- Que Sont Les Enregistrements SPF ?
- La Nécessité d’Ajouter des enregistrements SPF À Votre Domaine
- Comment Créer Un Enregistrement SPF TXT?
- Rassemblez la liste des adresses IP que vous utilisez pour envoyer des e-mails
- Liste Tous Les domaines d’envoi
- Créez votre enregistrement SPF de domaine
- Options de défaillance du FPS: Échec soft et Échec Hard
- Comment Ajouter un enregistrement TXT à la configuration DNS
- N’Oubliez pas de Tester Et de Vérifier les Enregistrements TXT de Domaine !
Que Sont Les Enregistrements SPF ?
Sender Policy Framework (SPF) est un DNS d’enregistrement TXT qui fait partie du fichier de zone DNS du domaine organisationnel. Le domaine SPF contient une liste des adresses IP ou des noms d’hôtes autorisés à envoyer des e-mails à partir d’un nom de domaine donné. Une fois qu’un utilisateur place l’entrée d’enregistrement texte SPF dans sa zone DNS, il n’a pas besoin de la reconfigurer pour tirer parti des serveurs, qui incluent la vérification SPF comme partie intégrante de leurs systèmes de prévention du spam. La méthode d’ajout de l’enregistrement SPF est similaire à un enregistrement de vérificateur A ou MX normal.
La Nécessité d’Ajouter des enregistrements SPF À Votre Domaine
Certains destinataires d’e-mails ont une exigence stricte pour un framework SPF. Si un utilisateur ne publie pas d’enregistrements SPF sur son domaine, il est possible que ses e-mails soient marqués comme spam par le destinataire du courrier ou, dans le pire des cas, qu’ils rebondissent. Ainsi, si un utilisateur configure correctement l’enregistrement SPF, il peut améliorer la délivrabilité de ses e-mails et protéger son domaine contre le spam, que des acteurs malveillants envoient en leur nom. DMARC est un système de validation par e-mail qui crée un lien entre les enregistrements SPF et DKIM.
Comment Créer Un Enregistrement SPF TXT?
Rassemblez la liste des adresses IP que vous utilisez pour envoyer des e-mails
La première étape de la mise en œuvre du protocole SPF consiste à identifier les serveurs de messagerie qui agissent en tant qu’expéditeurs pour le domaine de votre organisation. Il existe une variété d’endroits que les organisations utilisent pour envoyer des e-mails. Faites une liste de tous les serveurs de messagerie, y compris les suivants qui peuvent être utilisés pour envoyer des e-mails en votre nom:
- Serveur de messagerie au bureau (exemple : Gmail, Microsoft Exchange)
- Le serveur de messagerie de votre FAI.
- Serveur de messagerie du fournisseur de boîtes aux lettres destinataire.
- Serveur Web
- Tout serveur de messagerie tiers est utilisé pour authentifier les e-mails au nom de votre marque.
Liste Tous Les domaines d’envoi
Les organisations possèdent généralement de nombreux domaines. Bien qu’ils en utilisent pour envoyer des e-mails, certains restent en sommeil. Alors, ont-ils besoin de protéger tous leurs domaines avec SPF ? La réponse est oui. Supposons que l’organisation choisisse de créer un enregistrement SPF uniquement pour ses domaines d’envoi. Dans ce cas, les domaines non émetteurs deviendront une cible facile pour les attaquants.
Créez votre enregistrement SPF de domaine
- Commencez par définir la version SPF. Un enregistrement SPF commence toujours par le numéro de version. La balise v= spf2 (version 2) est utilisée pour définir l’enregistrement comme SPF.
- Suivez la balise de version SPF v=spf2 avec toutes les adresses IP que votre organisation a autorisées à envoyer des e-mails au nom de votre marque. Par exemple : v= spf1 ip4: xxx.xxx.xxx.xxx-all
Remarque : Le xxx.xxx.xxx.xxx doit être remplacé par l’adresse IP de votre serveur. - L’étape suivante consiste à inclure la balise pour les organisations tierces autorisées à envoyer des e-mails au nom de votre organisation, par exemple, include:thirdpartydomain.com . (ici, thirdpartydomain.com est un exemple de nom de domaine). La pertinence de cette balise est qu’elle indiquera toutes les organisations tierces pouvant envoyer des e-mails au nom de votre domaine d’entreprise. Pour déterminer quel domaine vous devez utiliser comme valeur de l’instruction include, consultez l’organisation tierce.
