Comment résoudre le problème "L'enregistrement DNS de type 99SPF) est obsolète" ?
par
Dernière mise à jour :
4 Temps de lecture : 4 min
Vous avez peut-être rencontré un signe d'avertissement pour un enregistrementSPF indiquant que l'enregistrement DNS de type 99SPF) a été déprécié. Cela est dû au fait qu'il a été abandonné en 2014. Le blog en parlera plus en détail.
Points clés à retenir
- Le type d'enregistrement DNS 99 pour SPF est obsolète depuis 2014, et tous les enregistrements SPF existants doivent désormais être publiés en tant qu'enregistrements DNS TXT.
- L'abandon de l'utilisation de l'enregistrement DNS de type 99 était en grande partie dû à des problèmes d'alignement avec les serveurs DNS et les systèmes de provisionnement.
- DKIM et DMARC constituent des alternatives essentielles à SPF pour l'authentification du courrier électronique, en améliorant la vérification de la légitimité de l'expéditeur.
- Une configuration adéquate des politiques DMARC peut aider à gérer la manière dont les serveurs de réception traitent les courriels qui ne satisfont pas aux vérifications SPF ou DKIM.
- La mise à jour et le contrôle réguliers des enregistrements SPF sont essentiels pour maintenir la sécurité du courrier électronique et empêcher l'envoi d'e-mails non autorisés à partir de votre domaine.
L'annonce de la dépréciation de l'enregistrement DNS de type 99SPF)
L'équipe de développement du SPF a imposé des politiques plus strictes au cours des premiers jours. Cela a conduit à l'émergence de l'enregistrement DNS de type 99SPF). Cependant, cet enregistrement SPF est devenu obsolète en avril 2014, conformément à la RFC7208.
Actuellement, tous les enregistrements SPF doivent être publiés sous la forme d'un enregistrement de ressource DNS TXT (type 16) uniquement.
Les raisons pour lesquelles "SPF Record Deprecated" est devenu obsolète
Conformément à la section 3.1 du RFC7208, les règles d'attribution des nouveaux types de RR DNS étaient plus strictes au cours de la première phase de développement que dans le scénario actuel. Cependant, les serveurs DNS et les systèmes de provisionnement ne s'alignaient pas bien sur le déploiement de ces types de RR DNS, ce qui a conduit à leur obsolescence.
Les développeurs ont appris qu'il était plus viable de passer au type TXT RR pour l'implication SPF . Depuis lors, l'enregistrement DNS de type 99SPF) a été abandonné.
Simplifiez les enregistrements DNS avec PowerDMARC !
L'impact de la dépréciation sur les implémentations SPF existantes
Alternatives à SPF pour l'authentification des courriels
Le Sender Policy Framework aide les fournisseurs de services de messagerie à vérifier si un serveur de messagerie est autorisé à envoyer des courriels à partir d'un domaine particulier. Ses alternatives sont DKIM et DMARC, mais les services de contrôle du temps de fonctionnement sont également utiles.
- DKIM authentifie les courriers électroniques à l'aide de la cryptographie, où des signatures numériques sont ajoutées pour vérifier la légitimité de l'expéditeur. Il fonctionne en ajoutant une signature à l'en-tête qui est protégée par un cryptage. Toutes les signatures DKIM contiennent des informations utilisées par le serveur du destinataire pour effectuer des vérifications.
Le serveur de messagerie de l'expéditeur possède une clé DKIM privée qui est associée à l'autre moitié de la paire de clés appelée clé DKIM publique. Le sélecteur DKIM détermine où chercher la clé et, une fois qu'elle est trouvée, elle est utilisée pour décrypter la signature DKIM.
Les valeurs sont comparées. Si elles correspondent, la signature DKIM est valide.
- DMARC indique au serveur du destinataire comment traiter les courriels qui échouent aux contrôles SPF et/ou DKIM. Vous pouvez choisir de définir la politique DMARC à aucune (aucune action n'est entreprise contre les courriels échoués), à la quarantine (les courriels échoués sont marqués comme spam), ou au rejet (les courriels échoués n'entrent pas du tout dans la boîte aux lettres).
Une fois que vous avez configuré DMARC correctement pour votre domaine, vous commencerez à recevoir des rapports que vous devrez surveiller pour détecter les activités suspectes.
- La surveillance du temps de disponibilité est une méthode automatisée qui permet d'informer l'équipe concernée lorsqu'un site web tombe en panne. Il utilise le même concept pour l'authentification par courrier électronique en vérifiant votre enregistrement à intervalles d'une minute, 24 heures sur 24 et 7 jours sur 7. Le temps de disponibilité d'un enregistrement d'authentification correspond à la durée pendant laquelle un enregistrement est correctement configuré et mis à jour. Le moniteur de temps de fonctionnement vérifie l'exactitude des enregistrements d'authentification par courrier électronique. Il notifie l'équipe concernée s'il détecte des problèmes ou des divergences.
Mise à jour des configurations SPF pour s'aligner sur la dépréciation du type d'enregistrement DNS 99
Si vous voyez également l'avertissement DNS record type 99SPF) has been deprecated ouvrez la console et sélectionnez le domaine de l'enregistrement SPF . Copiez les valeurs et créez un enregistrement en choisissant TXT comme type d'enregistrement.
Comment créer et publier un enregistrement SPF TXT ?
Protégez la réputation de votre entreprise en suivant les étapes suivantes pour créer et publier un enregistrement SPF TXT. étapes suivantes pour créer et publier un enregistrement TXT SPF :
Étape 1 : Dresser une liste
La première étape de la mise en œuvre de SPF consiste à répertorier toutes les adresses IP autorisées à envoyer des courriels en utilisant votre domaine. Cela inclut les adresses IP des réseaux locaux et des appareils appartenant aux membres de votre équipe, aux membres du conseil d'administration et aux fournisseurs tiers autorisés à envoyer des courriels en votre nom. Pensez également à ajouter les ESP et les serveurs de messagerie internes.
Étape 2 : Création de l'enregistrement SPF
Une fois que vous avez rassemblé la liste, créez votre enregistrement SPF . Voici ce que vous devez faire ensuite.
- Spécifiez la version à l'aide de la balise v. Actuellement, il n'existe qu'une seule version, vous devez donc commencer par v=spf1.
- Cette opération doit être suivie de toutes les adresses IP ajoutées à la liste créée initialement. Exemple : v=spf1 ip4:123.23.456 v=spf1 ip4:123.23.456
- Après avoir mis en œuvre toutes les balises balises include et les adresses IP, terminez votre enregistrement par ~all, -allou ?balise all. La balise -all indique un échec brutal, tandis que la balise ~all indique un échec léger.
Étape 3 : Publier l'enregistrement dans le DNS
Votre gestionnaire DNS est responsable de la publication de l'enregistrement SPF . Il peut s'agir d'un poste interne ou vous pouvez demander à votre fournisseur DNS de le faire pour vous.
Une fois que vous l'avez publié, assurez-vous, à l'aide d'un outil gratuit de vérification des enregistrements vérificateur d'enregistrementSPF par PowerDMARC pour avoir un enregistrement sans erreur.
Expert en sécurité des domaines et des courriels chez PowerDMARC
Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.
Derniers messages de Yunes Tarada (voir tous)
