SPF inclus expliqué

Le mécanisme SPF Include contient des références ou des conditions - dans un enregistrement SPF - qui doivent être respectées pour chaque serveur donné afin d'améliorer la délivrabilité des e-mails. Si vous omettez accidentellement d'ajouter les déclarations d'inclusion pour vos fournisseurs tiers dans votre enregistrement SPF, cela peut entraîner des problèmes pour vos destinataires, comme des courriers électroniques rebondis, et votre taux de rebond global peut augmenter.

Découvrez ce qu'est le mécanisme "Include" des enregistrements SPF et comment vous pouvez optimiser les déclarations SPF Include pour vos besoins.

Qu'est-ce que le SPF Include ?

Dans votre syntaxe d'enregistrement SPFle mécanisme "include" indique les enregistrements à transmettre à votre serveur de messagerie pour vérifier les enregistrements qui correspondent au domaine spécifié dans la ligne "include".

Le "include" pointe vers un domaine dont les enregistrements SPF seront interrogés pour vérifier si l'IP d'envoi est autorisée ou non. Si l'adresse IP d'envoi est incluse dans une liste "include" définie par SPF, il y aura une correspondance et SPF passera.

Le FPS inclus est important car :

➜ Il précise que vous souhaitez être protégé par des enregistrements SPF pour tout domaine figurant dans votre bloc "include".

➜ Il ajoute des règles qui sont spécifiques à un domaine.

➜ Vous pouvez utiliser le mécanisme SPF Include pour intégrer davantage les règles de filtrage générales qui s'appliquent à tous les domaines d'une même classe. Cela signifie que, si votre application prend en charge plusieurs classes d'adresses électroniques, vous pouvez utiliser des déclarations d'inclusion pour permettre un filtrage plus complexe basé sur la classe de l'adresse du destinataire.

Par exemple :

Si vous avez "include:_spf.google.com" dans votre enregistrement SPF et que des e-mails sont envoyés à partir d'une adresse IP Google, celle-ci sera considérée comme un expéditeur d'e-mails autorisé car l'IP d'origine se trouve dans le mécanisme "include" de l'enregistrement SPF de ce domaine. Ainsi, l'e-mail passera avec succès par le serveur avant d'atteindre son destinataire.

Plus d'un enregistrement SPF n'est pas autorisé : Mais pourquoi ?

Les enregistrements SPF multiples ne sont pas autorisés.

Les enregistrements SPF sont des enregistrements de type TXT commençant par la chaîne v=spf1. Ils indiquent aux serveurs de messagerie les règles à suivre pour déterminer si un message donné est un spam ou non. Ces règles sont les suivantes :

  • Un serveur de messagerie récepteur doit vérifier que le domaine d'envoi est un destinataire autorisé de ce message. Lorsque cette règle est respectée, il accepte le message et le remet à l'utilisateur.
  •  Un serveur de messagerie récepteur doit vérifier que l'adresse IP du domaine d'envoi correspond à une adresse IP autorisée pour ce domaine et que l'adresse IP appartient à un expéditeur autorisé. Lorsque ces conditions sont remplies, le message est remis à l'utilisateur.

Par conséquent, si vous avez deux entrées d'enregistrement TXT SPF distinctes sur votre serveur, vos courriers électroniques échoueront à l'authentification SPF et renverront un PermError. En effet, le serveur de messagerie récepteur ne saura pas quelle règle suivre : il ignorera tout simplement ces deux enregistrements TXT.

SPF Inclure plusieurs domaines ou hôtes ou adresses IP : Instructions pratiques

Lorsque vous cherchez à inclure plus d'un enregistrement SPF, vous risquez de rencontrer des problèmes de livraison du courrier électronique (par exemple, le courrier est rejeté comme spam). La solution consiste à supprimer les enregistrements SPF incriminés et à fusionner les domaines ou les entrées d'hôte en un seul enregistrement ou une seule ligne via SPF include.

Prenons l'exemple de l'enregistrement SPF comportant de nombreux hôtes et adresses ip4 utilisés par l'un des plus célèbres fabricants d'électronique grand public au monde, Lenovo.com.