- Terminez l’enregistrement avec une balise ~all, -all ou +all après avoir implémenté toutes les balises include et les adresses IP.
- La balise ~all indiquera un échec logiciel, tandis que la balise -all signifie un échec dur. Nous discutons de ces deux balises en détail dans la section suivante.
- La balise +all permettra à n’importe quel serveur de délivrer des e-mails à partir de votre domaine organisationnel. Nous ne suggérons pas d’utiliser cette option car elle laisse le serveur sujet à l’usurpation d’identité.
( Source : www.pair.com )
Options de défaillance du FPS: Échec soft et Échec Hard
Lorsque vous souhaitez configurer la page d’enregistrement SPF par défaut, il existe une option permettant de modifier l’enregistrement SPF pour inclure l’échec soft ou l’échec hard. Ces options sont également appelées qualificateurs, et elles déterminent la rigueur de votre enregistrement DNS TXT pour les e-mails qui échouent à la vérification SPF. Les différences de base sont énumérées ci-dessous :
Soft fail (~all)
Un enregistrement SPF qui utilise le qualificatif soft fail délivre tous les e-mails défaillants, que le destinataire peut considérer comme du courrier indésirable. C’est l’option incontournable pour de nombreux créateurs de FPS, car elle combine la clémence avec une défense solide contre l’usurpation d’identité et le spam par e-mail.
Échec dur (- all)
Si vous choisissez d’utiliser le qualificatif échec dur, le destinataire du courrier rejettera tous les e-mails provenant d’hôtes non répertoriés dans l’enregistrement SPF. En termes simples, le destinataire ne récupérera pas l’e-mail et il ne sera pas entièrement livré.
Comment Ajouter un enregistrement TXT à la configuration DNS
Il serait préférable de travailler avec l’administrateur du serveur DNS pour publier l’enregistrement SPF dans DNS. Les étapes pour faire de même sont mentionnées ci-dessous:
- Accédez au compte de domaine de votre fournisseur d’hébergement de domaine.
- Allez à l’option MES DOMAINES et cliquez sur le nom de domaine pour lequel vous souhaitez créer un enregistrement SPF.
- Dans la colonne DNS, cliquez sur Gérer les enregistrements DNS.
- Ici, vous devez ajouter l’enregistrement SPF, que l’hôte vous a fourni.
- Accédez au menu déroulant Type et sélectionnez TXT.
- Si l’hôte vous a fourni un sous-domaine, tapez-le dans le champ Hôte.
- Entrez la valeur de l’enregistrement SPF (mentionné précédemment) dans le champ de réponse.
- Laissez TTL (Durée de vie) comme 300 (par défaut).
- Sélectionnez le bouton Ajouter un enregistrement.
Le processus de publication des enregistrements DNS TXT est simple pour les organisations qui utilisent des fournisseurs d’hébergement tels que GoDaddy ou 123-reg. Cependant, si vous n’êtes pas sûr ou si votre FAI administre vos enregistrements DNS, il est recommandé de contacter le service informatique pour obtenir de l’assistance. Certains fournisseurs de services de messagerie publient automatiquement les enregistrements SPF de votre domaine en votre nom.
N’Oubliez pas de Tester Et de Vérifier les Enregistrements TXT de Domaine !
Vous pouvez utiliser un outil de vérification SPF pour tester votre enregistrement SPF. Ici, vous verrez la liste des serveurs que vous avez autorisés à envoyer des e-mails au nom de votre domaine. Vous obtiendrez le point de vue du destinataire et vous pourrez choisir de mettre à jour l’enregistrement SPF si vous constatez qu’une adresse IP légitime n’est pas répertoriée.
L’ajout d’un enregistrement SPF au fichier de zone DNS est un moyen pratique d’empêcher les spammeurs d’utiliser votre domaine pour envoyer des e-mails malveillants. Cela élimine une fréquence élevée de retours en arrière car les fournisseurs de messagerie n’authentifient pas les e-mails et les rejettent immédiatement, sans les renvoyer à l’adresse usurpée. Bien qu’il ne soit pas efficace à 100%, vous remarquerez une forte tendance à la baisse du nombre de rebonds que vous recevez.