Comment créer et ajouter un enregistrement SPF

Dans cet article, nous expliquons :

• Qu'est-ce qu'un enregistrement SPF ?
• Comment ajouter un enregistrement SPF
• Comment créer un enregistrement SPF

SPF, qui signifie Sender Policy Framework, est une technologie gratuite d'authentification du courrier électronique qui existe depuis 2003. C'est un moyen de vérifier qu'un serveur de messagerie (adresse IP) est autorisé à envoyer des e-mails pour un domaine spécifique. Avec DKIM, SPF est la base de DMARC. Vous pouvez trouver plus d'informations sur SPF en général ici.

Vous avez déjà un enregistrement SPF mais vous n'êtes pas sûr qu'il soit correctement configuré ? Utilisez notre outil gratuit SPF Surveyor pour effectuer une vérification SPF.

Qu'est-ce qu'un enregistrement SPF ?

Un enregistrement SPF ou un enregistrement SPF TXT est un enregistrement qui fait partie du DNS de votre domaine - similaire à un enregistrement enregistrement DMARC. Il contient une liste de toutes les adresses IP qui sont autorisées à envoyer des e-mails au nom de votre domaine.

Lorsqu'un expéditeur tente de transmettre un courriel à un serveur de réception pour qu'il le distribue, le serveur de courriel vérifie si l'expéditeur figure sur la liste des expéditeurs autorisés de votre domaine. Si c'est le cas, un lien a été établi entre l'e-mail et le domaine de messagerie.

Avec un enregistrement SPF en place, vous protégez votre domaine de messagerie contre les attaques par usurpation d'identité et par hameçonnage en faisant savoir au monde entier quels serveurs sont autorisés à envoyer des messages électroniques authentifiés en votre nom.

En savoir plus sur la syntaxe de l'enregistrement SPF.

Comment ajouter un enregistrement SPF ?

Pour ajouter un enregistrement SPF, vous devez avoir accès au panneau de contrôle DNS de votre domaine. Si vous utilisez un fournisseur d'hébergement, la procédure est assez simple et vous devez vous référer à sa documentation. En cas de doute, vous pouvez contacter votre fournisseur informatique pour obtenir de l'aide.

Remarque : l'entrée en vigueur de votre nouvel enregistrement SPF peut prendre jusqu'à 48 heures. 

Comment créer un enregistrement SPF ?

Commencez par rassembler une liste de tous vos domaines, car chaque enregistrement SPF fait référence à un domaine spécifique. Veillez à inclure les domaines inactifs (ou "parqués") qui n'envoient pas de courrier électronique afin de les protéger également des abus.

Vous devrez également identifier tout ce qui envoie des e-mails à partir de votre/vos domaine(s), notamment les sources (tierces parties) qui envoient des e-mails au nom de votre domaine. Cela inclut :

• Serveurs de messagerie (à la fois sur le Web, comme Gmail, ou via votre fournisseur d'accès Internet, et au bureau, comme Microsoft Exchange).
• ESP (Email Service Providers - sociétés qui fournissent des services d'email marketing/de bulk email)
• Services divers (par exemple, systèmes d'assistance/de billetterie, fournisseurs de paiement, services de commerce électronique, etc.)

v=spf1 ip4:40.113.200.201 ip6 :2001:db8:85a3:8d3:1319:8a2e:370:7348 include:thirdpartydomain.com ~all

• Commencez par la version SPF v=spf1. Cela indique qu'il s'agit d'un enregistrement SPF. Ce sera toujours v=spf1, car les autres versions SPF ont été abandonnées.

• La balise de version SPF doit être suivie de toutes les adresses IP qui sont autorisées à envoyer des e-mails au nom de votre domaine.
  Par exemple : v=spf1 ip4:40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348

• Vient ensuite la déclaration "include", qui est nécessaire pour chaque organisation tierce qui envoie des e-mails en votre nom.
  Par exemple : v=spf1 ip4:40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:thirdpartydomain.com
  Vous devez consulter ces tiers pour savoir quel domaine utiliser comme valeur ici. De plus, les ESP publient généralement des enregistrements SPF pour les domaines d'envoi en votre nom, vous devez donc également vérifier auprès d'eux.

• La fin de l'enregistrement SPF est la balise "all". Elle est importante car elle indique la politique et la rigueur avec laquelle elle doit être appliquée lorsqu'un serveur récepteur détecte un serveur qui n'est pas répertorié (autorisé) dans votre enregistrement SPF.La balise "all" dispose des options de base suivantes :
  • -all - (fail) les emails non autorisés seront rejetés*.
  • ~all - (softfail) les emails non autorisés seront acceptés mais marqués*.
  • +all - cette balise permet à n'importe quel serveur d'envoyer des e-mails à partir de votre domaine, nous vous la déconseillons fortement.

*Vous pouvez trouver plus d'informations sur les différences entre fail et softfail. ici.
Parexemple : v=spf1 ip4:40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:thirdpartydomain.com ~all.

Il s'agit d'un aperçu de base de ce que peut contenir un enregistrement SPF. Vous pouvez trouver un aperçu plus approfondi de la syntaxe SPF ici.

Pour vos domaines qui n'envoient pas d'email (domaines inactifs ou parqués), il est recommandé de publier une politique SPF qui n'inclut aucune adresse IP afin d'éviter tout abus. Voici un exemple d'enregistrement pour un domaine qui n'envoie pas d'email : v=spf1 -all

Remarque: les enregistrements SPF ne peuvent pas comporter plus de 255 caractères, et ne peuvent pas inclure plus de dix déclarations "include".également appelées "lookups".

Pour inspecter et vérifier vos enregistrements SPF, consultez gratuitement notre Enquête SPF.

Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme.

---

Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.