Avez-vous déjà vu votre courriel échouer à l'authentification SPF ? Si c'est le cas, je vais vous expliquer exactement pourquoi l'authentification SPF échoue. Sender Policy Framework, ou SPF, est l'un des protocoles d'authentification des courriels que les organisations utilisent depuis des années dans leurs systèmes de messagerie pour réduire le spam et autoriser les sources d'envoi. Cependant, en raison de circonstances défavorables, si votre SPF échoue, cela peut conduire à des problèmes potentiels de délivrabilité des courriels.
Voici quelques raisons courantes qui conduisent à des échecs du FPS :
- Erreurs de syntaxe de l'enregistrement SPF
- Erreurs de configuration des enregistrements SPF
- Dépassement des limites de consultation DNS pour SPF
- Transfert de courriels
- Autorisation de la source d'envoi incomplète
L'authentification SPF expliquée
SPF (Sender Policy Framework) est un protocole d'authentification du courrier électronique utilisé pour vérifier que l'adresse IP de l'expéditeur est autorisée à envoyer des courriers électroniques au nom du domaine spécifié dans le champ "From :" du message. Lorsqu'un courriel est envoyé, le serveur de messagerie récepteur interroge le DNS pour obtenir l'enregistrement SPF associé au domaine afin de vérifier si l'adresse IP de l'expéditeur est répertoriée dans l'enregistrement. Si l'adresse IP n'est pas autorisée, la vérification SPF peut échouer.
Il est essentiel de comprendre la configuration correcte des enregistrements SPF pour s'assurer que vos courriels passent les contrôles d'authentification. C'est nécessaire pour que les efforts de efforts de marketing par courriel ou lorsque vous envoyez des courriels de marketing pour gagner des clients.
Pourquoi le SPF échoue-t-il ?
Les échecs de SPF peuvent se produire pour les raisons suivantes :
- Le MTA récepteur ne trouve pas d'enregistrement SPF publié dans votre DNS.
- Vous avez configuré plusieurs enregistrements SPF pour le même domaine.
- Vos fournisseurs de services de messagerie ont modifié ou ajouté de nouvelles adresses IP que vous n'avez pas incluses dans votre enregistrement SPF.
- Vous avez dépassé la limite de 10 consultations DNS pour SPF.
- Vous dépassez le nombre maximum de recherches d'annulations autorisées, qui est de 2.
- La longueur de votre enregistrement SPF aplati dépasse la limite de 255 caractères SPF.
Lorsque le SPF échoue pour votre courrier électronique, la prochaine étape consiste à identifier la raison de cet échec afin de pouvoir le résoudre. Cela est possible en surveillant régulièrement les rapports DMARC. PowerDMARC vous aide à lire facilement les rapports sur les échecs d'authentification SPF grâce à notre analyseur DMARC pour obtenir des rapports sur les échecs d'authentification SPF.
Lorsque vous disposez de DMARC est activé, le MTA de réception peut renvoyer l'un des résultats d'échec SPF suivants pour les courriels ayant échoué. Apprenons à mieux les connaître :
Types d'échecs du FPS
Les types d'échecs de SPF fail dont chacun est ajouté en tant que préfixe avant le mécanisme d'échec SPF :
"+" "Réussite"
"-" "Échec"
"~" "Softfail"
" ?" "Neutre"
Quelle est leur importance ? Worsque votre courrier électronique n'est pas conforme à la norme SPF, vous pouvez choisir la rigueur avec laquelle les destinataires doivent le traiter, vous pouvez choisir la rigueur avec laquelle vous voulez que les destinataires le traitent. Vous pouvez spécifier un qualificatif pour "passer" les messages qui échouent à la vérification SPF (les délivrer), "Échouer" la délivrance ou adopter une position "neutre" (ne rien faire).
