• Comment résoudre le problème "L'enregistrement DNS de type 99SPF) est obsolète" ?

Comment résoudre le problème "L'enregistrement DNS de type 99SPF) est obsolète" ?

par

Dernière mise à jour :
4 Temps de lecture : 4 min
Comment résoudre le problème "L'enregistrement DNS de type 99SPF) est obsolète" ?

Vous avez peut-être rencontré un signe d'avertissement pour un enregistrementSPF indiquant que l'enregistrement DNS de type 99SPF) a été déprécié. Cela est dû au fait qu'il a été abandonné en 2014. Le blog en parlera plus en détail.

Points clés à retenir

  1. Le type d'enregistrement DNS 99 pour SPF est obsolète depuis 2014, et tous les enregistrements SPF existants doivent désormais être publiés en tant qu'enregistrements DNS TXT.
  2. L'abandon de l'utilisation de l'enregistrement DNS de type 99 était en grande partie dû à des problèmes d'alignement avec les serveurs DNS et les systèmes de provisionnement.
  3. DKIM et DMARC constituent des alternatives essentielles à SPF pour l'authentification du courrier électronique, en améliorant la vérification de la légitimité de l'expéditeur.
  4. Une configuration adéquate des politiques DMARC peut aider à gérer la manière dont les serveurs de réception traitent les courriels qui ne satisfont pas aux vérifications SPF ou DKIM.
  5. La mise à jour et le contrôle réguliers des enregistrements SPF sont essentiels pour maintenir la sécurité du courrier électronique et empêcher l'envoi d'e-mails non autorisés à partir de votre domaine.

L'annonce de la dépréciation de l'enregistrement DNS de type 99SPF)

L'équipe de développement du SPF a imposé des politiques plus strictes au cours des premiers jours. Cela a conduit à l'émergence de l'enregistrement DNS de type 99SPF). Cependant, cet enregistrement SPF est devenu obsolète en avril 2014, conformément à la RFC7208.

Actuellement, tous les enregistrements SPF doivent être publiés sous la forme d'un enregistrement de ressource DNS TXT (type 16) uniquement.

Les raisons pour lesquelles "SPF Record Deprecated" est devenu obsolète

Conformément à la section 3.1 du RFC7208, les règles d'attribution des nouveaux types de RR DNS étaient plus strictes au cours de la première phase de développement que dans le scénario actuel. Cependant, les serveurs DNS et les systèmes de provisionnement ne s'alignaient pas bien sur le déploiement de ces types de RR DNS, ce qui a conduit à leur obsolescence. 

Les développeurs ont appris qu'il était plus viable de passer au type TXT RR pour l'implication SPF . Depuis lors, l'enregistrement DNS de type 99SPF) a été abandonné.

Simplifiez les enregistrements DNS avec PowerDMARC !

L'impact de la dépréciation sur les implémentations SPF existantes

Alternatives à SPF pour l'authentification des courriels

Le Sender Policy Framework aide les fournisseurs de services de messagerie à vérifier si un serveur de messagerie est autorisé à envoyer des courriels à partir d'un domaine particulier. Ses alternatives sont DKIM et DMARC, mais les services de contrôle du temps de fonctionnement sont également utiles. 

  • DKIM authentifie les e-mails à l’aide de la cryptographie, en ajoutant des signatures numériques pour vérifier la légitimité de l’expéditeur. Ce système fonctionne en ajoutant une signature à l’en-tête, qui est protégée par un cryptage. Toutes les signatures DKIM contiennent des informations utilisées par le serveur du destinataire pour effectuer des contrôles de vérification.
    Le serveur de messagerie de l’expéditeur dispose d’une clé DKIM privée qui correspond à l’autre moitié de la paire de clés, appelée clé DKIM publique. Le sélecteur DKIM détermine où rechercher la clé et, une fois celle-ci trouvée, elle est utilisée pour déchiffrer la signature DKIM.
    Les valeurs sont comparées. Si elles correspondent, la signature DKIM est valide.
  • DMARC indique au serveur du destinataire comment traiter les e-mails qui ne passent pas les vérifications SPF DKIM. Vous pouvez choisir de définir la politique DMARC sur « none » (aucune action n’est entreprise à l’encontre des e-mails non conformes), quarantine les e-mails non conformes sont marqués comme spam) ou « reject » (les e-mails non conformes n’arrivent pas du tout dans la boîte de réception).
    Une fois que vous aurez correctement configuré DMARC pour votre domaine, vous commencerez à recevoir des rapports que vous devrez surveiller afin de détecter toute activité suspecte.
  • La surveillance du temps de disponibilité est une méthode automatisée qui permet d'informer l'équipe concernée lorsqu'un site web tombe en panne. Il utilise le même concept pour l'authentification par courrier électronique en vérifiant votre enregistrement à intervalles d'une minute, 24 heures sur 24 et 7 jours sur 7. Le temps de disponibilité d'un enregistrement d'authentification correspond à la durée pendant laquelle un enregistrement est correctement configuré et mis à jour. Le moniteur de temps de fonctionnement vérifie l'exactitude des enregistrements d'authentification par courrier électronique. Il notifie l'équipe concernée s'il détecte des problèmes ou des divergences.

Mise à jour des configurations SPF pour s'aligner sur la dépréciation du type d'enregistrement DNS 99

Si vous voyez également l'avertissement DNS record type 99SPF) has been deprecated ouvrez la console et sélectionnez le domaine de l'enregistrement SPF . Copiez les valeurs et créez un enregistrement en choisissant TXT comme type d'enregistrement.

Comment créer et publier un enregistrement SPF TXT ?

Protégez la réputation de votre entreprise en suivant les étapes suivantes pour créer et publier un enregistrement SPF TXT. étapes suivantes pour créer et publier un enregistrement TXT SPF :

Étape 1 : Dresser une liste

La première étape de la mise en œuvre de SPF consiste à répertorier toutes les adresses IP autorisées à envoyer des courriels en utilisant votre domaine. Cela inclut les adresses IP des réseaux locaux et des appareils appartenant aux membres de votre équipe, aux membres du conseil d'administration et aux fournisseurs tiers autorisés à envoyer des courriels en votre nom. Pensez également à ajouter les ESP et les serveurs de messagerie internes.

Étape 2 : Création de l'enregistrement SPF

Une fois que vous avez rassemblé la liste, créez votre enregistrement SPF . Voici ce que vous devez faire ensuite.

  • Spécifiez la version à l'aide de la balise v. Actuellement, il n'existe qu'une seule version, vous devez donc commencer par v=spf1.
  • Cette opération doit être suivie de toutes les adresses IP ajoutées à la liste créée initialement. Exemple : v=spf1 ip4:123.23.456 v=spf1 ip4:123.23.456
  • Après avoir mis en œuvre toutes les balises balises include et les adresses IP, terminez votre enregistrement par ~all, -allou ?balise all. La balise -all indique un échec brutal, tandis que la balise ~all indique un échec léger.

Étape 3 : Publier l'enregistrement dans le DNS

Votre gestionnaire DNS est responsable de la publication de l'enregistrement SPF . Il peut s'agir d'un poste interne ou vous pouvez demander à votre fournisseur DNS de le faire pour vous.

Une fois que vous l'avez publié, assurez-vous, à l'aide d'un outil gratuit de vérification des enregistrements vérificateur d'enregistrementSPF par PowerDMARC pour avoir un enregistrement sans erreur.