Échec du SPF : Causes courantes et solutions

Blog

Permettez-nous de vous présenter les nombreuses causes d'échec du SPF. Cet article passe en revue les types d'échecs et explique les meilleures pratiques pour éviter les échecs SPF à l'avenir.

par Maitham Al Lawati

Temps de lecture : 6 min
Échec du SPF : Causes courantes et solutions
Table des matières-

Sender Policy Framework, ou SPF, est l'un des protocoles d'authentification des courriels que les organisations utilisent depuis des années dans leurs systèmes de messagerie pour réduire le spam et autoriser les sources d'envoi. Cependant, il est fréquent de rencontrer différentes erreurs qui entraînent l'échec de SPF. Dans cet article, nous examinerons les causes de l'échec de SPF et la manière de le résoudre.

Voici quelques raisons courantes qui conduisent à des échecs du FPS : 

  • Erreurs de syntaxe de l'enregistrement SPF 
  • Erreurs de configuration des enregistrements SPF 
  • Dépassement des limites de consultation DNS pour SPF
  • Transfert de courriels 
  • Autorisation de la source d'envoi incomplète

Points clés à retenir

  1. Les erreurs SPF peuvent résulter de problèmes tels qu'une syntaxe incorrecte, le dépassement des limites de consultation DNS et l'existence de plusieurs enregistrements SPF pour le même domaine.
  2. Le mécanisme SPF peut renvoyer différents résultats, notamment Pass, Fail, Softfail, Neutral et Temporary Error, chacun indiquant un niveau différent de réussite de l'authentification.
  3. La combinaison de plusieurs enregistrements SPF en un seul à l'aide du mécanisme "include" est essentielle pour éviter l'invalidation de la mise en œuvre de SPF.
  4. Un contrôle régulier des rapports DMARC peut aider à identifier les causes des échecs du SPF et faciliter la résolution des problèmes en temps utile.
  5. La mise en œuvre des meilleures pratiques SPF est essentielle pour garantir la délivrabilité du courrier électronique et réduire la probabilité d'échecs d'authentification.

Pourquoi les échecs du SPF se produisent-ils ? 

Les échecs de SPF peuvent se produire pour les raisons suivantes :

  • Le MTA récepteur ne trouve pas d'enregistrement SPF publié dans votre DNS.
  • Vous avez configuré plusieurs enregistrements SPF pour le même domaine. 
  • Vos fournisseurs de services de messagerie ont modifié ou ajouté de nouvelles adresses IP que vous n'avez pas incluses dans votre enregistrement SPF.
  • Vous avez dépassé la limite de 10 consultations DNS pour SPF.
  • Vous dépassez le nombre maximum de recherches d'annulations autorisées, qui est de 2.
  • La longueur de votre enregistrement SPF aplati dépasse la limite de 255 caractères SPF.

Lorsque le SPF échoue pour votre courrier électronique, la prochaine étape consiste à identifier la raison de cet échec afin de pouvoir le résoudre. Cela est possible en surveillant régulièrement les rapports DMARC. PowerDMARC vous aide à lire facilement les rapports sur les échecs d'authentification SPF grâce à notre analyseur DMARC.

Stop aux échecs SPF avec PowerDMARC !

15 jours d'essaiRéservez une démo

Types d'échecs du FPS

Les types d'échecs de SPF fail dont chacun est ajouté en tant que préfixe avant le mécanisme SPF :

"+" "Réussite"
"-" "Échec"
"~" "Softfail"
" ?" "Neutre"

Quelle est leur importance ? Worsque votre courrier électronique est rejeté, vous pouvez choisir la manière dont les destinataires doivent le traiter, vous pouvez choisir la rigueur avec laquelle vous voulez que les destinataires le traitent. Vous pouvez spécifier un qualificatif pour "laisser passer" les messages qui ont reçu une livraison SPF "échouer" ou adopter une position "neutre" (ne rien faire).

