Dans cet article, nous expliquons:

  • Ce qu'est un enregistrement SPF
  • Comment ajouter un enregistrement SPF
  • Comment créer un enregistrement SPF

Vous avez déjà un enregistrement SPF mais vous n'êtes pas sûr que sa configuration soit correcte ? Utilisez notre outil gratuit Inspecteur SPF pour effectuer un contrôle SPF.

Qu'est-ce qu'un enregistrement SPF ?

Un enregistrement SPF ou enregistrement SPF TXT est un enregistrement qui fait partie du DNS de votre domaine, similaire à un enregistrement DMARC. Il contient une liste de toutes les adresses IP qui sont autorisées à envoyer des courriels au nom de votre domaine.

Lorsqu'un expéditeur tente de transférer un courrier électronique à un serveur de réception pour qu'il soit livré, le serveur de courrier électronique vérifie si l'expéditeur figure sur la liste des expéditeurs autorisés de votre domaine. Si c'est le cas, un lien a été établi entre le courrier électronique et le domaine de messagerie.

Avec un enregistrement SPF en place, vous protégez votre domaine de messagerie contre les attaques de spoofing et de phishing en faisant savoir au monde entier quels sont les serveurs autorisés à envoyer du courrier électronique authentifié en votre nom.

En savoir plus sur l' Syntaxe des enregistrements SPF.

Comment ajouter un enregistrement SPF ?

Pour ajouter un enregistrement SPF, vous devez avoir accès au panneau de contrôle DNS de votre domaine. Si vous faites appel à un fournisseur d'hébergement, la procédure est assez simple et vous devez vous référer aux documents justificatifs de ce dernier. En cas de doute, vous pouvez contacter votre fournisseur de services informatiques pour obtenir de l'aide.

Remarque : l'entrée en vigueur de votre nouvel enregistrement SPF peut prendre jusqu'à 48 heures.  

Comment créer un enregistrement SPF ?

Commencez par rassembler une liste de tous vos domaines, car chaque enregistrement SPF se réfère à un domaine spécifique. Veillez à inclure les domaines inactifs (ou « parqués ») qui n'envoient pas de courrier électronique afin de les protéger également contre les abus.

Vous devrez également identifier tout ce qui envoie du courrier électronique depuis votre ou vos domaines, y compris des sources (tierces parties) qui envoient des courriers électroniques au nom de votre domaine. Cela comprend :

  • serveurs de messagerie (à la fois sur le Web comme Gmail ou via votre FAI et au bureau comme Microsoft Exchange)
  • fournisseurs de services de messagerie : des entreprises qui fournissent des services de marketing /mailing en masse)
  • services divers (par exemple, systèmes d'assistance/de billetterie, fournisseurs de paiement, services de commerce électronique, etc.)

v=spf1 ip4: 40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include: thirdpartydomain.com ~all

  • Commencez avec la version v=spf1 de SPF, ce qui indique qu'il s'agit d'un enregistrement SPF. Il s'agira toujours de v=spf1, car les autres versions de SPF ont été abandonnées.
  • La balise de version SPF doit être suivie de toutes les adresses IP qui sont autorisées à envoyer du courrier électronique au nom de votre domaine.
    Par exemple : v=spf1 ip4: 40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348
  • Vient ensuite la déclaration « include », qui est nécessaire pour toute organisation tierce qui envoie des courriers électroniques en votre nom.
    Par exemple : v=spf1 ip4: 40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include: thirdpartydomain.com
    Vous devriez consulter ces tiers pour savoir quel domaine utiliser comme valeur ici. En outre, les fournisseurs de messagerie électronique publient généralement des enregistrements SPF pour des domaines d’ envoi en votre nom, vous devrez donc également vérifier avec eux.
  • La fin de l'enregistrement SPF est la balise « all ». Elle est importante car elle indique la politique et la rigueur à appliquer lorsqu'un serveur récepteur détecte un serveur qui n'est pas répertorié (autorisé) dans votre enregistrement SPF.
    L'enregistrement  “all”  comporte les options de base suivantes :
    -all  : (échec) les e-mails non autorisés seront rejetés*.
    ~all  : (soft fail) les e-mails non autorisés seront acceptés mais marqués*.
    +all  : cette balise permet à n'importe quel serveur d'envoyer des e-mails à partir de votre domaine, nous vous le déconseillons donc fortement.
    *Vous pouvez trouver plus d'informations sur les différences entre échec et softfail ici.
    Par exemple : v=spf1 ip4: 40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include: thirdpartydomain.com ~all.

Il s'agit d'un aperçu de base de ce qu'un enregistrement SPF peut contenir. Vous pouvez trouver un aperçu plus détaillé de la syntaxe SPF ici.

Pour vos domaines qui n'envoient pas de courrier électronique (domaines inactifs ou parqués, il est recommandé de publier une politique SPF qui n'inclut aucune adresse IP afin d'éviter tout abus. Voici un exemple d'enregistrement pour un domaine qui n'envoie pas de courrier électronique : v=spfXNUMX -all v=spf1 -all

Remarque : les enregistrements SPF ne peuvent pas comporter plus de 255 caractères et ne peuvent pas inclure plus de dix déclarations « include », également appelées « lookups » (recherches).

Pour inspecter et vérifier vos enregistrements SPF, servez-vous de notre Inspecteur SPF gratuit . Si vous ne l'avez pas encore fait, vous pouvez vous inscrire pour un essai gratuit ici et nous laisser vous aider à sécuriser vos domaines de messagerie.

SPF signifie Sender Policy Framework (littéralement « cadre de politique de l'expéditeur ») et est une technologie gratuite d'authentification de messagerie qui existe depuis 2003. C'est un moyen de vérifier qu'un serveur de courrier (adresse IP) est autorisé à envoyer des courriers électroniques pour un domaine spécifique ; avec DKIM, SPF est une fondation de DMARC. Vous pouvez trouver plus d'informations générales sur SPF ici.

Voulez-vous continuer la conversation? Dirigez-vous vers le Forum dmarcian