Posts

Syntaxe SPF : Un guide complet

L'apprentissage et la mise en œuvre des concepts de SPF sont importants pour les entreprises axées sur la technologie. Cela peut les protéger contre les risques potentiels de phishing, spamming, attaques BECetc. Le SPF, ou Sender Policy Framework, fonctionne en utilisant une adresse de type SPF qui comprend la syntaxe SPF.

Ce blog traite largement de la table syntaxique SPF, des mécanismes SPF, des qualificatifs SPF et des modificateurs SPF, autant d'éléments nécessaires à une bonne maîtrise du concept d'authentification des e-mails à l'aide de protocoles techniques. 

Syntaxe SPF pour les Benginners 

Un enregistrement SPF est un enregistrement DNS qui comprend une liste de toutes les adresses IP autorisées à envoyer des e-mails en utilisant votre nom de domaine officiel. Lorsqu'un serveur ne figurant pas dans la liste envoie un courriel en utilisant le domaine, il est considéré comme non autorisé. Ainsi, son entrée est rejetée par la boîte aux lettres du destinataire. Cela permet de protéger le nom de votre entreprise contre les activités malveillantes initiées par des pirates informatiques. 

Les entreprises doivent créer et vérifier les enregistrements SPF afin de se prémunir contre les tentatives d'hameçonnage par le biais de leurs propres noms de domaine. Plus de 255 millions d'attaques de phishing ont été enregistrées au cours du seul premier semestre 2022 ! Imaginez à quel point il est devenu crucial de mettre en œuvre le SPF et de se renseigner sur la syntaxe du SPF.

Un enregistrement SPF contient des instructions indiquant au serveur du destinataire de vérifier et de valider les courriels reçus de votre domaine. Il indique également ce qu'il faut faire avec ceux qui échouent à l'authentification. Un composant spécifique représente toutes les instructions.  

Décomposons chaque élément à l'aide d'un exemple d'enregistrement SPF.. Voici à quoi ressemble une syntaxe SPF.

v=spf1 ip4:123.1.5.0 ip4:100.5.2.1 include:exampledomain.com ~all

La fonction de chaque élément est la suivante :

  • v=spf1 indique au serveur récepteur qu'il s'agit d'un enregistrement SPF. Tous les enregistrements SPF doivent commencer comme ceci.
  • La section suivante de cette syntaxe SPF indique les adresses IP autorisées à envoyer des e-mails en utilisant votre domaine. Dans l'exemple ci-dessus, nous avons ip4:123.1.5.0 et ip4:100.5.2.1
  • La section "include:exampledomain.com". de l'exemple ci-dessus spécifie les tiers autorisés à envoyer des courriels en utilisant le domaine. La balise "include" indique aux serveurs destinataires de vérifier l'enregistrement SPF du domaine inclus (exampledomain.com) pour les adresses IP qui sont également autorisées. Vous pouvez ajouter plusieurs domaines dans un enregistrement SPF, mais ils doivent être valides.
  • L'élément -all indique aux serveurs récepteurs de marquer les courriels comme NON PASSANTS pour SPF s'ils sont envoyés depuis un domaine ou une adresse IP ne figurant pas dans la liste spécifiée dans l'enregistrement SPF.

Syntaxe SPF avancée

Une table syntaxique SPF est définie à l'aide d'un enregistrement DNS TXT contenant une seule chaîne de texte. Elle commence toujours par l'élément 'v=' qui spécifie la version SPF utilisée, et il n'y a qu'une seule version pour le moment.

Tous les enregistrements SPF ont leurs propres termes spécifiques qui se comportent comme des règles pour les hôtes qui sont autorisés à partager des messages en utilisant le domaine officiel ; ils peuvent également afficher des informations supplémentaires. 

Dans la syntaxe SPF avancée nous allons décomposer les les trois composants suivants : les mécanismes SPF, les qualificatifs SPF et les modificateurs SPF.

