Échec du SPF : Ce que cela signifie et comment y remédier

Blog

Découvrez ce que signifie "SPF fail" dans l'authentification des courriels, pourquoi cela se produit, et les mesures à prendre pour y remédier et protéger vos courriels.

par Maitham Al Lawati

Temps de lecture : 8 min
Échec du SPF : Ce que cela signifie et comment y remédier
Table des matières-

Points clés à retenir

  1. Les erreurs SPF peuvent résulter de problèmes tels qu'une syntaxe incorrecte, le dépassement des limites de consultation DNS et l'existence de plusieurs enregistrements SPF pour le même domaine.
  2. Le mécanisme SPF peut renvoyer différents résultats, notamment Pass, Fail, Softfail, Neutral et Temporary Error, chacun indiquant un niveau différent de réussite de l'authentification.
  3. La combinaison de plusieurs enregistrements SPF en un seul à l'aide du mécanisme "include" est essentielle pour éviter l'invalidation de la mise en œuvre de SPF .
  4. Un contrôle régulier des rapports DMARC peut aider à identifier les causes des échecs du SPF et faciliter la résolution des problèmes en temps utile.
  5. La mise en œuvre des meilleures pratiques SPF est essentielle pour garantir la délivrabilité du courrier électronique et réduire la probabilité d'échecs d'authentification.

Sender Policy FrameworkSPF est un protocole d'authentification du courrier électronique conçu pour empêcher l'usurpation d'adresse électronique en vérifiant que les messages sont envoyés par des serveurs de messagerie autorisés. Lorsqu'il est correctement configuré, SPF contribue à réduire le spam et les tentatives d'hameçonnage en permettant aux serveurs de messagerie destinataires de vérifier si un courriel provient d'une source légitime.

Toutefois, si un problème survient lors de la configuration ou au cours du processus de vérification, vous risquez de rencontrer un échec SPF . Un échecSPF signifie que le serveur du destinataire n'a pas pu confirmer l'autorisation de l'expéditeur, ce qui conduit souvent à ce que les courriels soient marqués comme spam ou rejetés.

Dans ce billet, nous examinerons les causes les plus courantes des échecs de SPF et la manière de les résoudre.

Qu'est-ce que SPF dans l'authentification des courriels ?

Sender Policy FrameworkSPF est une méthode d'authentification des courriels qui permet de vérifier si un courriel est envoyé par un serveur de messagerie autorisé. Il s'agit d'une liste d'"expéditeurs approuvés" publiée dans les enregistrements DNS d'un domaine.

Le rôle principal de SPF est d'empêcher l'usurpation d'adresse électronique, lorsque des acteurs malveillants falsifient l'adresse "From" pour tromper les destinataires en leur faisant croire que le message est légitime. En vérifiant les enregistrements SPF , les serveurs de messagerie destinataires peuvent confirmer qu'un message provient bien du domaine qu'il prétend représenter.

Voici comment fonctionne le SPF au cours du processus d'envoi du courrier électronique :

  • Le domaine d'envoi publie un enregistrement SPF dans son DNS, spécifiant quels serveurs de messagerie sont autorisés à envoyer du courrier électronique en son nom.
  • Lorsqu'un courriel est reçu, le serveur de messagerie du destinataire consulte l'enregistrement SPF du domaine.
  • Le serveur vérifie si l'adresse IP du serveur d'envoi correspond aux sources autorisées répertoriées.
  • En fonction du résultat, le serveur décide d'accepter, de marquer ou de rejeter le courrier électronique.

En bref, le SPF sert de point de contrôle pour empêcher les courriels frauduleux d'arriver dans les boîtes de réception.

Que signifie "SPF Fail" ?

Un échec SPF se produit lorsque le serveur de messagerie du destinataire détermine que le serveur d'envoi n'est pas autorisé à envoyer des courriels au nom du domaine. Cela se produit si l'adresse IP du serveur d'envoi ne correspond pas aux sources répertoriées dans l'enregistrement SPF du domaine.