1. SPF None Result Returned
Dans le premier cas de figure, si le serveur de messagerie destinataire effectue une recherche DNS et ne parvient pas à trouver le nom de domaine dans le DNS, un résultat nul est renvoyé. Aucun n'est également renvoyé si aucun enregistrement SPF n'est trouvé dans le DNS de l'expéditeur, ce qui implique que l'expéditeur n'a pas configuré l'authentification SPF pour ce domaine. Dans ce cas, l'authentification SPF pour vos courriels échoue.
Générez votre enregistrement SPF sans erreur avec notre générateur d'enregistrement SPF gratuit pour éviter cela.
2. Résultat neutre du FPS renvoyé
Lors de la configuration du SPF pour votre domaine, si vous avez apposé un mécanisme ?all à votre enregistrement SPF, cela signifie que, quelles que soient les conclusions des contrôles d'authentification SPF pour vos courriels sortants, le MTA récepteur renvoie un résultat neutre. Cela se produit parce que lorsque vous avez votre SPF en mode neutre, vous ne spécifiez pas les adresses IP qui sont autorisées à envoyer des e-mails en votre nom et vous autorisez les adresses IP non autorisées à les envoyer également.
3. Résultat du SPF Softfail renvoyé
Tout comme le SPF neutre, le SPF softfail est identifié par le mécanisme ~all qui implique que le MTA récepteur acceptera le courrier et le délivrera dans la boîte de réception du destinataire, mais il sera marqué comme spam, dans le cas où l'adresse IP ne figure pas dans l'enregistrement SPF trouvé dans le DNS, ce qui peut être une raison pour laquelle l'authentification SPF échoue pour votre courrier électronique. Voici un exemple d'échec de l'authentification SPF :
v=spf1 include:spf.google.com ~all
4. Résultat SPF Hardfail renvoyé
SPF hardfail, également connu sous le nom de SPF fail, désigne le cas où les MTA de réception rejettent les e-mails provenant d'une source d'envoi qui n'est pas répertoriée dans votre enregistrement SPF. Nous vous recommandons de configurer SPF hardfail dans votre enregistrement SPF, si vous voulez vous protéger contre l'usurpation de domaine et l'usurpation d'adresse électronique. Vous trouverez ci-dessous un exemple de SPF hardfail :
v=spf1 include:spf.google.com -all
5. SPF Temperror (erreur temporaire SPF)
L'une des raisons très courantes et souvent inoffensives pour lesquelles l'authentification SPF échoue est le SPF Temperror (erreur temporaire), qui est causé par une erreur DNS telle qu'un dépassement de délai DNS pendant que le MTA récepteur effectue un contrôle d'authentification SPF. Il s'agit donc, comme son nom l'indique, d'une erreur provisoire renvoyant un code d'état 4xx qui peut provoquer un échec SPF temporaire, et qui donne un résultat SPF positif lors d'une nouvelle tentative ultérieure.
6. SPF Permerror (SPF Permanent Error)
Un autre résultat courant auquel les erreurs de domaine sont confrontées est le SPF Permerror. C'est lorsque SPF échoue avec une erreur permanente. Cela se produit lorsque votre enregistrement SPF est invalidé par le MTA de réception. Il y a de nombreuses raisons pour lesquelles SPF peut se briser et être rendu invalide par le MTA lors de l'exécution des recherches DNS :
- Dépassement de la limite de 10 recherches SPF
- Syntaxe d'enregistrement SPF incorrecte
- Plus d'un enregistrement SPF pour le même domaine
- Dépassement de la limite de longueur des enregistrements SPF, fixée à 255 caractères.
- Si votre enregistrement SPF n'est pas à jour par rapport aux changements effectués par vos ESPs
Remarque : Lorsqu'un MTA effectue une vérification SPF sur un courriel, il interroge le DNS ou effectue une recherche DNS pour vérifier l'authenticité de la source du courriel. Idéalement, dans SPF, vous êtes autorisé à effectuer un maximum de 10 recherches DNS. Si vous dépassez ce nombre, SPF s'interrompt et renvoie un résultat d'erreur perceptible (Permerror). Il s'agit d'un problème très courant qui entraîne l'échec de SPF.
