Comment optimiser la sécurité en respectant la syntaxe ?
Le SPF est un enregistrement DNS de type TXT prenant la forme suivante :
v=spf1 [liste des services autorisés] [politique de traitement]
Les antispams traduisent cette syntaxe en une liste d’adresses IP (IPv4 et IPv6) associé à une politique de traitement des émetteurs non référencés. Un exemple et les explications associées se trouvent ci-dessous. Vous pouvez aussi retrouver tous les détails dans la norme RFC7208.
Remarque
Vérifiez votre DMARC avec notre testeur gratuit : https://check.merox.io
Exemples
v=DMARC1; p=none;
v=DMARC1; p=quarantine; sp=reject; rua=mailto:rua@emailsecurity.merox.io;
v=DMARC1; p=none; ruf=mailto:ruf@merox.io; adkim=r; aspf=s;
Le séparateur entre les paramètres est l'espace [ ].
- v=spf1 – obligatoire – au début – définit la version du protocole. Seule la valeur spf1 est acceptée à date.
- ip4:1.2.3.4 – optionnel – spécifie une adresse de type IPv4 autorisée.
- ip4:41.31.31.41/24 – optionnel – spécifie une plage d’adresses de type IPv4, toutes les IP de la plage sont donc autorisées.
- mx – optionnel – permet aux IPs du MX (Mail eXchange - serveurs de réception de messagerie -enregistrement DNS) du domaine d'envoyer des emails.
mx:otherdomain.com peut être utilisé pour spécifier les MX d’un autre domaine. - include:_spf.authorizedmailservers.com – optionnel – Le mot include indique d'ajouter le résultat du SPF du domaine indiqué. Cela effectue une nouvelle requête DNS pour résoudre les adresses IP de _spf.authorizedmailservers.com.
- exists: – optionnel – syntaxe pour les macros pour des stratégies SPF dynamiques. Cette syntaxe peu utilisée, requiert une bonne maitrise pour l'utiliser pleinement, permettant un listage d’un grand nombre d’IP par nommage PTR et de conditions sur l'adresse email éméttrice.
- redirect= – optionnel – ce modifieur permet de rediriger l’entièreté du SPF sur un autre enregistrement (mécanismes pour les adresses IP et la politique de traitement « all »).
- -all – obligatoire – Cet indicateur spécifie le traitement d’un email lorsque l’IP de provenance ne figure pas dans la liste du SPF et donc n’est pas autorisée à envoyer du courrier électronique. Plusieurs valeurs existent :
- -all – Fail ou HardFail, tout serveur qui ne figure pas dans la liste n'est pas autorisé à envoyer des emails, donc ses emails seront mis en spam. Cette politique est la seule valable pour une bonne protection.
- ~all – SoftFail, si le courrier est reçu d'un serveur qui n'est pas répertorié, il est marqué comme un échec partiel, donc une vérification sur d’autres critères est effectuée avant de le juger spam; ou un bandeau d'information "email suspicieux" peut être ajouté par l'antipsam et laissé en boite de réception.
- ?all – Neutral, équivaut à dire que le SPF n'est pas utilisé. Les émetteurs non listés arriveront en boite de réception sans problème. À bannir évidemment.
- +all – Pass, équivaut à autoriser n’importe quelle IP. C'est le paramètre par défaut pour les enregistrements SPF ayant oublié l’indicateur all. À bannir évidemment.
⚠️ Attention
spf2.0 peut être trouvé, mais est déprécié et n’est pas utilisé.
⚠️ Attention
Voici des erreurs sur le SPF que nous trouvons communément.
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article