Introduction au SPF
Dans le monde numérique d’aujourd’hui, la sécurité et la fiabilité des communications par courriel sont plus cruciales que jamais. Les cybercriminels utilisent diverses techniques pour usurper l’identité des domaines et envoyer des courriels frauduleux, affectant ainsi la réputation des entreprises et la confiance des clients. L’une des méthodes les plus efficaces pour prévenir ces abus est l’utilisation d’un enregistrement SPF (Sender Policy Framework).
Qu’est-ce qu’un enregistrement SPF ?
Le Sender Policy Framework (SPF) est un protocole d’authentification des courriels qui permet aux propriétaires de domaines de spécifier quels serveurs de messagerie sont autorisés à envoyer des courriels en leur nom. En publiant un enregistrement SPF dans la zone DNS de votre domaine, vous fournissez une liste de serveurs approuvés. Les serveurs de réception peuvent alors vérifier cet enregistrement pour confirmer que le courriel provient d’une source légitime, réduisant ainsi les risques de pourriels et d’hameçonnage.
L’analogie des enfants : comprendre le SPF simplement
Pour illustrer le fonctionnement du SPF, imaginons une école. Chaque enfant porte un badge indiquant sa classe et son nom. Lorsqu’un enfant entre dans l’école, les enseignants peuvent facilement vérifier son identité grâce à ce badge. Si un inconnu sans badge tente d’entrer, les enseignants savent qu’il ne fait pas partie de l’école et peuvent agir en conséquence.
De la même manière, le SPF agit comme un badge d’identification pour vos courriels. Il indique aux serveurs de réception que le courriel provient bien d’un serveur autorisé par le propriétaire du domaine. Si un courriel est envoyé sans ce « badge », il peut être marqué comme suspect ou rejeté.
Où placer votre enregistrement SPF ?
L’enregistrement SPF est ajouté dans la zone DNS de votre domaine sous la forme d’un enregistrement TXT. Cet enregistrement contient les informations nécessaires afin que les serveurs de messagerie puissent vérifier l’authenticité des courriels envoyés depuis votre domaine. Il est essentiel de le placer correctement dans votre DNS pour qu’il soit efficace.
Points importants avant de créer votre SPF
Avant de créer votre enregistrement SPF, il est essentiel de recueillir certaines informations pour s’assurer qu’il est complet et précis.
Identifier vos services d’envoi de courriels
Il faut identifier toutes les sources qui ont l’autorisation d’envoyer des courriels avec votre nom de domaine. En voici quelques exemples, bien qu’il en existe beaucoup plus :
- Services de publipostage : Si vous utilisez des services comme CyberImpact, Mailchimp ou SendinBlue, vous devez les inclure dans votre enregistrement SPF.
- Services tiers : Des services tels que Microsoft Exchange, Gmail ou Zoho Mail envoient des courriels en utilisant leurs propres serveurs et doivent également être inclus.
- Serveurs de votre site web : Si votre site web envoie des courriels (par exemple, confirmations de commande, réinitialisations de mot de passe), l’adresse IP ou le nom d’hôte du serveur doit être ajouté.
Connaître l’adresse IP de votre hébergement web
Dans de nombreux cas, surtout si vous utilisez des panneaux de contrôle comme cPanel, Plesk ou DirectAdmin, l’adresse IP de votre serveur web est utilisée pour l’envoi de courriels. Souvent, il s’agit de l’adresse principale du serveur, et il est important de l’inclure dans votre enregistrement SPF afin que les courriels envoyés depuis votre site web ne soient pas marqués comme étant des pourriels.
Ne pas inclure l’adresse IP de votre FAI
Il est courant de penser qu’il faut ajouter l’adresse IP que vous attribue votre fournisseur d’accès Internet (FAI) comme Bell, Vidéotron ou autre. Cependant, à moins que vous n’envoyiez des courriels directement depuis un serveur de courriels hébergé sur votre connexion internet personnelle (ce qui est rare et généralement déconseillé), il n’est pas nécessaire d’inclure cette adresse IP.
