Pour dé­ter­mi­ner si l’email provient réel­le­ment de l’ex­pé­di­teur déclaré, une solution courante est le Sender Policy Framework (SPF). C’est ainsi que les serveurs de mes­sa­ge­rie peuvent vérifier l’au­then­ti­cité des adresses des ex­pé­di­teurs. Mais qu’est-ce que l’en­re­gis­tre­ment SPF et comment fonc­tionne-t-il exac­te­ment ?

Le problème : l’ex­pé­di­teur est-il « réel » ?

En théorie, il est facile de vérifier les emails entrants, car le serveur de mes­sa­ge­rie des­ti­na­taire connaît le domaine de l’ex­pé­di­teur. Exemple : à la réception d’un email de pierre-henri@gmx.com, le des­ti­na­taire peut vérifier l’adresse IP de gmx.com. Il s’agit de 213.165.64.8, qui se trouve dans l’en-tête de l’email, avec l’adresse IP de l’ex­pé­di­teur.

Cependant, les grandes en­tre­prises utilisent plus d’un serveur de mes­sa­ge­rie. Le four­nis­seur de mes­sa­ge­rie gmx.com, par exemple, en utilise plus d’une demi-douzaine. De nombreux four­nis­seurs d’envergure utilisent de plus des serveurs de filtrage d’emails spé­cia­li­sés (ex : mailchannels.com) pour empêcher l’envoi de spams via leur système. Dans ce cas, le des­ti­na­taire aura accès à l’adresse IP du serveur de filtrage d’emails et non à celle de l’ex­pé­di­teur réel.

La solution : SPF (Sender Policy Framework)

SPF est l’abré­via­tion de « Sender Policy Framework ». Cette méthode permet aux serveurs de mes­sa­ge­rie de vérifier si un email reçu provient réel­le­ment du serveur hôte déclaré. Ce SPF Record Check est effectué au­to­ma­ti­que­ment en arrière-plan ; en tant qu’uti­li­sa­teur final, vous ne remarquez rien.

Le SPF détermine de manière sim­pli­fiée les serveurs de mes­sa­ge­rie autorisés à envoyer des mails pour le domaine. Les serveurs de mes­sa­ge­rie sont alors iden­ti­fiés par leur nom ou leur adresse IP.

Exemple : un email expédié par marie.exemple@gmx.com ne peut être envoyé que par l’in­ter­mé­diaire de l’une des adresses IP suivantes : 213.165.64.0, 74.208.5.64, 74.208.122.0, 212.227.126.128, 212.227.15.0, 212.227.17.0, 74.208.4.192, 82.165.159.0, 217.72.207. 0. Ces adresses IP sont donc ré­per­to­riées dans le SPF Record du domaine gmx.com. Le serveur de mes­sa­ge­rie du des­ti­na­taire peut main­te­nant vérifier si l’adresse IP qu’il lit dans l’en-tête de l’email figure ou non sur cette liste.

La liste des serveurs de mes­sa­ge­rie autorisés est stockée sur le serveur de noms (DNS) du domaine ex­pé­di­teur (dans notre exemple gmx.com) et peut être consultée par tous les serveurs de mes­sa­ge­rie des­ti­na­taires.

Adresse email pro­fes­sion­nelle
Découvrez une nouvelle façon de traiter vos emails
  • Adresse email à votre nom
  • Fonctions d'IA pour rédiger des emails parfaits (en option)
  • Mes­sa­ge­rie sécurisée avec pro­tec­tion anti-spam

Qu’est-ce qu’une entrée SPF ?

Le SPF Record est saisi en tant qu’en­re­gis­tre­ment DNS dans la zone de domaine du DNS (serveur de noms) cor­res­pon­dant sous forme d’en­re­gis­tre­ment TXT. L’entrée contient une liste des adresses IP à partir des­quelles les emails de ce domaine peuvent être envoyés. Il existe également d’autres entrées, par exemple pour les serveurs de filtrage d’emails men­tion­nés ci-dessus, par les­quelles un email doit passer avant de se rendre au des­ti­na­taire. Ces « stations in­ter­mé­diaires » sont souvent indiquées avec la mention include. Vous trouverez ci-dessous une ex­pli­ca­tion des pa­ra­mètres les plus courants de l’en­re­gis­tre­ment SPF :

Code Sig­ni­fi­ca­tion
v Version de l’en­re­gis­tre­ment ; v=SPF1 cor­res­pond à la version ac­tuel­le­ment en vigueur.
ip4 Adresse IP ; « IP4 » est la dé­sig­na­tion de la forme bien connue de l’adresse IP. Il existe aussi de nouvelles adresses « IP6 », mais elles sont encore moins courantes.
-all Tous les ex­pé­di­teurs non ré­per­to­riés ici sont con­si­dé­rés comme non autorisés. Les emails provenant de ces adresses doivent être rejetés.
include Indique d’autres domaines pour lesquels l’en­re­gis­tre­ment SPF doit également être consulté.

