Qu'est-ce que le SPF Include ?

Blog

Découvrez ce qu'est SPF include et comment utiliser SPF Include pour ajouter plusieurs hôtes et adresses IP à votre enregistrement SPF sans erreur.

par YunesTarada

Dernière mise à jour :
Temps de lecture : 6 min
Qu'est-ce que le SPF Include ?
Table des matières-

Le mécanisme SPF Include contient des références ou des conditions - à l'intérieur d'un enregistrement SPF - qui doivent être respectées pour chaque serveur donné afin d'améliorer la délivrabilité des courriels. Si vous omettez accidentellement d'ajouter les déclarations Include pour vos fournisseurs tiers dans votre enregistrement SPF , cela peut entraîner des problèmes pour vos destinataires, tels que des courriels renvoyés, et votre taux de rebond global peut grimper en flèche.

Apprenez ce qu'est le mécanisme "Include" dans les enregistrements SPF et comment vous pouvez optimiser les déclarations d'inclusion SPF pour vos besoins.

Points clés à retenir

  1. Le mécanisme SPF Include améliore la délivrabilité des courriels en spécifiant les domaines ou adresses IP d'envoi autorisés.
  2. L'incorporation des déclarations "Include" dans les enregistrements SPF est cruciale pour éviter les courriers électroniques rejetés par des fournisseurs tiers.
  3. Chaque enregistrement SPF doit suivre une structure spécifique, comprenant des déclarations, des domaines autorisés et des adresses IP.
  4. L'utilisation de plusieurs enregistrements SPF peut être source de confusion pour les serveurs de messagerie qui reçoivent les courriels, ce qui peut entraîner des échecs de livraison des courriels.
  5. Des enregistrements SPF correctement optimisés avec des inclusions peuvent simplifier la gestion et améliorer les processus d'authentification du courrier électronique.

Que signifie SPF Include ?

Dans la syntaxe de votre enregistrementSPF , le mécanisme "include" indique les enregistrements à transmettre à votre serveur de messagerie pour vérifier les enregistrements qui correspondent au domaine spécifié dans la ligne "include". 

SPF "include" pointe vers un domaine dont les enregistrements SPF seront interrogés pour vérifier si l'adresse IP d'envoi est autorisée ou non. Si l'adresse IP d'envoi est incluse dans une liste "include" définie par SPF, il y aura correspondance et SPF passera.

Importance du mécanisme d'inclusion multiple du SPF

 Le SPF est important pour les raisons suivantes

➜ Il spécifie que vous voulez être protégé par les enregistrements SPF pour tout domaine listé dans votre bloc "include".

➜ Il ajoute des règles qui sont spécifiques à un domaine.

Vous pouvez utiliser le mécanisme SPF Include pour incorporer des règles de filtrage générales qui s'appliquent à tous les domaines de la même classe. Cela signifie que, si votre application prend en charge plusieurs classes d'adresses électroniques, vous pouvez utiliser des instructions include pour permettre un filtrage plus complexe basé sur la classe de l'adresse du destinataire.

Comment fonctionne le SPF include ?

Le mécanisme d'inclusion SPF permet au propriétaire d'un domaine de déléguer la responsabilité de l'envoi de courriels à un autre domaine. Il est couramment utilisé lorsqu'un propriétaire de domaine souhaite autoriser un service ou un fournisseur tiers à envoyer des courriels en son nom.

Voici comment fonctionne le mécanisme d'inclusion du SPF :

  • Le propriétaire du domaine publie un enregistrement SPF
  • Le mécanisme d'inclusion dans l'enregistrement SPF spécifie un autre domaine ou une adresse IP qui est autorisé à envoyer des courriels en leur nom.
  • Au cours du processus de recherche, l'enregistrement SPF est récupéré dans le DNS du domaine de l'expéditeur.
  • Le serveur de messagerie destinataire évalue l'enregistrement SPF pour déterminer si le serveur d'envoi est autorisé à envoyer des messages électroniques pour ce domaine. Si l'enregistrement SPF comprend un mécanisme "include", le serveur de réception vérifie également l'enregistrement SPF du domaine inclus.
  • Le serveur destinataire effectue une recherche récursive en interrogeant le DNS pour obtenir l'enregistrement SPF du domaine inclus. Ce processus se poursuit s'il existe plusieurs couches de mécanismes d'inclusion.