1. SPF None Result Returned

Dans le premier cas, si le serveur de courrier électronique de réception effectue une recherche DNS et ne parvient pas à trouver le nom de domaine dans le DNS, un résultat nul est renvoyé. Ce résultat est également renvoyé si aucun enregistrement SPF n'est trouvé dans le DNS de l'expéditeur, ce qui signifie que l'expéditeur n'a pas configuré l'authentification SPF pour ce domaine. Dans ce cas, l'authentification SPF pour vos courriels échoue, ce qui est indiqué par "-all".

Générez votre enregistrement SPF sans erreur avec notre générateur d'enregistrement SPF gratuit pour éviter cela.

2. Résultat neutre du FPS renvoyé

Lors de la configuration de SPF pour votre domaine, si vous avez apposé un mécanisme "?all" à votre enregistrement SPF, cela signifie que, quelle que soit la conclusion des contrôles d'authentification SPF pour vos courriels sortants, le MTA de réception renvoie un résultat neutre. En effet, lorsque votre SPF est en mode neutre, vous ne spécifiez pas les adresses IP autorisées à envoyer des courriels en votre nom et vous permettez aux adresses IP non autorisées d'en envoyer également.

3. Résultat du SPF Softfail renvoyé

Tout comme le SPF neutre, le SPF softfail est identifié par le mécanisme ~all qui implique que le MTA récepteur acceptera le courrier et le délivrera dans la boîte de réception du destinataire, mais il sera marqué comme spam, dans le cas où l'adresse IP ne figure pas dans l'enregistrement SPF trouvé dans le DNS, ce qui peut être une raison pour laquelle l'authentification SPF échoue pour votre courrier électronique. Voici un exemple d'échec de l'authentification SPF :

 v=spf1 include:spf.google.com ~all

4. Résultat SPF Hardfail renvoyé

Le SPF hardfail consiste à ce que les MTA de réception rejettent les courriels provenant d'une source d'envoi qui n'est pas répertoriée dans votre enregistrement SPF. Nous vous recommandons de configurer le SPF hardfail dans votre enregistrement SPF si vous souhaitez vous protéger contre l'usurpation d'identité de domaine et l'usurpation d'adresse électronique. 

Exemple : v=spf1 include:spf.google.com -all

Apprenez la différence spécifique entre SPF softfail vs hardfail

5. SPF Temperror (erreur temporaire SPF)

L'une des raisons courantes et souvent inoffensives pour lesquelles l'authentification SPF échoue est le SPF Temperror (erreur temporaire). Cette erreur est causée par une erreur DNS telle qu'un Délai d'attente DNS. Il s'agit donc, comme son nom l'indique, d'une erreur provisoire renvoyant un code d'état 4xx qui peut entraîner un échec SPF temporaire. Elle produira un résultat SPF positif lors d'une nouvelle tentative ultérieure.

6. SPF Permerror (SPF Permanent Error)

Une autre erreur courante à laquelle les domaines sont confrontés est une erreur de type SPF (SPF Permerror). Il s'agit d'un échec avec une erreur permanente. Cela se produit lorsque votre enregistrement SPF est invalidé par le MTA de réception. Il y a de nombreuses raisons pour lesquelles SPF peut se briser et être rendu invalide par le MTA lors de l'exécution des recherches DNS :

  • Dépassement de la limite de 10 recherches SPF
  • Syntaxe d'enregistrement SPF incorrecte
  • Plus d'un enregistrement SPF pour le même domaine
  • Dépassement de la limite de longueur des enregistrements SPF, fixée à 255 caractères.
  • Si votre enregistrement SPF n'est pas à jour par rapport aux changements effectués par vos ESPs

Remarque : Lorsqu'un MTA effectue une vérification SPF sur un courriel, il interroge le DNS ou effectue une recherche DNS pour vérifier l'authenticité de la source du courriel. Idéalement, dans SPF, vous êtes autorisé à effectuer un maximum de 10 recherches DNS. Si vous dépassez ce nombre, SPF s'interrompt et renvoie un résultat d'erreur perceptible (Permerror). Il s'agit d'un problème très courant qui entraîne l'échec de SPF.

