Introduction au SPF
Dans le monde numérique d’aujourd’hui, la sécurité et la fiabilité des communications par courriel sont plus cruciales que jamais. Les cybercriminels utilisent diverses techniques pour usurper l’identité des domaines et envoyer des courriels frauduleux, affectant ainsi la réputation des entreprises et la confiance des clients. L’une des méthodes les plus efficaces pour prévenir ces abus est l’utilisation d’un enregistrement SPF (Sender Policy Framework).
Qu’est-ce qu’un enregistrement SPF ?
Le Sender Policy Framework (SPF) est un protocole d’authentification des courriels qui joue un rôle clé dans la sécurité des communications électroniques. Donc, il permet aux propriétaires de domaines de définir clairement quels serveurs de messagerie sont autorisés à envoyer des courriels en leur nom. Pour ce faire, il suffit de publier un enregistrement SPF dans la zone DNS de votre domaine, ce qui constitue une liste de serveurs approuvés.
Ainsi, lorsque des courriels sont envoyés, les serveurs de réception peuvent consulter cet enregistrement pour vérifier que le message provient d’une source légitime. Cette vérification contribue à réduire considérablement les risques de pourriels et d’hameçonnage, tout en renforçant la fiabilité de vos communications.
L’analogie des enfants : comprendre le SPF simplement
Pour illustrer le fonctionnement du SPF, imaginons une école. Chaque enfant porte un badge indiquant sa classe et son nom. Lorsqu’un enfant entre dans l’école, les enseignants peuvent facilement vérifier son identité grâce à ce badge. Si un inconnu sans badge tente d’entrer, les enseignants savent qu’il ne fait pas partie de l’école et peuvent agir en conséquence.
De la même manière, le SPF agit comme un badge d’identification pour vos courriels. Il indique aux serveurs de réception que le courriel provient bien d’un serveur autorisé par le propriétaire du domaine. Si un courriel est envoyé sans ce « badge », il peut être marqué comme suspect ou rejeté.
Où placer votre enregistrement SPF ?
Vous devez ajouter l’enregistrement SPF dans la zone DNS de votre domaine, sous la forme d’un enregistrement TXT. Cet enregistrement contient les informations nécessaires afin que les serveurs de messagerie puissent vérifier l’authenticité des courriels envoyés depuis votre domaine. Il est essentiel de le placer correctement dans votre DNS pour qu’il soit efficace.
Points importants avant de créer votre SPF
Avant de créer votre enregistrement SPF, il est essentiel de recueillir certaines informations pour s’assurer qu’il est complet et précis.
Identifier vos services d’envoi de courriels
Il faut identifier toutes les sources qui ont l’autorisation d’envoyer des courriels avec votre nom de domaine. En voici quelques exemples, bien qu’il en existe beaucoup plus :
- Services de publipostage : Si vous utilisez des services comme CyberImpact, Mailchimp ou SendinBlue, vous devez les inclure dans votre enregistrement SPF.
- Services tiers : Des services tels que Microsoft Exchange, Gmail ou Zoho Mail envoient des courriels en utilisant leurs propres serveurs et doivent également être inclus.
- Serveurs de votre site Web : Si votre site envoie des courriels, comme des confirmations de commande ou des liens de réinitialisation de mot de passe, vous devez ajouter l’adresse IP ou le nom d’hôte de ce serveur à votre enregistrement SPF.
Connaître l’adresse IP de votre hébergement web
Dans bien des cas — surtout si vous utilisez un panneau de contrôle comme cPanel, Plesk ou DirectAdmin — c’est l’adresse IP de votre serveur Web qui sert à l’envoi des courriels. Il s’agit généralement de l’adresse principale du serveur. Afin d’éviter que vos courriels soient considérés comme du pourriel, assurez-vous d’inclure cette adresse dans votre enregistrement SPF.
Ne pas inclure l’adresse IP de votre FAI
Il est courant de penser qu’il faut ajouter l’adresse IP que vous attribue votre fournisseur d’accès Internet (FAI) comme Bell, Vidéotron ou autre. Cependant, à moins que vous n’envoyiez des courriels directement depuis un serveur de courriels hébergé sur votre connexion internet personnelle (ce qui est rare et généralement déconseillé), il n’est pas nécessaire d’inclure cette adresse IP.