Mécanismes du SPF

  1. TOUTES: Il correspond toujours et est le dernier mécanisme ajouté à la fin d'un enregistrement SPF. Il affiche des résultats par défaut comme '-all' pour les adresses IP non correspondantes.
  2. A: Il indique un nom de domaine avec un enregistrement AAAA ou A record comme une correspondance puisqu'il trie l'adresse de l'expéditeur. Le domaine actuel est utilisé si la syntaxe de cet enregistrement DNS SPF n'est pas spécifiée.
  3. ip4: Une correspondance est positive si un expéditeur est connecté à la plage d'adresses ipv4 donnée dans l'enregistrement SPF. Vous l'ajoutez avec un préfixe spécifiant la longueur d'une plage. /32 est utilisé lorsqu'il n'y a pas de préfixe.
  4. ip6: Une correspondance est positive lorsque l'expéditeur est allié à la plage d'adresses ipv6 spécifiée. Elle est ajoutée avec la directive ip4 et un préfixe indiquant la longueur de la plage. /128 est utilisé lorsqu'il n'y a pas de préfixe.
  5. MX: Il autorise les expéditeurs dont l'adresse IP est la même que celle incluse dans l'enregistrement MX spécifié. Les enregistrements MX consistent en une adresse IP et une valeur de priorité pour chaque serveur devant accepter des messages.
  6. PTR: Il spécifie le domaine autorisé pour aider à résoudre les adresses IP vers des sous-domaines ou des domaines. Pour tous les domaines ou sous-domaines correspondant exactement, une recherche en avant est effectuée pour obtenir l'adresse IP.

Ce mécanisme est considéré comme long et peu fiable car il nécessite plusieurs recherches. Il n'est pas recommandé selon les directives du RFC 7208.

  1. EXISTS: Il effectue une recherche d'enregistrement A du DNS pour le domaine saisi. Une correspondance est réussie lorsqu'un enregistrement A valide est trouvé, quel que soit le résultat de la recherche.
  2. INCLUDE: Il autorise les expéditeurs d'e-mails tiers en indiquant leurs domaines. Un expéditeur n'est autorisé que si son adresse IP correspond aux adresses IP ou aux domaines fournis dans l'enregistrement SPF du domaine listé.

Qualificatifs SPF

Lorsqu'un mécanisme n'a pas de qualificateur, et qu'il y a quand même une correspondance réussie, l'authentification SPF passe. Chacun des 8 mécanismes est couplé à l'un des quatre qualificatifs mentionnés ci-dessous.

Qualification Résultat Mesures prises par le serveur récepteur 
+ Passez Le courriel passe avec succès l'authentification SPF, et le serveur peut échanger des courriels. Les courriels sont marqués comme authentiques. C'est l'action par défaut appliquée s'il n'y a pas de qualificatif.
- Échec Le courrier électronique échoue à l'authentification parce que le serveur d'envoi n'appartient pas à la liste. Le courrier peut être rejeté par la boîte aux lettres du destinataire.
~ SoftFail La boîte aux lettres du destinataire accepte le message, mais celui-ci est marqué comme suspect et atterrit dans le dossier spam.
? Neutre Le message électronique ne passe ni ne rate l'authentification. L'action entreprise n'est pas spécifiée et le message est accepté par le destinataire.

Modificateurs de SPF

Les modificateurs SPD sont chargés de déterminer les paramètres de travail d'une syntaxe SPF. Ils comprennent des paires de noms ou de valeurs séparés par le symbole '=', qui partagent des détails supplémentaires et des exceptions aux règles, le cas échéant.

Les modificateurs n'apparaissent qu'une seule fois et uniquement dans la dernière section d'un enregistrement SPF. Tous les modificateurs non identifiés sont ignorés dans le processus. Le modificateur "redirect" est utilisé pour diriger d'autres enregistrements SPF pour l'authentification. Il est utilisé lorsque vous souhaitez que plusieurs domaines aient le même contenu d'enregistrement SPF.

