Posts

Vous pouvez envoyer des courriels sans utiliser le format SPF ou sans connaître le SPF., mais cela ne sera pas sûr. Le SPF ajoute une indication de confiance supplémentaire aux fournisseurs de boîtes aux lettres des destinataires, et tous les courriels authentiques envoyés à l'aide de votre domaine atterrissent dans la boîte de réception au lieu d'être marqués comme spam.

SPF n'est pas une méthode infaillible, vous devez donc la combiner avec d'autres méthodes d'authentification du courrier électronique. authentification du courrier électronique comme DKIM, DMARCet BIMI pour améliorer la délivrabilité du courrier électronique.

Étant donné que ces protocoles sont essentiels au processus d'authentification des e-mails et que toutes les entreprises axées sur les e-mails doivent les connaître, nous nous concentrerons sur le format d'enregistrement SPF dans ce blog.

Qu'est-ce que le SPF ?

SPF est l'abréviation de Sender Policy Framework - l'un des protocoles d'authentification des e-mails les plus courants. Il fonctionne à l'aide d'une liste d'adresses IP autorisées à envoyer des e-mails en utilisant votre nom de domaine. Cette liste comprend généralement les adresses IP de vos employés, actionnaires et tiers qui utilisent directement votre domaine pour envoyer des e-mails.

Si vous avez mis en place le SPF, tout courriel envoyé à partir d'une adresse IP ne figurant pas dans la liste est considéré comme non autorisé par la boîte aux lettres du destinataire.

Comment le courrier électronique est-il authentifié à l'aide de SPF ?

Vous devez publier un enregistrement SPF valide (au format TXT ) sur votre DNS pour mettre en œuvre ce protocole. Lorsqu'un courriel est envoyé depuis votre domaine, le serveur de messagerie du destinataire vérifie l'adresse IP de l'expéditeur en la comparant aux enregistrements SPF de votre DNS. Si elle figure dans la liste, la validation passe et l'e-mail atterrit dans la boîte de réception. En revanche, si elle ne figure pas dans la liste, l'authentification échoue et les e-mails n'arrivent pas à destination.

Après l'avoir mis en place, vous devez surveiller régulièrement l'activité de votre domaine en utilisant un vérificateur SPF pour vous assurer qu'il n'est pas sur le radar d'un pirate. Cela peut empêcher le spear phishingl'escroquerie et les attaques par ransomware tentées en utilisant le nom de votre entreprise.

Format SPF

L'enregistrement SPF est compliqué et possède un format typique difficile à comprendre. Nous aborderons ici la syntaxe et la structure de l'enregistrement SPF - la tête et le cœur du format de l'enregistrement SPF..

Enregistrement SPF : Syntaxe de base

Un enregistrement SPF est un enregistrement DNS répertoriant toutes les adresses IP autorisées à envoyer des courriels en utilisant votre domaine de messagerie. Voici à quoi ressemble la syntaxe d'un enregistrement SPF :

v=spf1 ip4=193.0.1.0 ip4=193.0.1.1 include:samplesender.net -all

Voyons les éléments qui y sont inclus.

  • v=spf1- Elle indique au serveur que le message contient un enregistrement SPF. Chaque enregistrement SPF doit commencer par cette chaîne.
  • ip4=193.0.1.0 ip4=193.0.1.1- Il indique les adresses IP autorisées à envoyer des e-mails en utilisant un domaine spécifique.
  • Inclure:examplesender.net: Il indique aux tiers autorisés à envoyer des e-mails. La balise 'include' demande aux serveurs destinataires de vérifier l'enregistrement SPF du domaine inclus (ici : samplesender.net). Vous pouvez ajouter plusieurs domaines dans un seul enregistrement SPF.
  • -Tout: indique aux serveurs destinataires de rejeter les courriels provenant d'adresses IP non autorisées, c'est-à-dire celles qui ne figurent pas dans la liste. 

Enregistrement SPF : Syntaxe avancée

Selon le format de l'enregistrement SPF pour les syntaxes, il commence toujours par l'élément "v=". Il indique la version du SPF ; actuellement, il n'y a qu'une seule version, donc tous les formats d'enregistrement SPF commencent comme ceci.

La syntaxe de l'enregistrement SPF comporte trois éléments principaux : le mécanisme SPF, les qualificatifs SPF et les modificateurs SPF. Voyons ce qu'ils sont.

