Sender Policy Framework, ou SPF, est l'une des normes les plus couramment utilisées pour l'authentification des e-mails. La mise en œuvre de SPF peut renforcer la sécurité de votre domaine contre les usurpateurs, mais elle présente certaines limites lorsqu'elle est utilisée de manière isolée sans DKIM et DMARC.
Avantages
Empêche les attaques de phishing
SPF authentifie votre courrier électronique de sorte que lorsqu'un attaquant tente d'envoyer un faux courrier électronique à partir de votre domaine, le serveur de courrier électronique récepteur voit qu'il provient d'une source malveillante et le signale.
Renforce la réputation de votre domaine
Lorsque vous mettez en œuvre le SPF, vous signalez aux fournisseurs de messagerie que vous vous engagez à prévenir les cyberattaques par courrier électronique, ce qui augmente les chances que les courriers électroniques authentiques provenant de votre domaine atteignent leur boîte de réception au lieu d'être signalés à tort.
Inconvénients
L'authentification des e-mails transférés échoue
Lorsqu'une autre personne fait suivre un courriel envoyé depuis votre domaine, son adresse IP ne figure pas dans votre enregistrement SPF. Le serveur de messagerie récepteur le voit et le signale par erreur, et l'e-mail échoue au test SPF.
Difficulté à maintenir les enregistrements SPF
Les propriétaires de domaines demandent souvent à des vendeurs tiers autorisés d'envoyer des courriels à partir de leur domaine. Cela signifie que les enregistrements SPF doivent être constamment mis à jour chaque fois qu'il y a un changement d'adresse IP ou de fournisseur tiers.
La plupart des utilisateurs ne voient pas qui envoie réellement l'e-mail.
L'authentification SPF se fait sur le domaine spécifique Return-Path/mailfrom, et non sur l'adresse From que la plupart des utilisateurs voient habituellement. Cela signifie qu'un attaquant pourrait simplement envoyer le courriel à partir d'un domaine qu'il contrôle, mais en utilisant une adresse d'expéditeur différente. L'utilisateur moyen ne prendrait pas la peine de vérifier le Return-Path/mailfrom, s'exposant ainsi à une attaque de phishing.
Limite de 10 consultations de DNS pour les enregistrements SPF
Chaque enregistrement SPF permet 10 consultations du DNS. Si votre enregistrement SPF dépasse cette limite, les serveurs récepteurs échouent automatiquement à l'authentification SPF.
PowerDMARC propose un nouvel outil unique, PowerSPF, qui vous permet d'optimiser et de simplifier votre enregistrement SPF pour rester sous la limite, et ce en un seul clic.
En soi, le SPF est limité dans son efficacité à empêcher l'usurpation de domaine, mais lorsqu'il est associé à la technologie DKIM et DMARC, vous bénéficiez d'une protection anti-spoofing robuste.