Posts

Normes d'authentification du courrier électronique : SPF, DKIM et DMARC sont prometteuses pour réduire les tentatives d'usurpation d'adresses électroniques et améliorer la délivrabilité des messages électroniques. Les normes d'authentification des courriels permettent de distinguer les courriels usurpés (faux) des courriels légitimes, mais elles vont plus loin en vérifiant l'identité de l'expéditeur.

Au fur et à mesure que les organisations adopteront ces normes, le message général de confiance et d'autorité dans la communication par courrier électronique commencera à se réaffirmer. Toute entreprise qui dépend du marketing par courrier électronique, des demandes de projet, des transactions financières et de l'échange général d'informations au sein d'une entreprise ou entre entreprises doit comprendre les bases de ce que ces solutions sont conçues pour accomplir et les avantages qu'elles peuvent en tirer.

Qu'est-ce que l'usurpation d'identité par courriel ?

L'usurpation d'adresse électronique est un problème de cybersécurité communément rencontré par les entreprises aujourd'hui. Dans cet article, nous allons comprendre comment fonctionne l'usurpation d'identité et quelles sont les différentes méthodes pour la combattre. Nous apprendrons à connaître les trois normes d'authentification utilisées par les fournisseurs d'e-mails - SPF, DKIM et DMARC - afin de l'empêcher de se produire.

L'usurpation d'identité par courriel peut être classée comme une attaque d'ingénierie sociale avancée qui utilise une combinaison de techniques sophistiquées pour manipuler l'environnement de messagerie et exploiter les fonctionnalités légitimes du courriel. Ces courriels semblent souvent tout à fait légitimes, mais ils sont conçus dans le but d'accéder à vos informations et/ou ressources. L'usurpation d'identité par courrier électronique est utilisée à des fins diverses, qu'il s'agisse d'une tentative de fraude, d'une atteinte à la sécurité ou même d'un accès à des informations commerciales confidentielles. Forme très populaire de falsification d'e-mails, les attaques par usurpation d'identité visent à faire croire aux destinataires qu'un e-mail a été envoyé par une entreprise qu'ils utilisent et à laquelle ils peuvent faire confiance, au lieu de l'expéditeur réel. Les courriels étant de plus en plus envoyés et reçus en masse, cette forme malveillante d'escroquerie par courriel s'est considérablement développée ces dernières années.

Comment l'authentification des courriels peut-elle empêcher la mystification ?

L'authentification des e-mails vous aide à vérifier les sources d'envoi des e-mails à l'aide de protocoles tels que SPF, DKIM et DMARC afin d'empêcher les attaquants de falsifier les noms de domaine et de lancer des attaques par usurpation d'identité pour tromper les utilisateurs peu méfiants. Elle fournit des informations vérifiables sur les expéditeurs d'e-mails qui peuvent être utilisées pour prouver leur légitimité et indiquer aux MTA de réception ce qu'ils doivent faire avec les e-mails qui échouent à l'authentification.

Ainsi, pour énumérer les différents avantages de l'authentification des e-mails, nous pouvons confirmer que SPF, DKIM et DMARC y contribuent :

  • Protection de votre domaine contre les attaques par hameçonnage, l'usurpation de domaine et les BEC
  • Fournir des informations granulaires et des aperçus sur les sources d'envoi d'e-mails
  • Améliorer la réputation du domaine et les taux de délivrabilité des courriels
  • Empêcher que vos courriels légitimes ne soient marqués comme du spam

Comment SPF, DKIM et DMARC fonctionnent-ils ensemble pour empêcher la mystification ?

Cadre politique de l'expéditeur

SPF est une technique d'authentification des e-mails utilisée pour empêcher les spammeurs d'envoyer des messages au nom de votre domaine. Grâce à elle, vous pouvez publier des serveurs de messagerie autorisés, ce qui vous permet de préciser quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de votre domaine. Un enregistrement SPF est stocké dans le DNS et répertorie toutes les adresses IP qui sont autorisées à envoyer des messages pour votre organisation.

