Qu'est-ce qu'un enregistrement SPF et comment le configurer ?
Table des matières
Dans la lutte perpétuelle contre le spam sur le Web, l’enregistrement SPF est une norme permettant de définir si un domaine est autorisé à envoyer des e-mails. Ainsi, vous ajoutez une couche d’authentification supplémentaire en implémentant un enregistrement TXT SPF pour votre domaine.
Un enregistrement Sender Policy Framework correctement configuré protège votre domaine contre l’usurpation d’identité par e-mail, l’hameçonnage et le spam. De plus, cela aide à maintenir une bonne réputation de domaine et de marque.
Dans cet article, nous allons vous expliquer ce qu’est un enregistrement SPF, comment il fonctionne, sa syntaxe et comment le configurer pour votre nom de domaine.
Qu’est-ce qu’un enregistrement SPF ?
À lui seul, le protocole d’envoi d’e-mails standard (SMTP) ne vérifie pas l’adresse « De » d’un e-mail. En effet, une adresse électronique valide est suffisante pour établir une connexion Simple Mail Transfer Protocol avec un serveur de messagerie.
Par conséquent, n’importe qui peut exploiter cette faille et usurper l’identité des expéditeurs. Par conséquent, des méthodes d’authentification supplémentaires telles que les enregistrements SPF, DKIM et DMARC ont été créées pour lutter contre le spam, l’usurpation d’identité par e-mail et les attaques de hameçonnage .
Un Sender Policy Framework (SPF) est un enregistrement DNS, qui fait partie de la zone DNS d’un domaine. Cet enregistrement TXT déclare quels domaines et quels hôtes peuvent ou non envoyer des e-mails au nom d’un domaine. En pratique, ce dossier public peut contenir deux parties – une liste de domaines autorisés et une liste d’expéditeurs interdits.
Selon la RFC-7208 de l’IETF, l’enregistrement SPF doit être une chaîne de texte unique dans un seul enregistrement DNS TXT. Plusieurs enregistrements SPF pour le même nom de domaine ne sont pas autorisés, donc, s’il y a plus d’un enregistrement SPF, ils ne fonctionneront pas correctement.
Quelle est l’adresse électronique de Return-Path ?
Bien que l’enregistrement SPF de l’e-mail ne vérifie pas le champ « De » d’un message, il confirme une partie de l’en-tête de l’e-mail qui n’est pas visible au premier abord. À partir de l’en-tête, Sender Policy Framework valide la valeur Return-Path pour autoriser l’adresse de domaine de messagerie et le serveur d’origine de l’expéditeur.
Les serveurs de réception vérifient si le nom de domaine Return-Path correspond à la liste publique des hôtes approuvés pour l’expéditeur concerné. Le domaine de messagerie Return-Path indique où votre serveur de messagerie doit stocker les accusés de réception des messages rejetés.
Naturellement, vous n’auriez pas besoin de configurer une adresse de chemin de retour si vous n’avez qu’une poignée de destinataires. Il y a de fortes chances que vous receviez peu de messages de rejet interférant avec votre travail quotidien. Cependant, si vous exploitez un site de commerce électronique, vos campagnes de marketing par e-mail atteignant des milliers de destinataires peuvent entraîner des rejets de messages.
Par conséquent, la pratique standard est de configurer une adresse de chemin de retour pour stocker ces reçus de rebond pour un criblage et une analyse plus poussés.
Limites d’enregistrement SPF
Il y a quelques limites à la technologie Sender Policy Framework que vous devriez considérer, et nous les énumérerons brièvement ci-dessous.
- L’adresse « From » dans l’en-tête ne relève pas de la protection de l’enregistrement SPF, ce qui signifie que les pirates peuvent toujours usurper votre nom d’affichage.
- Lorsqu’un transfert d’un courriel, le record SPF bat le record, la vérification échouera.
- Un enregistrement SPF ne présente pas de rapports, ce qui complique le maintien d’une liste de diffusion stable.
- L’enregistrement SPF d’un domaine doit être régulièrement mis à jour lorsque vous changez de fournisseur de services de messagerie pour refléter les expéditeurs actuellement approuvés.
Comment fonctionne un enregistrement SPF ?
Lorsque vous envoyez un message, votre client de messagerie (MacMail, Outlook ou Thunderbird) l’envoie au serveur SMTP, qui initie alors la transaction avec un serveur de réception.
Ensuite, le serveur destinataire (POP3/IMAP) extrait le chemin de retour défini dans l’en-tête du message. Plus précisément, il extrait le domaine de messagerie de l’adresse return-path pour lancer une recherche DNS et récupérer l’enregistrement SPF. Une fois la recherche de l’enregistrement SPF terminée, le serveur vérifie l’enregistrement SPF pour le nom de domaine.
