Posts

chaque 39 secondes, une cyberattaque se produit à travers le mondedont la plupart sont perpétrées par courrier électronique. SPF permet d'autoriser vos expéditeurs afin que votre domaine ne puisse pas être malmené par un expéditeur de courriel tiers non autorisé. Pour configurer SPF dans le DNS, vous devez d'abord savoir ce qu'est l'enregistrement SPF dans le DNS.

SPF ou Sender Policy Framework est un protocole d'authentification des courriels qui n'autorise que des adresses IP spécifiques à envoyer des courriels en utilisant un nom de domaine. Toute adresse IP ne figurant pas dans la liste n'atteindra pas la boîte aux lettres du destinataire, car elle entraîne l'échec du SPF.

Il protège vos domaines de messagerie contre les pirates et vous met à l'abri des attaques de phishing, de spamming et d'usurpation d'adresse électronique. Les techniques d'authentification des e-mails comme le SPF sont idéales pour protéger votre domaine de messagerie. Sa structure comporte 3 composants principaux : le mécanisme, les modificateurs et les qualificateurs. 

Ce blog abordera ce qu'est l'enregistrement SPF dans le DNS et plus encore.

Qu'est-ce qu'un enregistrement SPF dans le DNS ?

SPF est l'abréviation de Sender Policy Framework, un enregistrement DNS TXT contenant une liste de serveurs autorisés à envoyer des courriels à partir d'un certain domaine. Il fonctionne lorsque les propriétaires de domaines mettent à jour des textes arbitraires dans le DNS ou système de noms de domaines pour suivre et réguler les noms de domaines respectifs. 

Pour comprendre l'enregistrement DNS SPF, voyons rapidement ce qu'est le DNS.

Il s'agit d'un système qui traduit le nom d'hôte d'un ordinateur en une adresse IP sur Internet. Tous les appareils connectés à l'internet ont leur adresse IP, ce qui permet aux autres appareils de les localiser. 

Maintenant, revenons à la question principale, 'qu'est-ce qu'un enregistrement SPF? Disons que, si votre entreprise utilise différentes IP d'envoi, vous pouvez utiliser le générateur gratuit de PowerDMARC Générateur d'enregistrements SPF pour créer un inventaire des IP autorisées sous la forme d'un document TXT appelé enregistrement SPF pour authentifier les véritables IP autorisées à utiliser votre nom de domaine.

Comment fonctionnent les enregistrements SPF ?

Jusqu'à présent, nous avons discuté de ce qu'est l'enregistrement SPF dans le DNS, il est maintenant temps de comprendre comment il fonctionne. Le processus d'authentification commence après que vous ayez généré un enregistrement SPF pour votre domaine. L'adresse électronique du chemin de retour est vérifiée par recoupement du côté du destinataire. L'adresse électronique du chemin de retour est définie dans l'en-tête de l'e-mail, qui définit la manière de traiter les e-mails rebondis. Elle vérifie si l'adresse électronique de l'expéditeur figure ou non dans les enregistrements SPF.

Si l'approbation est positive, les courriels sont envoyés à la "boîte de réception" ; dans le cas contraire, cela peut conduire à un échec du SPF.

Structure et composants de l'enregistrement SPF

L'enregistrement SPF du DNS rend votre domaine crédible, digne de confiance et, par conséquent, préserve l'image de votre entreprise. Il existe une structure d'enregistrement SPF appropriée qui permet de le maintenir facilement. Les enregistrements SPF ont un type d'enregistrement TXT, qui est une chaîne de texte unique.

Un enregistrement DNS SPF commence par l'élément 'v=', qui indique la version utilisée. SPF1 est la version la plus courante comprise par les échanges de courrier. Les termes suivants déterminent les mécanismes permettant de vérifier si un domaine peut ou non envoyer des e-mails.

