Ce que vous apprendrez dans cet article
Ce guide vous aidera à apprendre comment créer un enregistrement TXT SPF, en supposant que vous êtes familier avec le DNS et la construction d'un enregistrement TXT DNS.
- La configuration d'un enregistrement SPF aide à empêcher les acteurs malveillants d'utiliser votre domaine pour envoyer des e-mails malveillants.
- Apprenez à créer et à publier votre enregistrement SPF TXT et à vérifier qu'il est correctement configuré.
- Suivez ce guide simple pour renforcer la sécurité de votre domaine et vous protéger contre l'usurpation d'adresse e-mail.
Autoriser les expéditeurs d'e-mails avec SPF
Le Sender Policy Framework (SPF) est une technique d'authentification des e-mails qui définit les adresses IP autorisées à envoyer des e-mails au nom d'un domaine spécifique. La configuration d'un enregistrement SPF sur
permet d'empêcher des personnes malveillantes d'utiliser votre domaine pour envoyer des e-mails non autorisés (malveillants), pratique également
appelée « usurpation d'adresse e-mail ». Le protocole SPF est l'une des méthodes standard utilisées pour lutter contre le spam ; il est également utilisé
dans la spécification DMARC.
Que sont les enregistrements SPF ?
Un enregistrement SPF est un enregistrement TXT qui fait partie du DNS (Domain Name Service) d'un domaine. Un enregistrement SPF répertorie tous les noms d'hôte et adresses IP autorisés (
) qui sont habilités à envoyer des e-mails au nom de votre domaine.
Quel effet un enregistrement SPF a-t-il ?
Certains destinataires de courriels exigent impérativement l'utilisation du protocole SPF. Si vous n'avez pas publié d'enregistrement SPF pour votre domaine, vos e-mails peuvent être
marqués comme spam ou, pire encore, être rejetés s'ils sont envoyés via un serveur de messagerie non autorisé. Si un e-mail est envoyé via un serveur de messagerie non autorisé, l'adresse
peut être signalée comme spam. La mise en place d'un enregistrement SPF correctement configuré améliorera la délivrabilité de vos e-mails et contribuera à
protéger votre domaine contre les e-mails malveillants envoyés en votre nom. Ce système de validation des e-mails
DMARC
établit un lien entre SPF et
DKIM
.
Comment créer votre enregistrement SPF ?
Pour protéger votre marque contre les attaques de spoofing et de phishing, vous devez authentifier votre e-mail. Créez votre enregistrement SPF en suivant les étapes suivantes :
Étape 1 : Collectez toutes les adresses IP utilisées pour envoyer des e-mails
Pour mettre en œuvre avec succès le protocole SPF, vous devez d'abord identifier les serveurs de messagerie utilisés pour envoyer des e-mails pour votre domaine. Ces serveurs de messagerie peuvent être n'importe quelle organisation d'envoi, vous devez penser à votre fournisseur de services de messagerie, au serveur de messagerie Office et à tout autre serveur de messagerie tiers qui peut être utilisé pour envoyer des e-mails pour vous.
Avez-vous rassemblé tous les serveurs d'envoi d'e-mails ?
Maintenant que vous disposez d'une vue d'ensemble claire de tous les domaines émetteurs, vous devez créer un enregistrement SPF pour chaque domaine, même si celui-ci n'envoie pas activement d'e-mails.
Étape 2 : Créez votre enregistrement SPF
- Commencez par la version SPF. Cette partie définit l'enregistrement comme étant de type SPF. Un enregistrement SPF doit toujours commencer par le numéro de version v=spf1 (version 1). Cette balise définit l'enregistrement comme étant de type SPF. Il existait autrefois une deuxième version du protocole SPF (appelée « SenderID »), mais celle-ci a été abandonnée.
