Syntaxe SPF
Le format d'un enregistrement SPF est le suivant :
v=spf1 [mechanisms] [qualifiers]Chacun des mécanismes est discuté ci-dessous.
v=spf1
Le tag v=spf1 indique la version et le protocole de l'enregistrement SPF. Il n'existe qu'une seule version de SPF, et le protocole est toujours spf1.
Mécanismes
Les mécanismes sont les règles qui définissent comment faire correspondre l'adresse IP ou l'hôte de l'expéditeur avec la politique SPF. Il existe plusieurs types de mécanismes :
| Tag | Description |
|---|---|
| a | Correspond à l'adresse IP de l'expéditeur avec les enregistrements A ou AAAA du domaine. |
| mx | Correspond à l'adresse IP de l'expéditeur avec les enregistrements MX du domaine. |
| ip4 | Correspond à l'adresse IPv4 de l'expéditeur avec une plage spécifique. |
| ip6 | Correspond à l'adresse IPv6 de l'expéditeur avec une plage spécifique. |
| include | Inclut la politique SPF d'un autre domaine. |
Qualificateurs
Les qualificateurs sont les actions qui indiquent comment le récepteur doit gérer les emails qui correspondent ou ne correspondent pas aux mécanismes. Il existe quatre types de qualificateurs :
| Tag | Description |
|---|---|
| + | Pass, l'email est accepté (NON RECOMMANDÉ). |
| ? | Neutral, l'email n'est ni accepté ni rejeté (NON RECOMMANDÉ). |
| - | Fail, l'email est rejeté. |
| ~ | Softfail, l'email est accepté mais marqué comme suspect. |
Choisir le bon qualificateur SPF
Le choix du qualificateur SPF dépend de la préférence et de la tolérance au risque du propriétaire du domaine. En général, il est recommandé d'utiliser le qualificateur Hard Fail (-) pour les domaines qui envoient des emails critiques ou sensibles, tels que les services financiers ou juridiques. De cette manière, le propriétaire du domaine peut s'assurer que seuls les serveurs autorisés peuvent envoyer des emails en leur nom, et que tout email usurpé est rejeté par le serveur destinataire. Cependant, le propriétaire du domaine doit également s'assurer que son enregistrement SPF est exact et à jour, et qu'il inclut toutes les sources légitimes d'email pour son domaine, telles que les hébergeurs web, les fournisseurs d'email, les services tiers, etc. Sinon, il risque de perdre certains emails valides qui échouent au contrôle SPF.
D'autre part, le qualificateur Soft Fail (~) peut être une bonne option pour les domaines qui envoient des emails moins critiques ou moins sensibles, tels que des newsletters, du marketing ou des réseaux sociaux. De cette manière, le propriétaire du domaine peut toujours indiquer sa préférence pour les serveurs autorisés, mais aussi permettre une certaine flexibilité au serveur destinataire pour décider comment gérer l'email. Cela peut réduire les chances de perdre des emails valides qui échouent au contrôle SPF, mais cela peut également augmenter les chances de recevoir des emails usurpés qui passent le contrôle SPF.
Les qualificateurs Neutral (?) et Allow all (+) ne sont pas recommandés pour aucun domaine, car ils ne fournissent aucun avantage ou protection contre les attaques d'usurpation d'email et de phishing. Ils désactivent essentiellement le mécanisme SPF et permettent à n'importe quel serveur d'envoyer des emails au nom du domaine. Cela peut nuire à la réputation et à la délivrabilité du domaine, ainsi qu'exposer les utilisateurs du domaine à des emails malveillants.
Exemple
Un exemple d'un enregistrement SPF simple est :
v=spf1 mx -allCela signifie que seules les adresses IP qui correspondent aux enregistrements MX du domaine sont autorisées à envoyer des emails au nom du domaine, et toute autre adresse IP est rejetée.
Sujets connexes
- Qu'est-ce que SPF ? - Introduction à SPF et son objectif
- Comment fonctionne SPF ? - Détails techniques sur le fonctionnement de SPF
- Pourquoi SPF est-il important ? - Avantages et importance de SPF
- Limitations de SPF - Contraintes et défis actuels
- Redirection SPF - Utilisation du modificateur de redirection
- Paramètres SPF - Configurer les paramètres SPF