Qu’est-ce qu’un enregistrement DNS SPF ?

Les enregistrements SPF sont un type d’enregistrement DNS TXT couramment utilisé pour l’authentification d’e-mails. Les enregistrements SPF incluent une liste d’adresses IP et de domaines autorisés à envoyer des e-mails depuis ce domaine.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir un enregistrement DNS SPF
  • Expliquer les avantages d’un enregistrement DNS SPF
  • Comprendre les composants d’un enregistrement DNS SPF

Copier le lien de l'article

Qu’est-ce qu’un enregistrement DNS SPF ?

Un enregistrement SPF (Sender Policy Framework) est un type d’enregistrement DNS TXT qui répertorie tous les serveurs autorisés à envoyer des e-mails depuis un domaine particulier.

Un enregistrement DNS TXT (« texte ») permet à un administrateur de domaine saisir du texte libre dans le DNS (Domain Name System). Les enregistrements TXT ont été initialement créés dans le but d’inclure des avis importants concernant le domaine, mais ils ont depuis évolué pour servir d’autres objectifs.

Les enregistrements SPF ont été créés à l’origine parce que le protocole standard utilisé pour les e-mails (SMTP, Simple Mail Transfer Protocol) n’authentifie pas intrinsèquement l’adresse de l’expéditeur dans un e-mail. Cela signifie qu’en l’absence d’enregistrement SPF ou d’autres enregistrements d’authentification, un pirate informatique peut facilement se faire passer pour un expéditeur et inciter le destinataire à effectuer des actions ou partager des informations contre son gré.

Considérez les enregistrements SPF comme une liste d’invités gérée par un portier. Si une personne ne figure pas sur la liste, le portier ne la laissera pas entrer. De même, si un enregistrement SPF ne comporte pas l’adresse IP ou le domaine d’un expéditeur dans sa liste, le serveur de réception (le portier) ne délivrera pas ces e-mails ou les marquera comme indésirables.

Les enregistrements SPF ne sont qu’un des nombreux mécanismes fondés sur le DNS qui peuvent aider les serveurs de messagerie à confirmer si un e-mail provient d’une source fiable. DMARC (Domain-based Message Authentication Reporting and Conformance) et DKIM (DomainKeys Identified Mail) sont deux autres mécanismes utilisés pour l’authentification des e-mails.

Il est intéressant de noter qu’à un moment donné, les enregistrements SPF comportaient un type d’enregistrement DNS dédié. Le type d’enregistrement dédié est depuis devenu obsolète, et seuls les enregistrements TXT doivent être utilisés.

Comment un serveur de messagerie vérifie-t-il un enregistrement SPF ?

Les serveurs de messagerie suivent un processus relativement simple lors de la vérification d’un enregistrement SPF :

  • Le Serveur 1 envoie un e-mail. Son adresse IP est 192.0.2.0, et le chemin de retour utilisé par l’e-mail est email@returnpath.com. (Une adresse de chemin de retour est différente de l’adresse « de » et est utilisée spécifiquement pour la collecte et le traitement des messages rejetés.)
  • Le serveur de messagerie qui reçoit le message (Serveur 2) prend le domaine du chemin de retour et recherche son enregistrement SPF.
  • Si le Serveur 2 trouve un enregistrement SPF pour le domaine du chemin de retour, il recherche l’enregistrement SPF pour l’adresse IP du Serveur 1 dans sa liste d’expéditeurs autorisés. Si l’adresse IP figure dans l’enregistrement SPF, la vérification SPF est réussie et l’e-mail est envoyé. Si l’adresse IP ne figure pas dans l’enregistrement SPF, la vérification SPF échoue. Dans ce cas, l’e-mail sera rejeté ou marqué comme indésirable.

À quoi ressemble un enregistrement SPF ?