Outre la mention -all sus­men­tion­née, une version avec tilde existe également : ~all. Elle indique que les autres ex­pé­di­teurs ne sont pas autorisés, mais doivent tout de même être acceptés. Cette dé­cla­ra­tion de « Soft Fail » a d’abord été in­tro­duite à des fins de test, mais est désormais utilisée par divers four­nis­seurs d’hé­ber­ge­ment.

Exemple : le SPF record de gmx.com

Image: Capture d’écran d’un SPF record
Exemple d’un SPF record pour le domaine `gmx.com`.
Conseil

Vous utilisez les boîtes email IONOS et souhaitez créer un en­re­gis­tre­ment SPF pour votre domaine ? Le centre d’aide IONOS vous explique comment éviter l’envoi d’emails in­dé­si­rables grâce à un en­re­gis­tre­ment SPF.

SPF Record Check : vérifier l’en­re­gis­tre­ment

La façon la plus simple de vérifier si vos emails sont ef­fec­ti­ve­ment vérifiés par un SPF record est d’utiliser l’outil de mxtoolbox :

  1. Envoyez un email à ping.tools.mxtoolbox.com.
  2. Vous recevrez ra­pi­de­ment une réponse de l’adresse abuse@mxtoolbox.com.
  3. Cet email con­tien­dra un premier retour d’in­for­ma­tions et un lien vers des résultats plus détaillés.

Veuillez noter qu’il peut s’écouler jusqu’à 24 heures avant qu’un SPF record ne soit activé. Si le contrôle de l’en­re­gis­tre­ment SPF signale une erreur, re­com­men­cez le test le lendemain.

Vous pouvez également vérifier di­rec­te­ment le SPF record dans l’email envoyé :

  1. Envoyez-vous un email.
  2. Ouvrez l’email et observez son en-tête ou le texte source. Selon le client de mes­sa­ge­rie, servez-vous du menu Affichage ou du menu con­tex­tuel (bouton droit de la souris).
  3. Le SPF record indique « Received SPF » (SPF reçu).
Conseil

Si vous ne possédez pas encore de serveur de mes­sa­ge­rie, vous pouvez héberger votre propre serveur de mes­sa­ge­rie avec IONOS. Grâce aux normes de sécurité les plus élevées ainsi qu’au cer­ti­fi­cat SSL, vos emails sont protégés contre les accès non autorisés.

Qu’apporte le SPF record ? Avantages et in­con­vé­nients

Par mesure de sécurité, l’en­re­gis­tre­ment SPF est imposé par un nombre croissant de four­nis­seurs de services Internet. Cela signifie que, sans au­to­ri­sa­tion cor­res­pon­dante, les emails provenant du serveur de mes­sa­ge­rie des­ti­na­taire ne sont pas remis à l’uti­li­sa­teur final ou, le cas échéant, sont ac­com­pag­nés d’un aver­tis­se­ment (« non sécurisé »).

Le plus gros avantage du SPF record est sa sim­pli­cité de mise en œuvre : un simple en­re­gis­tre­ment TXT suffit. Dans la plupart des cas, il peut être généré au­to­ma­ti­que­ment par le pres­ta­taire de services.

Aussi important que soit le SPF record : vous ne devez pas su­res­ti­mer la pro­tec­tion qu’il offre.

  • Le SPF ne protège pas contre le spoofing : même avec le SPF, un fraudeur peut afficher un faux nom d’ex­pé­di­teur dans un email.
  • Le SPF n’améliore pas la ré­pu­ta­tion de l’ex­pé­di­teur : même un spammeur peut utiliser le SPF.
  • Le SPF ne protège pas contre un ex­pé­di­teur d’email non autorisé : si quelqu’un envoie un email non autorisé via votre serveur de mes­sa­ge­rie, le SPF n’in­ter­vien­dra pas.

En général, le SPF record est utilisé en con­jonc­tion avec d’autres mé­ca­nismes de sécurité, notamment le DKIM et le DMARC.

Aller au menu principal