Mécanismes

Voici les huit mécanismes

  1. ALL: Il correspond toujours. Cela affiche des résultats par défaut comme '-all' pour les IP non correspondantes.
  2. A: Le nom de domaine avec un enregistrement d'adresse A ou AAAA correspond car il peut être résolu à l'adresse de l'expéditeur.
  3. IP4: La correspondance est réussie lorsque l'expéditeur est lié à la plage d'adresses IPv4 donnée.
  4. IP6: La correspondance est réussie si l'expéditeur appartient à la plage d'adresses IPv6 donnée.
  5. MX: L'adresse électronique de l'expéditeur est autorisée lorsque son nom de domaine comporte un enregistrement MX pour la résolution.
  6. PTR: La correspondance est validée lorsque l'enregistrement PTR est lié à un domaine donné se résolvant à l'adresse du client. Ce n'est pas conseillé car cela peut bloquer tous les e-mails envoyés en utilisant votre domaine.
  7. EXISTS: Il fonctionne si le nom de domaine donné est validé. Ce mécanisme SPF fonctionne avec toutes les adresses résolues.
  8. INCLUDE: Il fait référence à d'autres politiques de domaine. Donc, si elle passe, elle passe automatiquement. Cependant, si la politique incluse échoue, le traitement continue.

Modificateurs

Les modificateurs déterminent les paramètres de fonctionnement de l'enregistrement DNS SPF. Ils consistent en des paires de noms ou de valeurs séparées par le symbole '=', indiquant des informations supplémentaires. Ils sont vus plusieurs fois à la fin de l'enregistrement SPF, et tous les modificateurs non reconnus sont ignorés dans le processus.

Le modificateur "redirect" dirige vers d'autres enregistrements SPF responsables d'un fonctionnement efficace. Les experts les utilisent lorsque plusieurs domaines sont liés au même enregistrement SPF. Ce modificateur doit être utilisé si une seule entité contrôle tous les domaines, sinon le modificateur "include" est utilisé.

Qualifications

Chaque mécanisme peut être combiné avec l'un des quatre qualificatifs suivants.

'+' pour un résultat PASS

'?' pour un résultat NEUTRE interprété comme la politique NONE.

'~' pour SOFTFAIL. En général, les messages qui renvoient un SOFTFAIL sont acceptés mais marqués.

'-' pour FAIL, l'email est rejeté.

Pourquoi les enregistrements SPF sont-ils utilisés ?

Voici les principales raisons de savoir ce qu'est l'enregistrement SPF dans le DNS et son utilisation.

Éviter les cyberattaques

Les acteurs malveillants envoient des e-mails non authentifiés et frauduleux en utilisant votre nom de domaine pour gagner la confiance de vos clients, prospects, parties prenantes, etc. Ils créent des adresses électroniques professionnelles à l'aide de votre domaine pour tenter de faire du phishing, du spamming, de l'usurpation d'adresse électronique et d'autres cyberattaques. 

Cependant, si vous comprenez le processus de configuration du protocole et que vous en créez un pour votre entreprise, il sera relativement difficile et long pour les acteurs de la menace d'exploiter votre domaine. Cela réduira à terme la probabilité de passer sous leur radar.

Améliorer la délivrabilité des e-mails

Les domaines dépourvus d'enregistrements DNS SPF ont de fortes chances de voir leurs courriels renvoyés ou étiquetés comme "spam". Si cela persiste, la capacité d'atteindre la boîte aux lettres sera compromise. Cela signifie que la plupart des courriels envoyés à l'aide de votre nom de domaine n'arriveront pas chez le destinataire, ce qui aura un impact sur votre activité.

Conformité à la DMARC

DMARC est l'abréviation de Domain-based Message Authentication, Reporting, and Conformance. Il s'agit d'une autre technique d'authentification du courrier électronique qui prévient le spamming, le phishing et l'usurpation d'adresse électronique.

Elle garantit que seules les entités autorisées peuvent envoyer des courriels par le biais d'un domaine spécifique. Il est basé sur la vérification SPF et DKIM (une autre politique d'authentification des e-mails) et indique à la boîte aux lettres du destinataire comment traiter chaque e-mail reçu de votre domaine. Sur cette base, ils sont marqués comme "spam", "rejetés" ou "livrés normalement". 

De plus, les administrateurs de domaines peuvent vérifier les rapports d'enregistrement de leur activité de messagerie et modifier leur politique DMARC en conséquence. PowerDMARC peut faciliter l'adoption de la politique DMARC par votre entreprise en la contrôlant régulièrement et en l'ajustant en fonction des besoins. 