Les enregistrements SPF doivent respecter certaines normes pour que le serveur comprenne comment interpréter leur contenu. Voici un exemple des composants essentiels d’un enregistrement SPF :

v=spf1 ip4=192.0.2.0 ip4=192.0.2.1 include:examplesender.email -all

Cet exemple permet au serveur de savoir de quel type d’enregistrement il s’agit, indique les adresses IP autorisées et un tiers pour ce domaine, et indique au serveur comment traiter les e-mails non conformes. Examinons comment les différents composants y parviennent :

  • v=spf1 indique au serveur que ceci contient un enregistrement SPF. Chaque enregistrement SPF doit commencer par cette chaîne.
  • Vient ensuite la partie « liste des invités » de l’enregistrement SPF, ou la liste des adresses IP autorisées. Dans cet exemple, l’enregistrement SPF indique au serveur que ip4=192.0.2.0 et ip4=192.0.2.1 sont autorisés à envoyer des e-mails pour le compte du domaine.
  • include:examplesender.net est un exemple d’utilisation de balise « include », qui indique au serveur quelles organisations tierces sont autorisées à envoyer des e-mails pour le compte du domaine. Cette balise signale que le contenu de l’enregistrement SPF pour le domaine inclus (examplesender.net) doit être vérifié et que les adresses IP qu’il contient doivent également être considérées comme autorisées. Plusieurs domaines peuvent être inclus dans un enregistrement SPF, mais cette balise fonctionne uniquement pour les domaines valides.
  • Enfin, -all indique au serveur que les adresses qui ne figurent pas dans l’enregistrement SPF ne sont pas autorisées à envoyer des e-mails et doivent être refusées.
    • Les alternatives incluent ~all, qui stipule que les e-mails non répertoriés seront marqués comme non sûrs ou indésirables, mais seront tout de même acceptés, et, plus rarement, +all, qui signifie que n’importe quel serveur peut envoyer des e-mails pour le compte de votre domaine.

Si l’exemple utilisé dans cet article est assez simple, les enregistrements SPF peuvent certainement être plus complexes. Voici quelques éléments à garder à l’esprit pour garantir la validité des enregistrements SPF :

  • Il ne peut y avoir plus d’un enregistrement SPF associé à un domaine.
  • L’enregistrement doit se terminer par le composant all ou inclure un composant redirect: (qui indique que l’enregistrement SPF est hébergé par un autre domaine).
  • Un enregistrement SPF ne peut pas contenir de caractères majuscules.

Consultez la documentation officielle des enregistrements SPF pour plus d’informations.

Pourquoi utilise-t-on les enregistrements SPF ?

Les opérateurs de domaines utilisent les enregistrements SPF pour de nombreuses raisons :

  • Prévenir les attaques : en l’absence d’authentification des e-mails, les entreprises et les destinataires d’e-mails risquent d’être victimes d’attaques par hameçonnage, courriers indésirables et d’usurpation d’identité. Avec les enregistrements SPF, il est plus difficile pour les attaquants d’imiter un domaine, ce qui réduit la probabilité de ces attaques.
  • Améliorer la délivrabilité des e-mails : si des domaines ne disposent pas d’un enregistrement SPF publié, leurs messages peuvent être rejetés ou marqués comme indésirables. Au fil du temps, les e-mails rejetés ou marqués comme indésirables peuvent nuire à la capacité d’un domaine à atteindre les boîtes de réception de son public, compromettant ainsi les efforts de communication avec les clients, les collaborateurs employés et d’autres entités.
  • Conformité DMARC : DMARC est un système de validation des e-mails qui permet d’assurer que les e-mails sont uniquement envoyés par des utilisateurs autorisés. Les politiques DMARC dictent comment les serveurs doivent traiter les e-mails qui ne réussissent pas les vérifications SPF et DKIM. En fonction des instructions de la politique DMARC, ces e-mails sont soit marqués comme indésirables, soit rejetés, soit acheminés normalement. Les administrateurs de domaines reçoivent des rapports sur leur activité concernant les e-mails qui les aident à adapter leur politique.

The Cloudflare Email Security DNS Wizard makes it simple to set up the correct DNS TXT records and block spammers from using a domain. Read more about the Wizard here.

En savoir plus sur les enregistrement DNS pour systèmes de messagerie :