Serveurs identifiés par SPF - Quelle est cette source ?
Pour transformer DMARC en quelque chose d'utile pour les gens, dmarcian traite les données DMARC en utilisant le moteur de classification des sources le plus précis du secteur. Les règles de classification identifient les sources d'email, qu'il s'agisse des propres serveurs du client ou de sources tierces qui envoient en leur nom. dmarcian présente aux utilisateurs des informations de conformité DMARC basées sur ces sources d'email.
Beaucoup de ces sources sont des noms de marque que les clients reconnaîtront instantanément, comme Amazon SES ou Google ; cependant, il y en a d'autres qui peuvent ne pas être aussi évidentes. Une source d'email reconnue par la plateforme dmarcian est appelée "SPF-Identified Servers" ; les clients de dmarcian sont souvent curieux de savoir comment les données se retrouvent dans cette source.
SPF permet au propriétaire d'un domaine de publier une liste de serveurs qui sont autorisés à envoyer des messages au nom d'un domaine. Lors du traitement des données DMARC d'un domaine, dmarcian utilise l'enregistrement SPF du domaine pour identifier les IPs qui sont autorisées par le domaine.
dmarcian maintient un large ensemble de règles pour identifier l'infrastructure ; si un élément de données DMARC peut être identifié à l'aide d'une règle existante, il le sera. Cependant, les éléments de données qui ne relèvent pas d'une règle existante peuvent correspondre à une IP trouvée dans l'enregistrement SPF du domaine. Si c'est le cas, ces données sont placées dans la source "SPF-Identified Servers". Il s'agit d'une source fourre-tout - un moyen d'extraire les données qui, selon nous, représentent des flux de courrier légitimes, car elles ont été autorisées dans l'enregistrement SPF d'un client.
Si vous rencontrez cette source dans votre compte dmarcian, la première chose à faire est d'enquêter ! Voici quelques éléments à prendre en compte dans votre enquête. Identifiez si cette source est votre infrastructure ou celle d'un tiers qui envoie en votre nom. Vous pouvez regarder l'adresse IP ou les informations de Cisco Talos (le drapeau de pays cliquable) qui sont présentes dans le Visualiseur de détails.
Si vous découvrez qu'il s'agit d'un expéditeur tiers, déterminez si l'infrastructure est activement utilisée ou s'il s'agit d'un service qui a été abandonné mais jamais supprimé de votre enregistrement SPF. La suppression des entrées inutiles permet non seulement de limiter l'encombrement du SPF, mais aussi de respecter les bons principes de sécurité.
Si vous considérez que cette source est légitime, il y a une autre chose à prendre en compte. Le fait que cette source apparaisse dans "SPF-Identified Servers" ne signifie pas que SPF est le seul moyen d'authentifier un courriel légitime. DKIM doit également être pris en compte si la source le prend en charge.
Les serveurs identifiés par le SPF peuvent parfois être peuplés de données sources surprenantes. De nombreuses variables, telles que la redirection, affectent la manière dont les données apparaissent dans la plate-forme. Trier les données DMARC résultantes et les rendre pertinentes pour les gens n'est pas toujours une science exacte et parfois les règles ne sont pas exactes à 100%.
Si vous rencontrez des résultats étranges dans vos "Serveurs identifiés par le SPF", n'hésitez pas à contacter [email protected], et nous y jetterons un coup d'œil.
Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme.
Vous voulez poursuivre la conversation ? Rendez-vous sur le forum dmarcien.