Les serveurs de messagerie interprètent les résultats SPF à l'aide de mécanismes définis par la politique SPF . Les principaux résultats sont les suivants :

  • Passez : Le courriel provient d'un serveur autorisé.
  • Échec : Le courriel n'est explicitement pas autorisé et est souvent rejeté.
  • Softfail : Le serveur n'est pas répertorié, mais le propriétaire du domaine laisse passer le message avec méfiance (souvent marqué comme spam).
  • Neutre : Aucune politique claire n'est fournie, le serveur ne prend donc pas de décision stricte.

En cas d'échec de SPF , de nombreux fournisseurs de services de messagerie rejettent purement et simplement le courrier électronique ou l'acheminent vers le dossier spam, ce qui réduit considérablement les possibilités de livraison.

Stop aux échecs SPF avec PowerDMARC !

15 jours d'essaiRéservez une démo

Pourquoi les échecs du SPF se produisent-ils ? 

Les échecs de SPF peuvent se produire pour les raisons suivantes :

  • Le MTA récepteur ne trouve pas d'enregistrement SPF publié dans votre DNS.
  • Vous avez configuré plusieurs enregistrements SPF pour le même domaine. 
  • Vos fournisseurs de services de messagerie ont modifié ou ajouté de nouvelles adresses IP que vous n'avez pas incluses dans votre enregistrement SPF .
  • Vous avez dépassé la limite de 10 consultations DNS pour SPF.
  • Vous dépassez le nombre maximum de recherches d'annulations autorisées, qui est de 2.
  • La longueur de votre enregistrement SPF aplati dépasse la limite de 255 caractères SPF .

Lorsque le SPF échoue pour votre courrier électronique, la prochaine étape consiste à identifier la raison de cet échec afin de pouvoir le résoudre. Cela est possible en surveillant régulièrement les rapports DMARC. PowerDMARC vous aide à lire facilement les rapports sur les échecs d'authentification SPF grâce à notre analyseur DMARC.

Types d'échecs du SPF

Les types d'échecs de SPF fail dont chacun est ajouté en tant que préfixe avant le mécanisme SPF :

"+" "Réussite"
"-" "Échec"
"~" "Softfail"
" ?" "Neutre"

Quelle est leur importance ? Worsque votre courrier électronique est rejeté, vous pouvez choisir la manière dont les destinataires doivent le traiter, vous pouvez choisir la rigueur avec laquelle vous voulez que les destinataires le traitent. Vous pouvez spécifier un qualificatif pour "laisser passer" les messages qui ont reçu une livraison SPF "échouer" la livraison, ou adopter une position "neutre" (ne rien faire).

1. SPF None Result Returned

Dans le premier cas, si le serveur de courrier électronique de réception effectue une recherche DNS et ne parvient pas à trouver le nom de domaine dans le DNS, un résultat nul est renvoyé. Ce résultat est également renvoyé si aucun enregistrement SPF n'est trouvé dans le DNS de l'expéditeur, ce qui signifie que l'expéditeur n'a pas configuré l'authentification SPF pour ce domaine. Dans ce cas, l'authentification SPF pour vos courriels échoue, ce qui est indiqué par "-all".

Générez votre enregistrement SPF sans erreur avec notre générateur d'enregistrement SPF gratuit pour éviter cela.

2. Résultat neutre du SPF renvoyé

Lors de la configuration de SPF pour votre domaine, si vous avez apposé un mécanisme "?all" à votre enregistrement SPF , cela signifie que, quelle que soit la conclusion des contrôles d'authentification SPF pour vos courriels sortants, le MTA de réception renvoie un résultat neutre. En effet, lorsque votre SPF est en mode neutre, vous ne spécifiez pas les adresses IP autorisées à envoyer des courriels en votre nom et vous permettez aux adresses IP non autorisées d'en envoyer également.

3. Résultat du SPF Softfail renvoyé

Tout comme SPF neutre, SPF softfail est identifié par le mécanisme ~all qui implique que le MTA de réception acceptera le courrier et le livrera dans la boîte de réception du destinataire, mais il sera marqué comme spam, dans le cas où l'adresse IP n'est pas répertoriée dans l'enregistrement SPF trouvé dans le DNS, ce qui peut être une raison pour laquelle l'authentification SPF échoue pour votre courrier électronique. Voici un exemple d'échec de l'authentification SPF :

 v=spf1 includespf.google.com ~all

4. Résultat SPF Hardfail renvoyé

Le SPF hardfail consiste à ce que les MTA de réception rejettent les courriels provenant d'une source d'envoi qui n'est pas répertoriée dans votre enregistrement SPF . Nous vous recommandons de configurer le SPF hardfail dans votre enregistrement SPF si vous souhaitez vous protéger contre l'usurpation d'identité de domaine et l'usurpation d'adresse électronique. 

