Dans sa nouvelle version, la plateforme Merox propose désormais une fonctionnalité d’hébergement SPF dans l’optique de vous aider toujours plus dans la sécurisation de vos domaines. Cet article contient toutes les informations dont vous aurez besoin pour mettre en place vos premiers profils d’hébergement SPF sur Merox.
Qu'est-ce que l’hébergement SPF ?
L'enregistrement SPF, un des trois principaux protocoles de sécurisation email sortant, liste les émetteurs autorisés via des mécanimes DNS (include:, ip4:, mx, ...), chacun déclenchant une résolution DNS supplémentaire, pour être accepté par les antispams au nom d'un domaine.
Par exemple, pour autoriser les serveurs Microsoft 365 - Outlook, le SPF d’un domaine doit contenir :
« include:spf.protection.outlook.com »
La RFC impose une limite stricte de 10 requêtes DNS, au delà le comportement des antispams est imprévisible et la délivrabilité en pâtit.
L’hébergement SPF de Merox résout ce problème en remplaçant l'ensemble de vos mécanismes par un seul "include:" pointant sur l'infrastructure Merox. La liste blanche d'IP est ensuite gérée intégralement depuis la plateforme, sans toucher à votre zone DNS. Elle permet une gestion plus simple des mécanismes autorisés, encadrer un certain nombre d'erreur de syntaxe, tout en conservant la simplicité de la délégation aux prestataires emails.
Pourquoi l'utiliser ?
Il existe deux raisons pour lesquelles l’hébergement SPF peut être plus intéressant qu’un SPF traditionnel :
• La Conformité : Pour résoudre le défi de maintenir un SPF classique sous la limite de 10 DNS lookups, l'hébergement SPF ramène mécaniquement le nombre de lookups à 1. C'est une solution d'assainissement rapide, le temps de mener un audit complet de vos émetteurs prestataires pour votre domaine.
• La Sécurité par l'obfuscation : Un SPF classique expose publiquement la liste blanche de vos sources d'envoi. Cette information peut être utilisée par un attaquant pour potentiellement compromettre un des serveurs. Avec l’hébergement SPF, seul le domaine Merox est visible dans la zone DNS et masque le nom des prestataires par design.
Malgré ces avantages, l’hébergement SPF n’est pas une solution parfaite, et il est important de préciser ses défauts.
Les limites à connaître
L’hébergement SPF transfère la responsabilité de gestion du SPF de l'equipe DNS vers la plateforme Merox. En être conscient et prendre deux précautions :
- La gouvernance DNS : Les modifications du SPF s'effectuent désormais au niveau de la plateforme Merox. Assurez-vous que les droits d'accès sont alignés avec votre politique de gestion DNS (habilitations, traçabilité des changements (visible dans la plateforme)
- La dépendance à un service externe : Si la plateforme Merox est indisponible, le SPF peut être impacté.
- Merox garantit des SLA sur son système d’hébergement SPF sur une infrastructure DNS tierces de qualité, et propose de récupérer la valeur classique équivalente du SPF. Mais pour mitiger le risque :
- Conserver en parallèle l’enregistrement SPF correspondant, afin de pouvoir le remplacer dans l’urgence dans votre zone DNS
- Assurez-vous de mettre en place DKIM sur le même domaine, afin d’avoir les deux mécanismes d’authentification du trafic email sortant, sachant que DMARC accepte la réussite d'un seul des deux.
Comment fonctionne l’hébergement SPF Merox ?
Pour commencer, créez un profil de configuration SPF en passant par l’assistant de configuration SPF. Il propose de déclarer les mécanismes que vous souhaitez ajouter dans votre hébergement SPF.
Vous obtenez l'enregistrement SPF construit, sauvegardé dans le profil SPF.
Après la sauvegarde, l'enregistrement SPF hébergé est affiché.
Vous pouvez l'utilisez sur plusieurs domaines. Les adresses IP contenues dans les divers mécanismes choisis dans l’assistant seront autorisées par l’unique mécanisme « include » de l’enregistrement. Une requête TXT sur le domaine inclus permet de comprendre le fonctionnement de l’hébergement SPF.
L'hébergement SPF repose sur les macros SPF (RFC 7208, section 7), une fonctionnalité avancée du protocole peu utilisée en dehors de contextes spécialisés. La macro %{ir} est remplacée à la volée par l'adresse IP inversée du serveur émetteur que l'antispam est en train d'évaluer. Merox résout alors dynamiquement si cette IP est autorisée pour votre profil. Le résultat est pass ou fail, sans exposer la liste des prestataires ni consommer de lookups supplémentaires.
La configuration est mise à jour en temps réel par Merox, Si un des mécanismes compris dans l’hébergement est modifié, la synchrosnisation se fait toutes les 15 minutes.
Mise en place en bref
- Ouvrir l'assistant SPF dans la plateforme
- Déclarer les mécanismes à agréger (prestataires, plages IP)
- Sauvegarder le profil, Merox génère l'enregistrement SPF à publier
- Copier et Publier cet enregistrement TXT dans votre zone DNS (opération unique) pour le domaine souhaité
- Répéter les étapes pour chaque domaine dans l'interface
Une fois publié, toute modification ultérieure du profil SPF se fait exclusivement dans Merox, la zone DNS n'est plus à toucher.
Remarque
Vérifiez votre SPF avec notre testeur gratuit : https://check.merox.io
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article