Skip to main content
Quelle est la différence entre SPF ~all et -all ?

Quelle est la différence entre SPF ~all et -all ?

-
Sécurité du courrier électroniqueConseils techniques

Le SPF consiste à publier une liste de serveurs autorisés à envoyer des messages au nom d'un domaine. Après avoir rédigé une liste de serveurs sous la forme d'un enregistrement SPF, la bonne chose à faire est de terminer un enregistrement SPF par quelque chose qui dit "et tout le reste sur Internet n'est PAS autorisé".

La façon dont le texte ci-dessus est écrit consiste à utiliser le mécanisme "all". Ce mécanisme correspond à tout. En ajoutant un préfixe "~" ou "-", la signification du mécanisme est modifiée :

  • " softfail " dans le cas de " ~ ".
  • "fail" dans le cas de "-".

Les deux signifient "PASSE", mais il y a une différence subtile, et elle est liée à l'histoire.

Avant l'arrivée de DMARC, SPF a essayé de permettre à ses utilisateurs d'exprimer une politique, c'est-à-dire ce qu'il faut faire si SPF échoue. Le terme "softfail" était largement interprété comme signifiant "NOT PASS". Le terme "fail" était interprété par quelques opérateurs comme signifiant "NOT PASS AND DISCARD THIS FAILING EMAIL".

Le rejet des e-mails sur la base des résultats du SPF a fini par entraîner le rejet d'un trop grand nombre d'e-mails légitimes (en raison d'enregistrements SPF mal configurés ou de fournisseurs qui ne comprenaient pas comment envoyer des e-mails conformes au SPF), et presque tous les destinataires ont fini par utiliser le SPF comme entrée pour les moteurs anti-spam. Cependant, quelques opérateurs ont encore interprété "fail" comme signifiant "NOT PASS AND DISCARD".

Avance rapide jusqu'au monde de DMARC. Aujourd'hui, les destinataires utilisent DMARC pour trouver toute affirmation positive qu'un domaine est associé à un courriel. Dans ce contexte, ~all est la même chose que -all ... "NOT PASS".

Toutefois, si vous utilisez "-all" dans votre enregistrement SPF, il se peut que vous rencontriez (une fois par mois) un opérateur qui rejette des messages légitimes. Le débogage de ce problème peut être difficile. Ce problème peut être contourné en utilisant "~all" au lieu de "-all". Alternativement, l'utilisation de "-all" peut toujours être très utile pour transmettre la confiance dans l'exactitude de votre enregistrement SPF ; avec ce drapeau, il est plus probable qu'un échec de correspondance se traduise par des messages frauduleux rejetés par les MTA qui ne supportent pas encore DMARC.

Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme.


Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.