Le mécanisme "include" est utilisé pour les domaines tiers autorisés à envoyer des courriers électroniques en votre nom ou en utilisant votre nom commercial. Le modificateur "exp" indique pourquoi le serveur de réception a renvoyé un qualificatif SPF d'échec lorsqu'un mécanisme correspond.

Directives pour les enregistrements SPF

Gardez les points suivants à l'esprit lorsque vous créez un enregistrement SPF à l'aide du tableau de syntaxe SPF.

  • Vous ne pouvez pas aligner plusieurs enregistrements SPF pour un même domaine.
  • Un enregistrement SPF ne doit pas comporter de lettres majuscules, sinon vous verrez des erreurs.
  • Il ne doit pas y avoir plus de 255 caractères. Toute chaîne dépassant ce nombre entraînera un échec de l'authentification.
  • Supprimer s'il y a des mécanismes SPF qui se résolvent vers le même domaine.
  • Supprimez tous les mécanismes SPF ip4 et ip6 qui ne sont pas utilisés. Vérifiez également si vous pouvez fusionner des plages d'adresses.
  • Vous pouvez créer des sous-domaines pour stocker les informations SPF. Pour ce faire, utilisez '_spf.domain.com'. Cette méthode est recommandée pour les grandes entreprises informatiques, car elles disposent de plusieurs adresses IP à ajouter à un enregistrement SPF.

/par

Format SPF : Explication des formats SPF de base et avancé

Vous pouvez envoyer des courriels sans utiliser le format SPF ou sans connaître le SPF., mais cela ne sera pas sûr. Le SPF ajoute une indication de confiance supplémentaire aux fournisseurs de boîtes aux lettres des destinataires, et tous les courriels authentiques envoyés à l'aide de votre domaine atterrissent dans la boîte de réception au lieu d'être marqués comme spam.

SPF n'est pas une méthode infaillible, vous devez donc la combiner avec d'autres méthodes d'authentification du courrier électronique. authentification du courrier électronique comme DKIM, DMARCet BIMI pour améliorer la délivrabilité du courrier électronique.

Étant donné que ces protocoles sont essentiels au processus d'authentification des e-mails et que toutes les entreprises axées sur les e-mails doivent les connaître, nous nous concentrerons sur le format d'enregistrement SPF dans ce blog.

Qu'est-ce que le SPF ?

SPF est l'abréviation de Sender Policy Framework - l'un des protocoles d'authentification des e-mails les plus courants. Il fonctionne à l'aide d'une liste d'adresses IP autorisées à envoyer des e-mails en utilisant votre nom de domaine. Cette liste comprend généralement les adresses IP de vos employés, actionnaires et tiers qui utilisent directement votre domaine pour envoyer des e-mails.

Si vous avez mis en place le SPF, tout courriel envoyé à partir d'une adresse IP ne figurant pas dans la liste est considéré comme non autorisé par la boîte aux lettres du destinataire.

Comment le courrier électronique est-il authentifié à l'aide de SPF ?

Vous devez publier un enregistrement SPF valide (au format TXT ) sur votre DNS pour mettre en œuvre ce protocole. Lorsqu'un courriel est envoyé depuis votre domaine, le serveur de messagerie du destinataire vérifie l'adresse IP de l'expéditeur en la comparant aux enregistrements SPF de votre DNS. Si elle figure dans la liste, la validation passe et l'e-mail atterrit dans la boîte de réception. En revanche, si elle ne figure pas dans la liste, l'authentification échoue et les e-mails n'arrivent pas à destination.

Après l'avoir mis en place, vous devez surveiller régulièrement l'activité de votre domaine en utilisant un vérificateur SPF pour vous assurer qu'il n'est pas sur le radar d'un pirate. Cela peut empêcher le spear phishingl'escroquerie et les attaques par ransomware tentées en utilisant le nom de votre entreprise.

