Posts

Un problème très courant auquel les utilisateurs de SPF sont confrontés quotidiennement est le risque de générer trop de consultations DNS qui peuvent les faire dépasser facilement la limite de SPF. Cela donne un résultat SPF PermError lorsque la surveillance DMARC est activée et cause des problèmes de délivrabilité de courrier électronique. Les experts du secteur proposent des solutions telles que les services d'aplatissement SPF pour atténuer ce problème, et PowerSPF répond réellement à ses attentes et les dépasse. Lisez la suite pour savoir comment !

Trop de consultations DNS : Pourquoi cela se produit-il ?

La première chose que vous devez comprendre est pourquoi vous finissez par générer trop de consultations DNS en premier lieu. C'est parce que, quelle que soit la solution d'échange de courrier électronique que vous utilisez, votre fournisseur de services ajoute des mécanismes à votre enregistrement, ce qui entraîne un plus grand nombre de consultations.

Par exemple, si vous utilisez l'échangeur de courrier électronique de Google, ou Gmail, un enregistrement SPF tel que v=spf1 include:[email protected] -all génère en fait un total de 4 consultations du DNS. Les inclusions imbriquées génèrent également plus de consultations et si vous utilisez plusieurs fournisseurs tiers pour envoyer des courriels en utilisant votre domaine, vous pouvez facilement dépasser la limite de 10 consultations DNS.

Le SPF est-il la solution ? Non !

La réponse est non. L'aplatissement manuel du SPF peut vous aider à rester sous la limite de recherche du SPF 10, mais il a ses propres limites et défis. Si vous aplatissez votre SPF manuellement, il s'agit simplement de remplacer les mentions d'inclusion dans votre enregistrement SPF par leurs adresses IP correspondantes afin d'éliminer la nécessité de recherches. Cela permet d'éviter de générer trop de consultations DNS au départ, ce qui vous aide à rester en dessous de la limite de 10 consultations SPF et à éviter la permerrorisation. Mais les solutions manuelles d'aplatissement du SPF posent des problèmes :

  • La longueur de l'enregistrement SPF peut être trop longue (plus de 255 caractères).
  • Votre fournisseur de services de courrier électronique peut modifier ou compléter son adresse IP sans vous en informer
  • Il n'existe pas de tableau de bord pour surveiller le flux de courrier électronique, modifier ou mettre à jour vos domaines et mécanismes, et suivre les activités
  • Vous devez constamment apporter des modifications à votre DNS pour mettre à jour votre enregistrement SPF
  • Les changements fréquents d'adresse IP peuvent avoir une incidence sur la délivrabilité de votre courrier électronique

En quoi cela vous concerne-t-il ? Eh bien, si votre dossier SPF n'est pas mis à jour sur les nouvelles adresses IP que vos fournisseurs de services de messagerie utilisent, de temps en temps, lorsque ces adresses IP sont utilisées, vos courriels échoueront inévitablement du côté du destinataire.

Aplatissement dynamique du SPF pour résoudre les trop nombreuses consultations DNS

Une solution plus intelligente pour éviter les erreurs de recherche DNS est PowerSPF, votre aplatisseur automatique d'enregistrements SPF. PowerSPF est votre solution d'aplatissement SPF en temps réel qui vous aide :

  • Configurez facilement le SPF pour votre domaine en quelques clics
  • Un clic sur l'aplatissement instantané de l'enregistrement SPF avec une seule déclaration d'inclusion pour bénéficier de la gestion automatique des inclusions SPF
  • Restez toujours en dessous de la limite de 10 consultations DNS
  • Mise à jour automatique du netblock et recherche constante des changements d'adresses IP pour maintenir votre enregistrement SPF à jour.
  • Maintenez un tableau de bord convivial dans lequel vous pouvez facilement mettre à jour les changements apportés à vos politiques, ajouter des domaines et des mécanismes, et surveiller le flux de courrier électronique.