Le serveur destinataire terminera la vérification avec le pass SPF si le domaine est autorisé comme expéditeur dans l’enregistrement SPF DNS. Comme l’enregistrement SPF est valide, le message sera transmis à la boîte de réception du destinataire.
La vérification SPF échouera si le serveur ne trouve pas l’hôte dans la liste des domaines d’envoi approuvés. Le vérificateur d’enregistrements SPF peut considérer cela comme suspect, rejeter le message, le marquer comme spam ou le placer en quarantaine.
À quoi ressemble un SPF ?
Comme mentionné ci-dessus, l’enregistrement SPF est une chaîne de texte unique qui se compose du préfixe de version du protocole SPF et d’un ou plusieurs mécanismes.
Voici un exemple d’enregistrement SPF: la configuration SPF par défaut de SiteGround.
v=spf1 +a +mx include:_1c3125358d5b0660b2012471e2c2b23a.spf.dnssmarthost.net include:_spf.mailspamprotection.com ~all
Le préfixe de version ( v=spf1 ) indique aux parseurs d’interpréter cet enregistrement TXT comme l’enregistrement SPF puisqu’un domaine peut avoir plusieurs enregistrements TXT dans sa zone DNS.
Vient ensuite la deuxième partie, constituée de différents mécanismes préfixés indiquant au serveur destinataire comment exécuter le contrôle SPF.
Dans cet exemple d’enregistrement, les enregistrements A et MX du domaine sont des mécanismes ajoutés avec le qualificateur « + ». Cela signifie que lors d’une vérification SPF, les mécanismes de correspondance « réussiront ». Le mécanisme suivant est « include », définissant l’enregistrement SPF du serveur d’envoi de courriels qui est autorisé à envoyer au nom du nom de domaine. Vient ensuite le mécanisme « all » préfixé par « ~ », ce qui signifie que si tout ce qui se trouve dans la chaîne a été extrait jusqu’à présent, l’enregistrement SPF produira « SoftFail ».
Composants de la syntaxe SPF
Les composants principaux de la syntaxe d’un enregistrement SPF sont appelés mécanismes et qualificatifs . Nous décrirons brièvement chacun de ces composants dans cette sous-section, alors lisez la suite.
Que sont les qualificatifs SPF ?
Les qualificateurs indiquent au serveur d’interprétation comment lire l’enregistrement et que faire des résultats de la vérification SPF. Les qualificatifs sont facultatifs et ceux disponibles sont les suivants:
- « + » – Pass – Ce qualificateur indique au serveur destinataire qu’une adresse IP qui correspond à un mécanisme doit réussir la vérification.
- « – ” – Fail – Cette option indique au serveur d’échouer à une vérification SPF si une adresse IP correspond à la liste des expéditeurs non autorisés.
- “ ~ ” – SoftFail – Si une adresse IP correspond à un mécanisme, la vérification SPF échouera, indiquant au serveur d’accepter le message mais de lui attribuer un échec SPF.
- “ ? ” – Neutre – Ce qualificatif donnera un résultat de vérification indéterminé – ni échec ni réussite.
Que sont les mécanismes d’enregistrement SPF ?
Quand un mécanisme est évalué pendant une vérification SPF, il peut retourner une correspondance, aucune correspondance ou une exception. S’il correspond, le processus se termine et la valeur du qualificateur pour ce mécanisme est retournée comme résultat de la vérification. S’il ne correspond pas, le processus d’évaluation continue avec le mécanisme suivant. Et si le résultat retourne une exception, le processus se termine en retournant la valeur de l’exception.
- « à » – Ce mécanisme définit l’enregistrement A (IP) d’un hôte; s’il correspond, il réussira.
- « mx »- Le service de messagerie hébergé de chaque nom de domaine possède des enregistrements MX, et il peut y avoir plusieurs enregistrements MX. Ces enregistrements DNS identifient les serveurs de messagerie qui gèrent le service de messagerie pour le nom de domaine. Si vous ajoutez le mécanisme « mx » à votre enregistrement SPF, tous les enregistrements MX de votre domaine sont automatiquement ajoutés à la liste des expéditeurs approuvés.
- « include » – Le mécanisme « include » sert à l’envoi d’e-mails entre sociétés, autorisant les hôtes de messagerie externes dans l’enregistrement SPF. Essentiellement, la déclaration « include » valide un hôte externe pour envoyer des e-mails au nom de votre nom de domaine (par exemple, Google Workspace)
- « all » – Ce mécanisme signifie « tout », et il est toujours placé à la fin d’un enregistrement SPF. L’idée sous-jacente est que tout ce qui a été vérifié jusqu’à ce point de la chaîne d’enregistrement SPF devrait donner le résultat spécifié dans le qualificateur. Dans l’exemple d’enregistrement SPF fourni ci-dessus, ce mécanisme est défini comme « ~all », ce qui signifie que le résultat sera un SoftFail .