Format SPF

L'enregistrement SPF est compliqué et possède un format typique difficile à comprendre. Nous aborderons ici la syntaxe et la structure de l'enregistrement SPF - la tête et le cœur du format de l'enregistrement SPF..

Enregistrement SPF : Syntaxe de base

Un enregistrement SPF est un enregistrement DNS répertoriant toutes les adresses IP autorisées à envoyer des courriels en utilisant votre domaine de messagerie. Voici à quoi ressemble la syntaxe d'un enregistrement SPF :

v=spf1 ip4=193.0.1.0 ip4=193.0.1.1 include:samplesender.net -all

Voyons les éléments qui y sont inclus.

  • v=spf1- Elle indique au serveur que le message contient un enregistrement SPF. Chaque enregistrement SPF doit commencer par cette chaîne.
  • ip4=193.0.1.0 ip4=193.0.1.1- Il indique les adresses IP autorisées à envoyer des e-mails en utilisant un domaine spécifique.
  • Inclure:examplesender.net: Il indique aux tiers autorisés à envoyer des e-mails. La balise 'include' demande aux serveurs destinataires de vérifier l'enregistrement SPF du domaine inclus (ici : samplesender.net). Vous pouvez ajouter plusieurs domaines dans un seul enregistrement SPF.
  • -Tout: indique aux serveurs destinataires de rejeter les courriels provenant d'adresses IP non autorisées, c'est-à-dire celles qui ne figurent pas dans la liste. 

Enregistrement SPF : Syntaxe avancée

Selon le format de l'enregistrement SPF pour les syntaxes, il commence toujours par l'élément "v=". Il indique la version du SPF ; actuellement, il n'y a qu'une seule version, donc tous les formats d'enregistrement SPF commencent comme ceci.

La syntaxe de l'enregistrement SPF comporte trois éléments principaux : le mécanisme SPF, les qualificatifs SPF et les modificateurs SPF. Voyons ce qu'ils sont.

Mécanismes

Voici les huit mécanismes

  1. ALL: Cela signifie qu'il y a toujours une correspondance. Vous verrez des résultats par défaut comme '-all' pour les adresses IP non correspondantes.
  2. A: Le nom de domaine avec un enregistrement d'adresse A ou AAAA correspond car il peut être résolu à l'adresse de l'expéditeur.
  3. IP4: La correspondance est valable lorsque l'expéditeur est lié à la plage d'adresses IPv4 donnée.
  4. IP6: La correspondance est valable lorsque l'expéditeur est lié à la plage d'adresses IPv6 donnée.
  5. MX: L'adresse électronique de l'expéditeur n'est validée que si son nom de domaine comprend un enregistrement MX pour la résolution.
  6. PTR: La correspondance est autorisée si l'enregistrement PTR appartient à un domaine donné se résolvant à l'adresse du client. Les experts ne suggèrent pas son utilisation, car elle pourrait bloquer tous les courriels envoyés en utilisant votre domaine.
  7. EXISTS: Il fonctionne si le nom de domaine donné est validé. Ce mécanisme SPF fonctionne avec toutes les adresses résolues. 
  8. INCLUDE: Il fait référence à d'autres politiques de domaine. Donc, si elle passe, elle passe automatiquement. Cependant, si la politique incluse échoue, le traitement continue. 

Modificateurs

Les modificateurs déterminent le cadre fonctionnel d'un enregistrement SPF. Ils consistent en des paires de noms ou de valeurs séparées par le symbole '=', indiquant des informations supplémentaires. Vous les voyez plusieurs fois à la fin de l'enregistrement SPF, et tous les modificateurs non reconnus sont ignorés dans le processus.

