Les enregistrements SPF sont un type d’enregistrement DNS TXT couramment utilisé pour l’authentification d’e-mails. Les enregistrements SPF incluent une liste d’adresses IP et de domaines autorisés à envoyer des e-mails depuis ce domaine.
Cet article s'articule autour des points suivants :
Copier le lien de l'article
Un enregistrement SPF (Sender Policy Framework) est un type d’enregistrement DNS TXT qui répertorie tous les serveurs autorisés à envoyer des e-mails depuis un domaine particulier. Un enregistrement DNS TXT (« texte ») permet à un administrateur de domaine saisir du texte libre dans le DNS (Domain Name System). Les enregistrements TXT ont été initialement créés dans le but d’inclure des avis importants concernant le domaine, mais ils ont depuis évolué pour servir d’autres objectifs.
Les enregistrements SPF ont été créés à l’origine parce que le protocole standard utilisé pour les e-mails (SMTP, Simple Mail Transfer Protocol) n’authentifie pas intrinsèquement l’adresse de l’expéditeur dans un e-mail. Cela signifie qu’en l’absence d’enregistrement SPF ou d’autres enregistrements d’authentification, un pirate informatique peut facilement se faire passer pour un expéditeur et inciter le destinataire à effectuer des actions ou partager des informations contre son gré.
Considérez les enregistrements SPF comme une liste d’invités gérée par un portier. Si une personne ne figure pas sur la liste, le portier ne la laissera pas entrer. De même, si un enregistrement SPF ne comporte pas l’adresse IP ou le domaine d’un expéditeur dans sa liste, le serveur de réception (le portier) ne délivrera pas ces e-mails ou les marquera comme indésirables.
Les enregistrements SPF ne sont qu’un des nombreux mécanismes fondés sur le DNS utilisés par les serveurs de messagerie pour confirmer si un e-mail provient d’une source fiable. DMARC (Domain-based Message Authentication Reporting and Conformance) et DKIM (DomainKeys Identified Mail) sont deux autres mécanismes conçus pour l’authentification des e-mails.
Il est intéressant de noter qu’à un moment donné, les enregistrements SPF comportaient un type d’enregistrement DNS dédié. Le type d’enregistrement dédié est depuis devenu obsolète, et seuls les enregistrements TXT doivent être utilisés.
Les serveurs de messagerie suivent un processus relativement simple lors de la vérification d’un enregistrement SPF :
Les enregistrements SPF doivent respecter certaines normes pour que le serveur comprenne comment interpréter leur contenu. Voici un exemple des composants essentiels d’un enregistrement SPF :
v=spf1 ip4:192.0.2.0 ip4:192.0.2.1 include:examplesender.email -all
Cet exemple permet au serveur de savoir de quel type d’enregistrement il s’agit, indique les adresses IP autorisées et un tiers pour ce domaine, et indique au serveur comment traiter les e-mails non conformes. Examinons comment les différents composants y parviennent :
v=spf1
indique au serveur que ceci contient un enregistrement SPF. Chaque enregistrement SPF doit commencer par cette chaîne.ip4=192.0.2.0
et ip4=192.0.2.1
sont autorisées à envoyer des e-mails pour le compte du domaine. include:examplesender.net
est un exemple d’utilisation de balise « include », qui indique au serveur quelles organisations tierces sont autorisées à envoyer des e-mails pour le compte du domaine. Cette balise signale que le contenu de l’enregistrement SPF pour le domaine inclus (examplesender.net) doit être vérifié et que les adresses IP qu’il contient doivent également être considérées comme autorisées. Plusieurs domaines peuvent être inclus dans un enregistrement SPF, mais cette balise fonctionne uniquement pour les domaines valides. -all
indique au serveur que les adresses qui ne figurent pas dans l’enregistrement SPF ne sont pas autorisées à envoyer des e-mails et doivent être refusées. ~all
, qui stipule que les e-mails non répertoriés seront marqués comme non sûrs ou indésirables, mais seront tout de même acceptés, et, plus rarement, +all
, qui signifie que n’importe quel serveur peut envoyer des e-mails pour le compte de votre domaine. Si l’exemple utilisé dans cet article est assez simple, les enregistrements SPF peuvent certainement être plus complexes. Voici quelques éléments à garder à l’esprit pour garantir la validité des enregistrements SPF :
all
ou inclure un élément redirect=
(qui indique que l'enregistrement SPF est hébergé par un autre domaine). Consultez la documentation officielle des enregistrements SPF pour plus d’informations.
Les opérateurs de domaines utilisent les enregistrements SPF pour de nombreuses raisons :
Pour configurer facilement des enregistrements SPF dans Cloudflare, utilisez l'assistant Email Security DNS Wizard.
En savoir plus sur les enregistrement DNS pour systèmes de messagerie :