Réflexions finales

Les domaines de messagerie protégés par SPF repoussent les mauvais acteurs car il faut plus de temps et d'efforts pour les compromettre afin de tenter des activités malveillantes. SPF se synchronise avec le DNS pour garantir que seules les entités autorisées peuvent envoyer des e-mails à partir d'un domaine particulier. 

Sinon, les cyberacteurs peuvent exploiter votre marque en envoyant des courriers électroniques frauduleux et des spams, demandant aux destinataires de cliquer sur un lien malveillant, de télécharger un fichier corrompu ou de partager des informations sensibles. Dans de nombreux cas, ils demandent même un transfert d'argent direct au nom de votre entreprise. 

Une fois que vous avez configuré votre enregistrement DNS pour le SPF, n'oubliez pas de le vérifier à l'aide de notre outil gratuit vérificateur SPF gratuit pour tester sa validité !

Un problème très courant auquel les utilisateurs de SPF sont confrontés quotidiennement est le risque de générer trop de consultations DNS qui peuvent les faire dépasser facilement la limite de SPF. Cela donne un résultat SPF PermError lorsque la surveillance DMARC est activée et cause des problèmes de délivrabilité de courrier électronique. Les experts du secteur proposent des solutions telles que les services d'aplatissement SPF pour atténuer ce problème, et PowerSPF répond réellement à ses attentes et les dépasse. Lisez la suite pour savoir comment !

Trop de consultations DNS : Pourquoi cela se produit-il ?

La première chose que vous devez comprendre est pourquoi vous finissez par générer trop de consultations DNS en premier lieu. C'est parce que, quelle que soit la solution d'échange de courrier électronique que vous utilisez, votre fournisseur de services ajoute des mécanismes à votre enregistrement, ce qui entraîne un plus grand nombre de consultations.

Par exemple, si vous utilisez l'échangeur de courrier électronique de Google, ou Gmail, un enregistrement SPF tel que v=spf1 include:[email protected] -all génère en fait un total de 4 consultations du DNS. Les inclusions imbriquées génèrent également plus de consultations et si vous utilisez plusieurs fournisseurs tiers pour envoyer des courriels en utilisant votre domaine, vous pouvez facilement dépasser la limite de 10 consultations DNS.

Le SPF est-il la solution ? Non !

La réponse est non. L'aplatissement manuel du SPF peut vous aider à rester sous la limite de recherche du SPF 10, mais il a ses propres limites et défis. Si vous aplatissez votre SPF manuellement, il s'agit simplement de remplacer les mentions d'inclusion dans votre enregistrement SPF par leurs adresses IP correspondantes afin d'éliminer la nécessité de recherches. Cela permet d'éviter de générer trop de consultations DNS au départ, ce qui vous aide à rester en dessous de la limite de 10 consultations SPF et à éviter la permerrorisation. Mais les solutions manuelles d'aplatissement du SPF posent des problèmes :

  • La longueur de l'enregistrement SPF peut être trop longue (plus de 255 caractères).
  • Votre fournisseur de services de courrier électronique peut modifier ou compléter son adresse IP sans vous en informer
  • Il n'existe pas de tableau de bord pour surveiller le flux de courrier électronique, modifier ou mettre à jour vos domaines et mécanismes, et suivre les activités
  • Vous devez constamment apporter des modifications à votre DNS pour mettre à jour votre enregistrement SPF
  • Les changements fréquents d'adresse IP peuvent avoir une incidence sur la délivrabilité de votre courrier électronique

En quoi cela vous concerne-t-il ? Eh bien, si votre dossier SPF n'est pas mis à jour sur les nouvelles adresses IP que vos fournisseurs de services de messagerie utilisent, de temps en temps, lorsque ces adresses IP sont utilisées, vos courriels échoueront inévitablement du côté du destinataire.

