Passer au contenu principal
Quelle est la différence entre SPF ~all et -all ?

Quelle est la différence entre SPF ~all et -all ?

3 octobre 2020
Informations sur la sécuritéConseils techniques

SPF consiste à publier une liste de serveurs autorisés à envoyer des e-mails au nom d'un domaine. Après avoir rédigé une liste de serveurs sous la forme d'un enregistrement SPF, la bonne pratique est de terminer cet enregistrement par une déclaration indiquant « et tout le reste sur Internet n'est PAS autorisé ».

La manière dont ce qui précède est écrit est d'utiliser le mécanisme « all ».  Ce mécanisme correspond à tout.  En ajoutant un préfixe « ~ » ou « - », la signification du mécanisme est modifiée pour devenir :

  • « softfail » dans le cas de « ~ »
  • « fail » dans le cas de « - »

Les deux signifient « NOT PASS », mais il existe une différence subtile, liée à l'historique.

Avant l'arrivée de DMARC, SPF tentait de permettre à ses utilisateurs d'exprimer une politique—c'est-à-dire ce qui devait être fait en cas d'échec de SPF. « softfail » était largement interprété comme signifiant « NOT PASS ». « fail » était interprété par quelques opérateurs comme signifiant « NOT PASS ET REJETER CET E-MAIL EN ÉCHEC ».

Le rejet d'e-mails basé sur les résultats SPF a fini par entraîner la suppression d'un trop grand nombre d'e-mails légitimes (en raison d'enregistrements SPF mal configurés, ou de fournisseurs qui ne comprenaient pas comment envoyer des e-mails conformes à SPF), et presque tous les récepteurs ont fini par utiliser SPF comme entrée pour les moteurs anti-spam. Cependant, quelques opérateurs interprétaient toujours « fail » comme signifiant « NOT PASS ET REJETER ».

Avançons rapidement vers le monde de DMARC. Désormais, les récepteurs utilisent DMARC pour trouver toute assertion positive qu'un domaine est associé à un e-mail.  Dans ce contexte, ~all est la même chose que -all … « NOT PASS ».

Cependant, si vous utilisez « -all » dans votre enregistrement SPF, vous pourriez rencontrer un opérateur (très rarement) qui rejette des e-mails par ailleurs légitimes.  Le débogage de ce problème peut être difficile.  Ce problème pourrait être contourné en utilisant « ~all » au lieu de « -all ». Alternativement, l'utilisation de « -all » peut toujours être très précieuse pour exprimer la confiance dans la justesse de votre enregistrement SPF ; avec cet indicateur, il est plus probable qu'une non-correspondance entraîne le rejet de messages frauduleux par les MTA qui ne prennent pas encore en charge DMARC.

Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité e-mail et une mission visant à rendre l'e-mail et Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation, et à implémenter et gérer DMARC sur le long terme.

Commencez avec notre essai de 30 jours

Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.

SPF

Articles connexes