Le modificateur "redirect" dirige vers d'autres enregistrements SPF responsables d'un fonctionnement efficace. Les experts les utilisent lorsque plusieurs domaines sont liés au même enregistrement SPF. Ce modificateur doit être utilisé si une seule entité contrôle tous les domaines ; sinon, le modificateur "include" est utilisé.

Qualifications

Chaque mécanisme peut être combiné avec l'un des quatre qualificatifs suivants.

'+' pour le résultat du PASS

'?' pour un résultat NEUTRE interprété comme la politique NONE.

'~' pour SOFTFAIL. En général, les messages qui renvoient un SOFTFAIL sont acceptés mais marqués. 

'-' pour FAIL, l'email est rejeté.

Conclusion

Le SPF empêche les cyberattaques engagées d'utiliser le nom et la réputation de votre marque. Vous pouvez empêcher les courriels envoyés par des pirates utilisant votre domaine d'atteindre leur public cible. Pour ce faire, vous n'autorisez que les entités de confiance à envoyer des courriels en utilisant votre domaine. 

Après avoir compris la structure et les composants du format d'enregistrement SPF, vous pouvez utiliser l'utilitaire Générateur d'enregistrements SPF si vous n'avez pas encore implémenté le protocole.

/par

Syntaxe de l'enregistrement SPF

L'enregistrementSPF (Sender Policy Framework) est un élément important de la norme Domain-based Message Authentication, Reporting and Conformance (DMARC) qui spécifie une méthode pour empêcher la falsification de l'adresse de l'expéditeur.

Les enregistrements SPF sont complexes à mettre en place et des problèmes de mise en œuvre peuvent survenir s'ils ne sont pas correctement configurés. De plus, la syntaxe des enregistrements SPF utilise des termes spécifiques qui peuvent prêter à confusion lors de la première rencontre. Par conséquent, dans cet article de blog, nous examinons la syntaxe des enregistrements SPF et ce que vous devez prendre en compte lorsque vous les configurez.

Qu'est-ce qu'un enregistrement SPF ?

Un enregistrement SPF est un type d'enregistrement DNS qui identifie les serveurs autorisés à envoyer un courriel au nom de votre domaine. Il répertorie les serveurs qui ont été autorisés à envoyer des e-mails pour votre domaine. Si un autre serveur tente d'envoyer un e-mail au nom de votre domaine, il sera rejeté comme expéditeur non autorisé.

L'objectif d'un enregistrement SPF est d'empêcher les utilisateurs malveillants d'envoyer de faux messages électroniques avec votre domaine dans le champ "From". Cela peut se produire si un attaquant envoie des quantités massives d'e-mails de spam à partir de votre serveur en usurpant ou en falsifiant votre domaine.

Comment fonctionne le FPS ?

1. Syntaxe de création d'un enregistrement SPF

Vous créez une syntaxe d'enregistrement SPF dans votre serveur DNS qui spécifie quelles adresses IP sont autorisées à envoyer des courriels à partir de votre domaine. Cela signifie que si quelqu'un essayait d'envoyer des courriels usurpés à partir de votre domaine, ses messages échoueraient parce que l'adresse IP de son serveur de messagerie ne serait pas répertoriée comme l'un des serveurs approuvés.

Par exemple, si vous souhaitez que seuls les comptes Gmail puissent envoyer des e-mails à partir de votre nom de domaine, mais pas les comptes Outlook, vous devez ajouter la ligne suivante à votre enregistrement SPF :

 v=spf1 a mx include:_spf.google.com ~all

 Cela indique aux serveurs que tout message envoyé depuis un hôte dont l'adresse IP se termine par _spf.google.com doit être considéré comme valide (m), tandis que tous les autres messages doivent être rejetés (a). 

Vous pouvez utiliser notre générateur d'enregistrements SPF pour commencer à créer un enregistrement gratuit dès maintenant !

2. Recherche DNS

Lorsqu'un expéditeur de courrier électronique tente d'envoyer un message, le serveur destinataire effectue une recherche DNS sur le domaine d'envoi pour voir s'il existe un enregistrement SPF - c'est ce qu'on appelle "l'authentification". Perte de SPF.