Aplatissement dynamique du SPF pour résoudre les trop nombreuses consultations DNS

Une solution plus intelligente pour éviter les erreurs de recherche DNS est PowerSPF, votre aplatisseur automatique d'enregistrements SPF. PowerSPF est votre solution d'aplatissement SPF en temps réel qui vous aide :

  • Configurez facilement le SPF pour votre domaine en quelques clics
  • Un clic sur l'aplatissement instantané de l'enregistrement SPF avec une seule déclaration d'inclusion pour bénéficier de la gestion automatique des inclusions SPF
  • Restez toujours en dessous de la limite de 10 consultations DNS
  • Mise à jour automatique du netblock et recherche constante des changements d'adresses IP pour maintenir votre enregistrement SPF à jour.
  • Maintenez un tableau de bord convivial dans lequel vous pouvez facilement mettre à jour les changements apportés à vos politiques, ajouter des domaines et des mécanismes, et surveiller le flux de courrier électronique.

Pourquoi s'appuyer sur des outils de compression SPF qui peuvent fournir des résultats temporaires avec des limites sous-jacentes ? Optimisez votre enregistrement SPF et atténuez la limite dure du SPF avec le SPF automatique dès aujourd'hui ! S'inscrire à PowerSPF maintenant ?

Raisons pour lesquelles il faut éviter l'aplatissement du SPF

Sender Policy Framework, ou SPF, est un protocole d'authentification de courrier électronique largement reconnu qui valide vos messages en les authentifiant par rapport à toutes les adresses IP autorisées enregistrées pour votre domaine dans votre dossier SPF. Afin de valider les courriers électroniques, SPF spécifie au serveur de courrier électronique récepteur d'effectuer des requêtes DNS pour vérifier les IP autorisées, ce qui entraîne des consultations DNS.

Votre enregistrement SPF existe sous la forme d'un enregistrement DNS TXT qui est formé d'un assemblage de divers mécanismes. La plupart de ces mécanismes (tels que include, a, mx, redirect, exists, ptr) génèrent des consultations DNS. Toutefois, le nombre maximum de consultations DNS pour l'authentification SPF est limité à 10. Si vous faites appel à divers fournisseurs tiers pour envoyer des courriers électroniques en utilisant votre domaine, vous pouvez facilement dépasser la limite de SPF en dur.

Vous vous demandez peut-être ce qui se passe si vous dépassez cette limite ? Le dépassement de la limite de 10 DNS entraînera l'échec du SPF et invalidera même les messages légitimes envoyés depuis votre domaine. Dans de tels cas, le serveur de messagerie qui reçoit les messages renvoie un rapport SPF PermError à votre domaine si vous avez activé la surveillance DMARC, ce qui nous amène au principal sujet de discussion de ce blog : L'aplatissement des SPF.

Qu'est-ce que l'aplatissement SPF ?

L'aplatissement de l'enregistrement SPF est l'une des méthodes les plus utilisées par les experts de l'industrie pour optimiser votre enregistrement SPF et éviter de dépasser la limite dure du SPF. La procédure d'aplatissement du SPF est assez simple. L'aplatissement de votre enregistrement SPF est le processus qui consiste à remplacer tous les mécanismes d'inclusion par leurs adresses IP respectives afin d'éliminer la nécessité d'effectuer des recherches DNS.

Par exemple, si votre dossier SPF ressemblait initialement à ceci :

v=spf1 include:spf.domain.com -all

Un disque SPF aplati ressemblera à ceci :

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Cet enregistrement aplati ne génère qu'une seule consultation DNS, au lieu d'en effectuer plusieurs. La réduction du nombre de requêtes DNS effectuées par le serveur de réception lors de l'authentification du courrier électronique permet de rester en dessous de la limite de 10 consultations DNS, mais elle pose des problèmes particuliers.

Le problème de l'aplatissement des SPF

Outre le fait que votre enregistrement SPF aplati manuellement peut devenir trop long à publier sur le DNS de votre domaine (dépassant la limite de 255 caractères), vous devez tenir compte du fait que votre fournisseur de services de courrier électronique peut modifier ou ajouter des adresses IP sans vous en informer en tant qu'utilisateur. De temps en temps, lorsque votre fournisseur apporte des modifications à son infrastructure, ces modifications ne sont pas prises en compte dans votre enregistrement SPF. Par conséquent, chaque fois que ces adresses IP modifiées ou nouvelles sont utilisées par votre serveur de courrier électronique, le courrier électronique échoue dans le SPF du côté du destinataire.

