous pouvez créer un enregistrement TXT SPF pour spfrecord1.xyz.com et spfrecord2.abc.com en divisant l'enregistrement SPF long et unique d'origine et en incluant les deux domaines dans l'enregistrement TXT pour l'un des domaines (par exemple : xyz.com).
  • Au cas où il y aurait aucun enregistrement SPF trouvé dans un domaine redirigé, la conservation de l'état d'erreur (valeur permerror) pour la redirection comme mentionné ci-dessus peut également être contournée en utilisant le mécanisme include qui renverra un résultat softfail à la place avec vos emails toujours délivrés.
  • Contrairement à SPF include qui n'a pas d'effet sur le mécanisme all, le modificateur de redirection de SPF demande au serveur de rendre l'adresse de l'utilisateur. SPF ~tous pour le domaine racine en utilisant une redirection comme dans le cas suivant :
    domain1.com "v=spf1 redirect=_spf.domain2.com"
    _spf.domain2.com "v=spf1 ip4:164.100.226.127 ~all
    Ceci est dû au fait que pour tout enregistrement utilisant la redirection, le mécanisme "all" est absent en premier lieu, ce qui peut coexister pendant l'utilisation des mécanismes include. Par conséquent, l'ensemble "~all" pour le sous-domaine redirigé est également prélevé sur le domaine racine.

Conclusion

Il y a beaucoup de choses dont il faut se méfier lorsqu'on utilise un modificateur de "redirection" comme la limite de 10 recherches DNS, donc votre organisation doit être prudente lors de la mise en place de votre enregistrement SPF. Votre organisation doit optimiser les enregistrements SPF de temps en temps en s'assurant que les recherches DNS restent dans la limite. Pour toutes les requêtes SPF de votre organisation, consultez PowerSPF. Il effectue un aplatissement automatique et une mise à jour automatique des blocs de réseau afin de garantir que les IP autorisées sont toujours à jour et sécurisées. En outre, vous n'avez pas à vous soucier de la permerrorisation ou du dépassement des limites de consultation des DNS.

La meilleure façon de sécuriser vos emails avec SPF est de l'implémenter avec DKIM et DMARC gratuit. Cela contribuera à protéger votre organisation contre le spam et les éventuelles tentatives de spear-phishing. Consultez PowerDMARC et assurez-vous que votre organisation utilise un fournisseur de services technologiques DMARC actif et anti-spoofing.

Dans cet article, nous allons voir comment optimiser facilement l'enregistrement SPF pour votre domaine. Pour les entreprises et les petites entreprises qui possèdent un domaine de messagerie pour envoyer et recevoir des messages à leurs clients, partenaires et employés, il est fort probable qu'un enregistrement SPF existe par défaut et qu'il ait été configuré par votre fournisseur de services de messagerie. Que vous disposiez d'un enregistrement SPF préexistant ou que vous deviez en créer un nouveau, vous devez optimiser votre enregistrement SPF correctement pour votre domaine afin de vous assurer qu'il ne pose aucun problème de livraison des e-mails.

Certains destinataires de courriels ont strictement besoin d'un SPF, ce qui indique que si vous n'avez pas d'enregistrement SPF publié pour votre domaine, vos courriels peuvent être marqués comme spam dans la boîte de réception de votre destinataire. De plus, le SPF aide à détecter les sources non autorisées qui envoient des courriels au nom de votre domaine.

Laissez-nous d'abord comprendre ce qu'est le SPF et pourquoi vous en avez besoin.

Cadre politique de l'expéditeur (SPF)

Le SPF est essentiellement un protocole d'authentification de courrier électronique standard qui spécifie les adresses IP autorisées à envoyer des courriers électroniques à partir de votre domaine. Il fonctionne en comparant les adresses des expéditeurs à la liste des hôtes d'envoi autorisés et des adresses IP pour un domaine spécifique qui est publiée dans le DNS pour ce domaine.