Les différents types d’enregistrements SPF et leur ordre
Un enregistrement SPF est composé de plusieurs mécanismes et modificateurs qui définissent les sources autorisées à envoyer des courriels pour votre domaine et comment traiter les courriels qui ne correspondent pas.
Les mécanismes du SPF
include
: Permet d’inclure les enregistrements SPF d’un autre domaine. Utilisé pour les services tiers.a
: Autorise l’adresse IP associée à un enregistrement A (adresse IPv4) de votre domaine.mx
: Autorise les adresses IP des serveurs de messagerie (enregistrements MX) de votre domaine.ip4:/ip6
: Spécifie directement une adresse IP ou un bloc d’adresses IP en IPv4 ou IPv6.exists
: Vérifie l’existence d’un enregistrement DNS spécifique.ptr
: Vérifie si le nom de domaine inverse (PTR) de l’adresse IP de l’expéditeur correspond à votre domaine.redirect
: Applique la politique SPF d’un autre domaine.all
: Correspond à toutes les adresses IP non spécifiées par les mécanismes précédents.
Les modificateurs : +
, -
, ~
, ?
+
(Pass) : Le serveur est autorisé à envoyer des courriels (valeur par défaut si aucun signe n’est précisé).-
(Fail) : Le serveur n’est pas autorisé et les courriels doivent être rejetés.~
(SoftFail) : Le serveur n’est probablement pas autorisé, les courriels peuvent être acceptés mais marqués comme suspects.?
(Neutral) : Aucun avis n’est donné sur le statut du serveur, les courriels sont acceptés sans jugement.
Comment les mécanismes SPF sont évalués
Les mécanismes d’un enregistrement SPF sont évalués de gauche à droite, un par un, jusqu’à ce qu’un mécanisme corresponde à l’adresse IP de l’expéditeur ou que tous les mécanismes aient été vérifiés. Une fois qu’un mécanisme correspond, le résultat associé (Pass, Fail, SoftFail, Neutral) est appliqué, et l’évaluation s’arrête là.
Conséquences de l’ordre des mécanismes
- Mécanismes spécifiques en premier : Il est recommandé de placer les mécanismes les plus spécifiques au début de l’enregistrement SPF. Cela permet d’identifier rapidement les sources légitimes et de réduire le temps de traitement.
- Mécanismes génériques ensuite : Les mécanismes plus génériques ou globaux, comme
include
pour des services tiers, viennent après les mécanismes spécifiques. - Terminer par
all
: Le mécanismeall
doit toujours être placé en dernier. Comme il correspond à toutes les adresses IP non précédemment spécifiées, le placer plus tôt empêcherait l’évaluation des mécanismes suivants.
Enregistrement SPF mal ordonné :
v=spf1 all include:mailchimp.com a -all
- Le mécanisme
all
est placé au début. Cela signifie que tous les courriels seront traités selon le modificateur associé àall
, et les mécanismes suivants (include:mailchimp.com
,a
) ne seront jamais évalués. Cela rend l’enregistrement SPF inefficace.
Enregistrement SPF correctement ordonné :
v=spf1 a include:mailchimp.com -all
- Ici, les mécanismes spécifiques (
a
,include:mailchimp.com
) sont évalués en premier, et le mécanisme-all
en dernier assure que tous les autres courriels non autorisés seront rejetés.
Recommandations pour l’ordre des mécanismes SPF
- Commencez par les mécanismes spécifiques à votre domaine : Utilisez
ip4
,ip6
,a
,mx
pour spécifier vos propres serveurs. - Ajoutez les mécanismes
include
pour les services tiers : Intégrez les serveurs des services que vous utilisez pour l’envoi de courriels. - Placez les mécanismes génériques si nécessaire : Des mécanismes comme ptr ou exists peuvent être utilisés, mais sont moins courants.
- Terminez toujours par
all
avec le modificateur approprié : Cela définit le comportement par défaut pour toutes les autres adresses IP non spécifiées.