PowerSPF : votre générateur d'enregistrements SPF dynamiques

Le but ultime de PowerDMARC était de trouver une solution qui puisse empêcher les propriétaires de domaines d'atteindre la limite de 10 DNS, ainsi que d'optimiser votre enregistrement SPF pour rester toujours à jour sur les dernières adresses IP utilisées par vos fournisseurs de services de messagerie. PowerSPF est votre solution automatisée d'aplatissement de SPF qui tire à travers votre enregistrement SPF pour générer une seule déclaration d'inclusion. PowerSPF vous aide :

  • Ajouter ou supprimer facilement des PI et des mécanismes
  • Mise à jour automatique des netblocks pour s'assurer que vos IP autorisés sont toujours à jour
  • Restez facilement sous la limite des 10 DNS
  • Obtenez un dossier SPF optimisé en un seul clic
  • Vaincre définitivement la "perméabilité".
  • Mettre en œuvre un SPF sans erreur

Inscrivez-vous dès aujourd'hui à PowerDMARC pour garantir une meilleure délivrabilité et authentification des e-mails, tout en restant sous la limite de 10 recherches SPF DNS .

Dans cet article, nous allons voir comment optimiser facilement l'enregistrement SPF pour votre domaine. Pour les entreprises et les petites entreprises qui possèdent un domaine de messagerie pour envoyer et recevoir des messages à leurs clients, partenaires et employés, il est fort probable qu'un enregistrement SPF existe par défaut et qu'il ait été configuré par votre fournisseur de services de messagerie. Que vous disposiez d'un enregistrement SPF préexistant ou que vous deviez en créer un nouveau, vous devez optimiser votre enregistrement SPF correctement pour votre domaine afin de vous assurer qu'il ne pose aucun problème de livraison des e-mails.

Certains destinataires de courriels ont strictement besoin d'un SPF, ce qui indique que si vous n'avez pas d'enregistrement SPF publié pour votre domaine, vos courriels peuvent être marqués comme spam dans la boîte de réception de votre destinataire. De plus, le SPF aide à détecter les sources non autorisées qui envoient des courriels au nom de votre domaine.

Laissez-nous d'abord comprendre ce qu'est le SPF et pourquoi vous en avez besoin.

Cadre politique de l'expéditeur (SPF)

Le SPF est essentiellement un protocole d'authentification de courrier électronique standard qui spécifie les adresses IP autorisées à envoyer des courriers électroniques à partir de votre domaine. Il fonctionne en comparant les adresses des expéditeurs à la liste des hôtes d'envoi autorisés et des adresses IP pour un domaine spécifique qui est publiée dans le DNS pour ce domaine.

SPF, ainsi que DMARC (Domain-based Message Authentication, Reporting and Conformance), est conçu pour détecter les adresses d'expéditeur falsifiées lors de la distribution du courrier électronique et prévenir les attaques par usurpation d'identité, le phishing et les escroqueries par courrier électronique.

Il est important de savoir que, bien que le SPF par défaut intégré à votre domaine par votre fournisseur d'hébergement garantisse que les e-mails envoyés depuis votre domaine sont authentifiés par rapport au SPF, si vous avez plusieurs fournisseurs tiers pour envoyer des e-mails depuis votre domaine, cet enregistrement SPF préexistant doit être adapté et modifié pour répondre à vos besoins. Comment faire ? Examinons deux des méthodes les plus courantes :

  • Créer un tout nouveau record du SPF
  • Optimisation d'un dossier SPF existant

Instructions sur la façon d'optimiser l'enregistrement SPF

Créer un tout nouveau dossier SPF

Créer un enregistrement SPF consiste simplement à publier un enregistrement TXT dans le DNS de votre domaine afin de configurer SPF pour votre domaine. Il s'agit d'une étape obligatoire avant de commencer à savoir comment optimiser l'enregistrement SPF. Si vous débutez avec l'authentification et que vous n'êtes pas sûr de la syntaxe, vous pouvez utiliser notre générateur d'enregistrement SPF en ligne gratuit pour créer un enregistrement SPF pour votre domaine.