SPF, ainsi que DMARC (Domain-based Message Authentication, Reporting and Conformance), est conçu pour détecter les adresses d'expéditeur falsifiées lors de la distribution du courrier électronique et prévenir les attaques par usurpation d'identité, le phishing et les escroqueries par courrier électronique.

Il est important de savoir que, bien que le SPF par défaut intégré à votre domaine par votre fournisseur d'hébergement garantisse que les e-mails envoyés depuis votre domaine sont authentifiés par rapport au SPF, si vous avez plusieurs fournisseurs tiers pour envoyer des e-mails depuis votre domaine, cet enregistrement SPF préexistant doit être adapté et modifié pour répondre à vos besoins. Comment faire ? Examinons deux des méthodes les plus courantes :

  • Créer un tout nouveau record du SPF
  • Optimisation d'un dossier SPF existant

Instructions sur la façon d'optimiser l'enregistrement SPF

Créer un tout nouveau dossier SPF

Créer un enregistrement SPF consiste simplement à publier un enregistrement TXT dans le DNS de votre domaine afin de configurer SPF pour votre domaine. Il s'agit d'une étape obligatoire avant de commencer à savoir comment optimiser l'enregistrement SPF. Si vous débutez avec l'authentification et que vous n'êtes pas sûr de la syntaxe, vous pouvez utiliser notre générateur d'enregistrement SPF en ligne gratuit pour créer un enregistrement SPF pour votre domaine.

Une entrée d'enregistrement SPF avec une syntaxe correcte ressemblera à ceci :

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Précise la version du SPF utilisée
ip4/ip6Ce mécanisme spécifie les adresses IP valides qui sont autorisées à envoyer des courriels à partir de votre domaine.
inclureCe mécanisme indique aux serveurs récepteurs d'inclure les valeurs de l'enregistrement SPF du domaine spécifié.
-toutCe mécanisme précise que les courriels qui ne sont pas conformes au SPF seront rejetés. C'est la balise recommandée que vous pouvez utiliser lors de la publication de votre enregistrement SPF. Cependant, elle peut être remplacée par ~ pour SPF Soft Fail (les courriels non conformes seraient marqués comme soft fail mais seraient quand même acceptés) ou + qui spécifie que tout serveur serait autorisé à envoyer des courriels au nom de votre domaine, ce qui est fortement déconseillé.

Si vous avez déjà configuré le SPF pour votre domaine, vous pouvez également utiliser notre vérificateur d'enregistrement SP F gratuit pour consulter et valider votre enregistrement SPF et détecter les problèmes.

Défis et erreurs courants lors de la configuration du SPF

1) 10 Limite de recherche DNS 

Le défi le plus courant auquel sont confrontés les propriétaires de domaines lorsqu'ils configurent et adoptent le protocole d'authentification SPF pour leur domaine, est que le SPF est assorti d'une limite du nombre de consultations DNS, qui ne peut dépasser 10. Pour les domaines qui dépendent de plusieurs fournisseurs tiers, la limite de 10 consultations DNS est facilement dépassée, ce qui entraîne la rupture du SPF et le renvoi d'une PermError SPF. Dans ce cas, le serveur récepteur invalide automatiquement votre enregistrement SPF et le bloque.

Mécanismes qui déclenchent les consultations du DNS : MX, A, INCLUDE, REDIRECTION du modificateur

2) Recherche de l'absence de SPF 

Les consultations nulles font référence aux consultations DNS qui renvoient soit une réponse NOERROR soit une réponse NXDOMAIN (réponse nulle). Lors de la mise en œuvre du SPF, il est recommandé de s'assurer que les consultations DNS ne renvoient pas de réponse nulle en premier lieu.

