Comprendre et utiliser un SPF record

Prenons l’exemple d’un Email provenant d’un expéditeur digne de confiance. Tout semble en ordre, cependant quelque chose cloche. Est-il possible que l’adresse de l’expéditeur ait été falsifiée ? Après tout, on sait que les fraudeurs envoient des pièces jointes infectées par des chevaux de Troie au nom de sociétés connues en vue d’abuser la confiance du destinataire. Cette escroquerie est appelée « Spoofing » (usurpation d’identité).

Comment déterminer si l’Email provient réellement de l’expéditeur déclaré ? Une solution courante est le Sender Policy Framework (SPF) utilisé par le serveur de messagerie pour vérifier l’authenticité des adresses des expéditeurs. Pour en savoir plus, vous pouvez consulter le SPF record. Comment cela fonctionne-t-il exactement ?

Le problème : l’expéditeur est-il « réel » ?

En théorie, il est facile de vérifier les Emails entrants : le serveur de messagerie destinataire connaît le domaine de l’expéditeur. Exemple : à la réception d’un Email de hans.muster@gmx.com, le destinataire peut trouver l’adresse IP de gmx.com. Il s’agit de 213.165.64.8, qui se trouve dans l’en-tête de l’Email, avec l’adresse IP de l’expéditeur.

Cependant, les grandes entreprises utilisent plus d’un serveur de messagerie. Le fournisseur de messagerie gmx.com, par exemple, en utilise plus d’une demi-douzaine. De nombreux fournisseurs d’envergure utilisent en outre des serveurs de filtrage d’Emails spécialisés (par exemple mailchannels.com) pour empêcher l’envoi de spams via leur système. Dans ce cas, le destinataire aura accès à l’adresse IP du serveur de filtrage d’Emails et non à celle de l’expéditeur réel.

La solution : SPF (Sender Policy Framework)

SPF est l’abréviation de « Sender Policy Framework ». Cette méthode permet aux serveurs de messagerie de vérifier si un Email reçu provient réellement du serveur hôte déclaré. Cette vérification SPF est effectuée automatiquement en arrière-plan ; en tant qu’utilisateur final, vous ne remarquez rien.

Le SPF détermine de manière simplifiée les serveurs de messagerie autorisés à envoyer des mails pour le domaine. Les serveurs de messagerie sont alors identifiés par leur nom ou leur adresse IP.

Exemple : un Email expédié par marie.exemple@gmx.com ne peut être envoyé que par l’intermédiaire de l’une des adresses IP suivantes : 213.165.64.0, 74.208.5.64, 74.208.122.0, 212.227.126.128, 212.227.15.0, 212.227.17.0, 74.208.4.192, 82.165.159.0, 217.72.207.0. Ces adresses IP sont donc répertoriées dans le SPF record du domaine gmx.com. Le serveur de messagerie du destinataire peut maintenant vérifier si l’adresse IP qu’il lit dans l’en-tête de l’Email figure ou non sur cette liste.

La liste des serveurs de messagerie autorisés est stockée sur le serveur de noms (DNS) du domaine expéditeur (dans notre exemple gmx.com) et peut être consultée par tous les serveurs de messagerie destinataires.

Le SPF record

Le SPF record est saisi en tant qu’enregistrement DNS dans la zone de domaine du DNS (serveur de noms) correspondant sous forme d’enregistrement TXT. L’entrée contient une liste des adresses IP à partir desquelles les Emails de ce domaine peuvent être envoyés. Il existe également d’autres entrées, par exemple pour les serveurs de filtrage d’Emails mentionnés ci-dessus, par lesquelles un Email doit passer avant de se rendre au destinataire. Ces « stations intermédiaires » sont souvent indiquées avec la mention include. Vous trouverez ci-dessous une explication des paramètres les plus courants du SPF record :

Code Signification
v Version de l’enregistrement ; v=SPF1 correspond à la version actuellement en vigueur.
ip4 Adresse IP ; « IP4 » est la désignation de la forme bien connue de l’adresse IP. Il existe aussi de nouvelles adresses « IP6 », mais elles sont encore moins courantes.
-all Tous les expéditeurs non répertoriés ici sont considérés comme non autorisés. Les e-mails provenant de ces adresses doivent être rejetés.
include Indique d’autres domaines pour lesquels le SPF record doit également être consulté.

