Posts

Comprendre les limites du SPF dans l'authentification des e-mails

Sender Policy Framework ou SPF ne suffit pas lorsqu'il s'agit de sécuriser les e-mails d'entreprise contre le phishing et du spamming et du spamming. La limite SPF sur le nombre maximum de consultations DNS et le désalignement de l'adresse From et du domaine provoquent des erreurs de mise en œuvre qui entraînent des problèmes de délivrabilité des e-mails. Ce blog aborde ces problèmes et la manière dont DMARC aide à surmonter ces limites SPF.

Quelles sont les limites de l'enregistrement SPF ?

Il existe deux limites majeures au SPF qui le rendent un peu délicat à mettre en œuvre et à maintenir. 

1. La limite SPF 10-Lookup

Lorsqu'un utilisateur interroge le serveur DNS, les ressources de son validateur, comme la bande passante, le temps, le processeur et la mémoire, sont utilisées. Pour éviter toute charge sur le validateur, il existe une limite SPF de 10 consultations supplémentaires. Cependant, la requête DNS pour l'enregistrement de politique SPF lui-même ne compte pas dans cette limite.

Conformément à la RFC7208 section 4.6.4le serveur de messagerie du destinataire ne devrait pas poursuivre le traitement lorsque la limite de 10 consultations est atteinte. Dans ce cas, le courriel rejette la validation SPF avec une erreur Permerror. L'erreur Permerror est l'un des messages qui apparaissent couramment dans le processus de mise en œuvre du SPF. Il entraîne la non-livraison de l'e-mail et se produit si plusieurs enregistrements SPF existent sur un domaine, si une erreur de syntaxe apparaît ou si les limites d'enregistrement SPF sont dépassées.

Vous pouvez utiliser le Vérificateur d'enregistrement SPF pour éliminer cette erreur et garantir la sécurité des conversations par courrier électronique.

De plus, selon la RFC, une requête DNS d'un nom d'hôte trouvé dans un enregistrement enregistrement MX ne devrait pas générer plus de 10 enregistrements A ou AAAA. Si une requête DNS PTR génère plus de 10 résultats, seuls les 10 premiers résultats sont affichés et utilisés.

2. L'adresse de départ lisible par l'homme

La deuxième limitation du SPF est que les enregistrements SPF s'appliquent à des domaines spécifiques du chemin de retour et non à l'adresse de départ. Les destinataires ne prêtent généralement pas beaucoup d'attention à l'adresse de retour et se concentrent uniquement sur l'adresse d'origine lorsqu'ils ouvrent un courrier électronique. Les pirates profitent de cette faille pour tenter des attaques de phishing en falsifiant l'adresse d'origine.

L'impact de la taille de l'enregistrement SPF sur la livraison des e-mails

Lorsqu'un destinataire dépasse la limite d'enregistrement SPF, il échoue aux vérifications SPF et un Permerror se produit. Vous pouvez observer cette erreur en utilisant la surveillance DMARC. Le destinataire peut choisir comment traiter les courriels ayant un échec de Permerror. Il peut choisir de rejeter son entrée, ce qui signifie que l'e-mail sera renvoyé. Certains destinataires le configurent pour qu'il affiche un résultat SPF "neutre" (comme si aucun SPF n'était utilisé). Ils peuvent également choisir "fail" ou "softfail", ce qui signifie que les e-mails qui échouent aux contrôles d'authentification SPF ne sont pas rejetés mais atterrissent dans le dossier spam. 

Ces résultats sont également déterminés en tenant compte des résultats de DMARC, DKIM et de l'évaluation du spam. Le dépassement de la limite SPF a un impact sur la délivrabilité des e-mails en réduisant la probabilité que les e-mails atterrissent dans la boîte de réception principale des destinataires.

Le validateur évalue la politique SPF de gauche à droite et lorsqu'une correspondance sur l'adresse IP de l'expéditeur est trouvée, le processus s'arrête. Désormais, selon l'expéditeur, un validateur peut ne pas toujours atteindre la limite de consultation, même si la politique SPF exige plus de 10 consultations pour une évaluation complète. Cela crée des difficultés pour identifier les problèmes de délivrabilité des e-mails liés à la limite des enregistrements SPF. 

Comment réduire le nombre de recherches nécessaires ?

Il est difficile pour certains propriétaires de domaines de respecter la limite de 10 recherches SPF, car les habitudes d'échange d'e-mails ont considérablement changé depuis 2006 (date de mise en œuvre de la RFC4408). Aujourd'hui, les entreprises utilisent plusieurs programmes et services basés sur le cloud avec un seul domaine. Voici donc quelques moyens de surmonter cette limite SPF courante.

  • Supprimer les services non utilisés

Évaluez votre dossier SF et regardez s'il y a des services inutilisés ou non requis. Vérifiez si l'option 'inclure' ou d'autres mécanismes qui indiquent les domaines des services qui ne sont plus utilisés.

