Serveurs identifiés par SPF — Quelle est cette source ?
Pour rendre DMARC utile aux utilisateurs, dmarcian traite les données DMARC à l'aide du moteur de classification des sources le plus précis de l'industrie. Les règles de classification identifient les sources d'e-mails, qu'il s'agisse des propres serveurs du client ou de sources tierces qui envoient en leur nom. dmarcian présente aux utilisateurs des informations de conformité DMARC basées sur ces sources d'e-mails.
De nombreuses sources sont des marques connues que les clients reconnaîtront instantanément, telles qu'Amazon SES ou Google ; cependant, d'autres peuvent être moins évidentes. Une source d'e-mails reconnue par la plateforme dmarcian est appelée « Serveurs identifiés par SPF » ; les clients de dmarcian sont souvent curieux de savoir comment les données se retrouvent dans cette source.
SPF permet à un propriétaire de domaine de publier une liste de serveurs autorisés à envoyer des e-mails au nom d'un domaine. Lors du traitement des données DMARC d'un domaine, dmarcian utilise l'enregistrement SPF du domaine pour identifier les adresses IP autorisées par ce domaine.
dmarcian maintient un vaste ensemble de règles pour identifier l'infrastructure ; si une donnée DMARC peut être identifiée à l'aide d'une règle existante, elle le sera. Cependant, les fragments de données qui ne correspondent pas à une règle existante peuvent correspondre à une adresse IP trouvée dans l'enregistrement SPF du domaine. Si tel est le cas, ces données sont placées dans la source « Serveurs identifiés par SPF ». Il s'agit d'une source fourre-tout, un moyen d'extraire des données qui, selon nous, représentent probablement des flux de courrier légitimes, car elles ont été autorisées dans l'enregistrement SPF d'un client.
Si vous rencontrez cette source dans votre compte dmarcian, la première chose à faire est d'enquêter ! Voici quelques éléments à prendre en compte lors de votre enquête. Identifiez si cette source est votre infrastructure ou celle d'un tiers envoyant en votre nom. Vous pouvez consulter l'adresse IP ou les informations Cisco Talos (le drapeau de pays cliquable) qui sont présentes dans le Detail Viewer.
Si vous découvrez qu'il s'agit d'un expéditeur tiers, déterminez si l'infrastructure est activement utilisée ou s'il s'agit d'un service qui a été désactivé mais jamais supprimé de votre enregistrement SPF. La suppression des entrées inutiles contribue non seulement à limiter l'encombrement SPF, mais elle respecte également de bons principes de sécurité.
Si vous estimez que cette source est légitime, il y a une autre chose à considérer. Le simple fait que cette source apparaisse dans les « Serveurs identifiés par SPF » ne signifie pas que SPF est le seul moyen d'authentifier les e-mails légitimes. DKIM devrait également être pris en compte si la source le prend en charge.
Les Serveurs identifiés par SPF peuvent parfois être alimentés par des données de source surprenantes. De nombreuses variables, telles que le transfert, affecteront la façon dont les données apparaissent sur la plateforme. Trier les données DMARC résultantes et les rendre pertinentes pour les utilisateurs n'est pas toujours une science exacte et parfois les règles ne sont pas précises à 100 %.
Si vous rencontrez des résultats inattendus dans vos « Serveurs identifiés par SPF », n'hésitez pas à contacter [email protected], et nous y jetterons un œil.
Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité e-mail et une mission visant à rendre l'e-mail et Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation, et à implémenter et gérer DMARC sur le long terme.
Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.