Une entrée d'enregistrement SPF avec une syntaxe correcte ressemblera à ceci :

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Précise la version du SPF utilisée
ip4/ip6Ce mécanisme spécifie les adresses IP valides qui sont autorisées à envoyer des courriels à partir de votre domaine.
inclureCe mécanisme indique aux serveurs récepteurs d'inclure les valeurs de l'enregistrement SPF du domaine spécifié.
-toutCe mécanisme précise que les courriels qui ne sont pas conformes au SPF seront rejetés. C'est la balise recommandée que vous pouvez utiliser lors de la publication de votre enregistrement SPF. Cependant, elle peut être remplacée par ~ pour SPF Soft Fail (les courriels non conformes seraient marqués comme soft fail mais seraient quand même acceptés) ou + qui spécifie que tout serveur serait autorisé à envoyer des courriels au nom de votre domaine, ce qui est fortement déconseillé.

Si vous avez déjà configuré le SPF pour votre domaine, vous pouvez également utiliser notre vérificateur d'enregistrement SP F gratuit pour consulter et valider votre enregistrement SPF et détecter les problèmes.

Défis et erreurs courants lors de la configuration du SPF

1) 10 Limite de recherche DNS 

Le défi le plus courant auquel sont confrontés les propriétaires de domaines lorsqu'ils configurent et adoptent le protocole d'authentification SPF pour leur domaine, est que le SPF est assorti d'une limite du nombre de consultations DNS, qui ne peut dépasser 10. Pour les domaines qui dépendent de plusieurs fournisseurs tiers, la limite de 10 consultations DNS est facilement dépassée, ce qui entraîne la rupture du SPF et le renvoi d'une PermError SPF. Dans ce cas, le serveur récepteur invalide automatiquement votre enregistrement SPF et le bloque.

Mécanismes qui déclenchent les consultations du DNS : MX, A, INCLUDE, REDIRECTION du modificateur

2) Recherche de l'absence de SPF 

Les consultations nulles font référence aux consultations DNS qui renvoient soit une réponse NOERROR soit une réponse NXDOMAIN (réponse nulle). Lors de la mise en œuvre du SPF, il est recommandé de s'assurer que les consultations DNS ne renvoient pas de réponse nulle en premier lieu.

3) SPF Boucle récursive

Cette erreur indique que l'enregistrement SPF pour votre domaine spécifié contient des problèmes récursifs avec un ou plusieurs des mécanismes INCLUDE. Cela se produit lorsque l'un des domaines spécifiés dans la balise INCLUDE contient un domaine dont l'enregistrement SPF contient la balise INCLUDE du domaine d'origine. Il en résulte une boucle sans fin qui amène les serveurs de courrier électronique à effectuer en permanence des recherches DNS pour les enregistrements SPF. Cela conduit finalement à dépasser la limite de 10 recherches DNS, ce qui entraîne l'échec des courriels SPF.

4) Erreurs de syntaxe 

Un enregistrement SPF peut exister dans le DNS de votre domaine, mais il n'est d'aucune utilité s'il contient des erreurs de syntaxe. Si votre enregistrement SPF TXT contient des espaces blancs inutiles lors de la saisie du nom de domaine ou du nom du mécanisme, la chaîne précédant l'espace supplémentaire sera complètement ignorée par le serveur récepteur lors de la recherche, ce qui invalidera l'enregistrement SPF.

5) Plusieurs enregistrements SPF pour le même domaine

Un seul domaine ne peut avoir qu'une seule entrée SPF TXT dans le DNS. Si votre domaine contient plus d'un enregistrement SPF, le serveur de réception les invalide tous, ce qui entraîne l'échec du SPF des courriels.