Comment corriger l'échec de l'authentification SPF pour les courriels ?
Pour une bonne délivrabilité, il est important de s'assurer que le SPF n'est pas défaillant pour vos emails. Pour remédier à un échec SPF, vous pouvez suivre ces meilleures pratiques SPF :
1. Restez dans les limites du FPS
Si votre SPF échoue parce que les recherches DNS dépassent les limites spécifiées par le RFC, essayez de rester en deçà de ces limites pour éviter l'échec du SPF. PowerDMARC aide les clients à optimiser leurs enregistrements SPF pour rester en deçà de ces limites strictes grâce à des macros. Plusieurs fois plus efficace que le l'aplatissement SPFLes macros dans votre enregistrement SPF DNS vous aident à ne pas dépasser les limites de vide DNS et de recherche à tout moment.
2. Éviter les erreurs de syntaxe et de configuration
La mise en œuvre manuelle des enregistrements SPF entraîne souvent des erreurs de syntaxe et provoque l'échec de SPF. Pour vous assurer que vous utilisez la bonne syntaxe pour SPF, générez votre enregistrement à l'aide d'un générateur d'enregistrements SPF automatisé. Ces outils gratuits en ligne génèrent instantanément des enregistrements DNS exempts d'erreurs.
Lorsque vous configurez SPF dans votre DNS, utilisez toujours le type de ressource "TXT". Si vous configurez le mauvais type de ressource comme "CNAME" ou même "SPF", cela conduira à des erreurs de configuration et à l'échec de SPF.
3. Autoriser toutes les sources d'envoi
Assurez-vous que vous autorisez correctement toutes vos sources d'envoi, y compris vos fournisseurs tiers, dans votre enregistrement SPF. Vos fournisseurs modifient souvent leur liste d'adresses IP d'envoi ou en ajoutent. Vous devez vous assurer que vous êtes au courant de ces changements et les mettre en œuvre dans votre propre enregistrement SPF. L'absence de sources d'envoi autorisées entraîne souvent des échecs SPF injustifiés.
4. Combiner plusieurs enregistrements SPF
Plus d'un enregistrement SPF pour le même domaine peut invalider votre implémentation SPF et conduire à un échec SPF. Dans ce cas, il est préférable de combiner les enregistrements en un seul enregistrement en utilisant le mécanisme "include".
Suivre les meilleures pratiques SPF pour éviter les échecs SPF
Les propriétaires de domaines qui respectent les bonnes pratiques SPF susmentionnées peuvent réduire considérablement les risques d'échec SPF injustifié. Voici quelques bonnes pratiques supplémentaires que les entreprises peuvent appliquer en général pour renforcer la sécurité de leur courrier électronique:
- Utiliser DKIM pour éviter les échecs SPF pour les courriels transférés
- Utilisez DMARC et DKIM, de sorte que même si SPF échoue et que DKIM réussit, DMARC réussira.
- Activer les rapports DMARC pour surveiller les échecs SPF et leurs causes
Les échecs d'authentification des e-mails ne sont jamais une bonne nouvelle pour la réputation et la crédibilité de votre domaine. Pour vous assurer que votre délivrabilité n'est pas affectée, vous devez prendre des mesures dès maintenant pour éviter que votre SPF n'échoue. Vous voulez tester si vous avez configuré SPF correctement pour votre domaine ? Essayez notre vérificateur SPF gratuit dès aujourd'hui !
- Phishing par courriel et statistiques DMARC - 22 novembre 2024
- Conformité et exigences DMARC - 21 novembre 2024
- Qu'est-ce que la politique DMARC ? Aucune, Quarantaine et Rejet - Le 15 septembre 2024