- Après avoir ajouté la balise de version SPF « v=spf1 », vous devez indiquer toutes les adresses IP autorisées à envoyer des e-mails en votre nom. Par exemple : v=spf1 ip4:34.243.61.237 ip6:2a05:d018:e3:8c00:bb71:dea8:8b83:851e
- Vous pouvez ensuite ajouter une balise « include » pour chaque organisme tiers utilisé pour envoyer des e-mails en votre nom, par exemple : notamment : thirdpartydomain.com. Cette balise indique que ce tiers est autorisé à envoyer des e-mails au nom de votre domaine. Vous devez vous renseigner auprès du tiers pour savoir quel domaine utiliser comme valeur pour l'instruction « include ».
- Une fois que vous aurez ajouté toutes les adresses IP et les balises d'inclusion, vous devrez terminer votre enregistrement par une balise « ~all » ou « -all ». La balise « all » constitue un élément important de l'enregistrement SPF, car elle indique la politique à appliquer lorsque les FAI détectent un serveur qui ne figure pas dans votre enregistrement SPF. Si un serveur non autorisé envoie des e-mails au nom de votre domaine, des mesures sont prises conformément à la politique qui a été publiée (par exemple : refuser l'e-mail ou le signaler comme spam). Quelle est la différence entre ces balises ? Vous devez indiquer comment les serveurs doivent traiter les e-mails. La balise ~all indique un échec mineur, tandis que l'option -all indique un échec majeur. La balise « all » comporte les marqueurs de base suivants :
- - Échec total : les serveurs qui ne figurent pas dans l'enregistrement SPF ne sont pas autorisés à envoyer des e-mails (les e-mails non conformes seront rejetés).
- ~Tous les « soft fail » : si l'e-mail provient d'un serveur ne figurant pas dans la liste, il sera marqué comme « soft fail » (les e-mails seront acceptés mais marqués).
- +all : Nous vous recommandons vivement de ne pas utiliser cette option, car cette balise permet à n'importe quel serveur d'envoyer des e-mails depuis votre domaine.
Il existe de nombreuses balises SPF disponibles. Vous trouverez de plus amples informations sur la page consacrée à la description des composants du SPF.
Après avoir défini votre enregistrement SPF, celui-ci pourrait ressembler à ceci :
v=spf1 ip4:34.243.61.237 ip6:2a05:d018:e3:8c00:bb71:dea8:8b83:851e include:thirdpartydomain.com -all
Pour les domaines qui n'envoient pas d'e-mails, nous vous recommandons de publier l'enregistrement suivant : v=spf1 -all
Veuillez noter que votre enregistrement SPF ne doit pas dépasser 255 caractères et ne peut comporter plus de 10 balises d'inclusion, également appelées « lookups ». Veuillez noter que les « recherches imbriquées » seront également prises en compte. Si un enregistrement comporte une requête A et une requête MX, celles-ci seront toutes deux comptabilisées comme des requêtes pour votre domaine.
Certains utilisateurs ont également recours à un générateur d'enregistrements SPF pour les aider à créer un enregistrement correctement formaté. Vous pouvez ensuite prévalider votre enregistrement SPF à l'aide de notre outil de vérification des enregistrements SPF .
Étape 3 : Publiez votre enregistrement SPF dans votre DNS
Enfin, une fois que vous avez défini votre enregistrement TXT SPF, il est temps de le publier dans votre DNS. De cette manière, les services de messagerie tels que Gmail, Hotmail et autres peuvent en faire la demande. Votre gestionnaire DNS doit publier un enregistrement SPF dans votre DNS. Il peut s'agir d'une fonction interne à votre organisation ; vous pouvez accéder vous-même à un tableau de bord fourni par votre fournisseur DNS, ou vous pouvez demander à ce dernier de publier l'enregistrement. Avant de publier, veillez à vérifier attentivement vos paramètres DNS afin de ne pas écraser par erreur une entrée TXT.
Veuillez vous assurer que votre enregistrement SPF ne dépasse pas la limite maximale de 10 requêtes ! Veuillez noter que les « recherches imbriquées » seront également prises en compte. Si un domaine « inclus » dispose d'une requête A et d'une requête MX, celles-ci seront également comptabilisées comme des requêtes pour votre domaine. Vous pouvez prévalider votre enregistrement SPF à l'aide de notre outil gratuit de vérification des enregistrements SPF.
