Ce que vous apprendrez dans cet article
- La vérification de la conformité SPF est une vérification DMARC qui consiste à vérifier si le domaine authentifié par SPF correspond au domaine figurant dans l'adresse « De » visible.
- Le SPF est évalué par rapport au domaine « Mail From » défini dans la RFC 5321, également appelé « chemin de retour » ou « envelope-from », et non par rapport à le domaine « From » visible par les utilisateurs dans leur boîte de réception.
- Dans le cadre d'un alignement souple, les sous-domaines peuvent s'aligner sur le domaine organisationnel. Pour un alignement strict, les domaines doivent correspondre exactement. Le mode d'alignement SPF par défaut de DMARC est « relaxed ».
- Un message peut passer le contrôle SPF tout en échouant au contrôle d'alignement SPF si le domaine du chemin de retour authentifié ne correspond pas au domaine « De » visible.
- Pour corriger un problème d'alignement SPF, il faut généralement identifier l'expéditeur mal aligné, ajuster la configuration du chemin de retour ou de l' de l'expéditeur, puis valider la modification à l'aide des en-têtes et des rapports DMARC. La mise en conformité avec le protocole DKIM peut également constituer un autre moyen d'obtenir la certification DMARC.
Le SPF peut être validé tout en vous laissant face à un problème DMARC. Cela se produit généralement lorsque le domaine authentifié par SPF ( ) ne correspond pas au domaine indiqué dans l'adresse « De » visible. Ce guide explique ce qu’est l’alignement SPF, pourquoi il échoue, et comment corriger les sources d’envoi qui ne cessent de compromettre la confiance du domaine.
Qu'est-ce que l'alignement SPF ?
Un message peut passer l'authentification tout en échouant au contrôle DMARC si le domaine authentifié ne correspond pas à l'adresse « De » visible ( ). Pour comprendre pourquoi, il est utile de faire la distinction entre le domaine soumis aux vérifications SPF et le domaine que le destinataire voit réellement.
Comment l'alignement SPF s'intègre-t-il au protocole DMARC ?
L'alignement SPF fait partie du protocole DMARC. Ce système vérifie si le domaine authentifié par SPF correspond au domaine indiqué dans l'en-tête « From » visible de . Si les domaines sont conformes à la politique DMARC active de, le SPF peut permettre au message de passer le contrôle DMARC. Si ce n'est pas le cas, le SPF pourra tout de même authentifier le message, mais il ne respectera pas l'alignement DMARC d' .
Quel domaine le SPF vérifie-t-il réellement ?
C'est souvent là que la confusion commence. L'authentification SPF est évaluée par rapport au domaine « Mail From » défini dans la norme RFC 5321, également appelé « chemin de retour » ou « envelope-from ». Par défaut, il n'est pas vérifié par rapport au domaine « From » visible défini dans la RFC 5322. Cette « » signifie qu'un message peut être authentifié avec succès pour un domaine tout en affichant un domaine différent au destinataire. Dans ce cas précis , l'authentification SPF fonctionne, mais l'alignement SPF échoue.
Alignement SPF souple ou strict
DMARC prend en charge deux modes d'alignement SPF. Même dans le cadre d'un alignement souple, un sous-domaine peut tout de même s'aligner sur le domaine « » de l'organisation. Par exemple, mail.example.com peut correspondre à example.com.
Pour que la conformité soit stricte, le domaine authentifié par le SPF doit correspondre exactement au domaine « De » affiché, sans aucune variation de sous-domaine . Le mode d'alignement SPF par défaut de DMARC est « relaxed », sauf si la balise « aspf » est définie sur « strict ».
SPF : alignement ou non-alignement
La différence apparaît plus clairement lorsque l'on observe comment les messages cohérents et incohérents se présentent dans des situations réelles d'envoi.
- SPF conforme — Le domaine de la voie de retour authentifié par SPF correspond, ou, en mode assoupli, établit un lien approprié entre et le domaine « From » visible.
- Exemple : l'adresse « De » affichée utilise example.com, et l'adresse de retour utilise mail.example.com. Dans le cadre d'un alignement « relaxed », cet alignement reste possible car les deux entités partagent le même domaine organisationnel.
- SPF non conforme — Le SPF est valide pour le domaine de retour, mais ce domaine ne correspond pas suffisamment au domaine « From » visible pour le mode d'alignement DMARC sélectionné.
- Exemple : l'adresse « De » affichée utilise example.com, mais l'adresse de retour utilise vendor-mail.com. Le SPF peut être interprété comme vendor-mail.com, Cependant, l'alignement échoue car le domaine authentifié ne correspond pas au domaine « De ».
Quelles sont les causes d'un échec de l'alignement SPF ?
L'alignement SPF échoue généralement pour l'une des deux raisons suivantes : soit la configuration de l'expéditeur est mal alignée, soit le message n'est tout simplement pas une « » valide. Les cas présentés ci-dessous couvrent les causes les plus courantes et expliquent pourquoi cette défaillance se produit.
Cas n° 1 : le mode d'alignement SPF est défini sur « strict »
Un alignement strict nécessite une correspondance exacte des domaines. Cela peut perturber l'alignement lorsque des sous-domaines sont utilisés dans l'URL de l' . Par exemple, si l'adresse « De » visible utilise example.com mais que le chemin de retour utilise mail.example.com, Le test SPF peut réussir ( ) alors que l'alignement strict échoue toujours.
C'est pourquoi le mode strict a tendance à donner de meilleurs résultats dans des environnements mieux contrôlés. Cela permet de renforcer la stratégie d' , mais nécessite également une gestion plus rigoureuse des domaines, des sous-domaines et des flux de messagerie provenant de tiers. Une configuration d'expéditeur « » qui fonctionne en mode d'alignement assoupli peut rapidement échouer en mode strict.