Mécanismes

Voici les huit mécanismes

  1. ALL: Cela signifie qu'il y a toujours une correspondance. Vous verrez des résultats par défaut comme '-all' pour les adresses IP non correspondantes.
  2. A: Le nom de domaine avec un enregistrement d'adresse A ou AAAA correspond car il peut être résolu à l'adresse de l'expéditeur.
  3. IP4: La correspondance est valable lorsque l'expéditeur est lié à la plage d'adresses IPv4 donnée.
  4. IP6: La correspondance est valable lorsque l'expéditeur est lié à la plage d'adresses IPv6 donnée.
  5. MX: L'adresse électronique de l'expéditeur n'est validée que si son nom de domaine comprend un enregistrement MX pour la résolution.
  6. PTR: La correspondance est autorisée si l'enregistrement PTR appartient à un domaine donné se résolvant à l'adresse du client. Les experts ne suggèrent pas son utilisation, car elle pourrait bloquer tous les courriels envoyés en utilisant votre domaine.
  7. EXISTS: Il fonctionne si le nom de domaine donné est validé. Ce mécanisme SPF fonctionne avec toutes les adresses résolues. 
  8. INCLUDE: Il fait référence à d'autres politiques de domaine. Donc, si elle passe, elle passe automatiquement. Cependant, si la politique incluse échoue, le traitement continue. 

Modificateurs

Les modificateurs déterminent le cadre fonctionnel d'un enregistrement SPF. Ils consistent en des paires de noms ou de valeurs séparées par le symbole '=', indiquant des informations supplémentaires. Vous les voyez plusieurs fois à la fin de l'enregistrement SPF, et tous les modificateurs non reconnus sont ignorés dans le processus.

Le modificateur "redirect" dirige vers d'autres enregistrements SPF responsables d'un fonctionnement efficace. Les experts les utilisent lorsque plusieurs domaines sont liés au même enregistrement SPF. Ce modificateur doit être utilisé si une seule entité contrôle tous les domaines ; sinon, le modificateur "include" est utilisé.

Qualifications

Chaque mécanisme peut être combiné avec l'un des quatre qualificatifs suivants.

'+' pour le résultat du PASS

'?' pour un résultat NEUTRE interprété comme la politique NONE.

'~' pour SOFTFAIL. En général, les messages qui renvoient un SOFTFAIL sont acceptés mais marqués. 

'-' pour FAIL, l'email est rejeté.

Conclusion

Le SPF empêche les cyberattaques engagées d'utiliser le nom et la réputation de votre marque. Vous pouvez empêcher les courriels envoyés par des pirates utilisant votre domaine d'atteindre leur public cible. Pour ce faire, vous n'autorisez que les entités de confiance à envoyer des courriels en utilisant votre domaine. 

Après avoir compris la structure et les composants du format d'enregistrement SPF, vous pouvez utiliser l'utilitaire Générateur d'enregistrements SPF si vous n'avez pas encore implémenté le protocole.

L'enregistrementSPF (Sender Policy Framework) est un élément important de la norme Domain-based Message Authentication, Reporting and Conformance (DMARC) qui spécifie une méthode pour empêcher la falsification de l'adresse de l'expéditeur.

Les enregistrements SPF sont complexes à mettre en place et des problèmes de mise en œuvre peuvent survenir s'ils ne sont pas correctement configurés. De plus, la syntaxe des enregistrements SPF utilise des termes spécifiques qui peuvent prêter à confusion lors de la première rencontre. Par conséquent, dans cet article de blog, nous examinons la syntaxe des enregistrements SPF et ce que vous devez prendre en compte lorsque vous les configurez.

Qu'est-ce qu'un enregistrement SPF ?

Un enregistrement SPF est un type d'enregistrement DNS qui identifie les serveurs autorisés à envoyer un courriel au nom de votre domaine. Il répertorie les serveurs qui ont été autorisés à envoyer des e-mails pour votre domaine. Si un autre serveur tente d'envoyer un e-mail au nom de votre domaine, il sera rejeté comme expéditeur non autorisé.

L'objectif d'un enregistrement SPF est d'empêcher les utilisateurs malveillants d'envoyer de faux messages électroniques avec votre domaine dans le champ "From". Cela peut se produire si un attaquant envoie des quantités massives d'e-mails de spam à partir de votre serveur en usurpant ou en falsifiant votre domaine.