Les différents types d’enregistrements SPF et leur ordre
Un enregistrement SPF contient des mécanismes et des modificateurs. Combinés, ils déterminent précisément quels serveurs peuvent envoyer des courriels pour votre domaine. De plus, ils indiquent aussi quoi faire avec les messages qui ne respectent pas ces règles.
Les mécanismes du SPF
include: Permet d’inclure les enregistrements SPF d’un autre domaine. Utilisé pour les services tiers.a: Autorise l’adresse IP associée à un enregistrement A (adresse IPv4) de votre domaine.mx: Autorise les adresses IP des serveurs de messagerie (enregistrements MX) de votre domaine.ip4:/ip6: Spécifie directement une adresse IP ou un bloc d’adresses IP en IPv4 ou IPv6.exists: Vérifie l’existence d’un enregistrement DNS spécifique.ptr: Vérifie si le nom de domaine inverse (PTR) de l’adresse IP de l’expéditeur correspond à votre domaine.redirect: Applique la politique SPF d’un autre domaine.all: Correspond à toutes les adresses IP non spécifiées par les mécanismes précédents.
Les modificateurs : +, -, ~, ?
+(Pass) : Le serveur est autorisé à envoyer des courriels (valeur par défaut si aucun signe n’est précisé).-(Fail) : Le serveur n’est pas autorisé et les courriels doivent être rejetés.~(SoftFail) : Le serveur n’est probablement pas autorisé, les courriels peuvent être acceptés mais marqués comme suspects.?(Neutral) : Aucun avis n’est donné sur le statut du serveur, les courriels sont acceptés sans jugement.
Évaluation des mécanismes SPF : comment ça fonctionne
Les serveurs analysent un enregistrement SPF de gauche à droite, mécanisme par mécanisme. Cette vérification se fait un à la fois, dans l’ordre.
Dès qu’un mécanisme correspond à l’adresse IP de l’expéditeur, l’analyse s’arrête. Le serveur applique alors le résultat associé : Pass, Fail, SoftFail ou Neutral. Lorsque qu’aucun mécanisme ne donne de correspondance, le serveur vérifie chacun d’eux jusqu’à ce qu’il atteigne la fin de l’enregistrement SPF.
Conséquences de l’ordre des mécanismes
- Mécanismes spécifiques en premier : Il est recommandé de placer les mécanismes les plus spécifiques au début de l’enregistrement SPF. Cela permet d’identifier rapidement les sources légitimes et de réduire le temps de traitement.
- Mécanismes génériques ensuite : Les mécanismes plus génériques ou globaux, comme
includepour des services tiers, viennent après les mécanismes spécifiques. - Terminer par
all: Le mécanismealldoit toujours être placé en dernier. Comme il correspond à toutes les adresses IP non précédemment spécifiées, le placer plus tôt empêcherait l’évaluation des mécanismes suivants.
Enregistrement SPF mal ordonné :
v=spf1 all include:mailchimp.com a -all
- Le mécanisme
allest placé au début. Cela signifie que tous les courriels seront traités selon le modificateur associé àall, et les mécanismes suivants (include:mailchimp.com,a) ne seront jamais évalués. Cela rend l’enregistrement SPF inefficace.
Enregistrement SPF correctement ordonné :
v=spf1 a include:mailchimp.com -all
- Ici, les mécanismes spécifiques (
a,include:mailchimp.com) sont évalués en premier, et le mécanisme-allen dernier assure que tous les autres courriels non autorisés seront rejetés.
Recommandations pour l’ordre des mécanismes SPF
- Commencez par les mécanismes spécifiques à votre domaine : Utilisez
ip4,ip6,a,mxpour spécifier vos propres serveurs. - Ajoutez les mécanismes
includepour les services tiers : Intégrez les serveurs des services que vous utilisez pour l’envoi de courriels. - Placez les mécanismes génériques si nécessaire : Par exemple, des mécanismes comme ptr ou exists peuvent être utilisés, bien qu’ils soient moins fréquents.
- Terminez toujours par
allavec le modificateur approprié : Cela définit le comportement par défaut pour toutes les autres adresses IP non spécifiées.
