Prenons l’exemple d’un Email provenant d’un expéditeur digne de confiance. Tout semble en ordre, cependant quelque chose cloche. Est-il possible que l’adresse de l’expéditeur ait été falsifiée ? Après tout, on sait que les fraudeurs envoient des pièces jointes infectées par des chevaux de Troie au nom de sociétés connues en vue d’abuser la confiance du destinataire. Cette escroquerie est appelée « Spoofing » (usurpation d’identité).
Comment déterminer si l’Email provient réellement de l’expéditeur déclaré ? Une solution courante est le Sender Policy Framework (SPF) utilisé par le serveur de messagerie pour vérifier l’authenticité des adresses des expéditeurs. Pour en savoir plus, vous pouvez consulter le SPF record. Comment cela fonctionne-t-il exactement ?
En théorie, il est facile de vérifier les Emails entrants : le serveur de messagerie destinataire connaît le domaine de l’expéditeur. Exemple : à la réception d’un Email de hans.muster@gmx.com, le destinataire peut trouver l’adresse IP de gmx.com. Il s’agit de 213.165.64.8, qui se trouve dans l’en-tête de l’Email, avec l’adresse IP de l’expéditeur.
Cependant, les grandes entreprises utilisent plus d’un serveur de messagerie. Le fournisseur de messagerie gmx.com, par exemple, en utilise plus d’une demi-douzaine. De nombreux fournisseurs d’envergure utilisent en outre des serveurs de filtrage d’Emails spécialisés (par exemple mailchannels.com) pour empêcher l’envoi de spams via leur système. Dans ce cas, le destinataire aura accès à l’adresse IP du serveur de filtrage d’Emails et non à celle de l’expéditeur réel.
SPF est l’abréviation de « Sender Policy Framework ». Cette méthode permet aux serveurs de messagerie de vérifier si un Email reçu provient réellement du serveur hôte déclaré. Cette vérification SPF est effectuée automatiquement en arrière-plan ; en tant qu’utilisateur final, vous ne remarquez rien.
Le SPF détermine de manière simplifiée les serveurs de messagerie autorisés à envoyer des mails pour le domaine. Les serveurs de messagerie sont alors identifiés par leur nom ou leur adresse IP.
Exemple : un Email expédié par marie.exemple@gmx.com ne peut être envoyé que par l’intermédiaire de l’une des adresses IP suivantes : 213.165.64.0, 74.208.5.64, 74.208.122.0, 212.227.126.128, 212.227.15.0, 212.227.17.0, 74.208.4.192, 82.165.159.0, 217.72.207.0. Ces adresses IP sont donc répertoriées dans le SPF record du domaine gmx.com. Le serveur de messagerie du destinataire peut maintenant vérifier si l’adresse IP qu’il lit dans l’en-tête de l’Email figure ou non sur cette liste.
La liste des serveurs de messagerie autorisés est stockée sur le serveur de noms (DNS) du domaine expéditeur (dans notre exemple gmx.com) et peut être consultée par tous les serveurs de messagerie destinataires.
Le SPF record est saisi en tant qu’enregistrement DNS dans la zone de domaine du DNS (serveur de noms) correspondant sous forme d’enregistrement TXT. L’entrée contient une liste des adresses IP à partir desquelles les Emails de ce domaine peuvent être envoyés. Il existe également d’autres entrées, par exemple pour les serveurs de filtrage d’Emails mentionnés ci-dessus, par lesquelles un Email doit passer avant de se rendre au destinataire. Ces « stations intermédiaires » sont souvent indiquées avec la mention include. Vous trouverez ci-dessous une explication des paramètres les plus courants du SPF record :
| Code | Signification |
|---|---|
| v | Version de l’enregistrement ; v=SPF1 correspond à la version actuellement en vigueur. |
| ip4 | Adresse IP ; « IP4 » est la désignation de la forme bien connue de l’adresse IP. Il existe aussi de nouvelles adresses « IP6 », mais elles sont encore moins courantes. |
| -all | Tous les expéditeurs non répertoriés ici sont considérés comme non autorisés. Les e-mails provenant de ces adresses doivent être rejetés. |
| include | Indique d’autres domaines pour lesquels le SPF record doit également être consulté. |
Outre la mention « -all » susmentionnée, une version avec tilde existe également : ~all. Elle indique que les autres expéditeurs ne sont pas autorisés, mais doivent tout de même être acceptés. Cette déclaration de « Soft Fail » a d’abord été introduite à des fins de test, mais est désormais utilisée par divers fournisseurs d’hébergement.