Accédez à votre gestionnaire DNS
Votre enregistrement SPF doit être publié dans votre DNS :
- Connectez-vous à votre compte de domaine chez votre fournisseur d'hébergement de domaine.
- Recherchez la page permettant de mettre à jour les enregistrements DNS de votre domaine (intitulée par exemple « Gestion DNS » ou « Gestion des serveurs de noms »).
- Sélectionnez le domaine dont vous souhaitez modifier les enregistrements.
- Ouvrez le gestionnaire DNS.
- Connectez-vous à votre compte de domaine chez votre fournisseur d'hébergement de domaine.
- Créez un nouvel enregistrement TXT dans la section TXT (texte).
- Définissez le champ Host sur le nom de votre domaine.
- Remplissez le champ Valeur TXT avec votre enregistrement SPF (c'est-à-dire “v=spf1 a mx include: exampledomain.com ~all””).
- Spécifiez la durée de vie (TTL), saisissez 3 600 ou laissez la valeur par défaut.
- Cliquez sur « Enregistrer » ou « Ajouter un enregistrement » pour publier l'enregistrement SPF TXT dans votre DNS.
Si vous disposez déjà d'un enregistrement SPF, mettez-le à jour plutôt que d'en créer un deuxième, car la présence de plusieurs enregistrements SPF pour un même domaine peut entraîner l'échec des vérifications SPF.
Votre nouvel enregistrement SPF peut prendre jusqu'à 48 heures pour entrer en vigueur. Pour obtenir de l'aide sur l'ajout d'enregistrements TXT, contactez votre hébergeur de domaine.
Étape 4 : testez votre enregistrement SPF avec le vérificateur d'enregistrement SPF
La configuration d'un enregistrement SPF est un élément essentiel de vos paramètres techniques. Découvrez comment vérifier et valider votre enregistrement SPF, ou testez-le directement à l'aide de notre outil de vérification d'enregistrement SPF .
DMARC Analyzer propose un outil gratuit de vérification des enregistrements SPF permettant de valider votre enregistrement SPF.
L'enregistrement SPF est correctement configuré lorsque :
- Le vérificateur d'enregistrement SPF a détecté un enregistrement SPF.
- Votre enregistrement SPF ne dépasse pas le nombre maximal de 10 recherches.
- Les adresses IP configurées sont de véritables adresses utilisées pour envoyer des e-mails.
Il existe de nombreuses balises SPF disponibles. Vous trouverez de plus amples informations sur la page d'explication des composants SPF .
SPF et DMARC
Le SPF est l'une des techniques d'authentification des e-mails sur lesquelles repose le protocole DMARC. Le système de validation des e-mails DMARC établit un lien entre SPF et DKIM. DMARC utilise les résultats des vérifications SPF et ajoute une vérification de la cohérence des domaines pour déterminer ses résultats. Pour en savoir plus sur DMARC .
Toutes les informations concernant le Sender Policy Framework (SPF). Découvrez comment valider un enregistrement SPF . Validez votre enregistrement SPF à l'aide de l'outil de vérification des enregistrements SPF .
Renforcez la sécurité de votre domaine grâce à un enregistrement TXT SPF
La création d'un enregistrement TXT SPF constitue une étape importante pour protéger votre domaine contre l'usurpation d'adresse e-mail et toute utilisation non autorisée. Par
En publiant un enregistrement SPF correctement configuré dans votre DNS, vous contribuez à garantir que seuls les serveurs de messagerie agréés puissent envoyer des messages
au nom de votre domaine. En suivant les étapes décrites dans ce guide, vous pourrez créer, publier et
valider votre enregistrement SPF afin qu'il fonctionne comme prévu. Prendre le temps de configurer correctement le SPF renforce votre stratégie globale d'authentification des e-mails
et contribue à empêcher les pirates d'utiliser votre domaine pour envoyer des e-mails malveillants.