Pourquoi s'appuyer sur des outils de compression SPF qui peuvent fournir des résultats temporaires avec des limites sous-jacentes ? Optimisez votre enregistrement SPF et atténuez la limite dure du SPF avec le SPF automatique dès aujourd'hui ! S'inscrire à PowerSPF maintenant ?

Raisons pour lesquelles il faut éviter l'aplatissement du SPF

Sender Policy Framework, ou SPF, est un protocole d'authentification de courrier électronique largement reconnu qui valide vos messages en les authentifiant par rapport à toutes les adresses IP autorisées enregistrées pour votre domaine dans votre dossier SPF. Afin de valider les courriers électroniques, SPF spécifie au serveur de courrier électronique récepteur d'effectuer des requêtes DNS pour vérifier les IP autorisées, ce qui entraîne des consultations DNS.

Votre enregistrement SPF existe sous la forme d'un enregistrement DNS TXT qui est formé d'un assemblage de divers mécanismes. La plupart de ces mécanismes (tels que include, a, mx, redirect, exists, ptr) génèrent des consultations DNS. Toutefois, le nombre maximum de consultations DNS pour l'authentification SPF est limité à 10. Si vous faites appel à divers fournisseurs tiers pour envoyer des courriers électroniques en utilisant votre domaine, vous pouvez facilement dépasser la limite de SPF en dur.

Vous vous demandez peut-être ce qui se passe si vous dépassez cette limite ? Le dépassement de la limite de 10 DNS entraînera l'échec du SPF et invalidera même les messages légitimes envoyés depuis votre domaine. Dans de tels cas, le serveur de messagerie qui reçoit les messages renvoie un rapport SPF PermError à votre domaine si vous avez activé la surveillance DMARC, ce qui nous amène au principal sujet de discussion de ce blog : L'aplatissement des SPF.

Qu'est-ce que l'aplatissement SPF ?

L'aplatissement de l'enregistrement SPF est l'une des méthodes les plus utilisées par les experts de l'industrie pour optimiser votre enregistrement SPF et éviter de dépasser la limite dure du SPF. La procédure d'aplatissement du SPF est assez simple. L'aplatissement de votre enregistrement SPF est le processus qui consiste à remplacer tous les mécanismes d'inclusion par leurs adresses IP respectives afin d'éliminer la nécessité d'effectuer des recherches DNS.

Par exemple, si votre dossier SPF ressemblait initialement à ceci :

v=spf1 include:spf.domain.com -all

Un disque SPF aplati ressemblera à ceci :

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Cet enregistrement aplati ne génère qu'une seule consultation DNS, au lieu d'en effectuer plusieurs. La réduction du nombre de requêtes DNS effectuées par le serveur de réception lors de l'authentification du courrier électronique permet de rester en dessous de la limite de 10 consultations DNS, mais elle pose des problèmes particuliers.

Le problème de l'aplatissement des SPF

Outre le fait que votre enregistrement SPF aplati manuellement peut devenir trop long à publier sur le DNS de votre domaine (dépassant la limite de 255 caractères), vous devez tenir compte du fait que votre fournisseur de services de courrier électronique peut modifier ou ajouter des adresses IP sans vous en informer en tant qu'utilisateur. De temps en temps, lorsque votre fournisseur apporte des modifications à son infrastructure, ces modifications ne sont pas prises en compte dans votre enregistrement SPF. Par conséquent, chaque fois que ces adresses IP modifiées ou nouvelles sont utilisées par votre serveur de courrier électronique, le courrier électronique échoue dans le SPF du côté du destinataire.