Configurer SPF de la bonne façon avec PowerDMARC !

15 jours d'essaiRéservez une démo

Exemple d'inclusion dans le SPF

Par exemple: Si vous avez "include:_spf.google.com" dans votre enregistrement SPF et que des courriels sont envoyés à partir d'une adresse IP de Google, celle-ci sera considérée comme un expéditeur de courriels autorisé car l'IP d'origine se trouve dans le mécanisme "include" de l'enregistrement SPF de ce domaine. Ainsi, le courrier électronique passera avec succès par le serveur avant d'atteindre le destinataire prévu.

Pour autoriser Google en tant que source d'envoi vérifiée, voici la syntaxe que doit respecter votre SPF

v=spf1 include:_spf.google.com ~all

Comment inclure plusieurs domaines, hôtes ou adresses IP dans votre enregistrement SPF ? 

Si vous souhaitez inclure plus d'un enregistrement SPF , vous risquez de rencontrer des problèmes d'acheminement du courrier électronique (par ex. courriels sont rejetés en tant que spam). La solution consiste à supprimer les enregistrements SPF incriminés et à fusionner les domaines ou les entrées d'hôte en un seul enregistrement ou une seule ligne via SPF include.

Prenons l'exemple de l'enregistrement SPF contenant de nombreux hôtes et adresses IP4 utilisés par l'un des plus célèbres fabricants d'électronique grand public au monde, Lenovo.com.

Lors de l'exécution de la SPF Record Lookup pour Lenovo.com, nous avons constaté qu'il a fusionné 4 domaines :

  1. spf.messagelabs.com
  2. _netblocks.eloqua.com
  3. spf.protection.outlook.com
  4. spf.pfpool.lenovo.com

et 5 adresses IP4 :

  1. 72.32.45.225
  2. 40.65.201.146
  3. 138.108.60.125
  4. 138.108.24.107
  5. 52.247.21.11

en un seul enregistrement comme ceci :

v=spf1 includespf.messagelabs.com include:_netblocks.eloqua.com includespf.protection.outlook.com includespf.pfpool.lenovo.com ip4:72.32.45.225 ip4:40.65.201.146 ip4:138.108.60.125 ip4:138.108.24.107 ip4:52.247.21.11 ~all

Comprendre la sémantique de l'enregistrement SPF

En considérant l'exemple ci-dessus, nous avons appris que la règle suivante s'applique lorsque l'on fusionne plusieurs hôtes ou adresses IP4 dans un seul enregistrement SPF .

Un enregistrement SPF doit comporter trois sections pour être considéré comme valide : la déclaration (début), le mécanisme d'inclusion pour les domaines et la balise IP4 pour les adresses IP (centre), et une règle d'application (fin).

Déclaration: La déclaration doit commencer par v=spf1 (ne pas réutiliser cette chaîne dans la règle)

Domaines autorisés: Ajouter un include : pour chaque domaine (vous devez utiliser le mécanisme SPF Include car include : avec chaque domaine, vous ajoutez l'enregistrement SPF )

IP autorisées : Ajouter un IP4 pour chaque adresse IP (vous devez utiliser la balise IP4 avant chaque adresse IP que vous ajoutez à l'enregistrement SPF ).

Règle d'application: Terminer l'enregistrement par un . ~tous (utilisez cette chaîne à la fin et une seule fois).

Puis-je avoir plusieurs enregistrements SPF ?

La réponse est non, car les enregistrements SPF multiples embrouillent le serveur destinataire en ce qui concerne l'enregistrement TXT à prendre en compte lors d'une recherche, et trop d'enregistrements SPF ajoutent de multiples requêtes DNS qui dépasseront rapidement la limite de 10 recherches.

Les enregistrements SPF sont des enregistrements de type TXT commençant par la chaîne de caractères v=spf1. Ils indiquent aux serveurs de messagerie les règles à suivre pour déterminer si un courriel donné est un spam ou non. Ces règles sont les suivantes :

  • Un serveur de messagerie récepteur doit vérifier que le domaine d'envoi est un destinataire autorisé de ce message. Lorsque cette règle est respectée, il accepte le message et le remet à l'utilisateur.