6) Durée de l'enregistrement du SPF 

La longueur maximale d'un enregistrement SPF dans le DNS est limitée à 255 caractères. Toutefois, cette limite peut être dépassée et un enregistrement TXT pour SPF peut contenir plusieurs chaînes concaténées ensemble, mais pas au-delà d'une limite de 512 caractères, pour s'adapter à la réponse à la requête DNS (selon la RFC 4408). Bien que cette disposition ait été révisée par la suite, les destinataires utilisant des versions DNS plus anciennes ne pouvaient pas valider les courriers électroniques envoyés par des domaines contenant un enregistrement SPF trop long.

Optimiser votre dossier SPF

Afin de modifier rapidement votre dossier SPF, vous pouvez utiliser les bonnes pratiques suivantes :

  • Essayez de taper vos sources de courrier électronique par ordre décroissant d'importance de gauche à droite dans votre dossier SPF
  • Supprimer les sources de courrier électronique obsolètes de votre DNS
  • Utiliser les mécanismes IP4/IP6 au lieu de A et MX
  • Maintenez votre nombre de mécanismes INCLUS le plus bas possible et évitez les includes imbriqués
  • Ne publiez pas plus d'un enregistrement SPF pour le même domaine dans votre DNS
  • Assurez-vous que votre dossier SPF ne contient pas d'espaces blancs redondants ou d'erreurs de syntaxe

Remarque : l'aplatissement du SPF n'est pas recommandé, car il ne s'agit pas d'une opération ponctuelle. Si votre fournisseur de services de messagerie électronique modifie son infrastructure, vous devrez modifier vos enregistrements SPF en conséquence, à chaque fois.

Optimiser votre dossier SPF en toute simplicité avec PowerSPF

Vous pouvez essayer de mettre en œuvre toutes les modifications mentionnées ci-dessus pour optimiser votre enregistrement SPF manuellement, ou vous pouvez oublier les tracas et compter sur notre PowerSPF dynamique pour faire tout cela pour vous automatiquement ! PowerSPF vous aide à optimiser votre enregistrement SPF d'un simple clic, ce qui vous est possible :

  • Ajouter ou supprimer facilement des sources d'envoi
  • Mettre à jour les enregistrements facilement sans avoir à modifier manuellement votre DNS
  • Obtenez un enregistrement SPF automatique optimisé d'un simple clic
  • Restez toujours en dessous de la limite de 10 consultations DNS
  • Atténuer avec succès l'erreur de permis
  • Oubliez les erreurs de syntaxe des enregistrements SPF et les problèmes de configuration
  • Nous vous déchargeons de la charge de résoudre les limitations du SPF en votre nom

Inscrivez-vous à PowerDMARC dès aujourd'hui pour mettre fin aux limitations du SPF pour toujours !  

En tant que prestataire de services de la DMARC, on nous pose souvent cette question : "Si le DMARC utilise uniquement les authentifications SPF et DKIM, pourquoi devrions-nous nous préoccuper du DMARC ? N'est-ce pas tout simplement inutile ?

En apparence, cela peut sembler ne pas faire de grande différence, mais la réalité est très différente. Le DMARC n'est pas seulement une combinaison des technologies SPF et DKIM, c'est un protocole entièrement nouveau en soi. Il possède plusieurs caractéristiques qui en font l'une des normes d'authentification du courrier électronique les plus avancées au monde, et une nécessité absolue pour les entreprises.

Mais attendez une minute. Nous ne savons pas exactement pourquoi vous avez besoin du DMARC. Qu'est-ce qu'elle offre que le SPF et le DKIM n'offrent pas ? Eh bien, c'est une réponse assez longue ; trop longue pour un seul article de blog. Alors, séparons-nous et parlons d'abord du SPF. Au cas où vous ne le sauriez pas, voici une petite introduction.

Qu'est-ce que le SPF ?

Le SPF, ou Sender Policy Framework, est un protocole d'authentification des courriers électroniques qui protège le destinataire des courriers électroniques usurpés. Il s'agit essentiellement d'une liste de toutes les adresses IP autorisées à envoyer des courriers électroniques par vos canaux (le propriétaire du domaine). Lorsque le serveur récepteur voit un message de votre domaine, il vérifie votre enregistrement SPF publié sur votre DNS. Si l'adresse IP de l'expéditeur figure dans cette "liste", le courrier électronique est livré. Sinon, le serveur rejette le courriel.