  • Supprimer les valeurs SPF par défaut

La politique SPF par défaut est généralement fixée à 'v=spf1 a mx. Étant donné que la plupart des enregistrements A et AAAA sont utilisés pour des serveurs web qui n'envoient pas nécessairement de courriers électroniques, la valeur 'aet 'mx ne sont pas nécessaires.

  • Évitez d'utiliser la fonction ptr Mécanisme

Le site ptr est fortement déconseillé en raison de sa faible sécurité et de son manque de fiabilité. Ce mécanisme provoque le problème de la limite SPF en exigeant plus de recherches. Il doit donc être évité autant que possible.

  • Évitez d'utiliser le mx Mécanisme

Le site mx est utilisé pour recevoir des courriels, et pas nécessairement pour les envoyer. C'est pourquoi vous pouvez éviter de l'utiliser pour rester dans la limite d'enregistrement SPF fixée pour les recherches. Si vous utilisez un service de messagerie basé sur le cloud, utilisez le mécanisme 'inclure à la place.

  • Utiliser IPv6 ou IPv4 

L'IPv4 et l'IPv6 ne nécessitent pas de vérifications supplémentaires, ce qui signifie qu'ils vous aident à ne pas dépasser la limite SPF de 10 vérifications maximum. Cependant, vous devez rester à jour et entretenir régulièrement les deux mécanismes car ils sont plus sujets aux erreurs lorsqu'ils ne sont pas reconditionnés.

  • N'aplatissez pas les disques SPF

Certaines ressources affirment que plus la politique SPF est aplatie (ou courte), meilleure est la réputation du domaine. Elles suggèrent cette méthode pour rester dans les limites de l'enregistrement SPF fixées pour les recherches. Cependant, l'aplatissement est déconseillé car il rend votre enregistrement plus sujet aux erreurs et nécessite des mises à jour régulières. 

Le rôle de DMARC pour surmonter les limites du SPF

DMARC répond à la limitation SPF de l'adresse de départ lisible par l'homme en exigeant une correspondance ou un alignement entre le champ de départ lisible par l'homme et le serveur authentifié par SPF.

Ainsi, si un courriel passe les contrôles SPF mais que le domaine n'est pas le même que l'adresse d'origine, DMARC annule cette authentification. Cela signifie que l'e-mail échoue au test d'authentification.

Comment l'aplatissement des enregistrements SPF aide-t-il à surmonter la limite de 10 consultations du DNS ?

Aplatissement des enregistrements SPF est une technique utilisée pour optimiser les enregistrements SPF (Sender Policy Framework) afin de surmonter la limite de 10 recherches DNS pour SPF. La limite de 10 consultations DNS est une restriction imposée par de nombreux résolveurs DNS, qui limite le nombre de requêtes DNS pouvant être effectuées lors de la vérification d'un enregistrement SPF pour un domaine.

Lorsqu'un courriel est reçu, le serveur de messagerie du destinataire interroge le DNS du domaine de l'expéditeur pour son enregistrement SPF afin de vérifier si l'expéditeur est autorisé à envoyer des courriels depuis ce domaine. Toutefois, si l'enregistrement SPF contient de nombreuses inclusions imbriquées, il peut rapidement dépasser la limite de 10 consultations du DNS, ce qui entraîne des échecs de vérification SPF et des détections de spam faussement positives.

Pour surmonter cette limitation, l'aplatissement des enregistrements SPF est utilisé. L'aplatissement des enregistrements SPF est une technique qui remplace toutes les déclarations d'inclusion imbriquées dans un enregistrement SPF par leurs adresses IP ou leurs plages CIDR correspondantes. Cela réduit le nombre de requêtes DNS nécessaires pour vérifier l'enregistrement SPF, car chaque domaine inclus n'est plus interrogé individuellement.

En aplatissant l'enregistrement SPF, le nombre de requêtes DNS nécessaires pour vérifier l'enregistrement SPF est considérablement réduit, ce qui permet aux messages électroniques de passer la vérification SPF même si l'enregistrement original a fait l'objet de plus de 10 consultations DNS. Cette technique réduit également le risque d'échecs de validation de l'enregistrement SPF dus à des délais d'interrogation du DNS ou à des problèmes temporaires de serveur DNS.

Les défis de la mise en œuvre du SPF dans les grandes entreprises

SPF a imposé la limitation à 10 recherches maximum pour prévenir les attaques DoS et DDoS. Malheureusement, ces vérifications peuvent s'accumuler très rapidement, surtout dans les grandes entreprises. Auparavant, les entreprises exploitaient leurs propres serveurs de messagerie, mais aujourd'hui, elles font appel à des expéditeurs tiers. Cela crée un problème car chacun d'entre eux peut prendre jusqu'à 3 ou 4 serveurs et vous atteignez la limite très rapidement.

/par