Comment fonctionne le FPS ?

1. Syntaxe de création d'un enregistrement SPF

Vous créez une syntaxe d'enregistrement SPF dans votre serveur DNS qui spécifie quelles adresses IP sont autorisées à envoyer des courriels à partir de votre domaine. Cela signifie que si quelqu'un essayait d'envoyer des courriels usurpés à partir de votre domaine, ses messages échoueraient parce que l'adresse IP de son serveur de messagerie ne serait pas répertoriée comme l'un des serveurs approuvés.

Par exemple, si vous souhaitez que seuls les comptes Gmail puissent envoyer des e-mails à partir de votre nom de domaine, mais pas les comptes Outlook, vous devez ajouter la ligne suivante à votre enregistrement SPF :

 v=spf1 a mx include:_spf.google.com ~all

 Cela indique aux serveurs que tout message envoyé depuis un hôte dont l'adresse IP se termine par _spf.google.com doit être considéré comme valide (m), tandis que tous les autres messages doivent être rejetés (a). 

Vous pouvez utiliser notre générateur d'enregistrements SPF pour commencer à créer un enregistrement gratuit dès maintenant !

2. Recherche DNS

Lorsqu'un expéditeur de courrier électronique tente d'envoyer un message, le serveur destinataire effectue une recherche DNS sur le domaine d'envoi pour voir s'il existe un enregistrement SPF - c'est ce qu'on appelle "l'authentification". Perte de SPF.

S'il n'y a pas d'enregistrement SPF, l'authentification échoue et le message n'est pas remis. S'il existe un enregistrement SPF, le serveur SPF vérifie les adresses IP dans l'enregistrement TXT au niveau du nom d'hôte spécifié dans l'enregistrement SPF.

 Si aucune adresse IP n'est spécifiée, l'authentification échoue. Sinon, il effectuera une requête A pour chaque adresse IP spécifiée dans l'ordre d'apparition dans l'enregistrement TXT.

L'adresse IP qui renvoie un code de résultat de NXDOMAIN ou NOERROR sera considérée comme autorisée par le serveur SPF et son nom d'hôte sera ajouté à une liste d'hôtes d'envoi autorisés pour ce domaine.

3. Résultat de l'authentification

Le serveur de messagerie remet le message au destinataire ou le signale comme étant à rejeter en fonction des règles spécifiées dans l'enregistrement SPF.

Les résultats de l'authentification peuvent prendre trois formes : Réussite, Neutre, ou Échec.

Pass signifie que le serveur de messagerie accepte le message comme légitime et autorise sa distribution. Neutre signifie qu'il n'y a pas d'enregistrement ou un enregistrement invalide pour ce domaine dans le DNS, il n'y a donc aucun moyen de savoir s'il s'agit ou non d'un message légitime provenant de ce domaine. Fail signifie que quelque chose dans ce message n'est pas suffisamment authentique pour qu'il soit délivré.

Par exemple, un serveur de messagerie dont l'adresse IP est '234.2.1.2' envoie un courrier électronique de '[email protected]'. Le serveur entrant consulte le service de nom de domaine(DNS) pour déterminer si cette adresse IP est autorisée à envoyer des messages électroniques au nom du domaine "apple.com". Si c'est le cas, le message sera remis ; sinon, il sera rejeté ou marqué comme spam, c'est-à-dire trié selon le mécanisme spécifié dans l'enregistrement SPF.

Syntaxe de l'enregistrement SPF

La syntaxe de l'enregistrement SPF comprend plusieurs éléments : directives, qualificatifs et mécanismes.

Les directives constituent la première partie de la syntaxe d'un enregistrement SPF. Elles indiquent comment interpréter le reste de l'enregistrement. Trois directives peuvent apparaître dans un enregistrement SPF : v=spf1, a, et mx. La directive v indique que cet enregistrement est un enregistrement SPFv1 ; la directive a indique que cet enregistrement est un rapport d'échec d'authentification de style SPFv2 ; la directive mx spécifie une liste de serveurs d'échange de courrier pour un domaine.

Les qualificatifs précisent l'endroit de votre zone DNS où vous souhaitez placer vos enregistrements SPF : exim4, enduser, ou _spf. Ces qualificatifs indiquent aux récepteurs de courrier où chercher vos enregistrements SPF lorsqu'ils les comparent à leurs enregistrements DNS.