Les macros SPF : comprendre leur rôle et leur utilisation
Qu’est-ce qu’une macro SPF ?
Les macros SPF sont des variables dynamiques qui permettent d’insérer des informations contextuelles dans les mécanismes et modificateurs de votre enregistrement SPF. Elles offrent une flexibilité supplémentaire pour créer des politiques SPF plus sophistiquées, en utilisant des données telles que l’adresse IP de l’expéditeur, le nom de domaine ou l’adresse courriel.
Les variables de macro
Voici les variables de macro les plus courantes :
- %{s} : L’adresse courriel complète de l’expéditeur (le « MAIL FROM »).
- %{l} : La partie locale de l’adresse courriel (avant le
@). - %{o} : Le nom de domaine de l’expéditeur (après le
@). - %{d} : Le nom de domaine utilisé dans l’enregistrement SPF (généralement identique à
%{o}). - %{i} : L’adresse IP de l’expéditeur.
- %{p} : Le nom de domaine PTR (reverse DNS) de l’adresse IP de l’expéditeur.
- %{h} : Le nom d’hôte HELO fourni par l’expéditeur.
Vous pouvez utiliser ces variables avec des modificateurs pour extraire certaines parties ou appliquer des transformations spécifiques.
Exemples d’utilisation des macros SPF
Utilisation de %{i} pour une vérification personnalisée
v=spf1 exists:%{i}._spf.example.com -all- Le modificateur
%{i}est remplacé par l’adresse IP de l’expéditeur lors de l’évaluation de la règle SPF. - Le mécanisme exists vérifie si un enregistrement DNS existe pour
<adresse_IP>._spf.example.com. - Cela peut être utile si vous avez une liste dynamique d’adresses IP autorisées et que vous gérez les enregistrements DNS correspondants.
Vérification basée sur la partie locale de l’adresse courriel
v=spf1 include:%{l}._mail.example.com -all- Lors de l’évaluation,
%{l}est substitué par la partie locale de l’adresse courriel (tout ce qui précède le @). - Le mécanisme
includeintègre les politiques SPF spécifiques à chaque utilisateur, ce qui peut être utile dans des environnements où les permissions d’envoi varient par utilisateur.
Utilisation avancée avec le mécanisme redirect
v=spf1 redirect=%{d}.spf.example.net- Lors de l’évaluation,
%{d}correspond au nom de domaine de l’expéditeur (ex. : example.com). - Le mécanisme
redirectindique que l’évaluation SPF doit se poursuivre en utilisant l’enregistrement SPF deexample.com.spf.example.net.
Précautions lors de l’utilisation des macros
- Complexité accrue : L’utilisation de macros rend votre enregistrement SPF plus complexe, ce qui peut entraîner des difficultés de maintenance et de compréhension.
- Limites de longueur : Les enregistrements DNS ont une longueur maximale. Les macros peuvent allonger votre enregistrement SPF et potentiellement dépasser ces limites.
- Performances : Les macros peuvent augmenter le nombre de requêtes DNS nécessaires pour évaluer un courriel, ce qui peut affecter les performances et atteindre la limite de 10 « lookups » DNS imposée par le protocole SPF.
- Sécurité : Une mauvaise utilisation des macros peut introduire des vulnérabilités, permettant à des expéditeurs non autorisés de contourner vos politiques SPF.
Bonnes pratiques
- Utilisez les macros avec parcimonie : Réservez-les pour les cas où elles apportent une réelle valeur ajoutée.
- Testez soigneusement : Après avoir mis en place des macros, utilisez des outils de validation SPF pour vérifier que votre enregistrement fonctionne comme prévu.
- Documentez votre configuration : Expliquez clairement pourquoi et comment vous utilisez les macros pour faciliter la maintenance future.
Créer votre propre enregistrement SPF : exemples concrets
Passons maintenant à la création de votre enregistrement SPF en fonction de vos besoins spécifiques.
Exemple 1 : Envoi depuis le site web et Mailchimp
Si vous envoyez des courriels depuis votre site web hébergé et utilisez Mailchimp pour vos campagnes de publipostage :
v=spf1 a include:servers.mcsv.net -all
Explications :
a: Autorise l’adresse IP associée à votre domaine (votre site web).include:servers.mcsv.net: Inclut les serveurs de Mailchimp.-all: Rejette tous les autres serveurs non spécifiés.