Si vous souhaitez exploiter le SPF de manière à garantir son bon fonctionnement, vous devez vous assurer que le SPF ne s'interrompt pas pour vos e-mails. Cela peut se produire si vous dépassez la limite de 10 consultations de DNS, ce qui entraîne une percée de SPF. L'aplatissement du SPF peut vous aider à rester sous la limite et à authentifier vos courriels de manière transparente.

Courrier identifié DomainKeys

L'usurpation de l'identité d'un expéditeur de confiance peut être utilisée pour inciter votre destinataire à baisser sa garde. DKIM est une solution de sécurité du courrier électronique qui ajoute une signature numérique à chaque message provenant de la boîte de réception de votre client, ce qui permet au destinataire de vérifier qu'il a bien été autorisé par votre domaine et d'entrer dans la liste des expéditeurs de confiance de votre site.

DKIM appose une valeur de hachage unique, liée à un nom de domaine, à chaque message électronique sortant, ce qui permet au destinataire de vérifier si un courriel prétendant provenir d'un domaine spécifique a bien été autorisé par le propriétaire de ce domaine ou non. Cela permet de repérer les tentatives d'usurpation.

Authentification, rapport et conformité des messages basés sur le domaine

La simple mise en œuvre de SPF et DKIM peut aider à vérifier les sources d'envoi, mais n'est pas assez efficace pour empêcher l'usurpation d'identité à elle seule. Pour empêcher les cybercriminels d'envoyer de faux e-mails à vos destinataires, vous devez mettre en œuvre DMARC dès aujourd'hui. DMARC vous permet d'aligner les en-têtes des courriels pour vérifier les adresses d'origine, exposant ainsi les tentatives d'usurpation et l'utilisation frauduleuse des noms de domaine. En outre, il donne aux propriétaires de domaines le pouvoir de spécifier aux serveurs de réception d'e-mails comment répondre aux e-mails qui ne sont pas authentifiés par SPF et DKIM. Les propriétaires de domaines peuvent choisir de livrer, de mettre en quarantaine ou de rejeter les faux e-mails en fonction du degré d'application de DMARC dont ils ont besoin.

Remarque : Seule une politique DMARC de rejet permet d'empêcher l'usurpation d'identité.

En outre, DMARC offre également un mécanisme de rapport pour fournir aux propriétaires de domaines une visibilité sur leurs canaux d'envoi d'e-mails et leurs résultats d'authentification. En configurant votre analyseur de rapports DMARC, vous pouvez surveiller régulièrement vos domaines de messagerie avec des informations détaillées sur les sources d'envoi des e-mails, les résultats d'authentification des e-mails, les géolocalisations des adresses IP frauduleuses et les performances globales de vos e-mails. Il vous aide à analyser vos données DMARC dans un format organisé et lisible, et à prendre des mesures contre les attaquants plus rapidement.

En fin de compte, SPF, DKIM et DMARC peuvent travailler ensemble pour vous aider à catapulter la sécurité du courrier électronique de votre organisation vers de nouveaux sommets, et empêcher les attaquants d'usurper votre nom de domaine afin de préserver la réputation et la crédibilité de votre organisation.

Si vous êtes sur cette page en train de lire ce blog, il y a de fortes chances que vous soyez tombé sur l'une des invites suivantes :

  • Aucun enregistrement SPF trouvé
  • Le dossier SPF est manquant
  • Pas de dossier SPF
  • Enregistrement SPF non trouvé
  • Aucun dossier SPF publié
  • Impossible de trouver le dossier du SPF

L'invite signifie simplement que votre domaine n'est pas configuré avec la norme d'authentification de courrier électronique SPF. Un enregistrement SPF est un enregistrement DNS TXT qui est publié dans le DNS de votre domaine pour authentifier les messages en les comparant aux adresses IP autorisées à envoyer des courriers électroniques au nom de votre domaine, incluses dans votre enregistrement SPF. Si votre domaine n'est pas authentifié par le protocole SPF, vous risquez donc de tomber sur un message "Aucun enregistrement SPF trouvé".

Qu'est-ce que le cadre politique de l'expéditeur (SPF) ?

