Sender Policy Framework, ou SPF, est un protocole d'authentification des e-mails qui permet aux propriétaires de domaines de spécifier les serveurs autorisés à envoyer des e-mails au nom de leurs domaines.
Lorsqu'un courriel est envoyé depuis votre domaine, les serveurs de courriel destinataires vérifient la présence d'un enregistrement SPF dans votre DNS. Cet enregistrement contient une liste de toutes les adresses IP autorisées à envoyer des e-mails depuis votre domaine. Si l'adresse IP de l'expéditeur correspond à l'une des adresses de l'enregistrement SPF, l'e-mail est authentifié.
L'enregistrement SPF est crucial pour la mise en œuvre de SPF sur votre domaine. Il est publié sous forme d'enregistrement TXT sur votre DNS et peut être modifié en fonction des spécificités de votre domaine. Voici un exemple d'enregistrement SPF :
v=spf1 a mx ip4 : 39.72.122.191 include:_spf.google.com ~all
Décortiquons chaque élément de ce disque pour savoir ce qu'il fait.
Version
Un enregistrement SPF commence toujours par 'v=qui indique la version de SPF utilisée. spf1 est la version la plus couramment utilisée de SPF et est comprise par tous les clients de messagerie.
Mécanisme
Les mécanismes sont des éléments de l'enregistrement SPF qui demandent au serveur récepteur de vérifier des enregistrements spécifiques sur le DNS ou d'utiliser certains protocoles lors de l'authentification SPF.
a - Tous les enregistrements A du domaine pour lequel l'enregistrement SPF est publié sont testés. Si l'adresse IP de l'expéditeur correspond à une IP dans l'enregistrement A, ce mécanisme passe.
ip4 - Spécifie une plage de réseau IPv4 pour l'adresse IP de l'expéditeur.
ip6 - Spécifie une plage de réseau IPv6 pour l'adresse IP de l'expéditeur.
mx - Les enregistrements MX précisent quels serveurs doivent être utilisés pour relayer les courriels. Si l'adresse IP de l'expéditeur correspond à l'un des enregistrements MX du domaine pour lequel l'enregistrement SPF est publié, ce mécanisme passe.
ptr - Le nom d'hôte de l'IP de l'expéditeur est recherché à l'aide de requêtes PTR. Si un nom d'hôte se termine par un domaine qui correspond à celui pour lequel l'enregistrement SPF est publié, ce mécanisme passe. Les requêtes PTR doivent être évitées autant que possible afin de limiter le nombre de recherches DNS coûteuses.
existe - Effectue une requête A sur le domaine spécifié. Si un résultat est trouvé, ce mécanisme passe.
inclure - Le domaine spécifié est recherché pour une correspondance. Si le domaine n'a pas son propre enregistrement SPF valide, il en résulte une erreur permanente.
tous - Ce mécanisme correspond toujours aux critères. Il est utilisé avec un qualificatif pour inclure toutes les adresses IP avec lesquelles les autres mécanismes ne correspondent pas. Il est généralement ajouté à la fin de l'enregistrement SPF.
Qualification
"+" - Passe. L'enregistrement SPF désigne l'adresse IP qui doit être autorisée à envoyer.
"-" - Échec. L'enregistrement SPF désigne l'adresse IP qui n'est PAS autorisée à envoyer.
"~" - SoftFail. L'enregistrement SPF désigne l'adresse IP qui n'est PAS autorisée à envoyer, mais qui est en transition.
" ?" - Neutre. L'enregistrement SPF indique que rien ne peut être dit sur la validité de l'adresse IP.
Les mécanismes sont réglés par défaut sur Pass.
Dans l'exemple ci-dessus, l'utilisation de 'aet de 'mxest équivalente à '+aet '+mx'. Cependant, '~all' nous indique que toutes les adresses IP qui ne correspondent pas à 'a' et 'mx' doivent être considérées comme un SoftFail selon SPF.
Modificateur
Les modificateurs sont facultatifs et ne peuvent être utilisés qu'une seule fois par enregistrement.
rediriger - Utilisé pour pointer vers l'enregistrement SPF d'un autre domaine. Ceci est utile lorsque vous avez plusieurs domaines mais que vous souhaitez utiliser les mêmes données d'enregistrement SPF sur tous les domaines. Le deuxième domaine doit avoir son propre enregistrement SPF valide. rediriger n'est utilisé que si vous contrôlez les deux domaines, sinon la commande inclure est utilisé.
exp - Si un serveur de réception rejette un message, il peut fournir une explication.
Limites des enregistrements SPF
Afin de réduire la charge de traitement sur les serveurs de messagerie récepteurs, les enregistrements SPF comportent certaines limitations intégrées que vous devez respecter.
Un seul enregistrement SPF par nom de domaine - Pour mettre en œuvre correctement le SPF, vous ne pouvez publier qu'un seul enregistrement SPF à votre DNS pour chaque domaine. S'il y en a plus d'un, le serveur récepteur ne sait pas lequel vérifier et votre courriel échoue à l'authentification SPF.
Maximum de 10 consultations du DNS - Votre enregistrement SPF ne peut pas comporter plus de 10 mécanismes qui donnent lieu à des consultations DNS.
Maximum de 10 enregistrements MX - Lors de l'analyse des enregistrements mx il y a une limite de 10 enregistrements MX que le serveur peut interroger.
Maximum de 10 requêtes PTR - Lors de l'analyse des ptr le serveur ne peut pas effectuer plus de 10 requêtes PTR.
PowerSPF
Lorsque vous dépassez les 10 recherches DNS sur votre enregistrement SPF, votre authentification SPF échoue automatiquement. Pour résoudre ce problème, PowerDMARC a mis au point une fonction innovante : PowerSPF. En un seul clic, vous pouvez optimiser et réduire la longueur et le nombre de consultations DNS dans votre enregistrement SPF. Vous obtiendrez un taux de livraison maximal sans aucun effort.