Exemple : le SPF record de gmx.com
Les SPF records d’un domaine peuvent être consultés à l’aide de l’outil de EasyDMARC par exemple.
En règle générale, vous n’êtes pas obligé d’écrire et de saisir vous-même le SPF record. Les bons fournisseurs d’hébergement de messagerie offrent en effet des outils spéciaux. Consultez notre rubrique Aide pour savoir comment créer un SPF record.
La façon la plus simple de vérifier si vos Emails sont effectivement vérifiés par un SPF record est d’utiliser l’outil de mxtoolbox :
Veuillez noter qu’il peut s’écouler jusqu’à 24 heures avant qu’un SPF record ne soit activé. Si le contrôle du SPF record signale une erreur, recommencez le test le lendemain.
Vous pouvez également vérifier directement le SPF record dans l’Email envoyé :
Copiez l’en-tête dans un outil d’analyse d’en-tête pour obtenir des informations claires et détaillées à son sujet.
Par mesure de sécurité, le SPF record est imposé par un nombre croissant de fournisseurs de services Internet. Cela signifie que, sans autorisation correspondante, les Emails provenant du serveur de messagerie destinataire ne sont pas remis à l’utilisateur final ou, le cas échéant, sont accompagnés d’un avertissement (« non sécurisé »).
Le plus gros avantage du SPF record est sa simplicité de mise en œuvre : un simple enregistrement TXT suffit. Dans la plupart des cas, il peut être généré automatiquement par le prestataire de services.
Aussi important que soit le SPF record : vous ne devez pas surestimer la protection qu’il offre.
En général, le SPF record est utilisé en conjonction avec d’autres mécanismes de sécurité, notamment le DKIM et le DMARC.
Sans le Système de noms de domaines (DNS), surfer sur Internet serait aujourd’hui inconcevable. Ce système de noms repose à son tour sur les enregistrements DNS. Avec leur structure très simple, ces enregistrements sous forme de fichiers textes ordinaires associent chaque adresse IP à un nom. Les enregistrements DNS, que l’on appelle aussi « enregistrements de ressources », se déclinent en...
Le système de noms de domaine permet une navigation facile sur Internet. Il est avant tout important de relier l’A-Record (ou enregistrement d’hôte) à l’adresse IP correspondant à un nom de domaine. On utilise pour cela un texte rédigé sur une seule ligne. À quoi ressemble cet enregistrement, et comment peut-on vérifier un A-Record ?
Un système de noms de domaines (DNS) offre des fonctions qui servent à la communication sur Internet. L’enregistrement MX s’occupe par exemple de désigner les serveurs de messagerie électronique. Pour indiquer vers quel serveur votre email doit être acheminé, le serveur de messagerie a besoin de connaître l’enregistrement DNS de type MX. Pour mieux comprendre le principe, nous vous expliquons ce...
Le greylisting est une méthode efficace pour prévenir l’envoi global de spams. Cette méthode se déroulant en arrière-plan, la plupart des utilisateurs n’ont pas conscience que leur messagerie est protégée par le greylisting. Dans cet article, vous découvrirez comment fonctionne cette méthode d’un point de vue technique.
Des offres exceptionnelles sur l'hébergement Web, les serveurs virtuels, le stockage en ligne, les outils de collaboration et bien plus.
Valables jusqu'au 7/12/2020.
