Qu'est-ce qu'un enregistrement SPF ?
Un enregistrement SPF est une ligne de texte publiée dans le DNS qui contient la liste des adresses IP autorisées à partir desquelles le courrier électronique peut être envoyé pour le domaine. Lorsqu'un serveur de messagerie reçoit un message, il peut vérifier l'adresse IP dans l'en-tête du message pour voir si elle correspond à l'adresse figurant dans l'enregistrement SPF. S'il n'y a pas de correspondance, l'e-mail ne passe pas le test SPF.
Quel est le format d'un enregistrement SPF ?
Un enregistrement SPF est une forme spéciale d'enregistrement DNS TXT. Un enregistrement SPF permet aux organisations de dresser la liste de toutes les sources légitimes autorisées à envoyer des courriels au nom du domaine de l'organisation concernée.
L'authentification des sources d'envoi légitimes par l'inclusion de ces expéditeurs dans l'enregistrement SPF donne au destinataire (systèmes de réception) des informations sur le degré de fiabilité de l'origine d'un courrier électronique et peut améliorer de manière significative la délivrabilité globale du canal de courrier électronique d'une organisation.
Dans la pratique, un enregistrement SPF ne suffit pas à lui seul à protéger totalement un canal de courrier électronique, car il n'est pas capable d'empêcher l'usurpation de nom de domaine et présente certaines limites.
Limites du SPF :
Le SPF présente quelques limitations techniques difficiles à surmonter. Bien que plusieurs serveurs d'envoi puissent être ajoutés dans l'enregistrement SPF, celui-ci ne peut pas dépasser 255 caractères. L'enregistrement DNS TXT lui-même est limité à 255 caractères, ce qui rend difficile la division d'un enregistrement en plusieurs lignes. L'existence d'une limite de recherche DNS de 10 peut entraîner de graves problèmes en raison de l'adoption généralisée d'organisations d'envoi tierces. Pour de nombreuses organisations, la mise en œuvre standard du SPF n'est pas suffisante.
Pour garantir la délivrabilité et la sécurité du canal de messagerie, il est souhaitable d'ajouter un nombre pratiquement illimité de serveurs d'envoi à l'enregistrement SPF. Mimecast DMARC Analyzer SPF Delegation permet aux utilisateurs d'ajouter un nombre illimité de serveurs d'envoi (lookups) dans une interface conviviale. L'utilisation de la délégation SPF réduira les risques et accélérera considérablement les projets de déploiement DMARC. La délégation SPF est un moyen sûr, intelligent et rapide d'atteindre une politique de rejet DMARC.
Mimecast encourage l'utilisation de la délégation DNS pour SPF car elle complète un projet DMARC.
Améliorer votre enregistrement SPF avec DMARC
Sender Policy Framework (SPF) est une méthode d'authentification du courrier électronique qui permet de lutter contre le spam, l'usurpation d'identité et les attaques par courrier électronique. Grâce au protocole de messagerie SPF, les organisations peuvent publier un enregistrement SPF dans le DNS du domaine qui identifie les serveurs de messagerie autorisés à envoyer du courrier électronique pour le domaine. Grâce à ces informations, les fournisseurs de services Internet et les serveurs de messagerie destinataires peuvent effectuer un test SPF, en vérifiant l'enregistrement SPF pour voir si un courrier électronique est envoyé par un serveur autorisé.
Si l'utilisation des informations contenues dans un enregistrement SPF peut bloquer certaines menaces, elle ne permet pas d'arrêter les courriers électroniques dont seule l'adresse "from" est usurpée. De même, un contrôle SPF ne fonctionnera pas sur un courrier électronique transféré. Et pour que le SPF soit efficace, une organisation doit maintenir son enregistrement SPF constamment à jour - une tâche qui peut s'avérer difficile au fil du temps, car les organisations changent de fournisseur d'accès à Internet.
Domain-based Message Authentication, Reporting & Conformance, ou DMARC, est une méthode de validation du courrier électronique qui s'appuie sur les protocoles SPF et DKIM. Un courriel doit passer l'authentification SPF et/ou DKIM, et les informations contenues dans l'adresse "from" doivent correspondre aux autres informations connues sur l'expéditeur grâce à l'enregistrement SPF ou à la signature DKIM. Plus utile encore, DMARC indique également comment les messages qui ne parviennent pas à s'authentifier doivent être traités.
Malgré les nombreux avantages du protocole DMARC, la mise en œuvre et la gestion de cette puissante technique d'authentification peuvent s'avérer difficiles pour les organisations. C'est là que Mimecast peut vous aider.
FAQ sur les enregistrements SPF
Qu'est-ce que l'authentification SPF du courrier électronique ?
La technique d'authentification du courrier électronique SPF permet au propriétaire d'un domaine de publier des informations dans un enregistrement SPF du DNS qui répertorie les adresses IP autorisées à envoyer du courrier électronique pour le domaine. Le serveur de messagerie qui reçoit le message peut comparer cette liste à l'adresse IP figurant dans le courrier électronique entrant afin de déterminer si le message est authentique.
Quelles sont les limites de l'authentification SPF du courrier électronique ?
L'authentification SPF du courrier électronique présente quelques limitations majeures. Il ne peut que vérifier l'authenticité de l'adresse de l 'enveloppe, mais ne peut pas identifier les courriels dont l'expéditeur usurpe le nom d'affichage ou l'adresse de l'en-tête du message. SPF s'interrompt lorsqu'un message est transféré et la maintenance et la mise à jour des enregistrements SPF peuvent s'avérer difficiles lorsque les marques ajoutent de nouveaux flux de courrier ou changent de fournisseur d'accès à Internet.
