Le mécanisme SPF Include contient des références ou des conditions - à l'intérieur d'un enregistrement SPF - qui doivent être respectées pour chaque serveur donné afin d'améliorer la délivrabilité des courriels. Si vous omettez accidentellement d'ajouter les déclarations Include pour vos fournisseurs tiers dans votre enregistrement SPF, cela peut entraîner des problèmes pour vos destinataires, tels que des courriels renvoyés, et votre taux de rebond global peut grimper en flèche.
Découvrez ce qu'est le mécanisme "Include" des enregistrements SPF et comment vous pouvez optimiser les déclarations SPF Include pour vos besoins.
Que signifie SPF Include ?
Dans la syntaxe de votre enregistrement SPF, le mécanisme "include" indique les enregistrements à transmettre à votre serveur de messagerie pour qu'il vérifie les enregistrements qui correspondent au domaine spécifié dans la ligne "include".
SPF "include" pointe vers un domaine dont les enregistrements SPF seront interrogés pour vérifier si l'adresse IP d'envoi est autorisée ou non. Si l'adresse IP d'envoi est incluse dans une liste "include" définie par SPF, il y aura correspondance et SPF passera.
Importance du mécanisme d'inclusion multiple du FPS
Le SPF est important pour les raisons suivantes
➜ Il précise que vous souhaitez être protégé par des enregistrements SPF pour tout domaine figurant dans votre bloc "include".
➜ Il ajoute des règles qui sont spécifiques à un domaine.
➜ Vous pouvez utiliser le mécanisme SPF Include pour intégrer davantage les règles de filtrage générales qui s'appliquent à tous les domaines d'une même classe. Cela signifie que, si votre application prend en charge plusieurs classes d'adresses électroniques, vous pouvez utiliser des déclarations d'inclusion pour permettre un filtrage plus complexe basé sur la classe de l'adresse du destinataire.
Comment fonctionne le SPF include ?
Le mécanisme d'inclusion SPF permet au propriétaire d'un domaine de déléguer la responsabilité de l'envoi de courriels à un autre domaine. Il est couramment utilisé lorsqu'un propriétaire de domaine souhaite autoriser un service ou un fournisseur tiers à envoyer des courriels en son nom.
Voici comment fonctionne le mécanisme d'inclusion du FPS :
- Le propriétaire du domaine publie un enregistrement SPF
- Le mécanisme d'inclusion dans l'enregistrement SPF spécifie un autre domaine ou une adresse IP qui est autorisé à envoyer des courriels en leur nom.
- Au cours du processus de recherche, l'enregistrement SPF est récupéré dans le DNS du domaine de l'expéditeur.
- Le serveur de messagerie destinataire évalue l'enregistrement SPF pour déterminer si le serveur d'envoi est autorisé à envoyer des messages électroniques pour ce domaine. Si l'enregistrement SPF comprend un mécanisme "include", le serveur de réception vérifie également l'enregistrement SPF du domaine inclus.
- Le serveur destinataire effectue une recherche récursive en interrogeant le DNS pour obtenir l'enregistrement SPF du domaine inclus. Ce processus se poursuit s'il existe plusieurs couches de mécanismes d'inclusion.
Exemple d'inclusion dans le FPS
Par exemple: Si vous avez "include:_spf.google.com" dans votre enregistrement SPF et que des courriels sont envoyés à partir d'une adresse IP de Google, celle-ci sera considérée comme un expéditeur de courriels autorisé car l'IP d'origine se trouve dans le mécanisme "include" de l'enregistrement SPF de ce domaine. De ce fait, le courrier électronique passera avec succès par le serveur avant d'atteindre le destinataire prévu.
Pour autoriser Google en tant que source d'envoi vérifiée, voici la syntaxe de votre enregistrement SPF :
v=spf1 include:_spf.google.com ~all
Pourquoi l'inclusion de plusieurs FPS n'est-elle pas recommandée ?
Les enregistrements SPF multiples embrouillent le serveur destinataire en ce qui concerne l'enregistrement TXT à prendre en compte lors d'une recherche, et trop d'enregistrements SPF ajoutent de multiples recherches DNS qui dépasseront rapidement la limite de 10 recherches.
Les enregistrements SPF sont des enregistrements de type TXT commençant par la chaîne v=spf1. Ils indiquent aux serveurs de messagerie les règles à suivre pour déterminer si un message donné est un spam ou non. Ces règles sont les suivantes :
Par conséquent, si vous avez deux entrées d'enregistrement TXT SPF distinctes sur votre serveur, vos courriers électroniques échoueront à l'authentification SPF et renverront un PermError. En effet, le serveur de messagerie récepteur ne saura pas quelle règle suivre : il ignorera tout simplement ces deux enregistrements TXT.
Comment inclure plusieurs domaines, hôtes ou adresses IP dans votre enregistrement SPF ?
Si vous souhaitez inclure plus d'un enregistrement SPF, vous risquez de rencontrer des problèmes d'acheminement du courrier électronique (par ex. courriels sont rejetés en tant que spam). La solution consiste à supprimer les enregistrements SPF incriminés et à fusionner les domaines ou les hôtes en un seul enregistrement ou une seule ligne par l'intermédiaire de SPF include.