Outre la mention « -all » susmentionnée, une version avec tilde existe également : ~all. Elle indique que les autres expéditeurs ne sont pas autorisés, mais doivent tout de même être acceptés. Cette déclaration de « Soft Fail » a d’abord été introduite à des fins de test, mais est désormais utilisée par divers fournisseurs d’hébergement.

Exemple : le SPF record de gmx.com

Conseil

Les SPF records d’un domaine peuvent être consultés à l’aide de l’outil de EasyDMARC par exemple.

En règle générale, vous n’êtes pas obligé d’écrire et de saisir vous-même le SPF record. Les bons fournisseurs d’hébergement de messagerie offrent en effet des outils spéciaux. Consultez notre rubrique Aide pour savoir comment créer un SPF record.

Vérifier le SPF record

La façon la plus simple de vérifier si vos Emails sont effectivement vérifiés par un SPF record est d’utiliser l’outil de mxtoolbox :

  1. Envoyez un Email à ping.tools.mxtoolbox.com.
  2. Vous recevrez rapidement une réponse de l’adresse abuse@mxtoolbox.com.
  3. Cet Email contiendra un premier retour d’informations et un lien vers des résultats plus détaillés.

Veuillez noter qu’il peut s’écouler jusqu’à 24 heures avant qu’un SPF record ne soit activé. Si le contrôle du SPF record signale une erreur, recommencez le test le lendemain.

Vous pouvez également vérifier directement le SPF record dans l’Email envoyé :

  1. Envoyez-vous un Email.
  2. Ouvrez l’Email et observez son en-tête ou le texte source. Selon le client de messagerie, servez-vous du menu « Affichage » ou du menu contextuel (bouton droit de la souris).
  3. Le SPF record indique « Received SPF » (SPF reçu).
Conseil

Copiez l’en-tête dans un outil d’analyse d’en-tête pour obtenir des informations claires et détaillées à son sujet.

Qu’apporte le SPF record ? Avantages et inconvénients

Par mesure de sécurité, le SPF record est imposé par un nombre croissant de fournisseurs de services Internet. Cela signifie que, sans autorisation correspondante, les Emails provenant du serveur de messagerie destinataire ne sont pas remis à l’utilisateur final ou, le cas échéant, sont accompagnés d’un avertissement (« non sécurisé »).

Le plus gros avantage du SPF record est sa simplicité de mise en œuvre : un simple enregistrement TXT suffit. Dans la plupart des cas, il peut être généré automatiquement par le prestataire de services.

Aussi important que soit le SPF record : vous ne devez pas surestimer la protection qu’il offre.

  • Le SPF ne protège pas contre le Spoofing. Même avec le SPF, un fraudeur peut afficher un faux nom d’expéditeur dans un Email.
  • Le SPF n’améliore pas la réputation de l’expéditeur. Même un spammeur peut utiliser le SPF.
  • Le SPF ne protège pas contre un expéditeur d’Email non autorisé. Si quelqu’un envoie un Email non autorisé via votre serveur de messagerie, le SPF n’interviendra pas.

En général, le SPF record est utilisé en conjonction avec d’autres mécanismes de sécurité, notamment le DKIM et le DMARC.


Attendez ! Nous avons quelque chose pour vous !
Votre messagerie professionnelle

Créez une adresse personnalisée
Affichez votre sérieux sur Internet
Nom de domaine inclus
À partir d' 1 € TTC/mois
Conseiller personnel inclus !