S'il n'y a pas d'enregistrement SPF, l'authentification échoue et le message n'est pas remis. S'il existe un enregistrement SPF, le serveur SPF vérifie les adresses IP dans l'enregistrement TXT au niveau du nom d'hôte spécifié dans l'enregistrement SPF.

 Si aucune adresse IP n'est spécifiée, l'authentification échoue. Sinon, il effectuera une requête A pour chaque adresse IP spécifiée dans l'ordre d'apparition dans l'enregistrement TXT.

L'adresse IP qui renvoie un code de résultat de NXDOMAIN ou NOERROR sera considérée comme autorisée par le serveur SPF et son nom d'hôte sera ajouté à une liste d'hôtes d'envoi autorisés pour ce domaine.

3. Résultat de l'authentification

Le serveur de messagerie remet le message au destinataire ou le signale comme étant à rejeter en fonction des règles spécifiées dans l'enregistrement SPF.

Les résultats de l'authentification peuvent prendre trois formes : Réussite, Neutre, ou Échec.

Pass signifie que le serveur de messagerie accepte le message comme légitime et autorise sa distribution. Neutre signifie qu'il n'y a pas d'enregistrement ou un enregistrement invalide pour ce domaine dans le DNS, il n'y a donc aucun moyen de savoir s'il s'agit ou non d'un message légitime provenant de ce domaine. Fail signifie que quelque chose dans ce message n'est pas suffisamment authentique pour qu'il soit délivré.

Par exemple, un serveur de messagerie dont l'adresse IP est '234.2.1.2' envoie un courrier électronique de '[email protected]'. Le serveur entrant consulte le service de nom de domaine(DNS) pour déterminer si cette adresse IP est autorisée à envoyer des messages électroniques au nom du domaine "apple.com". Si c'est le cas, le message sera remis ; sinon, il sera rejeté ou marqué comme spam, c'est-à-dire trié selon le mécanisme spécifié dans l'enregistrement SPF.

Syntaxe de l'enregistrement SPF

La syntaxe de l'enregistrement SPF comprend plusieurs éléments : directives, qualificatifs et mécanismes.

Les directives constituent la première partie de la syntaxe d'un enregistrement SPF. Elles indiquent comment interpréter le reste de l'enregistrement. Trois directives peuvent apparaître dans un enregistrement SPF : v=spf1, a, et mx. La directive v indique que cet enregistrement est un enregistrement SPFv1 ; la directive a indique que cet enregistrement est un rapport d'échec d'authentification de style SPFv2 ; la directive mx spécifie une liste de serveurs d'échange de courrier pour un domaine.

Les qualificatifs précisent l'endroit de votre zone DNS où vous souhaitez placer vos enregistrements SPF : exim4, enduser, ou _spf. Ces qualificatifs indiquent aux récepteurs de courrier où chercher vos enregistrements SPF lorsqu'ils les comparent à leurs enregistrements DNS.

Les mécanismes sont utilisés pour indiquer comment vous voulez traiter les adresses électroniques qui échouent à votre vérification SPF. Vous pouvez choisir parmi plusieurs mécanismes : tous, aucun, softfail, neutraliser ou rejeter.

  • tous acceptera tous les courriels provenant d'expéditeurs qui ont passé votre vérification SPF ;
  • aucun rejettera tout ce qui provient d'expéditeurs qui ont passé votre vérification SPF ;
  • softfail acceptera les courriels provenant d'expéditeurs dont la vérification SPF a échoué, mais les marquera comme suspects ;
  • neutre indique que vous ne refusez ni n'acceptez les messages envoyés depuis votre domaine. Il s'agit essentiellement d'une position "sans opinion" quant à l'acceptation ou au rejet du message ;
  • rejeter rejette les courriels dont la vérification SPF a échoué.