PowerSPF : votre générateur d'enregistrements SPF dynamiques

Le but ultime de PowerDMARC était de trouver une solution qui puisse empêcher les propriétaires de domaines d'atteindre la limite de 10 DNS, ainsi que d'optimiser votre enregistrement SPF pour rester toujours à jour sur les dernières adresses IP utilisées par vos fournisseurs de services de messagerie. PowerSPF est votre solution automatisée d'aplatissement de SPF qui tire à travers votre enregistrement SPF pour générer une seule déclaration d'inclusion. PowerSPF vous aide :

  • Ajouter ou supprimer facilement des PI et des mécanismes
  • Mise à jour automatique des netblocks pour s'assurer que vos IP autorisés sont toujours à jour
  • Restez facilement sous la limite des 10 DNS
  • Obtenez un dossier SPF optimisé en un seul clic
  • Vaincre définitivement la "perméabilité".
  • Mettre en œuvre un SPF sans erreur

Inscrivez-vous à PowerDMARC dès aujourd'hui pour garantir une meilleure délivrabilité et authentification du courrier électronique, tout en restant sous la limite de 10 DNS SPF .

Dans cet article, nous allons voir comment optimiser facilement l'enregistrement SPF pour votre domaine. Pour les entreprises et les petites entreprises qui possèdent un domaine de messagerie pour envoyer et recevoir des messages à leurs clients, partenaires et employés, il est fort probable qu'un enregistrement SPF existe par défaut et qu'il ait été configuré par votre fournisseur de services de messagerie. Que vous disposiez d'un enregistrement SPF préexistant ou que vous deviez en créer un nouveau, vous devez optimiser votre enregistrement SPF correctement pour votre domaine afin de vous assurer qu'il ne pose aucun problème de livraison des e-mails.

Certains destinataires de courriels ont strictement besoin d'un SPF, ce qui indique que si vous n'avez pas d'enregistrement SPF publié pour votre domaine, vos courriels peuvent être marqués comme spam dans la boîte de réception de votre destinataire. De plus, le SPF aide à détecter les sources non autorisées qui envoient des courriels au nom de votre domaine.

Laissez-nous d'abord comprendre ce qu'est le SPF et pourquoi vous en avez besoin.

Cadre politique de l'expéditeur (SPF)

Le SPF est essentiellement un protocole d'authentification de courrier électronique standard qui spécifie les adresses IP autorisées à envoyer des courriers électroniques à partir de votre domaine. Il fonctionne en comparant les adresses des expéditeurs à la liste des hôtes d'envoi autorisés et des adresses IP pour un domaine spécifique qui est publiée dans le DNS pour ce domaine.

SPF, ainsi que DMARC (Domain-based Message Authentication, Reporting and Conformance), est conçu pour détecter les adresses d'expéditeur falsifiées lors de la distribution du courrier électronique et prévenir les attaques par usurpation d'identité, le phishing et les escroqueries par courrier électronique.

Il est important de savoir que, bien que le SPF par défaut intégré à votre domaine par votre fournisseur d'hébergement garantisse que les e-mails envoyés depuis votre domaine sont authentifiés par rapport au SPF, si vous avez plusieurs fournisseurs tiers pour envoyer des e-mails depuis votre domaine, cet enregistrement SPF préexistant doit être adapté et modifié pour répondre à vos besoins. Comment faire ? Examinons deux des méthodes les plus courantes :

  • Créer un tout nouveau record du SPF
  • Optimisation d'un dossier SPF existant

Instructions sur la façon d'optimiser l'enregistrement SPF

Créer un tout nouveau dossier SPF

Créer un enregistrement SPF consiste simplement à publier un enregistrement TXT dans le DNS de votre domaine afin de configurer SPF pour votre domaine. Il s'agit d'une étape obligatoire avant de commencer à savoir comment optimiser l'enregistrement SPF. Si vous débutez avec l'authentification et que vous n'êtes pas sûr de la syntaxe, vous pouvez utiliser notre générateur d'enregistrement SPF en ligne gratuit pour créer un enregistrement SPF pour votre domaine.

