Pourquoi l'authentification SPF échoue-t-elle ? Comment réparer l'échec de SPF ?
Avez-vous déjà vu un courriel échouer au test SPF ? Si oui, je vais vous expliquer exactement pourquoi l'authentification SPF échoue. Sender Policy Framework, ou SPF, est l'une des normes de vérification des e-mails que nous utilisons tous depuis des années pour arrêter le spam. Même si vous n'en êtes pas conscient, je parie que si je vérifiais les paramètres de votre compte de connexion à Facebook, je verrais probablement que vous avez choisi l'option " opt-in " pour " email from friends only ". C'est effectivement la même chose que le SPF.
Qu'est-ce que l'authentification SPF ?
SPF est un protocole d'authentification du courrier électronique utilisé pour vérifier que l'expéditeur du courrier électronique correspond à son nom de domaine dans le champ "From :" du message. Le MTA d'envoi utilise le DNS pour interroger une liste préconfigurée de serveurs SPF afin de vérifier si l'IP d'envoi est autorisée à envoyer des courriels pour ce domaine. Il peut y avoir des incohérences dans la façon dont les enregistrements SPF sont configurés, ce qui est essentiel pour comprendre pourquoi les courriels peuvent échouer à la vérification SPF, et quel rôle vous pouvez jouer pour vous assurer que des problèmes ne se produisent pas dans vos propres efforts d efforts de marketing par courriel ou lorsque vous envoyez des courriels de marketing pour gagner des clients.
Pourquoi l'authentification SPF échoue : Aucun, Neutre, Hardfail, Softfail, TempError et PermError.
Les échecs d'authentification SPF peuvent se produire pour les raisons suivantes :
- Le MTA récepteur ne trouve pas d'enregistrement SPF publié dans votre DNS.
- Vous avez configuré plusieurs enregistrements SPF pour le même domaine.
- Vos fournisseurs de services de messagerie ont modifié ou ajouté de nouvelles adresses IP qui n'ont pas été prises en compte dans votre enregistrement SPF.
- Vous avez dépassé la limite de 10 consultations DNS pour SPF.
- Vous dépassez le nombre maximum de recherches d'annulations autorisées, qui est de 2.
- La longueur de votre enregistrement SPF aplati dépasse la limite de 255 caractères SPF.
Vous trouverez ci-dessus différents scénarios expliquant pourquoi l'authentification SPF échoue. Vous pouvez surveiller vos domaines avec notre analyseur DMARC pour obtenir des rapports sur les échecs d'authentification SPF. Lorsque vous avez des problèmes d'authentification DMARC est activé, le MTA récepteur renvoie l'un des résultats d'échec d'authentification SPF suivants pour l'e-mail, en fonction de la raison pour laquelle votre e-mail a échoué à l'authentification SPF. Apprenons à mieux les connaître :
Types de qualificatifs d'échec SPF
Voici les types de qualificatifs d'échec SPF, chacun d'entre eux étant ajouté comme préfixe avant le mécanisme d'échec SPF :
"+" "Réussite"
"-" "Échec"
"~" "Softfail"
" ?" "Neutre"
En quoi cela est-il important ? Si votre courriel échoue au test SPF, vous pouvez choisir la rigueur avec laquelle vous voulez que les destinataires le traitent. Vous pouvez spécifier un qualificateur pour "passer" les messages qui échouent à la vérification (les livrer), "échouer" la livraison, ou prendre un point de vue "neutre" (ne rien faire).
Cas 1 : Le résultat de SPF None est retourné.
Dans le premier cas de figure, si le serveur de messagerie récepteur effectue une recherche DNS et ne trouve pas le nom de domaine dans le DNS, un résultat nul est renvoyé. Aucun résultat n'est également renvoyé si aucun enregistrement SPF n'est trouvé dans le DNS de l'expéditeur, ce qui implique que l'expéditeur n'a pas configuré l'authentification SPF pour ce domaine. Dans ce cas, l'authentification SPF pour vos e-mails échoue.
Générez votre enregistrement SPF sans erreur avec notre générateur d'enregistrement SPF gratuit pour éviter cela.