Exemple : v=spf1 include:spf.google.com -all

Apprenez la différence spécifique entre SPF softfail vs hardfail

5. SPF TemperrorSPF erreur temporaireSPF )

L'une des raisons courantes et souvent inoffensives pour lesquelles l'authentification SPF échoue est le SPF Temperror (erreur temporaire). Cette erreur est causée par une erreur DNS telle qu'un Délai d'attente DNS. Il s'agit donc, comme son nom l'indique, d'une erreur provisoire renvoyant un code d'état 4xx qui peut entraîner un échec SPF temporaire. Elle produira un résultat SPF positif lors d'une nouvelle tentative ultérieure.

6. SPF PermerrorSPF Permanent Error)

Une autre erreur courante à laquelle les domaines sont confrontés est une erreur deSPF Permerror). Il s'agit d'un échec avec une erreur permanente. Cela se produit lorsque votre enregistrement SPF est invalidé par le MTA de réception. Il y a de nombreuses raisons pour lesquelles SPF peut se briser et être rendu invalide par le MTA lors de l'exécution des recherches DNS :

  • Dépassement de la limite de 10 recherchesSPF
  • Syntaxe incorrecte de l'enregistrementSPF
  • Plus d'un enregistrement SPF pour le même domaine
  • Dépassement de la limite de 255 caractères de l'enregistrement SPF
  • Si votre enregistrement SPF n'est pas à jour des modifications apportées par vos ESP

Remarque : Lorsqu'un MTA effectue une vérification SPF sur un courriel, il interroge le DNS ou effectue une recherche DNS pour vérifier l'authenticité de la source du courriel. Idéalement, dans SPF , vous êtes autorisé à effectuer un maximum de 10 recherches DNS. Si vous dépassez ce nombre, SPF s'interrompt et renvoie un résultat d'erreur. Il s'agit d'un problème très courant qui entraîne l'échec de SPF .

Comment remédier à un échec SPF pour les courriers électroniques ?

Pour une bonne délivrabilité, il est important de s'assurer que le SPF n'échoue pas pour vos courriels. Pour remédier aux échecs de SPF , vous pouvez suivre les meilleures pratiques suivantes : 

1. Restez dans les limites du SPF

Si votre authentification échoue parce que les recherches DNS dépassent les limites spécifiées par le RFC, essayez de rester en deçà de ces limites pour éviter l'échec. PowerDMARC aide les clients à optimiser leurs enregistrements SPF pour rester en deçà de ces limites strictes grâce à des macros. Souvent, ces macros sont plusieurs fois plus efficaces que l l'aplatissementSPF . Cependant, si vous choisissez d'utiliser l'aplatissement SPF , outils d'aplatissementSPF peuvent simplifier le processus, même s'ils nécessitent des mises à jour manuelles chaque fois que votre fournisseur de services de messagerie modifie son infrastructure. Les macros dans votre enregistrement SPF DNS vous aident à éviter de dépasser les limites de vide et de recherche DNS à tout moment.

2. Éviter les erreurs de syntaxe et de configuration

La mise en œuvre manuelle des enregistrements SPF entraîne souvent des erreurs de syntaxe et les fait échouer. Pour vous assurer que vous utilisez la bonne syntaxe pour SPF, générez votre enregistrement à l'aide d'un générateur d'enregistrementsSPF automatisé.

Lorsque vous configurez SPF dans votre DNS, utilisez toujours le type de ressource "TXT". Si vous configurez le mauvais type de ressource comme "CNAME" ou même "SPF", cela entraînera des erreurs de configuration et un échec de SPF . 

3. Autoriser toutes les sources d'envoi

Assurez-vous que vous autorisez correctement toutes vos sources d'envoi, y compris vos fournisseurs tiers, dans votre enregistrement SPF . Vos fournisseurs modifient souvent leur liste d'adresses IP d'envoi ou en ajoutent. Vous devez vous assurer que vous êtes au courant de ces changements et les mettre en œuvre dans votre propre enregistrement SPF . L'absence de sources d'envoi autorisées entraîne souvent des échecs SPF injustifiés. 