Une entrée d'enregistrement SPF avec une syntaxe correcte ressemblera à ceci :

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Précise la version du SPF utilisée
ip4/ip6Ce mécanisme spécifie les adresses IP valides qui sont autorisées à envoyer des courriels à partir de votre domaine.
inclureCe mécanisme indique aux serveurs récepteurs d'inclure les valeurs de l'enregistrement SPF du domaine spécifié.
-toutCe mécanisme précise que les courriels qui ne sont pas conformes au SPF seront rejetés. C'est la balise recommandée que vous pouvez utiliser lors de la publication de votre enregistrement SPF. Cependant, elle peut être remplacée par ~ pour SPF Soft Fail (les courriels non conformes seraient marqués comme soft fail mais seraient quand même acceptés) ou + qui spécifie que tout serveur serait autorisé à envoyer des courriels au nom de votre domaine, ce qui est fortement déconseillé.

Si vous avez déjà configuré le SPF pour votre domaine, vous pouvez également utiliser notre vérificateur d'enregistrement SP F gratuit pour consulter et valider votre enregistrement SPF et détecter les problèmes.

Défis et erreurs courants lors de la configuration du SPF

1) 10 Limite de recherche DNS 

Le défi le plus courant auquel sont confrontés les propriétaires de domaines lorsqu'ils configurent et adoptent le protocole d'authentification SPF pour leur domaine, est que le SPF est assorti d'une limite du nombre de consultations DNS, qui ne peut dépasser 10. Pour les domaines qui dépendent de plusieurs fournisseurs tiers, la limite de 10 consultations DNS est facilement dépassée, ce qui entraîne la rupture du SPF et le renvoi d'une PermError SPF. Dans ce cas, le serveur récepteur invalide automatiquement votre enregistrement SPF et le bloque.

Mécanismes qui déclenchent les consultations du DNS : MX, A, INCLUDE, REDIRECTION du modificateur

2) Recherche de l'absence de SPF 

Les consultations nulles font référence aux consultations DNS qui renvoient soit une réponse NOERROR soit une réponse NXDOMAIN (réponse nulle). Lors de la mise en œuvre du SPF, il est recommandé de s'assurer que les consultations DNS ne renvoient pas de réponse nulle en premier lieu.

3) SPF Boucle récursive

Cette erreur indique que l'enregistrement SPF pour votre domaine spécifié contient des problèmes récursifs avec un ou plusieurs des mécanismes INCLUDE. Cela se produit lorsque l'un des domaines spécifiés dans la balise INCLUDE contient un domaine dont l'enregistrement SPF contient la balise INCLUDE du domaine d'origine. Il en résulte une boucle sans fin qui amène les serveurs de courrier électronique à effectuer en permanence des recherches DNS pour les enregistrements SPF. Cela conduit finalement à dépasser la limite de 10 recherches DNS, ce qui entraîne l'échec des courriels SPF.

4) Erreurs de syntaxe 

Un enregistrement SPF peut exister dans le DNS de votre domaine, mais il n'est d'aucune utilité s'il contient des erreurs de syntaxe. Si votre enregistrement SPF TXT contient des espaces blancs inutiles lors de la saisie du nom de domaine ou du nom du mécanisme, la chaîne précédant l'espace supplémentaire sera complètement ignorée par le serveur récepteur lors de la recherche, ce qui invalidera l'enregistrement SPF.

5) Plusieurs enregistrements SPF pour le même domaine

Un seul domaine ne peut avoir qu'une seule entrée SPF TXT dans le DNS. Si votre domaine contient plus d'un enregistrement SPF, le serveur de réception les invalide tous, ce qui entraîne l'échec du SPF des courriels.

6) Durée de l'enregistrement du SPF 

La longueur maximale d'un enregistrement SPF dans le DNS est limitée à 255 caractères. Toutefois, cette limite peut être dépassée et un enregistrement TXT pour SPF peut contenir plusieurs chaînes concaténées ensemble, mais pas au-delà d'une limite de 512 caractères, pour s'adapter à la réponse à la requête DNS (selon la RFC 4408). Bien que cette disposition ait été révisée par la suite, les destinataires utilisant des versions DNS plus anciennes ne pouvaient pas valider les courriers électroniques envoyés par des domaines contenant un enregistrement SPF trop long.