Qualificateurs de syntaxe d'enregistrement SPF

Les "qualificateurs" dans la syntaxe d'un enregistrement SPF permettent d'indiquer la portée de l'enregistrement SPF. Ils sont principalement utilisés pour indiquer si une adresse IP spécifique est autorisée ou non à envoyer des e-mails au nom de votre domaine.

Qualification Code de résultat Explication
+ Passez le seul qualificatif sans connotation négative. Il indique que l'enregistrement de sécurité du nom de domaine ne contient aucune erreur ou avertissement et est considéré comme sûr.
- Échec indique que l'enregistrement de sécurité du nom de domaine contient des erreurs ou des avertissements qui l'empêchent d'être considéré comme sûr.

 
~ Défaillance logicielle indique que l'enregistrement de sécurité du nom de domaine contient des erreurs ou des avertissements qui ne l'empêchent pas d'être considéré comme sûr, mais qui peuvent indiquer des problèmes de résolution DNS ou d'autres problèmes liés aux ancres de confiance DNS.
? Neutre Indique que le domaine n'a pas d'enregistrement SPF ou que son enregistrement est syntaxiquement correct mais qu'il ne correspond à aucun serveur d'envoi lorsqu'il est comparé à un (ou plusieurs) serveur d'envoi dans votre liste d'adresses IP de confiance pour ce domaine.

Mécanismes de syntaxe des enregistrements SPF 

Les mécanismes sont utilisés dans la syntaxe de l'enregistrement SPF pour indiquer au serveur récepteur quel type de mécanisme d'authentification doit être utilisé. Il existe deux types de mécanismes : 

  • l'expéditeur peut spécifier un ensemble spécifique de mécanismes ;
  • Ou bien il peut spécifier que tous les mécanismes sont autorisés.
Mécanisme Objectif La directive s'applique lorsque Mise en œuvre
a définit l'enregistrement A du DNS du domaine autorisé. Si cette directive n'est pas spécifiée, alors le domaine actuel est utilisé.

 

 

 peut être appliqué lorsqu'on recherche un enregistrement A ou AAAA dans un domaine qui contient l'adresse IP de l'expéditeur. a

a/<prefix-length>

a:<domain>

a:<domain>/<prefix-length>
tous La directive all est toujours adaptée, et elle définit la politique pour toutes les autres sources. Ce mécanisme doit toujours être appliqué, et ce mécanisme correspond toujours. tous
existe Vérifie si un enregistrement A est valide ou non pour un domaine donné. Il examine tous les enregistrements A de ce domaine et vérifie si l'un d'entre eux correspond aux critères définis dans votre enregistrement SPF. S'applique lorsqu'il existe un enregistrement A sur ledit domaine ou si d'autres critères, selon la RFC7208, ont été autorisés. exists:<domain>
inclure Le but de ce mécanisme est de spécifier le domaine et de rechercher une correspondance, ainsi que de renvoyer une erreur permanente si le domaine n'a pas d'enregistrement SPF valide. Le mécanisme "include" des enregistrements SPF peut être utilisé pour inclure d'autres enregistrements SPF dans l'enregistrement d'un domaine. Si un domaine n'a pas d'enregistrement SPF, mais qu'un autre domaine en a un et que cet autre domaine a une adresse IP qui correspond à l'adresse IP de l'expéditeur, alors le mécanisme "include" fera en sorte que le domaine avec l'adresse IP correspondante soit utilisé à des fins d'autorisation.

 

 include:<domain>
ip4 Vous pouvez spécifier une plage IPv4 avec la directive "ip4", accompagnée d'un préfixe qui indique la longueur de la plage. Si aucun préfixe n'est spécifié, /32 est supposé. Le mécanisme "ip4" s'appliquera si l'une de ces conditions est vraie :

 

- L'adresse IPv4 spécifiée correspond à celle d'une adresse IP dans votre enregistrement SPF.