Exemple 2 : Utilisation de Microsoft Exchange et votre site web
Si vous utilisez Microsoft Exchange Online pour votre messagerie professionnelle :
v=spf1 a include:spf.protection.outlook.com -all
Explications :
a: Autorise l’adresse IP associée à votre domaine (votre site web).include:spf.protection.outlook.com: Inclut les serveurs de Microsoft Exchange.-all: Rejette tous les autres serveurs non spécifiés.
Exemple 3 : Domaine personnalisé avec Gmail et un formulaire de contact sur votre site web
Si vous utilisez Google Workspace (anciennement G Suite) pour votre domaine :
v=spf1 a include:_spf.google.com -all
Explications :
a: Autorise l’adresse IP associée à votre domaine (votre site web).include:_spf.google.com: Inclut les serveurs de Gmail.-all: Rejette tous les autres serveurs non spécifiés.
Exemple 4 : Envoi exclusif depuis le serveur web
Si vous n’envoyez des courriels que depuis votre propre serveur web sans utiliser de services tiers :
v=spf1 a mx -all
Explications :
a: Autorise l’adresse IP de votre domaine.mx: Autorise vos serveurs de messagerie.-all: Rejette tous les autres serveurs non spécifiés.
Exemple 5 : Combinaison de plusieurs services tiers
Si vous utilisez plusieurs services comme Mailchimp et SendGrid, en plus de votre site web :
v=spf1 a include:servers.mcsv.net include:sendgrid.net -all
Explications :
a: Autorise l’adresse IP associée à votre domaine (votre site web).include:servers.mcsv.net: Inclut les serveurs de Mailchimp.include:sendgrid.net: Inclut les serveurs de SendGrid.-all: Rejette tous les autres serveurs non spécifiés.
Exemple 6 : Aucun courriel autorisé pour ce domaine
Si vous avez un domaine qui ne doit pas envoyer de courriels, comme c’est le cas pour des alias, vous pouvez bloquer tous les envois :
v=spf1 -all
Explications :
-all: Rejette tous les serveurs.
Remarque importante : Il est crucial de ne pas dépasser le nombre maximum de 10 « lookups » DNS dans votre enregistrement SPF. En effet, chaque mécanisme tel que include, a, mx ou ptr peut entraîner une requête DNS supplémentaire. Par conséquent, si votre enregistrement SPF devient trop complexe, certains serveurs de réception pourraient tout simplement l’ignorer.
En résumé
L’enregistrement SPF est un outil puissant pour sécuriser vos communications par courriel. En définissant avec précision les serveurs autorisés à envoyer des courriels pour votre domaine, vous :
- Assurez-vous que vos courriels atteignent la boîte de réception, pas le dossier spam.
- Protégez votre domaine contre l’usurpation d’identité.
- Améliorez la confiance de vos clients et partenaires.
Il est essentiel de bien comprendre les mécanismes du SPF afin de créer un enregistrement parfaitement adapté à votre situation. De plus, n’oubliez pas de le mettre à jour chaque fois que vous ajoutez ou supprimez des services d’envoi de courriels. Cela garantit que votre configuration reste efficace et sécurisée.
Remarque : L’enregistrement SPF est l’un des trois enregistrements qui aideront à protéger votre courriel. N’oubliez pas de consulter également notre blogue sur l’enregistrement DMARC et celui sur les enregistrement DKIM.
Besoin d’aide ?
La configuration d’un enregistrement SPF peut sembler complexe, mais vous n’êtes pas seul. C’est pourquoi, notre service d’assistance technique est toujours disponible pour vous aider. N’hésitez pas à nous contacter pour toute question ou pour obtenir de l’aide dans la mise en place de votre enregistrement SPF.
En sécurisant vos courriels, vous faites un pas de plus vers la protection de votre entreprise, tout en assurant une communication fiable avec vos clients. C’est pourquoi il est important de prendre le temps de bien configurer votre enregistrement SPF. Ainsi, vous profiterez d’une meilleure délivrabilité de vos messages et renforcerez la confiance dans vos communications électroniques.
Laisser un commentaire