La norme d'authentification des courriers électroniquesSPF est un mécanisme utilisé pour empêcher les spammeurs de falsifier les courriers électroniques. Elle utilise des enregistrements DNS pour vérifier que le serveur d'envoi est autorisé à envoyer des courriels à partir du nom de domaine. SPF, qui signifie Sender Policy Framework, vous permet d'identifier les expéditeurs autorisés de courriels sur votre domaine.

Le SPF est un système d'authentification "basé sur le chemin", ce qui implique qu'il est lié au chemin que prend le courrier électronique du serveur d'envoi d'origine au serveur de réception. Le SPF permet non seulement aux organisations d'autoriser les adresses IP à utiliser leurs noms de domaine lors de l'envoi de courriers électroniques, mais il fournit également un moyen pour un serveur de courrier électronique récepteur de vérifier cette autorisation.

Dois-je configurer le SPF ?

On vous a probablement dit que vous aviez besoin de l'authentification des e-mails SPF (Sender Policy Framework). Mais une entreprise en a-t-elle vraiment besoin ? Et si oui, y a-t-il d'autres avantages ? Cette question est généralement comprise lorsque l'entreprise devient un grand échangeur d'e-mails pour son organisation. Avec SPF, vous pouvez suivre le comportement des e-mails pour détecter les messages frauduleux et protéger votre entreprise des problèmes liés au spam, à l'usurpation d'identité et aux attaques de phishing. Le SPF vous aide à atteindre une délivrabilité maximale et à protéger votre marque en vérifiant l'identité des expéditeurs.

Comment fonctionne le SPF ?

  • Les enregistrements SPF sont des enregistrements DNS (Domain Name System) spécialement formatés, publiés par les administrateurs de domaine, qui définissent quels serveurs de courrier électronique sont autorisés à envoyer du courrier au nom de ce domaine.
  • Lorsque SPF est configuré pour votre domaine, chaque fois qu'un courriel est envoyé à partir de votre domaine, le serveur de messagerie du destinataire recherche les spécifications du domaine du chemin de retour dans l'en-tête de l'e-mail.
  • DNS. Il a ensuite essayé de faire correspondre l'adresse IP de l'expéditeur aux adresses autorisées définies dans votre enregistrement SPF.
  • Selon les spécifications de la politique du SPF, le serveur de réception décide alors de livrer, de rejeter ou de marquer le courrier électronique au cas où il échouerait à l'authentification.

Déchiffrer la syntaxe d'un dossier SPF

Prenons l'exemple d'un enregistrement SPF pour un domaine fictif avec la syntaxe correcte :

v=spf1 ip4:29.337.148 include:domain.com -all

 

Arrêt du message "Aucun enregistrement SPF trouvé

Si vous ne voulez plus recevoir le message ennuyeux "No SPF record found", il vous suffit de configurer le SPF pour votre domaine en publiant un enregistrement TXT dans le DNS. Vous pouvez utiliser notre générateur d'enregistrement SPF gratuit pour créer un enregistrement instantané avec la syntaxe correcte, à publier dans votre DNS.

Il suffit de le faire :

  • Choisissez si vous souhaitez autoriser les serveurs répertoriés comme MX à envoyer des courriers électroniques pour votre domaine
  • Choisissez si vous souhaitez autoriser l'adresse IP actuelle du domaine à envoyer des courriers électroniques pour ce domaine
  • Indiquez les adresses IP autorisées à envoyer des courriers électroniques à partir de votre domaine
  • Ajoutez tout autre nom de serveur ou domaine qui pourrait livrer ou relayer le courrier pour votre domaine
  • Choisissez votre mode de politique SPF ou le niveau de sévérité du serveur de réception parmi les options suivantes : Fail (les courriels non conformes seront rejetés), Soft-fail (les courriels non conformes seront acceptés mais marqués) et Neutral (les courriels seront probablement acceptés)
  • Cliquez sur Générer un dossier SPF pour créer instantanément votre dossier

Si vous avez déjà configuré le SPF pour votre domaine, vous pouvez également utiliser notre vérificateur d'enregistrement SP F gratuit pour consulter et valider votre enregistrement SPF et détecter les problèmes.

La publication d'un dossier SPF est-elle suffisante ?