Optimiser votre dossier SPF

Afin de modifier rapidement votre dossier SPF, vous pouvez utiliser les bonnes pratiques suivantes :

  • Essayez de taper vos sources de courrier électronique par ordre décroissant d'importance de gauche à droite dans votre dossier SPF
  • Supprimer les sources de courrier électronique obsolètes de votre DNS
  • Utiliser les mécanismes IP4/IP6 au lieu de A et MX
  • Maintenez votre nombre de mécanismes INCLUS le plus bas possible et évitez les includes imbriqués
  • Ne publiez pas plus d'un enregistrement SPF pour le même domaine dans votre DNS
  • Assurez-vous que votre dossier SPF ne contient pas d'espaces blancs redondants ou d'erreurs de syntaxe

Remarque : l'aplatissement du SPF n'est pas recommandé, car il ne s'agit pas d'une opération ponctuelle. Si votre fournisseur de services de messagerie électronique modifie son infrastructure, vous devrez modifier vos enregistrements SPF en conséquence, à chaque fois.

Optimiser votre dossier SPF en toute simplicité avec PowerSPF

Vous pouvez essayer de mettre en œuvre toutes les modifications mentionnées ci-dessus pour optimiser votre enregistrement SPF manuellement, ou vous pouvez oublier les tracas et compter sur notre PowerSPF dynamique pour faire tout cela pour vous automatiquement ! PowerSPF vous aide à optimiser votre enregistrement SPF d'un simple clic, ce qui vous est possible :

  • Ajouter ou supprimer facilement des sources d'envoi
  • Mettre à jour les enregistrements facilement sans avoir à modifier manuellement votre DNS
  • Obtenez un enregistrement SPF automatique optimisé d'un simple clic
  • Restez toujours en dessous de la limite de 10 consultations DNS
  • Atténuer avec succès l'erreur de permis
  • Oubliez les erreurs de syntaxe des enregistrements SPF et les problèmes de configuration
  • Nous vous déchargeons de la charge de résoudre les limitations du SPF en votre nom

Inscrivez-vous à PowerDMARC dès aujourd'hui pour mettre fin aux limitations du SPF pour toujours !  

En tant que prestataire de services de la DMARC, on nous pose souvent cette question : "Si le DMARC utilise uniquement les authentifications SPF et DKIM, pourquoi devrions-nous nous préoccuper du DMARC ? N'est-ce pas tout simplement inutile ?

En apparence, cela peut sembler ne pas faire de grande différence, mais la réalité est très différente. Le DMARC n'est pas seulement une combinaison des technologies SPF et DKIM, c'est un protocole entièrement nouveau en soi. Il possède plusieurs caractéristiques qui en font l'une des normes d'authentification du courrier électronique les plus avancées au monde, et une nécessité absolue pour les entreprises.

Mais attendez une minute. Nous ne savons pas exactement pourquoi vous avez besoin du DMARC. Qu'est-ce qu'elle offre que le SPF et le DKIM n'offrent pas ? Eh bien, c'est une réponse assez longue ; trop longue pour un seul article de blog. Alors, séparons-nous et parlons d'abord du SPF. Au cas où vous ne le sauriez pas, voici une petite introduction.

Qu'est-ce que le SPF ?

Le SPF, ou Sender Policy Framework, est un protocole d'authentification des courriers électroniques qui protège le destinataire des courriers électroniques usurpés. Il s'agit essentiellement d'une liste de toutes les adresses IP autorisées à envoyer des courriers électroniques par vos canaux (le propriétaire du domaine). Lorsque le serveur récepteur voit un message de votre domaine, il vérifie votre enregistrement SPF publié sur votre DNS. Si l'adresse IP de l'expéditeur figure dans cette "liste", le courrier électronique est livré. Sinon, le serveur rejette le courriel.