Cas n° 2 : le nom de domaine a fait l'objet d'une usurpation d'identité
Les e-mails falsifiés constituent une autre cause fréquente d'échec de la vérification de la conformité SPF. Un pirate peut indiquer un domaine légitime dans le champ « De » visible tout en utilisant un domaine de chemin de retour non autorisé et une adresse IP d'expédition non autorisée.
Dans de nombreux cas, ces messages échouent complètement à l'authentification SPF. Même si un expéditeur modifie d'autres éléments du message « », DMARC vérifie tout de même si le domaine authentifié par SPF correspond au domaine « De » visible.
Cela signifie que les problèmes d'alignement SPF ne sont pas toujours dus à une erreur de configuration. Parfois, ce sont justement les signaux que vous souhaitez voir , car ils permettent de mettre au jour les messages usurpés et fournissent à DMARC un élément exploitable sur lequel s'appuyer pour agir.
Concrètement, l'essentiel est de déterminer si l'échec est dû à un problème de configuration de l'expéditeur ou si le signal d' , qui fait son travail, est à l'origine de ce problème. Cette distinction vous permet de déterminer plus facilement si cette solution doit s'inscrire dans votre flux de messagerie ou dans votre stratégie de mise en œuvre de la politique « ».
Comment résoudre l'erreur « Échec de l'alignement SPF »
Pour résoudre un problème d'alignement SPF, il faut généralement identifier l'expéditeur précis à l'origine de la non-correspondance, puis corriger le mode d'authentification de ce flux de messagerie . Les étapes ci-dessous permettent de rendre le processus plus facile à gérer et de faciliter le dépannage.
Étape 1 : Vérifiez si le problème est lié à l'alignement ou à l'autorisation SPF
Commencez par vérifier si le problème est réellement lié à l'alignement ou s'il s'agit d'un problème plus général lié au SPF. Si le service SPF lui-même a échoué, le problème peut provenir de l',de l'enregistrement SPF, des enregistrements DNS, des adresses IP autorisées à l'envoi ou de la syntaxe du Sender Policy Framework. Si le test SPF a été réussi mais que le test DMARC a échoué, cela indique plus clairement une divergence entre le chemin de retour et le domaine « From » visible sur .
Étape 2 : Identifier la source d'envoi à l'origine de la divergence
Ensuite, identifiez le flux de courrier en cause. Dans la pratique, le problème est souvent lié à un expéditeur précis, par exemple :
- Plateforme marketing
- Système de billetterie
- Service cloud utilisant une voie de retour appartenant au fournisseur
Examinez les en-têtes des e-mails et les données du rapport DMARC afin d'identifier la source concernée, plutôt que de supposer que l'ensemble du domaine présente un problème d'alignement de l' .
Étape 3 : Modifier la configuration de l'expéditeur ou le flux de messagerie
Une fois que vous connaissez la source, modifiez la configuration de manière à ce que le domaine authentifié par SPF corresponde au domaine « De » visible ( ). Cela implique souvent de configurer une adresse de retour personnalisée ou un domaine de rebond personnalisé afin que le service s'authentifie sous votre domaine plutôt que sous le domaine par défaut de son fournisseur. Le déroulement précis varie selon la plateforme, mais l'objectif reste le même : aligner le domaine « Mail From » de la norme RFC 5321 sur le domaine « From » visible, selon le mode d'alignement choisi.
Étape 4 : Utilisez l'alignement DKIM lorsque l'alignement SPF est difficile à maintenir
Si la conformité SPF est difficile à maintenir pour un expéditeur donné, la conformité DKIM peut constituer une autre solution pour obtenir le statut « DMARC pass ». DMARC n'exige pas que les protocoles SPF et DKIM soient alignés. Un seul résultat d' ation d'alignement suffit ; ainsi, une signature DKIM correctement configurée et associée au bon domaine peut toujours prendre en charge DMARC, même lorsque l'alignement SPF est plus difficile à contrôler.
Étape 5 : Valider la correction
Enfin, validez la modification. Vérifiez les en-têtes des messages pour confirmer le résultat SPF et le comportement du chemin de retour, puis utilisez l'outil de rapports DMARC de l' afin de déterminer si la conformité s'améliore au sein des flux de messagerie concernés. Des outils tels que les workflows de vérification de Mimecast ( ) peuvent aider les équipes à analyser les problèmes d'alignement SPF, à valider les modifications et à réduire les erreurs de configuration sur l'ensemble des sources d' s d'envoi.
Une fois que la cause profonde est identifiée, il est généralement plus facile de corriger l'alignement SPF qu'il n'y paraît à première vue. L'essentiel est de corriger le flux de messagerie spécifique à à l'origine de cette anomalie avant qu'elle ne se transforme en une configuration DMARC incorrecte plus générale .
Renforcer la cohérence du SPF en toute confiance
La conformité SPF est importante, car DMARC ne se contente pas de vérifier si le SPF authentifie un message. Le système vérifie si le domaine authentifié correspond à l'identité présentée au destinataire. Lorsque cette relation est rompue, les taux de conformité DMARC et la confiance dans les e-mails en pâtissent tous deux.
La solution la plus fiable consiste à identifier la source d'envoi mal configurée, à corriger le chemin de retour ou la configuration de l'expéditeur, à utiliser la commande « » et à valider le résultat à l'aide des en-têtes et des rapports. Pour les équipes qui ont besoin d’une meilleure visibilité sur les paramètres SPF, DKIM et DMARC d’, quelle que soit la source d’envoi, les outils de sécurité et d’authentification des e-mails de Mimecast peuvent contribuer à réduire les erreurs de configuration d’ et à renforcer la protection dans l’ensemble de l’environnement de messagerie.