Passer au contenu principal
Comment créer et ajouter un enregistrement SPF

Comment créer et ajouter un enregistrement SPF

24 février 2020
DéploiementConseils techniques

Dans cet article, nous expliquons :

  • Qu'est-ce qu'un enregistrement SPF ?
  • Comment ajouter un enregistrement SPF
  • Comment créer un enregistrement SPF

SPF signifie Sender Policy Framework et est une technologie d'authentification des e-mails gratuite qui existe depuis 2003. C'est un moyen de vérifier qu'un serveur de messagerie (adresse IP) est autorisé à envoyer des e-mails pour un domaine spécifique ; avec DKIM, SPF est un pilier pour DMARC. Vous pouvez trouver plus d'informations sur SPF en général ici.

Vous avez déjà un enregistrement SPF mais vous n'êtes pas sûr qu'il soit correctement configuré ? Utilisez notre SPF Surveyor gratuit pour effectuer une vérification SPF.

Qu'est-ce qu'un enregistrement SPF ?

Un enregistrement SPF ou enregistrement SPF TXT est un enregistrement qui fait partie du DNS de votre domaine — similaire à un enregistrement DMARC. Il contient une liste de toutes les adresses IP autorisées à envoyer des e-mails au nom de votre domaine. 

Lorsqu'un expéditeur tente de remettre un e-mail à un serveur de réception pour livraison, le serveur de messagerie vérifie si l'expéditeur figure sur la liste des expéditeurs autorisés de votre domaine. Si c'est le cas, un lien est établi entre l'e-mail et le domaine de messagerie.

Avec un enregistrement SPF en place, vous protégez votre domaine de messagerie contre les attaques d'usurpation d'identité et de phishing en informant le monde entier des serveurs autorisés à envoyer des e-mails authentifiés en votre nom.

En savoir plus sur la syntaxe des enregistrements SPF.

Comment ajouter un enregistrement SPF ?

Pour ajouter un enregistrement SPF, vous aurez besoin d'accéder au panneau de contrôle DNS de votre domaine. Si vous utilisez un fournisseur d'hébergement, le processus est assez simple et vous devriez consulter leur documentation de support. En cas de doute, vous pouvez contacter votre fournisseur informatique pour obtenir de l'aide.

Remarque : Votre nouvel enregistrement SPF peut prendre jusqu'à 48 heures pour entrer en vigueur. 

Comment créer un enregistrement SPF ?

Commencez par rassembler une liste de tous vos domaines, car chaque enregistrement SPF se réfère à un domaine spécifique. Assurez-vous d'inclure les domaines inactifs (ou « parqués ») qui n'envoient pas d'e-mails afin de les protéger également contre les abus.

Vous devrez également identifier tout ce qui envoie des e-mails depuis votre ou vos domaines, y compris les sources (tiers) qui envoient des e-mails au nom de votre domaine. Cela inclut :

  • Serveurs de messagerie (à la fois basés sur le web comme Gmail ou via votre FAI, et en interne comme Microsoft Exchange)
  • ESP (fournisseurs de services de messagerie – entreprises qui fournissent des services de marketing par e-mail/d'envoi d'e-mails en masse)
  • Services divers (par exemple, systèmes de support/de billetterie, fournisseurs de paiement, services de commerce électronique, etc.)

v=spf1 ip4:40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:thirdpartydomain.com ~all

  • Commencez par la version SPF v=spf1. Cela indique qu'il s'agit d'un enregistrement SPF. Ce sera toujours v=spf1, car les autres versions de SPF ont été abandonnées.

  • La balise de version SPF doit être suivie de toutes les adresses IP autorisées à envoyer des e-mails au nom de votre domaine.
    Par exemple : v=spf1 ip4:40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348
  • Vient ensuite l'instruction « include », nécessaire pour chaque organisation tierce qui envoie des e-mails en votre nom.
    Par exemple : v=spf1 ip4:40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:thirdpartydomain.com
    Vous devriez consulter ces tiers pour déterminer quel domaine utiliser comme valeur ici. De plus, les FAI (Fournisseurs d'Accès Internet) publient généralement des enregistrements SPF pour les domaines d'envoi en votre nom, il est donc conseillé de vérifier également auprès d'eux.
  • La fin de l'enregistrement SPF est la balise « all ». Elle est importante car elle indique quelle politique et avec quelle rigueur elle doit être appliquée lorsqu'un serveur de réception détecte un serveur qui n'est pas listé (autorisé) dans votre enregistrement SPF.La balise « all » offre les options de base suivantes :
    • -all  – (échec) les e-mails non autorisés seront rejetés*
    • ~all  – (échec léger) les e-mails non autorisés seront acceptés mais marqués*
    • +all  – cette balise autorise n'importe quel serveur à envoyer des e-mails depuis votre domaine, nous la déconseillons donc fortement.

*Vous pouvez trouver plus d'informations sur les différences entre « fail » et « softfail » ici.
Par exemple : v=spf1 ip4:40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:thirdpartydomain.com ~all.

Ceci est un aperçu de base de ce qu'un enregistrement SPF peut contenir. Vous pouvez trouver une analyse plus approfondie de la syntaxe SPF ici.

Pour vos domaines qui n'envoient pas d'e-mails (domaines inactifs ou parqués), il est recommandé de publier une politique SPF qui n'inclut aucune adresse IP afin d'éviter tout abus. Voici un exemple d'enregistrement pour un domaine non-expéditeur : v=spf1 -all

Note : Les enregistrements SPF ne peuvent pas dépasser 255 caractères et ne peuvent pas inclure plus de dix instructions « include », également appelées « lookups » (recherches).

Pour inspecter et vérifier vos enregistrements SPF, rendez-vous sur notre outil d'analyse SPF gratuit.

Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité e-mail et une mission visant à rendre l'e-mail et Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation, et à implémenter et gérer DMARC sur le long terme.

Commencez avec notre essai de 30 jours

Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.

SPF

Articles connexes