Lorsque vous effectuez recherche d'enregistrement SPF pour Lenovo.com, nous avons constaté qu'il a fusionné 4 domaines :

  1. spf.messagelabs.com
  2. _netblocks.eloqua.com
  3. spf.protection.outlook.com
  4. spf.pfpool.lenovo.com

et 5 adresses IP4 :

  1. 72.32.45.225
  2. 40.65.201.146
  3. 138.108.60.125
  4. 138.108.24.107
  5. 52.247.21.11

en un seul enregistrement comme ceci :

v=spf1 include:spf.messagelabs.com include:_netblocks.eloqua.com include:spf.protection.outlook.com include:spf.pfpool.lenovo.com ip4:72.32.45.225 ip4:40.65.201.146 ip4:138.108.60.125 ip4:138.108.24.107 ip4:52.247.21.11 ~all

Comprendre la sémantique de l'enregistrement SPF

En considérant l'exemple ci-dessus, nous avons appris que la règle suivante s'applique lors de la fusion de nombreux hôtes ou adresses IP4 dans un seul enregistrement SPF.

Un enregistrement SPF doit comporter trois sections pour être considéré comme valide : la déclaration (début), le mécanisme d'inclusion pour les domaines et l'étiquette IP4 pour les adresses IP (centre), et une règle d'application (fin).

Déclaration: La déclaration doit commencer par v=spf1 (ne pas réutiliser cette chaîne dans la règle)

Domaines autorisés: Ajouter un include : pour chaque domaine (vous devez utiliser le mécanisme SPF Include car include : avec chaque domaine, vous ajoutez dans l'enregistrement SPF).

IPs autorisées : Ajouter une IP4 pour chaque adresse IP (vous devez utiliser la balise IP4 avant chaque adresse IP que vous ajoutez à l'enregistrement SPF).

Règle d'application: Terminer l'enregistrement par un . ~tous (utilisez cette chaîne à la fin et une seule fois).

Une note importante concernant le SPF Include

Il est important d'intégrer le mécanisme "include" dans votre enregistrement SPF car il vous permet d'inclure d'autres domaines et hôtes dans votre enregistrement SPF, ce qui peut être utile pour vérifier l'authenticité de vos messages.

Cependant, la règle suivante s'applique à l'utilisation du nombre de consultations par enregistrement SPF (comme mentionné dans la section 10.1 du RFC 4408) :

"Les implémentations SPF DOIVENT limiter le nombre de mécanismes et de modificateurs à un maximum de 10 par vérification SPF, y compris toute recherche provoquée par l'utilisation du mécanisme "include" ou du modificateur "redirect"."

Si votre implémentation de SPF ne limite pas le nombre de mécanismes et de modificateurs, elle s'endormira sur les vérifications des hôtes inaccessibles. Comme ces hôtes ne seront jamais inclus dans vos vérifications, ils ne recevront jamais de courrier des clients. Cela peut entraîner de graves problèmes de distribution du courrier.

Différence entre SPF inclure : et a :

a : Testez l'adresse IP pour voir si elle correspond à un enregistrement A pour votre domaine.

inclure : Vérifier l'ensemble de l'enregistrement SPF pour un domaine, évaluer l'IP par rapport à celui-ci, et si PASS est trouvé, alors cela sera renvoyé comme résultat de l'ensemble du test.

Raisons d'utiliser un :

  • Il est plus pratique et moins compliqué
  • Parce que vous n'avez pas activé le SPF sur les domaines concernés.
  • Parce que le SPF n'est pas configuré correctement ou qu'il autorise par erreur d'autres serveurs qui ne figurent pas dans ses enregistrements A.

Les raisons de l'utiliser sont les suivantes :

  • Vous pensez que le nom de domaine d'un site possède un enregistrement SPF valide.
  • Parce que vous voulez avoir une source unique de vérité pour des raisons de "ne pas se répéter", et que le domaine SPF est complexe.
  • Vous pouvez apporter des modifications à vos enregistrements SPF sans nécessairement modifier les DNS de tous les domaines qui incluent les vôtres.

Optimisation automatisée de l'inclusion SPF : pour plusieurs domaines et adresses IP

L'enregistrement SPF multi-hôtes et multi-adresses IP n'est pas une nouveauté. Mais la manière dont vous devez construire ce type d'enregistrement nécessite une expertise appropriée pour éviter l'échec de l'authentification SPF ou PermError.