Les mécanismes sont utilisés pour indiquer comment vous voulez traiter les adresses électroniques qui échouent à votre vérification SPF. Vous pouvez choisir parmi plusieurs mécanismes : tous, aucun, softfail, neutraliser ou rejeter.

  • tous acceptera tous les courriels provenant d'expéditeurs qui ont passé votre vérification SPF ;
  • aucun rejettera tout ce qui provient d'expéditeurs qui ont passé votre vérification SPF ;
  • softfail acceptera les courriels provenant d'expéditeurs dont la vérification SPF a échoué, mais les marquera comme suspects ;
  • neutre indique que vous ne refusez ni n'acceptez les messages envoyés depuis votre domaine. Il s'agit essentiellement d'une position "sans opinion" quant à l'acceptation ou au rejet du message ;
  • rejeter rejette les courriels dont la vérification SPF a échoué.

Qualificateurs de syntaxe d'enregistrement SPF

Les "qualificateurs" dans la syntaxe d'un enregistrement SPF permettent d'indiquer la portée de l'enregistrement SPF. Ils sont principalement utilisés pour indiquer si une adresse IP spécifique est autorisée ou non à envoyer des e-mails au nom de votre domaine.

Qualification Code de résultat Explication
+ Passez le seul qualificatif sans connotation négative. Il indique que l'enregistrement de sécurité du nom de domaine ne contient aucune erreur ou avertissement et est considéré comme sûr.
- Échec indique que l'enregistrement de sécurité du nom de domaine contient des erreurs ou des avertissements qui l'empêchent d'être considéré comme sûr.

 

~ Défaillance logicielle indique que l'enregistrement de sécurité du nom de domaine contient des erreurs ou des avertissements qui ne l'empêchent pas d'être considéré comme sûr, mais qui peuvent indiquer des problèmes de résolution DNS ou d'autres problèmes liés aux ancres de confiance DNS.
? Neutre Indique que le domaine n'a pas d'enregistrement SPF ou que son enregistrement est syntaxiquement correct mais qu'il ne correspond à aucun serveur d'envoi lorsqu'il est comparé à un (ou plusieurs) serveur d'envoi dans votre liste d'adresses IP de confiance pour ce domaine.

Mécanismes de syntaxe des enregistrements SPF 

Les mécanismes sont utilisés dans la syntaxe de l'enregistrement SPF pour indiquer au serveur récepteur quel type de mécanisme d'authentification doit être utilisé. Il existe deux types de mécanismes : 

  • l'expéditeur peut spécifier un ensemble spécifique de mécanismes ;
  • Ou bien il peut spécifier que tous les mécanismes sont autorisés.
Mécanisme Objectif La directive s'applique lorsque Mise en œuvre
a définit l'enregistrement A du DNS du domaine autorisé. Si cette directive n'est pas spécifiée, alors le domaine actuel est utilisé.

 

 

peut être appliqué lorsqu'on recherche un enregistrement A ou AAAA dans un domaine qui contient l'adresse IP de l'expéditeur. a

a/<prefix-length>

a:<domain>

a:<domain>/<prefix-length>

tous La directive all est toujours adaptée, et elle définit la politique pour toutes les autres sources. Ce mécanisme doit toujours être appliqué, et ce mécanisme correspond toujours. tous
existe Vérifie si un enregistrement A est valide ou non pour un domaine donné. Il examine tous les enregistrements A de ce domaine et vérifie si l'un d'entre eux correspond aux critères définis dans votre enregistrement SPF. S'applique lorsqu'il existe un enregistrement A sur ledit domaine ou si d'autres critères, selon la RFC7208, ont été autorisés. exists:<domain>
inclure Le but de ce mécanisme est de spécifier le domaine et de rechercher une correspondance, ainsi que de renvoyer une erreur permanente si le domaine n'a pas d'enregistrement SPF valide. Le mécanisme "include" des enregistrements SPF peut être utilisé pour inclure d'autres enregistrements SPF dans l'enregistrement d'un domaine. Si un domaine n'a pas d'enregistrement SPF, mais qu'un autre domaine en a un et que cet autre domaine a une adresse IP qui correspond à l'adresse IP de l'expéditeur, alors le mécanisme "include" fera en sorte que le domaine avec l'adresse IP correspondante soit utilisé à des fins d'autorisation.

