Ce que vous apprendrez dans cet article
Ce guide vous aidera à apprendre à créer un enregistrement SPF TXT, en supposant que vous êtes familiarisé avec les enregistrements DNS et DNS TXT.
- La configuration d'un enregistrement SPF aide à empêcher les acteurs malveillants d'utiliser votre domaine pour envoyer des e-mails malveillants.
- Apprenez à créer et à publier votre enregistrement SPF TXT et à vérifier qu'il est correctement configuré.
- Suivez ce guide simple pour renforcer la sécurité de votre domaine et vous protéger contre l'usurpation d'adresse e-mail.
Créer votre enregistrement SPF en 4 étapes simples
Après avoir lu cet article, vous serez en mesure de créer votre propre enregistrement SPF TXT, en supposant que vous êtes familier avec les enregistrements DNS et DNS TXT.
Autoriser les expéditeurs d'e-mails avec SPF
Le Sender Policy Framework (SPF) est une technique d'authentification des e-mails utilisée pour lutter contre l'usurpation d'e-mail. La mise en place d'un enregistrement SPF permet d'éviter que des personnes malveillantes n'utilisent votre domaine pour envoyer des e-mails non autorisés (malveillants), ce que l'on appelle également l'usurpation d'e-mail (email spoofing). Le protocole SPF est utilisé comme l'une des méthodes standard pour lutter contre le spam et est également utilisé dans la spécification DMARC.
Que sont les enregistrements SPF ?
Un enregistrement SPF est un enregistrement TXT qui fait partie du DNS (Domain Name Service) d'un domaine. Un enregistrement SPF répertorie tous les noms d'hôtes/adresses IP autorisés à envoyer des e-mails pour le compte de votre domaine.
Quel effet un enregistrement SPF a-t-il ?
Certains destinataires d'e-mails exigent strictement le SPF. Si vous n'avez pas publié d'enregistrement SPF pour votre domaine, votre e-mail peut être marqué comme spam ou, pire encore, l'e-mail sera rejeté. Si un e-mail est envoyé par un serveur de messagerie non autorisé, il peut être marqué comme spam. Disposer d'un enregistrement SPF correctement configuré améliorera la délivrabilité de vos e-mails et aidera à protéger votre domaine contre les e-mails malveillants envoyés en votre nom. Le système de validation des e-mails DMARC établit un lien entre SPF et DKIM.
Comment créer votre enregistrement SPF ?
Pour protéger votre marque contre les attaques de spoofing et de phishing, vous devez authentifier votre e-mail. Créez votre enregistrement SPF en suivant les étapes suivantes :
Étape 1 : Collectez toutes les adresses IP utilisées pour envoyer des e-mails
Le Sender Policy Framework (SPF) permet d'authentifier votre e-mail et de spécifier quelles adresses IP sont autorisées à envoyer des e-mails pour le compte d'un domaine spécifique.
Pour mettre en œuvre avec succès le protocole SPF, vous devez d'abord identifier les serveurs de messagerie utilisés pour envoyer des e-mails pour votre domaine. Ces serveurs de messagerie peuvent être n'importe quelle organisation d'envoi, vous devez penser à votre fournisseur de services de messagerie, au serveur de messagerie Office et à tout autre serveur de messagerie tiers qui peut être utilisé pour envoyer des e-mails pour vous.
Avez-vous rassemblé tous les serveurs d'envoi d'e-mails ?
Maintenant que vous avez une vue d'ensemble claire de tous les domaines d'envoi, vous devez créer un enregistrement SPF pour chaque domaine, même si le domaine n'envoie pas activement d'e-mail (plus d'informations sur : Comment sécuriser les domaines inactifs/parqués).
Étape 2 : Créez votre enregistrement SPF
- Commencez par la version SPF. Cette partie définit l'enregistrement comme SPF. Un enregistrement SPF doit toujours commencer par le numéro de version v=spf1 (version 1). Cette balise définit l'enregistrement en tant que SPF. Il existait auparavant une deuxième version de SPF (appelée SenderID), mais elle a été abandonnée.
- Après avoir inclus la balise de version SPF v=spf1, vous devez suivre avec toutes les adresses IP qui sont autorisées à envoyer des e-mails en votre nom. Par exemple : v=spf1 ip4:34.243.61.237 ip6:2a05:d018:e3:8c00:bb71:dea8:8b83:851e
- Ensuite, vous pouvez inclure une balise d'inclusion pour chaque organisation tierce utilisée pour envoyer des e-mails en votre nom, par ex. include:thirdpartydomain.com. Cette balise indique que ce tiers particulier est autorisé à envoyer des e-mails au nom de votre domaine. Vous devez consulter le tiers pour savoir quel domaine utiliser comme valeur pour l'instruction « include ».
- Une fois que vous avez mis en œuvre toutes les adresses IP et les balises Include, vous devez terminer votre enregistrement par une balise ~all ou -all. La balise all joue un rôle important dans l'enregistrement SPF, car elle indique la politique à appliquer lorsque les FAI détectent un serveur qui n'est pas répertorié dans votre enregistrement SPF. Si un serveur non autorisé envoie des e-mails au nom de votre domaine, des mesures sont prises conformément à la politique publiée (par ex. rejeter l'e-mail ou le marquer comme spam). Quelle est la différence entre ces balises ? Vous devez indiquer avec quelle rigueur les serveurs doivent traiter les e-mails. La balise ~all indique un échec léger et la balise -all indique un échec grave. La balise all possède les marqueurs de base suivants :
- -all Échec : les serveurs qui ne figurent pas dans l'enregistrement SPF ne sont pas autorisés à envoyer des e-mails (les e-mails non conformes seront rejetés).
- ~all Échec léger : si l'e-mail est reçu d'un serveur qui n'est pas répertorié, l'e-mail sera marqué comme un échec temporaire (les e-mails seront acceptés, mais marqués).
- +all : nous vous recommandons fortement de ne pas utiliser cette option, cette balise permet à n'importe quel serveur d'envoyer des e-mails depuis votre domaine.