 

- Le sous-réseau IPv4 spécifié contient l'adresse IP de l'expéditeur.

 ip4:<ip4-address>

ip4:<ip4-network>/<prefix-length>
ip6 Vous pouvez spécifier une plage IPv6 avec la directive "ip4", ainsi qu'un préfixe qui indique la longueur de la plage. Si aucun préfixe n'est spécifié, /128 est supposé. Le mécanisme "ip6" s'appliquera si l'une de ces conditions est vraie :

 

- L'adresse IPv6 spécifiée correspond à celle d'une adresse IP dans votre enregistrement SPF.

 

- Le sous-réseau IPv6 spécifié contient l'adresse IP de l'expéditeur.

 ip6:<ip6-address>

ip6:<ip6-network>/<prefix-length>
mx Le mécanisme "mx", tel que défini dans l'enregistrement SPF, définit l'enregistrement de l'échangeur de courrier (MX) du système de nom de domaine (DNS) d'un domaine comme autorisé. L'enregistrement MX du DNS détermine quel serveur est responsable de l'acceptation des messages électroniques au nom du domaine. L'enregistrement DNS MX contient une adresse IP et une valeur de priorité pour chaque serveur qui peut être utilisé pour accepter des messages.

 

Lorsqu'un enregistrement MX d'un domaine contient une adresse IP qui correspond à l'adresse IP de l'expéditeur, cela indique que cet expéditeur est autorisé à envoyer des e-mails au nom de ce domaine.

 mx

mx/<prefix-length>

mx:<domain>

mx:<domain>/<prefix-length>
ptr Le mécanisme ptr utilise le nom d'hôte ou le sous-domaine inverse de l'adresse IP d'envoi pour définir le nom de domaine cible. S'applique uniquement s'il existe au moins un enregistrement MX pour le domaine interrogé ou spécifié et que cet enregistrement MX contient un enregistrement PTR avec un FQDN pour l'adresse IP de l'expéditeur. ptr

ptr:<domain>

Modificateurs de syntaxe des enregistrements SPF

Dans la syntaxe des enregistrements SPF, les modificateurs peuvent être utilisés pour changer le comportement par défaut d'un enregistrement SPF. Les modificateurs peuvent être utilisés pour spécifier des exceptions aux règles, ou ils peuvent être utilisés pour fournir des informations supplémentaires au récepteur.

Modificateur Objectif Mise en œuvre
exp Le modificateur "exp" est une valeur qui spécifie une explication de la raison pour laquelle un message a été rejeté. Il est destiné à aider les expéditeurs à éviter certains types de problèmes, et peut être utilisé pour les informer de la raison spécifique pour laquelle leur message n'a pas été accepté par le serveur récepteur. exp=<domain>
rediriger Le modificateur de redirection est une chaîne qui remplace le nom de domaine entier dans l'enregistrement SPF. L'objectif de ce modificateur est de rediriger tout le courrier envoyé au domaine vers un autre serveur. Cela peut être utile pour les domaines ayant plusieurs enregistrements MX ou pour les domaines qui ont été réattribués à une autre société mais qui utilisent toujours les mêmes adresses électroniques. redirect=<domain>

Conclusion

L'enregistrement SPF est une partie importante des enregistrements DNS de votre domaine. Il indique aux autres serveurs de messagerie comment authentifier les messages qui prétendent provenir de vous, ce qui signifie qu'il est important pour vous d'avoir un enregistrement SPF correctement configuré. Toutefois, assurez-vous de coupler SPF avec DMARC pour une protection renforcée contre la compromission et l'usurpation d'adresses électroniques. 

Le site outil de recherche d'enregistrements SPF peut vous aider à le faire. Le générateur vous permettra de créer une syntaxe d'enregistrement SPF à partir de zéro, avec tous les champs requis, afin de pouvoir l'ajouter immédiatement à vos enregistrements DNS.

/par