 

include:<domain>
ip4 Vous pouvez spécifier une plage IPv4 avec la directive "ip4", accompagnée d'un préfixe qui indique la longueur de la plage. Si aucun préfixe n'est spécifié, /32 est supposé. Le mécanisme "ip4" s'appliquera si l'une de ces conditions est vraie :

 

- L'adresse IPv4 spécifiée correspond à celle d'une adresse IP dans votre enregistrement SPF.

 

- Le sous-réseau IPv4 spécifié contient l'adresse IP de l'expéditeur.

ip4:<ip4-address>

ip4:<ip4-network>/<prefix-length>

ip6 Vous pouvez spécifier une plage IPv6 avec la directive "ip4", ainsi qu'un préfixe qui indique la longueur de la plage. Si aucun préfixe n'est spécifié, /128 est supposé. Le mécanisme "ip6" s'appliquera si l'une de ces conditions est vraie :

 

- L'adresse IPv6 spécifiée correspond à celle d'une adresse IP dans votre enregistrement SPF.

 

- Le sous-réseau IPv6 spécifié contient l'adresse IP de l'expéditeur.

ip6:<ip6-address>

ip6:<ip6-network>/<prefix-length>

mx Le mécanisme "mx", tel que défini dans l'enregistrement SPF, définit l'enregistrement de l'échangeur de courrier (MX) du système de nom de domaine (DNS) d'un domaine comme autorisé. L'enregistrement MX du DNS détermine quel serveur est responsable de l'acceptation des messages électroniques au nom du domaine. L'enregistrement DNS MX contient une adresse IP et une valeur de priorité pour chaque serveur qui peut être utilisé pour accepter des messages.

 

Lorsqu'un enregistrement MX d'un domaine contient une adresse IP qui correspond à l'adresse IP de l'expéditeur, cela indique que cet expéditeur est autorisé à envoyer des e-mails au nom de ce domaine.

mx

mx/<prefix-length>

mx:<domain>

mx:<domain>/<prefix-length>

ptr Le mécanisme ptr utilise le nom d'hôte ou le sous-domaine inverse de l'adresse IP d'envoi pour définir le nom de domaine cible. S'applique uniquement s'il existe au moins un enregistrement MX pour le domaine interrogé ou spécifié et que cet enregistrement MX contient un enregistrement PTR avec un FQDN pour l'adresse IP de l'expéditeur. ptr

ptr:<domain>

Modificateurs de syntaxe des enregistrements SPF

Dans la syntaxe des enregistrements SPF, les modificateurs peuvent être utilisés pour changer le comportement par défaut d'un enregistrement SPF. Les modificateurs peuvent être utilisés pour spécifier des exceptions aux règles, ou ils peuvent être utilisés pour fournir des informations supplémentaires au récepteur.

Modificateur Objectif Mise en œuvre
exp Le modificateur "exp" est une valeur qui spécifie une explication de la raison pour laquelle un message a été rejeté. Il est destiné à aider les expéditeurs à éviter certains types de problèmes, et peut être utilisé pour les informer de la raison spécifique pour laquelle leur message n'a pas été accepté par le serveur récepteur. exp=<domain>
rediriger Le modificateur de redirection est une chaîne qui remplace le nom de domaine entier dans l'enregistrement SPF. L'objectif de ce modificateur est de rediriger tout le courrier envoyé au domaine vers un autre serveur. Cela peut être utile pour les domaines ayant plusieurs enregistrements MX ou pour les domaines qui ont été réattribués à une autre société mais qui utilisent toujours les mêmes adresses électroniques. redirect=<domain>

Conclusion

L'enregistrement SPF est une partie importante des enregistrements DNS de votre domaine. Il indique aux autres serveurs de messagerie comment authentifier les messages qui prétendent provenir de vous, ce qui signifie qu'il est important pour vous d'avoir un enregistrement SPF correctement configuré. Toutefois, assurez-vous de coupler SPF avec DMARC pour une protection renforcée contre la compromission et l'usurpation d'adresses électroniques. 

Le site outil de recherche d'enregistrements SPF peut vous aider à le faire. Le générateur vous permettra de créer une syntaxe d'enregistrement SPF à partir de zéro, avec tous les champs requis, afin de pouvoir l'ajouter immédiatement à vos enregistrements DNS.