Les macros SPF : comprendre leur rôle et leur utilisation
Qu’est-ce qu’une macro SPF ?
Les macros SPF sont des variables dynamiques qui permettent d’insérer des informations contextuelles dans les mécanismes et modificateurs de votre enregistrement SPF. Elles offrent une flexibilité supplémentaire pour créer des politiques SPF plus sophistiquées, en utilisant des données telles que l’adresse IP de l’expéditeur, le nom de domaine ou l’adresse courriel.
Les variables de macro
Voici les variables de macro les plus courantes :
- %{s} : L’adresse courriel complète de l’expéditeur (le « MAIL FROM »).
- %{l} : La partie locale de l’adresse courriel (avant le
@
). - %{o} : Le nom de domaine de l’expéditeur (après le
@
). - %{d} : Le nom de domaine utilisé dans l’enregistrement SPF (généralement identique à
%{o}
). - %{i} : L’adresse IP de l’expéditeur.
- %{p} : Le nom de domaine PTR (reverse DNS) de l’adresse IP de l’expéditeur.
- %{h} : Le nom d’hôte HELO fourni par l’expéditeur.
Ces variables peuvent être utilisées avec des modificateurs pour extraire des parties spécifiques ou pour effectuer des transformations.
Exemples d’utilisation des macros SPF
Exemple 1 : Utilisation de %{i}
pour une vérification personnalisée
v=spf1 exists:%{i}._spf.example.com -all
%{i}
est remplacé par l’adresse IP de l’expéditeur.- Le mécanisme exists vérifie si un enregistrement DNS existe pour
<adresse_IP>._spf.example.com
. - Cela peut être utile si vous avez une liste dynamique d’adresses IP autorisées et que vous gérez les enregistrements DNS correspondants.
Exemple 2 : Vérification basée sur la partie locale de l’adresse courriel
v=spf1 include:%{l}._mail.example.com -all
%{l}
est remplacé par la partie locale de l’adresse courriel (par exemple, « john » dans « john@example.com »).- Le mécanisme
include
intègre les politiques SPF spécifiques à chaque utilisateur, ce qui peut être utile dans des environnements où les permissions d’envoi varient par utilisateur.
Exemple 3 : Utilisation avancée avec le mécanisme redirect
v=spf1 redirect=%{d}.spf.example.net
%{d}
est remplacé par le nom de domaine (par exemple, « example.com »).- Le mécanisme
redirect
indique que l’évaluation SPF doit se poursuivre en utilisant l’enregistrement SPF deexample.com.spf.example.net
.
Précautions lors de l’utilisation des macros
- Complexité accrue : L’utilisation de macros rend votre enregistrement SPF plus complexe, ce qui peut entraîner des difficultés de maintenance et de compréhension.
- Limites de longueur : Les enregistrements DNS ont une longueur maximale. Les macros peuvent allonger votre enregistrement SPF et potentiellement dépasser ces limites.
- Performances : Les macros peuvent augmenter le nombre de requêtes DNS nécessaires pour évaluer un courriel, ce qui peut affecter les performances et atteindre la limite de 10 « lookups » DNS imposée par le protocole SPF.
- Sécurité : Une mauvaise utilisation des macros peut introduire des vulnérabilités, permettant à des expéditeurs non autorisés de contourner vos politiques SPF.
Bonnes pratiques
- Utilisez les macros avec parcimonie : Réservez-les pour les cas où elles apportent une réelle valeur ajoutée.
- Testez soigneusement : Après avoir mis en place des macros, utilisez des outils de validation SPF pour vérifier que votre enregistrement fonctionne comme prévu.
- Documentez votre configuration : Expliquez clairement pourquoi et comment vous utilisez les macros pour faciliter la maintenance future.
Créer votre propre enregistrement SPF : exemples concrets
Passons maintenant à la création de votre enregistrement SPF en fonction de vos besoins spécifiques.