3) SPF Boucle récursive

Cette erreur indique que l'enregistrement SPF pour votre domaine spécifié contient des problèmes récursifs avec un ou plusieurs des mécanismes INCLUDE. Cela se produit lorsque l'un des domaines spécifiés dans la balise INCLUDE contient un domaine dont l'enregistrement SPF contient la balise INCLUDE du domaine d'origine. Il en résulte une boucle sans fin qui amène les serveurs de courrier électronique à effectuer en permanence des recherches DNS pour les enregistrements SPF. Cela conduit finalement à dépasser la limite de 10 recherches DNS, ce qui entraîne l'échec des courriels SPF.

4) Erreurs de syntaxe 

Un enregistrement SPF peut exister dans le DNS de votre domaine, mais il n'est d'aucune utilité s'il contient des erreurs de syntaxe. Si votre enregistrement SPF TXT contient des espaces blancs inutiles lors de la saisie du nom de domaine ou du nom du mécanisme, la chaîne précédant l'espace supplémentaire sera complètement ignorée par le serveur récepteur lors de la recherche, ce qui invalidera l'enregistrement SPF.

5) Plusieurs enregistrements SPF pour le même domaine

Un seul domaine ne peut avoir qu'une seule entrée SPF TXT dans le DNS. Si votre domaine contient plus d'un enregistrement SPF, le serveur de réception les invalide tous, ce qui entraîne l'échec du SPF des courriels.

6) Durée de l'enregistrement du SPF 

La longueur maximale d'un enregistrement SPF dans le DNS est limitée à 255 caractères. Toutefois, cette limite peut être dépassée et un enregistrement TXT pour SPF peut contenir plusieurs chaînes concaténées ensemble, mais pas au-delà d'une limite de 512 caractères, pour s'adapter à la réponse à la requête DNS (selon la RFC 4408). Bien que cette disposition ait été révisée par la suite, les destinataires utilisant des versions DNS plus anciennes ne pouvaient pas valider les courriers électroniques envoyés par des domaines contenant un enregistrement SPF trop long.

Optimiser votre dossier SPF

Afin de modifier rapidement votre dossier SPF, vous pouvez utiliser les bonnes pratiques suivantes :

  • Essayez de taper vos sources de courrier électronique par ordre décroissant d'importance de gauche à droite dans votre dossier SPF
  • Supprimer les sources de courrier électronique obsolètes de votre DNS
  • Utiliser les mécanismes IP4/IP6 au lieu de A et MX
  • Maintenez votre nombre de mécanismes INCLUS le plus bas possible et évitez les includes imbriqués
  • Ne publiez pas plus d'un enregistrement SPF pour le même domaine dans votre DNS
  • Assurez-vous que votre dossier SPF ne contient pas d'espaces blancs redondants ou d'erreurs de syntaxe

Remarque : l'aplatissement du SPF n'est pas recommandé, car il ne s'agit pas d'une opération ponctuelle. Si votre fournisseur de services de messagerie électronique modifie son infrastructure, vous devrez modifier vos enregistrements SPF en conséquence, à chaque fois.

Optimiser votre dossier SPF en toute simplicité avec PowerSPF

Vous pouvez essayer de mettre en œuvre toutes les modifications mentionnées ci-dessus pour optimiser votre enregistrement SPF manuellement, ou vous pouvez oublier les tracas et compter sur notre PowerSPF dynamique pour faire tout cela pour vous automatiquement ! PowerSPF vous aide à optimiser votre enregistrement SPF d'un simple clic, ce qui vous est possible :

  • Ajouter ou supprimer facilement des sources d'envoi
  • Mettre à jour les enregistrements facilement sans avoir à modifier manuellement votre DNS
  • Obtenez un enregistrement SPF automatique optimisé d'un simple clic
  • Restez toujours en dessous de la limite de 10 consultations DNS
  • Atténuer avec succès l'erreur de permis
  • Oubliez les erreurs de syntaxe des enregistrements SPF et les problèmes de configuration
  • Nous vous déchargeons de la charge de résoudre les limitations du SPF en votre nom

Inscrivez-vous à PowerDMARC dès aujourd'hui pour mettre fin aux limitations du SPF pour toujours !