Prenons l'exemple de l'enregistrement SPF comportant de nombreux hôtes et adresses ip4 utilisés par l'un des plus célèbres fabricants d'électronique grand public au monde, Lenovo.com.
Lorsque vous effectuez recherche d'enregistrement SPF pour Lenovo.com, nous avons constaté qu'il a fusionné 4 domaines :
- spf.messagelabs.com
- _netblocks.eloqua.com
- spf.protection.outlook.com
- spf.pfpool.lenovo.com
et 5 adresses IP4 :
- 72.32.45.225
- 40.65.201.146
- 138.108.60.125
- 138.108.24.107
- 52.247.21.11
en un seul enregistrement comme ceci :
v=spf1 include:spf.messagelabs.com include:_netblocks.eloqua.com include:spf.protection.outlook.com include:spf.pfpool.lenovo.com ip4:72.32.45.225 ip4:40.65.201.146 ip4:138.108.60.125 ip4:138.108.24.107 ip4:52.247.21.11 ~all
Comprendre la sémantique de l'enregistrement SPF
En considérant l'exemple ci-dessus, nous avons appris que la règle suivante s'applique lors de la fusion de nombreux hôtes ou adresses IP4 dans un seul enregistrement SPF.
Un enregistrement SPF doit comporter trois sections pour être considéré comme valide : la déclaration (début), le mécanisme d'inclusion pour les domaines et l'étiquette IP4 pour les adresses IP (centre), et une règle d'application (fin).
➜ Déclaration: La déclaration doit commencer par v=spf1 (ne pas réutiliser cette chaîne dans la règle)
➜ Domaines autorisés: Ajouter un include : pour chaque domaine (vous devez utiliser le mécanisme SPF Include car include : avec chaque domaine, vous ajoutez dans l'enregistrement SPF).
➜ IPs autorisées : Ajouter une IP4 pour chaque adresse IP (vous devez utiliser la balise IP4 avant chaque adresse IP que vous ajoutez à l'enregistrement SPF).
➜ Règle d'application: Terminer l'enregistrement par un . ~tous (utilisez cette chaîne à la fin et une seule fois).
Une note importante concernant le SPF Include
Il est important d'intégrer le mécanisme "include" dans votre enregistrement SPF car il vous permet d'inclure d'autres domaines et hôtes dans votre enregistrement SPF, ce qui peut être utile pour vérifier l'authenticité de vos messages.
Cependant, la règle suivante s'applique à l'utilisation du nombre de consultations par enregistrement SPF (comme mentionné dans la section 10.1 du RFC 4408) :
"Les implémentations SPF DOIVENT limiter le nombre de mécanismes et de modificateurs à un maximum de 10 par vérification SPF, y compris les consultations causées par l'utilisation du mécanisme "include" ou du modificateur "redirect".
Si votre implémentation de SPF ne limite pas le nombre de mécanismes et de modificateurs, elle s'endormira sur les vérifications des hôtes inaccessibles. Comme ces hôtes ne seront jamais inclus dans vos vérifications, ils ne recevront jamais de courrier des clients. Cela peut entraîner de graves problèmes de distribution du courrier.
Différence entre SPF inclure : et a :
Le mécanisme SPF "include" est utilisé pour inclure des enregistrements SPF d'un autre domaine dans l'enregistrement SPF du domaine actuel, tandis que le mécanisme SPF "a" est utilisé pour spécifier des adresses IP ou des noms d'hôte individuels (enregistrements A) qui sont autorisés à envoyer des courriels pour le domaine.
SPF include vs a
Raisons d'utiliser un :
- Il est plus pratique et moins compliqué
- Parce que vous n'avez pas activé le SPF sur les domaines concernés.
- Parce que le SPF n'est pas configuré correctement ou qu'il autorise par erreur d'autres serveurs qui ne figurent pas dans ses enregistrements A.
Les raisons de l'utiliser sont les suivantes :
- Vous pensez que le nom de domaine d'un site possède un enregistrement SPF valide.
- Parce que vous voulez avoir une source unique de vérité pour des raisons de "ne pas se répéter", et que le domaine SPF est complexe.
- Vous pouvez apporter des modifications à vos enregistrements SPF sans nécessairement modifier les DNS de tous les domaines qui incluent les vôtres.
Optimisation automatisée de l'inclusion SPF : pour plusieurs domaines et adresses IP
L'enregistrement SPF multi-hôtes et multi-adresses IP n'est pas une nouveauté. Mais la manière dont vous devez construire ce type d'enregistrement nécessite une expertise appropriée pour éviter l'échec de l'authentification SPF ou PermError.
Pour créer un enregistrement SPF qui fonctionne, vous devez utiliser correctement le mécanisme include :. Et pour que votre politique SPF soit efficace, elle doit être mise en œuvre correctement sur plusieurs hôtes et adresses IP.
Lorsque l'on utilise le produit PowerDMARC SPF Flattening de PowerDMARC, nous générerons pour vous un enregistrement SPF valide avec tous vos hôtes et adresses IP inclus dans une seule ligne de texte. Vous pouvez ajouter autant de domaines et d'adresses IP que vous le souhaitez - séparez-les simplement par des espaces. Nous fusionnerons le tout en un seul enregistrement SPF de sorte que que vous ne dépassiez jamais la limite de consultation, ou que vous soyez confronté à des problèmes de livraison d'email et de hardfail.