Comme vous pouvez le voir, le SPF fait un assez bon travail en empêchant l'envoi de nombreux courriels indésirables qui pourraient endommager votre appareil ou compromettre les systèmes de sécurité de votre organisation. Mais le SPF n'est pas aussi efficace que certains pourraient le penser. C'est parce qu'il présente des inconvénients majeurs. Parlons de certains de ces problèmes.

Limites du SPF

Les enregistrements SPF ne s'appliquent pas à l'adresse de départ

Les courriers électroniques ont plusieurs adresses pour identifier leur expéditeur : l'adresse "From" que vous voyez normalement et l'adresse "Return Path" qui est cachée et qui nécessite un ou deux clics pour être affichée. Lorsque le SPF est activé, le serveur de courrier électronique récepteur examine le chemin de retour et vérifie les enregistrements SPF du domaine de cette adresse.

Le problème ici est que les attaquants peuvent exploiter cela en utilisant un faux domaine dans leur adresse de retour et une adresse électronique légitime (ou d'apparence légitime) dans la section "De". Même si le destinataire vérifiait l'identifiant de l'expéditeur, il verrait d'abord l'adresse de départ et ne prendrait généralement pas la peine de vérifier la voie de retour. En fait, la plupart des gens ne savent même pas qu'il existe une adresse de retour.

Le SPF peut être assez facilement contourné en utilisant cette simple astuce, et cela laisse même les domaines sécurisés avec SPF largement vulnérables.

Les enregistrements SPF ont une limite de consultation DNS

Les enregistrements SPF contiennent une liste de toutes les adresses IP autorisées par le propriétaire du domaine à envoyer des courriels. Cependant, ils présentent un inconvénient majeur. Le serveur récepteur doit vérifier l'enregistrement pour voir si l'expéditeur est autorisé, et pour réduire la charge du serveur, les enregistrements SPF ont une limite de 10 consultations DNS.

Cela signifie que si votre organisation fait appel à plusieurs fournisseurs tiers qui envoient des courriers électroniques via votre domaine, l'enregistrement SPF peut finir par dépasser cette limite. À moins d'être correctement optimisés (ce qui n'est pas facile à faire vous-même), les enregistrements SPF auront une limite très restrictive. Lorsque vous dépassez cette limite, l'implémentation du SPF est considérée comme invalide et votre courriel échoue le SPF. Cela pourrait potentiellement nuire à vos taux de livraison de courrier électronique.

 

Le SPF ne fonctionne pas toujours lorsque le courrier électronique est transféré

Le SPF présente un autre point de défaillance critique qui peut nuire à la délivrabilité de votre courrier électronique. Lorsque vous avez mis en place un SPF sur votre domaine et que quelqu'un transfère votre courrier électronique, le courrier électronique transféré peut être rejeté en raison de votre politique de SPF.

En effet, le message transféré a changé de destinataire, mais l'adresse de l'expéditeur reste la même. Cela devient un problème car le message contient l'adresse "From" de l'expéditeur d'origine, mais le serveur de réception voit une IP différente. L'adresse IP du serveur de transfert de courrier électronique n'est pas incluse dans l'enregistrement SPF du domaine de l'expéditeur d'origine. Cela pourrait entraîner le rejet du courrier électronique par le serveur de réception.

Comment le DMARC résout ces problèmes ?

Le DMARC utilise une combinaison de SPF et de DKIM pour authentifier le courrier électronique. Un courrier électronique doit passer soit par SPF soit par DKIM pour passer par DMARC et être livré avec succès. Il ajoute également une fonction clé qui le rend beaucoup plus efficace que le SPF ou le DKIM seuls : Rapports.

Avec les rapports de la DMARC, vous obtenez un retour d'information quotidien sur l'état de vos canaux de courrier électronique. Cela comprend des informations sur votre alignement DMARC, des données sur les courriels qui ont échoué à l'authentification et des détails sur les tentatives potentielles d'usurpation d'identité.

Si vous vous demandez ce que vous pouvez faire pour éviter l'usurpation d'identité, consultez notre guide pratique sur les 5 meilleures façons d'éviter l'usurpation d'identité par courriel.