Comprendre SPF

SPF augmente la réputation du domaine et la délivrabilité des e-mails.

SPF lutte contre l'usurpation de domaine et le spoofing d'e-mails pour protéger la réputation de votre marque.

SPF est l'une des méthodes fondamentales d'authentification des e-mails pour DMARC.

SPF expliqué

Qu'est-ce que SPF ?

Le Sender Policy Framework (SPF) est utilisé pour authentifier l'expéditeur d'un e-mail. Grâce à un enregistrement SPF, les fournisseurs de services Internet peuvent vérifier qu'un serveur de messagerie est autorisé à envoyer des e-mails pour un domaine spécifique. Un enregistrement SPF est un enregistrement DNS de type TXT contenant une liste des adresses IP autorisées à envoyer des e-mails au nom de votre domaine.

Le SPF est devenu extrêmement vital pour aider à vérifier quelle infrastructure d'envoi peut relayer des e-mails au nom de votre domaine. L'implémentation du SPF pour les e-mails offre des avantages majeurs.

Démarrer avec DMARC

Comment fonctionne le SPF ?

Pour tirer parti du SPF, vous publiez un enregistrement SPF dans le DNS. Cet enregistrement est une liste de toutes les adresses IP autorisées à envoyer des e-mails au nom du domaine.

Le mécanisme SPF utilise le domaine de l'adresse de retour (return-path) pour identifier l'enregistrement SPF. Lorsqu'un expéditeur tente de remettre un e-mail à un serveur de réception pour livraison, le serveur vérifie si l'expéditeur figure sur la liste des expéditeurs autorisés du domaine. Si c'est le cas, un lien est établi entre l'e-mail et le domaine de messagerie. Sinon, le serveur continue de traiter l'e-mail comme d'habitude sans ce lien, car de nombreuses situations peuvent se présenter.

L'e-mail peut être légitime, mais la liste des expéditeurs peut ne pas être exacte. Un e-mail légitime peut avoir été transféré, ce qui signifie qu'il aurait pu provenir de n'importe où et que la liste des expéditeurs autorisés n'est pas d'une grande aide. Ou bien, l'e-mail est faux et indésirable. Trop de résultats possibles rendent difficile d'attribuer un sens à l'absence du lien que le SPF peut fournir. Le DKIM comble cette lacune dans le cadre technique DMARC en offrant un moyen supplémentaire de lier un e-mail à un domaine.

Quel est le format SPF ?

Plus d'informations sur le format d'un enregistrement SPF et sur la manière d'en créer un pour votre domaine de messagerie sont disponibles ici : Comment créer et ajouter un enregistrement SPF

Vous avez déjà un enregistrement SPF ? Nous avons également élaboré un guide complet sur le formatage des enregistrements SPF afin d'améliorer votre compréhension et de vous aider à résoudre les problèmes SPF que notre SPF Surveyor gratuit pourrait mettre en évidence : Syntaxe des enregistrements SPF.

SPF et DMARC pour l'e-mail

Par lui-même, le SPF peut associer un e-mail à un domaine. Avec les enregistrements DNS en place, DMARC relie les résultats du SPF au contenu de l'e-mail, spécifiquement au domaine trouvé dans le chemin de retour (return-path) ou l'en-tête From: d'un e-mail. Pour que le SPF fonctionne correctement dans le contexte de DMARC, l'adresse de retour doit être pertinente par rapport au domaine de l'en-tête From:, qui est l'élément qui assure l'alignement DMARC.

Comment vérifier mon enregistrement SPF ?

Vérifiez les paramètres SPF de votre domaine – le SPF Surveyor de dmarcian est un outil de diagnostic SPF qui présente une vue graphique des enregistrements SPF. Il vous permet d'identifier rapidement quels serveurs sont autorisés à envoyer des e-mails au nom d'un domaine.

Pourquoi le SPF seul n'est pas suffisant

Bien que le SPF soit une couche d'authentification d'e-mail éprouvée qui existe depuis la fin des années 1990, il présente des défis. En termes simples, le transfert d'e-mails se produit sur Internet et le mécanisme SPF ne survit pas au processus de transfert. Le transfert se produit généralement lorsque vous envoyez un e-mail à quelqu'[email protected] et que cette personne a configuré son e-mail pour qu'il soit transféré à une autre adresse, comme quelqu'[email protected]. Dans cet exemple, votre e-mail semble provenir d'une infrastructure qui n'a apparemment rien à voir avec vous.

La signature DKIM peut survivre au transfert. Si votre domaine est couvert par DKIM, la capacité de dmarcian à détecter le transfert augmente. Le SPF ne fonctionne pas dans le contexte du transfert, car le SPF est simplement une liste de serveurs autorisés à envoyer au nom de votre domaine, et il n'est pas possible pour un propriétaire de domaine de maintenir une liste de serveurs de transfert.

Idées fausses sur le SPF

Les entreprises comprennent souvent mal le fonctionnement du SPF et demandent à leurs clients d'inclure leur propre enregistrement SPF. Cependant, cela ne sert à rien si l'entreprise utilise son propre domaine dans l'adresse de rebond. Lorsqu'un récepteur d'e-mails traite un e-mail, il examinera l'enregistrement SPF de l'entreprise, et non celui du client.

Deux problèmes indésirables surviennent à cause de cette idée fausse :

Des « includes » inutiles sont ajoutés à leurs enregistrements SPF. Cela entraîne un gonflement des enregistrements SPF et introduit des défis de gestion.
Une confusion est introduite car les gens veulent simplement mettre en place le SPF pour achever leur déploiement DMARC. Le résultat est que le SPF passe, mais DMARC échoue.

Pour que le SPF fonctionne correctement dans le contexte de DMARC, l'adresse de rebond doit être pertinente par rapport au domaine de l'en-tête From:. Malheureusement, de nombreuses entreprises qui envoient des e-mails pour le compte d'autres ne permettent pas actuellement à leurs clients de modifier l'adresse de rebond pour qu'elle corresponde au domaine du client. Cette situation évolue lentement, mais les entreprises doivent d'abord comprendre les bases du fonctionnement du SPF. Nous disposons de ressources pour aider les entreprises à envoyer des e-mails conformes à DMARC pour le compte d'autres.

Note : Il existe une technologie obsolète appelée SenderID qui tentait d'effectuer des vérifications similaires au SPF, sauf qu'elle utilisait le domaine de l'en-tête From: (entre autres) comme élément à vérifier. SenderID a également tenté de réutiliser les enregistrements SPF existants, ce qui a causé encore plus de confusion.

Démarrer avec DMARC

En savoir plus sur le SPF

Nous sommes ravis de présenter une série de courtes vidéos techniques qui abordent divers aspects du DMARC. Ces vidéos s'inspirent du meilleur de nos cours de formation, sont disponibles gratuitement et peuvent être visionnées à votre convenance.