Exemple 1 : Envoi depuis le site web et Mailchimp
Si vous envoyez des courriels depuis votre site web hébergé et utilisez Mailchimp pour vos campagnes de publipostage :
v=spf1 a include:servers.mcsv.net -all
Explications :
a
: Autorise l’adresse IP associée à votre domaine (votre site web).include:servers.mcsv.net
: Inclut les serveurs de Mailchimp.-all
: Rejette tous les autres serveurs non spécifiés.
Exemple 2 : Utilisation de Microsoft Exchange et votre site web
Si vous utilisez Microsoft Exchange Online pour votre messagerie professionnelle :
v=spf1 a include:spf.protection.outlook.com -all
Explications :
a
: Autorise l’adresse IP associée à votre domaine (votre site web).include:spf.protection.outlook.com
: Inclut les serveurs de Microsoft Exchange.-all
: Rejette tous les autres serveurs non spécifiés.
Exemple 3 : Domaine personnalisé avec Gmail et un formulaire de contact sur votre site web
Si vous utilisez Google Workspace (anciennement G Suite) pour votre domaine :
v=spf1 a include:_spf.google.com -all
Explications :
a
: Autorise l’adresse IP associée à votre domaine (votre site web).include:_spf.google.com
: Inclut les serveurs de Gmail.-all
: Rejette tous les autres serveurs non spécifiés.
Exemple 4 : Envoi exclusif depuis le serveur web
Si vous n’envoyez des courriels que depuis votre propre serveur web sans utiliser de services tiers :
v=spf1 a mx -all
Explications :
a
: Autorise l’adresse IP de votre domaine.mx
: Autorise vos serveurs de messagerie.-all
: Rejette tous les autres serveurs non spécifiés.
Exemple 5 : Combinaison de plusieurs services tiers
Si vous utilisez plusieurs services comme Mailchimp et SendGrid, en plus de votre site web :
v=spf1 a include:servers.mcsv.net include:sendgrid.net -all
Explications :
a
: Autorise l’adresse IP associée à votre domaine (votre site web).include:servers.mcsv.net
: Inclut les serveurs de Mailchimp.include:sendgrid.net
: Inclut les serveurs de SendGrid.-all
: Rejette tous les autres serveurs non spécifiés.
Exemple 6 : Aucun courriel autorisé pour ce domaine
Si vous avez un domaine qui ne doit pas envoyer de courriels, comme c’est le cas pour des alias, vous pouvez bloquer tous les envois :
v=spf1 -all
Explications :
-all
: Rejette tous les serveurs.
Remarque importante : Il est crucial de ne pas dépasser le nombre maximum de 10 « lookups » DNS dans votre enregistrement SPF. Chaque mécanisme include
, a
, mx
, ptr
peut entraîner une requête DNS supplémentaire. Un enregistrement SPF trop complexe peut être ignoré par les serveurs de réception.
En résumé
L’enregistrement SPF est un outil puissant pour sécuriser vos communications par courriel. En spécifiant clairement quels serveurs sont autorisés à envoyer des courriels en votre nom, vous :
- Réduisez le risque que vos courriels soient marqués comme spam.
- Protégez votre domaine contre l’usurpation d’identité.
- Améliorez la confiance de vos clients et partenaires.
Il est essentiel de bien comprendre les mécanismes du SPF et de créer un enregistrement adapté à votre situation. N’oubliez pas de le mettre à jour si vous ajoutez ou supprimez des services d’envoi de courriels.
Besoin d’aide ?
La configuration d’un enregistrement SPF peut sembler complexe, mais vous n’êtes pas seul. Notre service d’assistance technique est toujours disponible pour vous aider. N’hésitez pas à nous contacter pour toute question ou pour obtenir de l’aide dans la mise en place de votre enregistrement SPF.
En sécurisant vos courriels, vous faites un pas de plus vers la protection de votre entreprise et le maintien d’une communication fiable avec vos clients. Prenez le temps de bien configurer votre enregistrement SPF et profitez d’une meilleure délivrabilité de vos courriels.
Laisser un commentaire