Dois -je définir un enregistrement SPF ?
Si vous vous demandez toujours si vous devriez ajouter un enregistrement SPF à votre nom de domaine, sachez que l’avoir aidera à améliorer la délivrabilité de vos courriels. Un enregistrement SPF présente plusieurs avantages clés, que nous allons décrire ci-dessous.
- Un enregistrement SPF correctement configuré augmente la réputation de votre domaine et, par conséquent, la délivrabilité de vos e-mails .
- Un enregistrement SPF combat l’usurpation d’identité de domaine et l’usurpation d’identité pour préserver la réputation et la fiabilité de votre marque.
- L’enregistrement Sender Policy Framework est l’une des méthodes essentielles à la conformité DMARC . DMARC signifie Domain-based Message Authentication, Reporting, and Conformance . Un enregistrement DNS TXT indique au serveur destinataire comment gérer un message d’échec d’authentification. Elle indique au serveur du destinataire de mettre le message en quarantaine, de refuser ou d’autoriser la livraison du message.
En bref, l’ajout d’un tel enregistrement à la zone DNS de votre domaine est recommandé pour rester à l’abri de diverses cyberattaques par courrier électronique. Donc, si vous êtes prêt à créer un enregistrement SPF pour votre domaine, continuez à lire pour savoir comment procéder.
Comment définir un enregistrement SPF ?
Comme nous l’avons souligné plus haut, il est fortement recommandé de définir un enregistrement Sender Policy Framework pour votre nom de domaine afin de garantir la délivrabilité et la réputation de vos e-mails. Nous allons décrire ici les deux options possibles pour configurer un enregistrement SPF pour votre nom de domaine hébergé à partir de votre SiteGround Site Tools .
Définir un enregistrement SPF à partir de votre éditeur de zone DNS
Les sociétés d’hébergement fournissent généralement un accès à un outil d’édition de zone DNS, afin que vous puissiez gérer les enregistrements DNS de votre nom de domaine. Notez que vous devez effectuer ces modifications DNS à partir du compte où se trouve la zone DNS faisant autorité pour le domaine. Quel que soit le fournisseur chez lequel vous l’hébergez, votre nom de domaine doit être pointé par des serveurs de noms vers ce fournisseur. C’est la seule façon d’appliquer les modifications à la zone DNS d’un domaine.
Les clients SiteGound peuvent configurer un enregistrement SPF directement depuis DNS Zone Editor dans leur Site Tools .
Une fois là-bas, sélectionnez simplement votre nom de domaine dans le menu déroulant, et vous verrez sa zone DNS correspondante.
Par exemple, si vous souhaitez utiliser Google Workspace pour votre service de messagerie, vous devez inclure le SPF de Google ( include:_spf.google.com ). Pour ce faire, sélectionnez l’onglet TXT , laissez le champ Name vide, saisissez l’enregistrement SPF que vous voulez appliquer pour votre domaine et cliquez sur Create .
Une fois que vous avez créé l’enregistrement SPF, il lui faut un certain temps pour propager et prendre effet. À la fin de la période de propagation, Google Workspace sera un expéditeur valide au nom de votre nom de domaine.
Définir un enregistrement SPF à partir de Site Tools ‘ Outil d’authentification de messagerie
Chez SiteGround, l’enregistrement SPF est activé par défaut pour chaque nom de domaine avec une valeur par défaut. Vous pouvez le gérer à partir des Site Tools correspondants de votre domaine en accédant à la section Courrier électronique > Authentification .
Dans cette section, vous pouvez modifier l’enregistrement SiteGround SPF par défaut de votre domaine ou ajouter d’autres enregistrements MX A ou . Vous pouvez également bloquer des adresses IP spécifiques , gérer la include SPF list et le qualificateur « all » .
Bien qu’un enregistrement SPF ne suffise pas à lui seul à empêcher totalement les abus de messagerie, c’est un composant essentiel de l’authentification de messagerie de votre domaine. Un SPF correctement configuré réduit les risques qu’une personne usurpe l’identité de votre adresse e-mail, ce qui affecte votre adresse e-mail et la crédibilité de votre marque.
Avec les informations que vous avez trouvées dans cet article, vous savez maintenant ce qu’est l’enregistrement SPF, sa syntaxe et ses composants, et comment en configurer un pour votre domaine.