Comme vous pouvez le voir, le SPF fait un assez bon travail en empêchant l'envoi de nombreux courriels indésirables qui pourraient endommager votre appareil ou compromettre les systèmes de sécurité de votre organisation. Mais le SPF n'est pas aussi efficace que certains pourraient le penser. C'est parce qu'il présente des inconvénients majeurs. Parlons de certains de ces problèmes.

Limites du SPF

Les enregistrements SPF ne s'appliquent pas à l'adresse de départ

Les courriers électroniques ont plusieurs adresses pour identifier leur expéditeur : l'adresse "From" que vous voyez normalement et l'adresse "Return Path" qui est cachée et qui nécessite un ou deux clics pour être affichée. Lorsque le SPF est activé, le serveur de courrier électronique récepteur examine le chemin de retour et vérifie les enregistrements SPF du domaine de cette adresse.

Le problème ici est que les attaquants peuvent exploiter cela en utilisant un faux domaine dans leur adresse de retour et une adresse électronique légitime (ou d'apparence légitime) dans la section "De". Même si le destinataire vérifiait l'identifiant de l'expéditeur, il verrait d'abord l'adresse de départ et ne prendrait généralement pas la peine de vérifier la voie de retour. En fait, la plupart des gens ne savent même pas qu'il existe une adresse de retour.

Le SPF peut être assez facilement contourné en utilisant cette simple astuce, et cela laisse même les domaines sécurisés avec SPF largement vulnérables.

Les enregistrements SPF ont une limite de consultation DNS

Les enregistrements SPF contiennent une liste de toutes les adresses IP autorisées par le propriétaire du domaine à envoyer des courriels. Cependant, ils présentent un inconvénient majeur. Le serveur récepteur doit vérifier l'enregistrement pour voir si l'expéditeur est autorisé, et pour réduire la charge du serveur, les enregistrements SPF ont une limite de 10 consultations DNS.

Cela signifie que si votre organisation fait appel à plusieurs fournisseurs tiers qui envoient des courriers électroniques via votre domaine, l'enregistrement SPF peut finir par dépasser cette limite. À moins d'être correctement optimisés (ce qui n'est pas facile à faire vous-même), les enregistrements SPF auront une limite très restrictive. Lorsque vous dépassez cette limite, l'implémentation du SPF est considérée comme invalide et votre courriel échoue le SPF. Cela pourrait potentiellement nuire à vos taux de livraison de courrier électronique.

 

Le SPF ne fonctionne pas toujours lorsque le courrier électronique est transféré

Le SPF présente un autre point de défaillance critique qui peut nuire à la délivrabilité de votre courrier électronique. Lorsque vous avez mis en place un SPF sur votre domaine et que quelqu'un transfère votre courrier électronique, le courrier électronique transféré peut être rejeté en raison de votre politique de SPF.

En effet, le message transféré a changé de destinataire, mais l'adresse de l'expéditeur reste la même. Cela devient un problème car le message contient l'adresse "From" de l'expéditeur d'origine, mais le serveur de réception voit une IP différente. L'adresse IP du serveur de transfert de courrier électronique n'est pas incluse dans l'enregistrement SPF du domaine de l'expéditeur d'origine. Cela pourrait entraîner le rejet du courrier électronique par le serveur de réception.

Comment le DMARC résout ces problèmes ?

Le DMARC utilise une combinaison de SPF et de DKIM pour authentifier le courrier électronique. Un courrier électronique doit passer soit par SPF soit par DKIM pour passer par DMARC et être livré avec succès. Il ajoute également une fonction clé qui le rend beaucoup plus efficace que le SPF ou le DKIM seuls : Rapports.

Avec les rapports de la DMARC, vous obtenez un retour d'information quotidien sur l'état de vos canaux de courrier électronique. Cela comprend des informations sur votre alignement DMARC, des données sur les courriels qui ont échoué à l'authentification et des détails sur les tentatives potentielles d'usurpation d'identité.

Si vous vous demandez ce que vous pouvez faire pour éviter l'usurpation d'identité, consultez notre guide pratique sur les 5 meilleures façons d'éviter l'usurpation d'identité par courriel.