Skip to main content

Comprendre le SPF

SPF augmente la réputation des domaines et la délivrabilité des e-mails.

Le SPF combat l'usurpation d'identité de domaine et l'usurpation d'adresse électronique pour protéger la réputation de votre marque.

SPF est l'une des méthodes fondamentales d'authentification des e-mails pour DMARC.

SPF expliqué

Qu'est-ce que le SPF ?

Sender Policy Framework (SPF) est utilisé pour authentifier l'expéditeur d'un courriel. Avec un enregistrement SPF en place, les fournisseurs de services Internet peuvent vérifier qu'un serveur de messagerie est autorisé à envoyer des e-mails pour un domaine spécifique. Un enregistrement SPF est un enregistrement DNS TXT contenant une liste d'adresses IP autorisées à envoyer des e-mails au nom de votre domaine.

Le SPF est devenu extrêmement vital pour aider à vérifier quelle infrastructure d'envoi peut relayer le courrier électronique au nom de votre domaine. La mise en œuvre de SPF pour le courrier électronique présente des avantages majeurs.

Comment fonctionne le FPS ?

Pour profiter de SPF, vous publiez un enregistrement SPF dans le DNS. Cet enregistrement est une liste de toutes les adresses IP qui sont autorisées à envoyer des e-mails au nom du domaine.

Le mécanisme SPF utilise le domaine dans l'adresse du chemin de retour pour identifier l'enregistrement SPF. Lorsqu'un expéditeur tente de remettre un courriel à un serveur de réception de courriel, ce dernier vérifie si l'expéditeur figure sur la liste des expéditeurs autorisés du domaine. Si c'est le cas, un lien a été établi entre l'e-mail et le domaine de messagerie. Si ce n'est pas le cas, le serveur continue à traiter l'e-mail comme d'habitude sans ce lien, car il peut se passer un certain nombre de choses.

L'e-mail peut être réel, mais la liste des expéditeurs peut ne pas être exacte. L'e-mail réel peut avoir été transféré, ce qui signifie que l'e-mail peut provenir de n'importe où et que la liste des expéditeurs autorisés n'est pas d'une grande aide. Ou bien, l'e-mail est faux et non désiré. En raison du trop grand nombre d'issues possibles, il est difficile d'attacher un sens à l'absence de lien que le SPF peut fournir. DKIM comble les lacunes du cadre technique DMARC en offrant un moyen supplémentaire d'essayer de relier un courriel à un domaine.

Comment fonctionne le FPS

Qu'est-ce que le format SPF ?

Vous trouverez plus d'informations sur le format d'un enregistrement SPF et sur la façon dont vous pouvez en créer un pour votre domaine de messagerie ici : Comment créer et ajouter un enregistrement SPF

Vous avez déjà un enregistrement SPF ? Nous avons également élaboré un guide complet sur le formatage des enregistrements SPF afin d'améliorer votre compréhension et de vous aider à résoudre tout problème SPF que notre outil gratuit SPF Surveyor pourrait vous signaler : Syntaxe des enregistrements SPF.

 

SPF et DMARC pour le courrier électronique

En soi, SPF peut associer un courriel à un domaine. Avec les enregistrements DNS en place, DMARC lie les résultats de SPF au contenu de l'e-mail, en particulier au domaine trouvé dans le chemin de retour ou l'en-tête From : d'un e-mail. Pour que SPF fonctionne correctement dans le contexte de DMARC, l'adresse du chemin de retour doit être pertinente pour le domaine de l'en-tête From :, qui est l'élément qui lie l'alignement DMARC.

Comment vérifier mon enregistrement SPF ?

Vérifiez les paramètres SPF de votre domaine - SPF Surveyor de dmarcian est un outil de diagnostic SPF qui présente une vue graphique des enregistrements SPF. Il vous permet d'identifier rapidement les serveurs qui sont autorisés à envoyer des messages au nom d'un domaine.

Pourquoi le FPS seul n'est pas assez sûr

Bien que SPF soit une couche d'authentification du courrier électronique qui a fait ses preuves depuis la fin des années 1990, il n'est pas sans poser de problèmes. En termes simples, le transfert d'e-mails se produit sur Internet et le mécanisme SPF ne survit pas au processus de transfert. La redirection se produit généralement lorsque vous envoyez un courriel à someone@EXAMPLE.ORG et que cette personne a configuré son courriel pour qu'il soit redirigé vers une autre adresse, comme someone@SAMPLE.NET. Dans cet exemple, votre courriel semble provenir d'une infrastructure qui n'a apparemment rien à voir avec vous.

La signatureDKIM peut survivre à la redirection. Si votre domaine est couvert par DKIM, la capacité de dmarcian à détecter la redirection augmente. SPF ne fonctionne pas dans le contexte de la redirection, car SPF est simplement une liste de serveurs qui sont autorisés à envoyer des messages au nom de votre domaine, et il n'est pas possible pour le propriétaire d'un domaine de maintenir une liste de redirecteurs.

Idées fausses sur les FPS

Les entreprises comprennent souvent mal le fonctionnement du SPF et demandent à leurs clients d'inclure l'enregistrement SPF de l'entreprise. Cependant, cela ne sert à rien si l'entreprise utilise son propre domaine dans l'adresse de rebond. Lorsqu'un récepteur de courrier électronique traite un message, il consulte l'enregistrement SPF de l'entreprise, et non celui du client.

Deux choses indésirables se produisent à cause de cette idée fausse :

  • Des "includes" inutiles sont ajoutés dans leurs enregistrements SPF. Cela fait gonfler les enregistrements SPF et pose des problèmes de gestion.
  • La confusion s'installe car les gens veulent simplement mettre en place SPF pour compléter leur déploiement DMARC. Le résultat est que SPF passe, mais que DMARC échoue.

Pour que SPF fonctionne correctement dans le contexte de DMARC, l'adresse de rebond doit correspondre au domaine de l'en-tête From :. Malheureusement, de nombreuses entreprises qui envoient des courriers électroniques pour le compte d'autres personnes ne permettent pas actuellement à leurs clients de modifier l'adresse de rebond en fonction du domaine du client. Cette situation évolue lentement, mais les entreprises doivent d'abord comprendre les principes de base du fonctionnement du SPF. Nous disposons de ressources pour aider les entreprises à envoyer des e-mails conformes à DMARC pour le compte d'autres personnes.

Remarque : il existe une technologie obsolète appelée SenderID qui tentait d'effectuer des vérifications similaires à celles de SPF, sauf qu'elle utilisait le domaine de l'en-tête From : (entre autres) comme élément à vérifier. SenderID a également tenté de réutiliser les enregistrements SPF existants, ce qui a créé encore plus de confusion.

En savoir plus sur le SPF

Nous avons le plaisir de vous présenter une série de courtes vidéos techniques qui abordent divers aspects de DMARC. Ces vidéos s'inspirent du meilleur de nos cours de formation, sont disponibles gratuitement et peuvent être visionnées à loisir.

Mettez vos domaines en conformité.
Essayez dmarcian gratuitement !