Comprendre et utiliser un SPF record

Pour déterminer si l’email provient réellement de l’expéditeur déclaré, une solution courante est le Sender Policy Framework (SPF). C’est ainsi que les serveurs de messagerie peuvent vérifier l’authenticité des adresses des expéditeurs. Mais qu’est-ce que l’enregistrement SPF et comment fonctionne-t-il exactement ?

Le problème : l’expéditeur est-il « réel » ?

En théorie, il est facile de vérifier les emails entrants, car le serveur de messagerie destinataire connaît le domaine de l’expéditeur. Exemple : à la réception d’un email de pierre-henri@gmx.com, le destinataire peut vérifier l’adresse IP de gmx.com. Il s’agit de 213.165.64.8, qui se trouve dans l’en-tête de l’email, avec l’adresse IP de l’expéditeur.

Cependant, les grandes entreprises utilisent plus d’un serveur de messagerie. Le fournisseur de messagerie gmx.com, par exemple, en utilise plus d’une demi-douzaine. De nombreux fournisseurs d’envergure utilisent de plus des serveurs de filtrage d’emails spécialisés (ex : mailchannels.com) pour empêcher l’envoi de spams via leur système. Dans ce cas, le destinataire aura accès à l’adresse IP du serveur de filtrage d’emails et non à celle de l’expéditeur réel.

La solution : SPF (Sender Policy Framework)

SPF est l’abréviation de « Sender Policy Framework ». Cette méthode permet aux serveurs de messagerie de vérifier si un email reçu provient réellement du serveur hôte déclaré. Ce SPF Record Check est effectué automatiquement en arrière-plan ; en tant qu’utilisateur final, vous ne remarquez rien.

Le SPF détermine de manière simplifiée les serveurs de messagerie autorisés à envoyer des mails pour le domaine. Les serveurs de messagerie sont alors identifiés par leur nom ou leur adresse IP.

Exemple : un email expédié par marie.exemple@gmx.com ne peut être envoyé que par l’intermédiaire de l’une des adresses IP suivantes : 213.165.64.0, 74.208.5.64, 74.208.122.0, 212.227.126.128, 212.227.15.0, 212.227.17.0, 74.208.4.192, 82.165.159.0, 217.72.207. 0. Ces adresses IP sont donc répertoriées dans le SPF Record du domaine gmx.com. Le serveur de messagerie du destinataire peut maintenant vérifier si l’adresse IP qu’il lit dans l’en-tête de l’email figure ou non sur cette liste.

La liste des serveurs de messagerie autorisés est stockée sur le serveur de noms (DNS) du domaine expéditeur (dans notre exemple gmx.com) et peut être consultée par tous les serveurs de messagerie destinataires.

Qu’est-ce qu’une entrée SPF ?

Le SPF Record est saisi en tant qu’enregistrement DNS dans la zone de domaine du DNS (serveur de noms) correspondant sous forme d’enregistrement TXT. L’entrée contient une liste des adresses IP à partir desquelles les emails de ce domaine peuvent être envoyés. Il existe également d’autres entrées, par exemple pour les serveurs de filtrage d’emails mentionnés ci-dessus, par lesquelles un email doit passer avant de se rendre au destinataire. Ces « stations intermédiaires » sont souvent indiquées avec la mention include. Vous trouverez ci-dessous une explication des paramètres les plus courants de l’enregistrement SPF :

Outre la mention -all susmentionnée, une version avec tilde existe également : ~all. Elle indique que les autres expéditeurs ne sont pas autorisés, mais doivent tout de même être acceptés. Cette déclaration de « Soft Fail » a d’abord été introduite à des fins de test, mais est désormais utilisée par divers fournisseurs d’hébergement.

Exemple : le SPF record de gmx.com

SPF Record Check : vérifier l’enregistrement

La façon la plus simple de vérifier si vos emails sont effectivement vérifiés par un SPF record est d’utiliser l’outil de mxtoolbox :

1. Envoyez un email à ping.tools.mxtoolbox.com.
2. Vous recevrez rapidement une réponse de l’adresse abuse@mxtoolbox.com.
3. Cet email contiendra un premier retour d’informations et un lien vers des résultats plus détaillés.

Veuillez noter qu’il peut s’écouler jusqu’à 24 heures avant qu’un SPF record ne soit activé. Si le contrôle de l’enregistrement SPF signale une erreur, recommencez le test le lendemain.

Vous pouvez également vérifier directement le SPF record dans l’email envoyé :

1. Envoyez-vous un email.
2. Ouvrez l’email et observez son en-tête ou le texte source. Selon le client de messagerie, servez-vous du menu Affichage ou du menu contextuel (bouton droit de la souris).
3. Le SPF record indique « Received SPF » (SPF reçu).

Qu’apporte le SPF record ? Avantages et inconvénients

Par mesure de sécurité, l’enregistrement SPF est imposé par un nombre croissant de fournisseurs de services Internet. Cela signifie que, sans autorisation correspondante, les emails provenant du serveur de messagerie destinataire ne sont pas remis à l’utilisateur final ou, le cas échéant, sont accompagnés d’un avertissement (« non sécurisé »).

Le plus gros avantage du SPF record est sa simplicité de mise en œuvre : un simple enregistrement TXT suffit. Dans la plupart des cas, il peut être généré automatiquement par le prestataire de services.

Aussi important que soit le SPF record : vous ne devez pas surestimer la protection qu’il offre.

• Le SPF ne protège pas contre le spoofing : même avec le SPF, un fraudeur peut afficher un faux nom d’expéditeur dans un email.
• Le SPF n’améliore pas la réputation de l’expéditeur : même un spammeur peut utiliser le SPF.
• Le SPF ne protège pas contre un expéditeur d’email non autorisé : si quelqu’un envoie un email non autorisé via votre serveur de messagerie, le SPF n’interviendra pas.

En général, le SPF record est utilisé en conjonction avec d’autres mécanismes de sécurité, notamment le DKIM et le DMARC.