La réponse est non. Le SPF seul ne peut pas empêcher l'usurpation d'identité de votre marque. Pour une protection optimale contre l'usurpation d'identité directe, les attaques de phishing et les BEC, vous devez configurer DKIM et DMARC pour votre domaine.

En outre, le SPF est limité à 10 consultations de DNS. Si vous dépassez cette limite, votre SPF se brisera et l'authentification échouera même pour les courriels légitimes. C'est pourquoi vous avez besoin d'un aplatisseur SPF dynamique qui vous aidera à rester en deçà de la limite de 10 consultations DNS et vous tiendra au courant des modifications apportées par vos fournisseurs d'échange de courrier électronique.

Nous espérons que ce blog vous a aidé à résoudre votre problème et que vous n'aurez plus jamais à vous inquiéter du message "Aucun enregistrement SPF trouvé" qui vous dérange. Inscrivez-vous dès aujourd'hui à un essai gratuit d'authentification des e-mails pour améliorer la délivrabilité et la sécurité de vos e-mails !

 

Raisons pour lesquelles il faut éviter l'aplatissement du SPF

Sender Policy Framework, ou SPF, est un protocole d'authentification de courrier électronique largement reconnu qui valide vos messages en les authentifiant par rapport à toutes les adresses IP autorisées enregistrées pour votre domaine dans votre dossier SPF. Afin de valider les courriers électroniques, SPF spécifie au serveur de courrier électronique récepteur d'effectuer des requêtes DNS pour vérifier les IP autorisées, ce qui entraîne des consultations DNS.

Votre enregistrement SPF existe sous la forme d'un enregistrement DNS TXT qui est formé d'un assemblage de divers mécanismes. La plupart de ces mécanismes (tels que include, a, mx, redirect, exists, ptr) génèrent des consultations DNS. Toutefois, le nombre maximum de consultations DNS pour l'authentification SPF est limité à 10. Si vous faites appel à divers fournisseurs tiers pour envoyer des courriers électroniques en utilisant votre domaine, vous pouvez facilement dépasser la limite de SPF en dur.

Vous vous demandez peut-être ce qui se passe si vous dépassez cette limite ? Le dépassement de la limite de 10 DNS entraînera l'échec du SPF et invalidera même les messages légitimes envoyés depuis votre domaine. Dans de tels cas, le serveur de messagerie qui reçoit les messages renvoie un rapport SPF PermError à votre domaine si vous avez activé la surveillance DMARC, ce qui nous amène au principal sujet de discussion de ce blog : L'aplatissement des SPF.

Qu'est-ce que l'aplatissement SPF ?

L'aplatissement de l'enregistrement SPF est l'une des méthodes les plus utilisées par les experts de l'industrie pour optimiser votre enregistrement SPF et éviter de dépasser la limite dure du SPF. La procédure d'aplatissement du SPF est assez simple. L'aplatissement de votre enregistrement SPF est le processus qui consiste à remplacer tous les mécanismes d'inclusion par leurs adresses IP respectives afin d'éliminer la nécessité d'effectuer des recherches DNS.

Par exemple, si votre dossier SPF ressemblait initialement à ceci :

v=spf1 include:spf.domain.com -all

Un disque SPF aplati ressemblera à ceci :

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Cet enregistrement aplati ne génère qu'une seule consultation DNS, au lieu d'en effectuer plusieurs. La réduction du nombre de requêtes DNS effectuées par le serveur de réception lors de l'authentification du courrier électronique permet de rester en dessous de la limite de 10 consultations DNS, mais elle pose des problèmes particuliers.

Le problème de l'aplatissement des SPF

Outre le fait que votre enregistrement SPF aplati manuellement peut devenir trop long à publier sur le DNS de votre domaine (dépassant la limite de 255 caractères), vous devez tenir compte du fait que votre fournisseur de services de courrier électronique peut modifier ou ajouter des adresses IP sans vous en informer en tant qu'utilisateur. De temps en temps, lorsque votre fournisseur apporte des modifications à son infrastructure, ces modifications ne sont pas prises en compte dans votre enregistrement SPF. Par conséquent, chaque fois que ces adresses IP modifiées ou nouvelles sont utilisées par votre serveur de courrier électronique, le courrier électronique échoue dans le SPF du côté du destinataire.

