Avez-vous déjà vu un courriel échouer au test SPF ? Si oui, je vais vous expliquer exactement pourquoi l'authentification SPF échoue. Sender Policy Framework, ou SPF, est l'une des normes de vérification des e-mails que nous utilisons tous depuis des années pour arrêter le spam. Même si vous n'en êtes pas conscient, je parie que si je vérifiais les paramètres de votre compte de connexion à Facebook, je verrais probablement que vous avez choisi l'option " opt-in " pour " email from friends only ". C'est effectivement la même chose que le SPF.
Qu'est-ce que l'authentification SPF ?
SPF est un protocole d'authentification des e-mails qui est utilisé pour vérifier que l'expéditeur de l'e-mail correspond à son nom de domaine dans le champ From : du message. Le MTA d'envoi utilisera le DNS pour interroger une liste préconfigurée de serveurs SPF afin de vérifier si l'IP d'envoi est autorisée à envoyer des e-mails pour ce domaine. Il peut y avoir des incohérences dans la façon dont les enregistrements SPF sont configurés, ce qui est essentiel pour comprendre pourquoi les e-mails peuvent échouer à la vérification SPF, et quel rôle vous pouvez jouer pour vous assurer que les problèmes ne se produisent pas dans vos propres efforts de marketing par e-mail.
Pourquoi l'authentification SPF échoue : Aucun, Neutre, Hardfail, Softfail, TempError et PermError.
Les échecs d'authentification SPF peuvent se produire pour les raisons suivantes :
- Le MTA récepteur ne trouve pas d'enregistrement SPF publié dans votre DNS.
- Vous avez plusieurs enregistrements SPF publiés dans votre DNS pour le même domaine.
- Vos ESP ont modifié ou ajouté des adresses IP qui n'ont pas été mises à jour dans votre enregistrement SPF.
- Si vous dépassez la limite de 10 consultations de DNS pour SPF
- Si vous dépassez le nombre maximum de recherche de vide autorisé de 2
- La longueur de votre enregistrement SPF aplati dépasse la limite de 255 caractères SPF.
Les scénarios ci-dessus expliquent pourquoi l'authentification SPF échoue. Vous pouvez surveiller vos domaines avec notre analyseur DMARC pour obtenir des rapports sur les échecs d'authentification SPF. Lorsque le rapport DMARC est activé, le MTA récepteur renvoie l'un des résultats d'échec d'authentification SPF suivants pour l'e-mail, en fonction de la raison pour laquelle votre e-mail a échoué. Apprenons à mieux les connaître :
Types de qualificatifs d'échec SPF
Voici les types de qualificatifs d'échec SPF, chacun d'entre eux étant ajouté comme préfixe avant le mécanisme d'échec SPF :
"+" "Pass"
"-" "Fail"
"~" "Softfail"
" ?" "Neutre"
En quoi cela est-il important ? Si votre courriel échoue au test SPF, vous pouvez choisir la rigueur avec laquelle vous voulez que les destinataires le traitent. Vous pouvez spécifier un qualificateur pour "passer" les messages qui échouent à la vérification (les livrer), "échouer" la livraison, ou prendre un point de vue "neutre" (ne rien faire).
Cas 1 : Le résultat de SPF None est retourné.
Dans le premier cas de figure, si le serveur de messagerie récepteur effectue une recherche DNS et ne trouve pas le nom de domaine dans le DNS, un résultat nul est renvoyé. Aucun résultat n'est également renvoyé si aucun enregistrement SPF n'est trouvé dans le DNS de l'expéditeur, ce qui implique que l'expéditeur n'a pas configuré l'authentification SPF pour ce domaine. Dans ce cas, l'authentification SPF pour vos e-mails échoue.
Générez votre enregistrement SPF sans erreur maintenant avec notre outil gratuit de génération d'enregistrements SPF pour éviter cela.
Cas 2 : Résultat neutre de SPF est retourné
Lors de la configuration du SPF pour votre domaine, si vous avez apposé un mécanisme ?all à votre enregistrement SPF, cela signifie que, quelles que soient les conclusions des contrôles d'authentification SPF pour vos courriels sortants, le MTA récepteur renvoie un résultat neutre. Cela se produit parce que lorsque vous avez votre SPF en mode neutre, vous ne spécifiez pas les adresses IP qui sont autorisées à envoyer des e-mails en votre nom et vous autorisez les adresses IP non autorisées à les envoyer également.