  • Un serveur de messagerie récepteur doit vérifier que l'adresse IP du domaine d'envoi correspond à une adresse IP autorisée pour ce domaine et que l'adresse IP appartient à un expéditeur autorisé. Lorsque ces conditions sont remplies, le message est remis à l'utilisateur.

Par conséquent, si vous avez deux enregistrements TXT SPF distincts sur votre serveur, vos courriels échoueront à l'authentification SPF et renverront une erreur PermError. En effet, le serveur de messagerie destinataire ne saura pas quelle règle suivre et ignorera simplement les deux enregistrements TXT.

Note importante concernant le SPF inclus

Il est important d'incorporer le mécanisme "include" dans votre enregistrement SPF car il vous permet d'inclure d'autres domaines et hôtes dans votre enregistrement SPF , ce qui peut être utile pour vérifier l'authenticité de vos messages.

Cependant, la règle suivante s'applique à l'utilisation du nombre de consultations par enregistrement SPF (comme indiqué dans la section 10.1 de la RFC 4408) :

«SPF DOIVENT limiter le nombre de mécanismes et de modificateurs à un maximum de 10 par SPF , y compris les recherches causées par l'utilisation du mécanisme « include » ou du modificateur « redirect ». »

Si votre implémentation SPF ne limite pas le nombre de mécanismes et de modificateurs, elle s'endormira sur les vérifications concernant les hôtes inaccessibles. Comme ces hôtes ne seront jamais inclus dans vos vérifications, ils ne recevront jamais de courrier de la part des clients. Cela peut entraîner de graves problèmes de distribution du courrier.

Différence entre SPF include : et a :

Le mécanisme SPF "include" est utilisé pour inclure les enregistrements SPF d'un autre domaine dans l'enregistrement SPF du domaine actuel, tandis que le mécanisme SPF "a" est utilisé pour spécifier des adresses IP ou des noms d'hôte individuels (enregistrements A) qui sont autorisés à envoyer des courriels pour le domaine.

SPF include vs a

Raisons d'utiliser un :

  • Il est plus pratique et moins compliqué
  • Parce que vous n'avez pas activé SPF sur les domaines concernés
  • Parce que le SPF n'est pas configuré correctement ou qu'il autorise par erreur d'autres serveurs qui ne figurent pas dans ses enregistrements A.

Les raisons de l'utiliser sont les suivantes :

  • Vous êtes sûr que le nom de domaine d'un site possède un enregistrement SPF valide.
  • Parce que vous souhaitez disposer d'une source unique de vérité pour des raisons de non-répétition, et que le domaine SPF est complexe
  • Vous pouvez modifier vos enregistrements SPF sans nécessairement modifier le DNS de tous les domaines qui incluent le vôtre.

Optimisation automatisée de SPF Include : pour plusieurs domaines et adresses IP

L'enregistrement SPF multi-hôtes et multi-adresses IP n'est pas une nouveauté. La création de ce type d'enregistrement nécessite une expertise appropriée afin d'éviter l'échec de l'authentificationSPF ou PermError.

Pour créer un enregistrement SPF qui fonctionne, vous devez utiliser correctement le mécanisme include :. Et pour que votre politique SPF soit efficace, elle doit être mise en œuvre correctement sur plusieurs hôtes et adresses IP.

Lorsque l'on utilise le produit PowerDMARC SPF Flattening de PowerDMARC, nous générerons pour vous un enregistrement SPF valide avec tous vos hôtes et adresses IP inclus dans une seule ligne de texte. Vous pouvez ajouter autant de domaines et d'adresses IP que vous le souhaitez - séparez-les simplement par des espaces. Nous fusionnerons le tout en un seul SPF de sorte que que vous ne dépassiez jamais la limite de consultation, ou que vous soyez confronté à des problèmes de livraison d'email et de hardfail.

 

Derniers messages de Yunes Tarada (voir tous)
Dernière mise à jour :
Qu'est-ce que l'ADSP ? Pratiques de signature de domaine d'auteur dans DKIMQu'est-ce que l'ADSP ?Qu'est-ce que l'usurpation d'adresse IP ?Qu'est-ce que l'usurpation d'adresse IP ?