PowerSPF : votre générateur d'enregistrements SPF dynamiques

Le but ultime de PowerDMARC était de trouver une solution qui puisse empêcher les propriétaires de domaines d'atteindre la limite de 10 DNS, ainsi que d'optimiser votre enregistrement SPF pour rester toujours à jour sur les dernières adresses IP utilisées par vos fournisseurs de services de messagerie. PowerSPF est votre solution automatisée d'aplatissement de SPF qui tire à travers votre enregistrement SPF pour générer une seule déclaration d'inclusion. PowerSPF vous aide :

  • Ajouter ou supprimer facilement des PI et des mécanismes
  • Mise à jour automatique des netblocks pour s'assurer que vos IP autorisés sont toujours à jour
  • Restez facilement sous la limite des 10 DNS
  • Obtenez un dossier SPF optimisé en un seul clic
  • Vaincre définitivement la "perméabilité".
  • Mettre en œuvre un SPF sans erreur

Inscrivez-vous à PowerDMARC dès aujourd'hui pour garantir une meilleure délivrabilité et authentification du courrier électronique, tout en restant sous la limite de 10 DNS SPF .

Dans cet article, nous allons voir comment optimiser facilement l'enregistrement SPF pour votre domaine. Pour les entreprises et les petites entreprises qui possèdent un domaine de messagerie pour envoyer et recevoir des messages à leurs clients, partenaires et employés, il est fort probable qu'un enregistrement SPF existe par défaut et qu'il ait été configuré par votre fournisseur de services de messagerie. Que vous disposiez d'un enregistrement SPF préexistant ou que vous deviez en créer un nouveau, vous devez optimiser votre enregistrement SPF correctement pour votre domaine afin de vous assurer qu'il ne pose aucun problème de livraison des e-mails.

Certains destinataires de courriels ont strictement besoin d'un SPF, ce qui indique que si vous n'avez pas d'enregistrement SPF publié pour votre domaine, vos courriels peuvent être marqués comme spam dans la boîte de réception de votre destinataire. De plus, le SPF aide à détecter les sources non autorisées qui envoient des courriels au nom de votre domaine.

Laissez-nous d'abord comprendre ce qu'est le SPF et pourquoi vous en avez besoin.

Cadre politique de l'expéditeur (SPF)

Le SPF est essentiellement un protocole d'authentification de courrier électronique standard qui spécifie les adresses IP autorisées à envoyer des courriers électroniques à partir de votre domaine. Il fonctionne en comparant les adresses des expéditeurs à la liste des hôtes d'envoi autorisés et des adresses IP pour un domaine spécifique qui est publiée dans le DNS pour ce domaine.

SPF, ainsi que DMARC (Domain-based Message Authentication, Reporting and Conformance), est conçu pour détecter les adresses d'expéditeur falsifiées lors de la distribution du courrier électronique et prévenir les attaques par usurpation d'identité, le phishing et les escroqueries par courrier électronique.

Il est important de savoir que, bien que le SPF par défaut intégré à votre domaine par votre fournisseur d'hébergement garantisse que les e-mails envoyés depuis votre domaine sont authentifiés par rapport au SPF, si vous avez plusieurs fournisseurs tiers pour envoyer des e-mails depuis votre domaine, cet enregistrement SPF préexistant doit être adapté et modifié pour répondre à vos besoins. Comment faire ? Examinons deux des méthodes les plus courantes :

  • Créer un tout nouveau record du SPF
  • Optimisation d'un dossier SPF existant

Instructions sur la façon d'optimiser l'enregistrement SPF

Créer un tout nouveau dossier SPF

Créer un enregistrement SPF consiste simplement à publier un enregistrement TXT dans le DNS de votre domaine afin de configurer SPF pour votre domaine. Il s'agit d'une étape obligatoire avant de commencer à savoir comment optimiser l'enregistrement SPF. Si vous débutez avec l'authentification et que vous n'êtes pas sûr de la syntaxe, vous pouvez utiliser notre générateur d'enregistrement SPF en ligne gratuit pour créer un enregistrement SPF pour votre domaine.