Comment remédier à un échec SPF pour les courriers électroniques ?

Pour une bonne délivrabilité, il est important de s'assurer que le SPF n'échoue pas pour vos courriels. Pour remédier aux échecs de SPF, vous pouvez suivre les meilleures pratiques suivantes : 

1. Restez dans les limites du FPS

Si votre authentification échoue parce que les recherches DNS dépassent les limites spécifiées par le RFC, essayez de rester en deçà de ces limites pour éviter l'échec. PowerDMARC aide les clients à optimiser leurs enregistrements SPF pour rester en deçà de ces limites strictes grâce à des macros. Souvent, ces macros sont plusieurs fois plus efficaces que l l'aplatissement SPF. Cependant, si vous choisissez d'utiliser l'aplatissement SPF, outils d'aplatissement SPF peuvent simplifier le processus, même s'ils nécessitent des mises à jour manuelles chaque fois que votre fournisseur de services de messagerie modifie son infrastructure. Les macros dans votre enregistrement SPF DNS vous aident à éviter de dépasser les limites de vide et de recherche DNS à tout moment.

2. Éviter les erreurs de syntaxe et de configuration

La mise en œuvre manuelle des enregistrements SPF entraîne souvent des erreurs de syntaxe et les fait échouer. Pour vous assurer que vous utilisez la bonne syntaxe pour SPF, générez votre enregistrement à l'aide d'un générateur d'enregistrements SPF automatisé.

Lorsque vous configurez SPF dans votre DNS, utilisez toujours le type de ressource "TXT". Si vous configurez le mauvais type de ressource comme "CNAME" ou même "SPF", cela entraînera des erreurs de configuration et un échec de SPF. 

3. Autoriser toutes les sources d'envoi

Assurez-vous que vous autorisez correctement toutes vos sources d'envoi, y compris vos fournisseurs tiers, dans votre enregistrement SPF. Vos fournisseurs modifient souvent leur liste d'adresses IP d'envoi ou en ajoutent. Vous devez vous assurer que vous êtes au courant de ces changements et les mettre en œuvre dans votre propre enregistrement SPF. L'absence de sources d'envoi autorisées entraîne souvent des échecs SPF injustifiés. 

4. Combiner plusieurs enregistrements SPF 

Plus d'un enregistrement SPF pour le même domaine peut invalider votre implémentation SPF et conduire à un échec SPF. Dans ce cas, il est préférable de combiner plusieurs enregistrements en un seul en utilisant le mécanisme "include". 

Meilleures pratiques SPF

Les propriétaires de domaines qui respectent les bonnes pratiques SPF susmentionnées peuvent réduire considérablement les risques d'échec SPF injustifié. Voici quelques bonnes pratiques supplémentaires que les entreprises peuvent appliquer en général pour renforcer la sécurité de leur courrier électronique

  • Utiliser DKIM pour éviter les échecs SPF pour les courriels transférés 
  • Utilisez DMARC et DKIM, de sorte que même si SPF échoue et que DKIM réussit, DMARC réussira. 
  • Activer les rapports DMARC pour surveiller les échecs SPF et leurs causes 

Les échecs d'authentification des e-mails ne sont jamais une bonne nouvelle pour la réputation et la crédibilité de votre domaine. Pour vous assurer que votre délivrabilité n'est pas affectée, vous devez prendre des mesures dès maintenant pour éviter que votre SPF n'échoue. Vous voulez tester si vous avez configuré SPF correctement pour votre domaine ? Essayez notre vérificateur SPF gratuit dès aujourd'hui !

Derniers messages de Maitham Al Lawati (voir tous)
Qu'est-ce que l'authentification des courriels ? Vérifiez et authentifiez vos courrielsentrepreneurs en cybersécuritéComment les entrepreneurs peuvent-ils protéger leur entreprise contre les cyberattaques ?