Syntaxe du SPF

Modifié le  Jeu, 14 Sept., 2023 à 6:33 H

Comment optimiser la sécurité en respectant la syntaxe ?

Le SPF est un enregistrement DNS de type TXT prenant la forme suivante :

v=spf1 [liste des services autorisés] [politique de traitement]

Les antispams traduisent cette syntaxe en une liste d’adresses IP (IPv4 et IPv6) associé à une politique de traitement des émetteurs non référencés. Un exemple et les explications associées se trouvent ci-dessous. Vous pouvez aussi retrouver tous les détails dans la norme RFC7208.

Remarque

Vérifiez votre DMARC avec notre testeur gratuit : https://check.merox.io

Exemples

v=DMARC1; p=none;

v=DMARC1; p=quarantine; sp=reject; rua=mailto:rua@emailsecurity.merox.io; 

v=DMARC1; p=none; ruf=mailto:ruf@merox.io; adkim=r; aspf=s;

Le séparateur entre les paramètres est l'espace [ ].

  • v=spf1obligatoire – au début – définit la version du protocole. Seule la valeur spf1 est acceptée à date.
  • ip4:1.2.3.4optionnel – spécifie une adresse de type IPv4 autorisée.
  • ip4:41.31.31.41/24optionnel – spécifie une plage d’adresses de type IPv4, toutes les IP de la plage sont donc autorisées.
  • mx optionnel – permet aux IPs du MX (Mail eXchange - serveurs de réception de messagerie -enregistrement DNS) du domaine d'envoyer des emails.
    mx:otherdomain.com peut être utilisé pour spécifier les MX d’un autre domaine.
  • include:_spf.authorizedmailservers.comoptionnel – Le mot include indique d'ajouter le résultat du SPF du domaine indiqué. Cela effectue une nouvelle requête DNS pour résoudre les adresses IP de _spf.authorizedmailservers.com.
  • exists:optionnel – syntaxe pour les macros pour des stratégies SPF dynamiques. Cette syntaxe peu utilisée, requiert une bonne maitrise pour l'utiliser pleinement, permettant un listage d’un grand nombre d’IP par nommage PTR et de conditions sur l'adresse email éméttrice.
  • redirect=optionnel – ce modifieur permet de rediriger l’entièreté du SPF sur un autre enregistrement (mécanismes pour les adresses IP et la politique de traitement « all »).
  • -all obligatoire – Cet indicateur spécifie le traitement d’un email lorsque l’IP de provenance ne figure pas dans la liste du SPF et donc n’est pas autorisée à envoyer du courrier électronique. Plusieurs valeurs existent :
    • -allFail ou HardFail, tout serveur qui ne figure pas dans la liste n'est pas autorisé à envoyer des emails, donc ses emails seront mis en spam. Cette politique est la seule valable pour une bonne protection.
    • ~allSoftFail, si le courrier est reçu d'un serveur qui n'est pas répertorié, il est marqué comme un échec partiel, donc une vérification sur d’autres critères est effectuée avant de le juger spam; ou un bandeau d'information "email suspicieux" peut être ajouté par l'antipsam et laissé en boite de réception.
    • ?allNeutral, équivaut à dire que le SPF n'est pas utilisé. Les émetteurs non listés arriveront en boite de réception sans problème. À bannir évidemment.
    • +allPass, équivaut à autoriser n’importe quelle IP. C'est le paramètre par défaut pour les enregistrements SPF ayant oublié l’indicateur all. À bannir évidemment.


⚠️ Attention

spf2.0 peut être trouvé, mais est déprécié et n’est pas utilisé. 

⚠️ Attention

Voici des erreurs sur le SPF que nous trouvons communément.

 

Cet article a-t-il été utile ?

C'est super !

Merci pour votre commentaire

Désolé ! Nous n'avons pas pu vous être utile

Merci pour votre commentaire

Dites-nous comment nous pouvons améliorer cet article !

Sélectionner au moins l'une des raisons
La vérification CAPTCHA est requise.

Commentaires envoyés

Nous apprécions vos efforts et nous allons corriger l'article