Une entrée d'enregistrement SPF avec une syntaxe correcte ressemblera à ceci :

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Précise la version du SPF utilisée
ip4/ip6Ce mécanisme spécifie les adresses IP valides qui sont autorisées à envoyer des courriels à partir de votre domaine.
inclureCe mécanisme indique aux serveurs récepteurs d'inclure les valeurs de l'enregistrement SPF du domaine spécifié.
-toutCe mécanisme précise que les courriels qui ne sont pas conformes au SPF seront rejetés. C'est la balise recommandée que vous pouvez utiliser lors de la publication de votre enregistrement SPF. Cependant, elle peut être remplacée par ~ pour SPF Soft Fail (les courriels non conformes seraient marqués comme soft fail mais seraient quand même acceptés) ou + qui spécifie que tout serveur serait autorisé à envoyer des courriels au nom de votre domaine, ce qui est fortement déconseillé.

Si vous avez déjà configuré le SPF pour votre domaine, vous pouvez également utiliser notre vérificateur d'enregistrement SP F gratuit pour consulter et valider votre enregistrement SPF et détecter les problèmes.

Défis et erreurs courants lors de la configuration du SPF

1) 10 Limite de recherche DNS 

Le défi le plus courant auquel sont confrontés les propriétaires de domaines lorsqu'ils configurent et adoptent le protocole d'authentification SPF pour leur domaine, est que le SPF est assorti d'une limite du nombre de consultations DNS, qui ne peut dépasser 10. Pour les domaines qui dépendent de plusieurs fournisseurs tiers, la limite de 10 consultations DNS est facilement dépassée, ce qui entraîne la rupture du SPF et le renvoi d'une PermError SPF. Dans ce cas, le serveur récepteur invalide automatiquement votre enregistrement SPF et le bloque.

Mécanismes qui déclenchent les consultations du DNS : MX, A, INCLUDE, REDIRECTION du modificateur

2) Recherche de l'absence de SPF 

Les consultations nulles font référence aux consultations DNS qui renvoient soit une réponse NOERROR soit une réponse NXDOMAIN (réponse nulle). Lors de la mise en œuvre du SPF, il est recommandé de s'assurer que les consultations DNS ne renvoient pas de réponse nulle en premier lieu.

3) SPF Boucle récursive

Cette erreur indique que l'enregistrement SPF pour votre domaine spécifié contient des problèmes récursifs avec un ou plusieurs des mécanismes INCLUDE. Cela se produit lorsque l'un des domaines spécifiés dans la balise INCLUDE contient un domaine dont l'enregistrement SPF contient la balise INCLUDE du domaine d'origine. Il en résulte une boucle sans fin qui amène les serveurs de courrier électronique à effectuer en permanence des recherches DNS pour les enregistrements SPF. Cela conduit finalement à dépasser la limite de 10 recherches DNS, ce qui entraîne l'échec des courriels SPF.

4) Erreurs de syntaxe 

Un enregistrement SPF peut exister dans le DNS de votre domaine, mais il n'est d'aucune utilité s'il contient des erreurs de syntaxe. Si votre enregistrement SPF TXT contient des espaces blancs inutiles lors de la saisie du nom de domaine ou du nom du mécanisme, la chaîne précédant l'espace supplémentaire sera complètement ignorée par le serveur récepteur lors de la recherche, ce qui invalidera l'enregistrement SPF.

5) Plusieurs enregistrements SPF pour le même domaine

Un seul domaine ne peut avoir qu'une seule entrée SPF TXT dans le DNS. Si votre domaine contient plus d'un enregistrement SPF, le serveur de réception les invalide tous, ce qui entraîne l'échec du SPF des courriels.

6) Durée de l'enregistrement du SPF 

La longueur maximale d'un enregistrement SPF dans le DNS est limitée à 255 caractères. Toutefois, cette limite peut être dépassée et un enregistrement TXT pour SPF peut contenir plusieurs chaînes concaténées ensemble, mais pas au-delà d'une limite de 512 caractères, pour s'adapter à la réponse à la requête DNS (selon la RFC 4408). Bien que cette disposition ait été révisée par la suite, les destinataires utilisant des versions DNS plus anciennes ne pouvaient pas valider les courriers électroniques envoyés par des domaines contenant un enregistrement SPF trop long.