Cas 2 : Résultat neutre de SPF est retourné
Lors de la configuration du SPF pour votre domaine, si vous avez apposé un mécanisme ?all à votre enregistrement SPF, cela signifie que, quelles que soient les conclusions des contrôles d'authentification SPF pour vos courriels sortants, le MTA récepteur renvoie un résultat neutre. Cela se produit parce que lorsque vous avez votre SPF en mode neutre, vous ne spécifiez pas les adresses IP qui sont autorisées à envoyer des e-mails en votre nom et vous autorisez les adresses IP non autorisées à les envoyer également.
Cas 3 : Résultat de l'échec de la SPF Softfail
Tout comme le SPF neutre, le SPF softfail est identifié par le mécanisme ~all qui implique que le MTA récepteur acceptera le courrier et le délivrera dans la boîte de réception du destinataire, mais il sera marqué comme spam, dans le cas où l'adresse IP ne figure pas dans l'enregistrement SPF trouvé dans le DNS, ce qui peut être une raison pour laquelle l'authentification SPF échoue pour votre courrier électronique. Voici un exemple d'échec de l'authentification SPF :
v=spf1 include:spf.google.com ~all
Cas 4 : Résultat de l'échec de la SPF
SPF hardfail, également connu sous le nom de SPF fail, désigne le cas où les MTA de réception rejettent les e-mails provenant d'une source d'envoi qui n'est pas répertoriée dans votre enregistrement SPF. Nous vous recommandons de configurer SPF hardfail dans votre enregistrement SPF, si vous voulez vous protéger contre l'usurpation de domaine et l'usurpation d'adresse électronique. Vous trouverez ci-dessous un exemple de SPF hardfail :
v=spf1 include:spf.google.com -all
Cas 5 : SPF TempError (erreur temporaire de SPF)
L'une des raisons très courantes et souvent inoffensives pour lesquelles l'authentification SPF échoue est l'erreur SPF TempError (erreur temporaire), qui est due à une erreur DNS telle qu'un dépassement de délai DNS pendant qu'un contrôle d'authentification SPF est effectué par le MTA récepteur. Il s'agit donc, comme son nom l'indique, d'une erreur provisoire renvoyant un code d'état 4xx qui peut entraîner un échec temporaire de l'authentification SPF, mais qui donne un résultat positif lors d'une nouvelle tentative ultérieure.
Cas 6 : SPF PermError (erreur permanente de SPF)
Un autre résultat courant auquel les erreurs de domaine sont confrontées est SPF PermError. C'est pourquoi l'authentification SPF échoue dans la plupart des cas. Cela se produit lorsque votre enregistrement SPF est invalidé par le MTA récepteur. Il y a de nombreuses raisons pour lesquelles SPF peut s'interrompre et être rendu invalide par le MTA lors des recherches DNS :
- Dépassement de la limite de 10 recherches SPF
- Syntaxe d'enregistrement SPF incorrecte
- Plus d'un enregistrement SPF pour le même domaine
- Dépassement de la limite de longueur des enregistrements SPF, fixée à 255 caractères.
- Si votre enregistrement SPF n'est pas à jour par rapport aux changements effectués par vos ESPs
Remarque : Lorsqu'un MTA effectue une vérification SPF sur un courriel, il interroge le DNS ou effectue une recherche DNS pour vérifier l'authenticité de la source du courriel. Idéalement, dans le cadre de SPF, vous êtes autorisé à effectuer un maximum de 10 recherches DNS. Si vous dépassez ce nombre, SPF échouera et vous obtiendrez un résultat PermError.
Comment l'aplatissement dynamique du SPF peut-il résoudre le SPF PermError ?
Contrairement aux autres erreurs SPF, l'erreur SPF PermError est beaucoup plus délicate et compliquée à résoudre. PowerSPF vous aide à l'atténuer facilement à l'aide d'une fonction automatique de aplatissement SPF. Il vous aide à :
- Rester sous la limite stricte du SPF
- Optimisez instantanément votre enregistrement SPF
- Aplatissez votre dossier en une seule déclaration d'inclusion
- Assurez-vous que votre enregistrement SPF est toujours mis à jour en fonction des modifications apportées par vos ESP.
Vous voulez tester si vous avez configuré SPF correctement pour votre domaine ? Essayez notre vérificateur SPF gratuit aujourd'hui !