4. Combiner plusieurs enregistrements SPF 

Plus d'un enregistrement SPF pour le même domaine peut invalider votre implémentation SPF et conduire à un échec SPF . Dans ce cas, il est préférable de combiner plusieurs enregistrements en un seul en utilisant le mécanisme "include". 

Meilleures pratiques pour éviter les échecs du SPF

Les propriétaires de domaines qui respectent les meilleures pratiques SPF mentionnées ci-dessus peuvent réduire considérablement les risques d'échec SPF injustifié. 

En outre, voici quelques pratiques recommandées que les entreprises devraient suivre pour renforcer leur position globale en matière de sécurité du courrier électronique:

  • Utilisez DKIM pour éviter les échecs SPF pour les courriels transférés : Le transfert interrompt souvent le SPF, mais le DomainKeys Identified Mail (DKIM) peut aider à préserver l'authentification.
  • Utiliser DMARC et DKIM ensemble: Même si SPF échoue mais que DKIM réussit, Domain-based Message Authentication, Reporting, and Conformance (DMARC) peut toujours valider le courrier électronique.
  • Activer le reporting DMARC: Surveillez les échecs SPF et identifiez leurs causes profondes grâce à des rapports DMARC détaillés.
  • Maintenez les enregistrements SPF à jour : Vérifiez et mettez à jour votre enregistrement SPF chaque fois que vous ajoutez ou supprimez des services de messagerie tiers.
  • Vérifier et tester régulièrement les enregistrements DNS: Planifiez des vérifications périodiques pour vous assurer que vos enregistrements DNS sont corrects, cohérents et qu'ils ne dépassent pas les limites de consultation SPF .

Les échecs d'authentification des courriels ne sont jamais une bonne nouvelle pour la réputation et la crédibilité de votre domaine. Le respect de ces pratiques permet de minimiser le risque d'échecs SPF et de garantir une meilleure délivrabilité des courriels.

Conclusion

Il est essentiel de corriger les échecs de SPF pour maintenir la confiance, protéger la réputation de votre marque et garantir la fiabilité de la livraison des courriels. Sans configuration SPF appropriée, vos courriels sont plus susceptibles d'être marqués comme spam, rejetés ou exploités par des pirates pour l'usurpation d'identité.

La meilleure approche est proactive : surveillez régulièrement votre domaine, mettez à jour les enregistrements SPF et utilisez conjointement plusieurs protocoles d'authentification du courrier électronique tels que SPF, DKIM et DMARC. Cette défense par couches améliore considérablement vos chances de passer les contrôles d'authentification et de sécuriser votre canal de messagerie.

Vous voulez vous assurer que votre SPF est configuré correctement et éviter des échecs coûteux ? Essayez dès aujourd'hui les fonctionnalités de PowerDMARC pour renforcer la sécurité de votre messagerie et protéger votre domaine contre les abus.

Foire aux questions

Comment puis-je savoir si mes courriels ne sont pas conformes à la SPF?

Vous pouvez vérifier les résultats SPF dans les en-têtes des courriels ou utiliser des outils tels que les rapports DMARC et les vérificateurs SPF . Ceux-ci vous indiqueront si vos messages sont validés ou non par le SPF .

L'échec de SPF peut-il entraîner le rebond des courriels ?

Oui. Lorsque SPF échoue avec un résultat "hard fail", les serveurs de réception rejettent souvent complètement le message, ce qui entraîne des rebonds. Dans d'autres cas, ils acceptent le message mais l'acheminent vers le dossier spam.

Ai-je besoin de DKIM et de DMARC si j'ai SPF?

Absolument. SPF ne peut à lui seul protéger les messages électroniques transférés ou fournir des rapports au niveau du domaine. DKIM garantit l'intégrité des messages électroniques, et DMARC relie SPF et DKIM, vous offrant ainsi une visibilité et une protection renforcée contre l'usurpation d'identité.

Derniers messages de Maitham Al Lawati (voir tous)
Enregistrement DNS TXT : Définition, utilisation et guide d'installationQu'est-ce qu'un enregistrement DNS TXT ?Combien de temps dure la propagation du DNS ? Conseils et vérifications