Optimiser votre dossier SPF

Afin de modifier rapidement votre dossier SPF, vous pouvez utiliser les bonnes pratiques suivantes :

  • Essayez de taper vos sources de courrier électronique par ordre décroissant d'importance de gauche à droite dans votre dossier SPF
  • Supprimer les sources de courrier électronique obsolètes de votre DNS
  • Utiliser les mécanismes IP4/IP6 au lieu de A et MX
  • Maintenez votre nombre de mécanismes INCLUS le plus bas possible et évitez les includes imbriqués
  • Ne publiez pas plus d'un enregistrement SPF pour le même domaine dans votre DNS
  • Assurez-vous que votre dossier SPF ne contient pas d'espaces blancs redondants ou d'erreurs de syntaxe

Remarque : l'aplatissement du SPF n'est pas recommandé, car il ne s'agit pas d'une opération ponctuelle. Si votre fournisseur de services de messagerie électronique modifie son infrastructure, vous devrez modifier vos enregistrements SPF en conséquence, à chaque fois.

Optimiser votre dossier SPF en toute simplicité avec PowerSPF

Vous pouvez essayer de mettre en œuvre toutes les modifications mentionnées ci-dessus pour optimiser votre enregistrement SPF manuellement, ou vous pouvez oublier les tracas et compter sur notre PowerSPF dynamique pour faire tout cela pour vous automatiquement ! PowerSPF vous aide à optimiser votre enregistrement SPF d'un simple clic, ce qui vous est possible :

  • Ajouter ou supprimer facilement des sources d'envoi
  • Mettre à jour les enregistrements facilement sans avoir à modifier manuellement votre DNS
  • Obtenez un enregistrement SPF automatique optimisé d'un simple clic
  • Restez toujours en dessous de la limite de 10 consultations DNS
  • Atténuer avec succès l'erreur de permis
  • Oubliez les erreurs de syntaxe des enregistrements SPF et les problèmes de configuration
  • Nous vous déchargeons de la charge de résoudre les limitations du SPF en votre nom

Inscrivez-vous à PowerDMARC dès aujourd'hui pour mettre fin aux limitations du SPF pour toujours !  

En tant que prestataire de services de la DMARC, on nous pose souvent cette question : "Si le DMARC utilise uniquement les authentifications SPF et DKIM, pourquoi devrions-nous nous préoccuper du DMARC ? N'est-ce pas tout simplement inutile ?

En apparence, cela peut sembler ne pas faire de grande différence, mais la réalité est très différente. Le DMARC n'est pas seulement une combinaison des technologies SPF et DKIM, c'est un protocole entièrement nouveau en soi. Il possède plusieurs caractéristiques qui en font l'une des normes d'authentification du courrier électronique les plus avancées au monde, et une nécessité absolue pour les entreprises.

Mais attendez une minute. Nous ne savons pas exactement pourquoi vous avez besoin du DMARC. Qu'est-ce qu'elle offre que le SPF et le DKIM n'offrent pas ? Eh bien, c'est une réponse assez longue ; trop longue pour un seul article de blog. Alors, séparons-nous et parlons d'abord du SPF. Au cas où vous ne le sauriez pas, voici une petite introduction.

Qu'est-ce que le SPF ?

Le SPF, ou Sender Policy Framework, est un protocole d'authentification des courriers électroniques qui protège le destinataire des courriers électroniques usurpés. Il s'agit essentiellement d'une liste de toutes les adresses IP autorisées à envoyer des courriers électroniques par vos canaux (le propriétaire du domaine). Lorsque le serveur récepteur voit un message de votre domaine, il vérifie votre enregistrement SPF publié sur votre DNS. Si l'adresse IP de l'expéditeur figure dans cette "liste", le courrier électronique est livré. Sinon, le serveur rejette le courriel.