Cas 3 : Résultat de l'échec de la SPF Softfail
Tout comme le SPF neutre, le SPF softfail est identifié par le mécanisme ~all qui implique que le MTA récepteur acceptera le courrier et le délivrera dans la boîte de réception du destinataire, mais il sera marqué comme spam, dans le cas où l'adresse IP ne figure pas dans l'enregistrement SPF trouvé dans le DNS, ce qui peut être une raison pour laquelle l'authentification SPF échoue pour votre courrier électronique. Voici un exemple d'échec de l'authentification SPF :
v=spf1 include:spf.google.com ~all
Cas 4 : Résultat de l'échec de la SPF
SPF hardfail, également connu sous le nom de SPF fail, désigne le cas où les MTA de réception rejettent les e-mails provenant d'une source d'envoi qui n'est pas répertoriée dans votre enregistrement SPF. Nous vous recommandons de configurer SPF hardfail dans votre enregistrement SPF, si vous voulez vous protéger contre l'usurpation de domaine et l'usurpation d'adresse électronique. Vous trouverez ci-dessous un exemple de SPF hardfail :
v=spf1 include:spf.google.com -all
Cas 5 : SPF TempError (erreur temporaire de SPF)
L'une des raisons très courantes et souvent inoffensives de l'échec de l'authentification SPF est SPF TempError (erreur temporaire) qui est due à une erreur DNS telle qu'un dépassement de délai DNS pendant qu'une vérification de l'authentification SPF est effectuée par le MTA récepteur. Il s'agit donc, comme son nom l'indique, d'une erreur temporaire renvoyant un code de statut 4xx qui peut provoquer un échec temporaire de SPF, mais qui donne un résultat positif lors d'une nouvelle tentative ultérieure.
Cas 6 : SPF PermError (erreur permanente de SPF)
Un autre résultat courant auquel les erreurs de domaine sont confrontées est SPF PermError. C'est pourquoi l'authentification SPF échoue dans la plupart des cas. Cela se produit lorsque votre enregistrement SPF est invalidé par le MTA récepteur. Il y a de nombreuses raisons pour lesquelles SPF peut s'interrompre et être rendu invalide par le MTA lors des recherches DNS :
- Dépassement de la limite de 10 recherches SPF
- Syntaxe d'enregistrement SPF incorrecte
- Plus d'un enregistrement SPF pour le même domaine
- Dépassement de la limite de longueur des enregistrements SPF, fixée à 255 caractères.
- Si votre enregistrement SPF n'est pas à jour par rapport aux changements effectués par vos ESPs
Remarque : Lorsqu'un MTA effectue une vérification SPF sur un courriel, il interroge le DNS ou effectue une recherche DNS pour vérifier l'authenticité de la source du courriel. Idéalement, dans SPF, vous êtes autorisé à effectuer un maximum de 10 recherches DNS, au-delà desquelles SPF échouera et renverra un résultat PermError.
Comment l'aplatissement dynamique du SPF peut-il résoudre le SPF PermError ?
Contrairement aux autres erreurs SPF, SPF PermError est beaucoup plus délicat et compliqué à résoudre. PowerSPF vous aide à l'atténuer facilement grâce à l'aplatissement automatique du SPF. Il vous aide :
- Rester sous la limite stricte du SPF
- Optimisez instantanément votre enregistrement SPF
- Aplatissez votre dossier en une seule déclaration d'inclusion
- Assurez-vous que votre enregistrement SPF est toujours mis à jour en fonction des modifications apportées par vos ESP.
Vous voulez tester si vous avez configuré correctement le SPF pour votre domaine ? Essayez dès aujourd'hui notre outil gratuit de recherche d'enregistrements SPF!
- What is GPS Spoofing – A Complete Guide - January 30, 2023
- What is Microsoft Quarantine? - January 29, 2023
- What is a Cybersecurity Audit and Why do you need it? - January 28, 2023