Comme vous pouvez le voir, le SPF fait un assez bon travail en empêchant l'envoi de nombreux courriels indésirables qui pourraient endommager votre appareil ou compromettre les systèmes de sécurité de votre organisation. Mais le SPF n'est pas aussi efficace que certains pourraient le penser. C'est parce qu'il présente des inconvénients majeurs. Parlons de certains de ces problèmes.

Limites du SPF

Les enregistrements SPF ne s'appliquent pas à l'adresse de départ

Les courriers électroniques ont plusieurs adresses pour identifier leur expéditeur : l'adresse "From" que vous voyez normalement et l'adresse "Return Path" qui est cachée et qui nécessite un ou deux clics pour être affichée. Lorsque le SPF est activé, le serveur de courrier électronique récepteur examine le chemin de retour et vérifie les enregistrements SPF du domaine de cette adresse.

Le problème ici est que les attaquants peuvent exploiter cela en utilisant un faux domaine dans leur adresse de retour et une adresse électronique légitime (ou d'apparence légitime) dans la section "De". Même si le destinataire vérifiait l'identifiant de l'expéditeur, il verrait d'abord l'adresse de départ et ne prendrait généralement pas la peine de vérifier la voie de retour. En fait, la plupart des gens ne savent même pas qu'il existe une adresse de retour.

Le SPF peut être assez facilement contourné en utilisant cette simple astuce, et cela laisse même les domaines sécurisés avec SPF largement vulnérables.

Les enregistrements SPF ont une limite de consultation DNS

Les enregistrements SPF contiennent une liste de toutes les adresses IP autorisées par le propriétaire du domaine à envoyer des courriels. Cependant, ils présentent un inconvénient majeur. Le serveur récepteur doit vérifier l'enregistrement pour voir si l'expéditeur est autorisé, et pour réduire la charge du serveur, les enregistrements SPF ont une limite de 10 consultations DNS.

Cela signifie que si votre organisation fait appel à plusieurs fournisseurs tiers qui envoient des courriers électroniques via votre domaine, l'enregistrement SPF peut finir par dépasser cette limite. À moins d'être correctement optimisés (ce qui n'est pas facile à faire vous-même), les enregistrements SPF auront une limite très restrictive. Lorsque vous dépassez cette limite, l'implémentation du SPF est considérée comme invalide et votre courriel échoue le SPF. Cela pourrait potentiellement nuire à vos taux de livraison de courrier électronique.

 

Le SPF ne fonctionne pas toujours lorsque le courrier électronique est transféré

Le SPF présente un autre point de défaillance critique qui peut nuire à la délivrabilité de votre courrier électronique. Lorsque vous avez mis en place un SPF sur votre domaine et que quelqu'un transfère votre courrier électronique, le courrier électronique transféré peut être rejeté en raison de votre politique de SPF.

En effet, le message transféré a changé de destinataire, mais l'adresse de l'expéditeur reste la même. Cela devient un problème car le message contient l'adresse "From" de l'expéditeur d'origine, mais le serveur de réception voit une IP différente. L'adresse IP du serveur de transfert de courrier électronique n'est pas incluse dans l'enregistrement SPF du domaine de l'expéditeur d'origine. Cela pourrait entraîner le rejet du courrier électronique par le serveur de réception.

Comment le DMARC résout ces problèmes ?

Le DMARC utilise une combinaison de SPF et de DKIM pour authentifier le courrier électronique. Un courrier électronique doit passer soit par SPF soit par DKIM pour passer par DMARC et être livré avec succès. Il ajoute également une fonction clé qui le rend beaucoup plus efficace que le SPF ou le DKIM seuls : Rapports.

Avec les rapports de la DMARC, vous obtenez un retour d'information quotidien sur l'état de vos canaux de courrier électronique. Cela comprend des informations sur votre alignement DMARC, des données sur les courriels qui ont échoué à l'authentification et des détails sur les tentatives potentielles d'usurpation d'identité.

Si vous vous demandez ce que vous pouvez faire pour éviter l'usurpation d'identité, consultez notre guide pratique sur les 5 meilleures façons d'éviter l'usurpation d'identité par courriel.