Conseils TechniquesSPF

Comment créer un enregistrement SPF et l’ajouter à votre DNS

By september 24, 2020maart 16th, 2021No Comments

Dans cet article, nous aborderons les points suivants :

  • Qu’est-ce qu’un enregistrement SPF
  • Comment ajouter un enregistrement SPF
  • Comment créer un enregistrement SPF

Vous avez déjà un enregistrement SPF mais vous n’êtes pas sûr que sa configuration soit correcte ? Utilisez notre outil gratuit SPF Surveyor pour effectuer une vérification du SPF.

Qu’est-ce qu’un enregistrement SPF ?

Un enregistrement SPF ou SPF TXT est un enregistrement qui fait partie du DNS de votre domaine, similaire à un enregistrement DMARC. Il contient une liste de toutes les adresses IP qui sont autorisées à envoyer des courriers électroniques au nom de votre domaine.

Lorsqu’un expéditeur tente de livrer des courriers électroniques à un serveur de « réception », le serveur de courrier électronique vérifie si l’expéditeur figure dans la liste des expéditeurs autorisés de votre domaine. Si c’est le cas, le courriel est lié au domaine de messagerie.

Un enregistrement SPF protège votre domaine de messagerie contre les attaques de spoofing et de phishing en identifiant les serveurs qui peuvent envoyer des e-mails authentifiés en votre nom.

Comment ajouter un enregistrement SPF ?

Pour ajouter un enregistrement SPF, vous devez avoir accès au panneau de contrôle DNS de votre domaine. Si vous faites appel à un fournisseur d’hébergement, la procédure est assez simple et vous devez consulter ses documents justificatifs. Si vous avez encore des doutes, vous pouvez contacter votre fournisseur de services informatiques pour obtenir de l’aide.

Attention ! Il peut s’écouler jusqu’à 48 heures avant que votre nouvel enregistrement SPF ne prenne effet.

Comment créer un enregistrement SPF ?

Commencez par dresser une liste de tous vos domaines, car chaque enregistrement SPF se réfère à un domaine spécifique. N’oubliez pas d’inclure vos domaines inactifs (ou « parqués ») qui n’envoient pas de courriels pour les protéger également contre les abus.

Vous devrez également identifier tout ce qui envoie des courriers électroniques à partir de votre (vos) domaine(s), y compris les sources (tierces parties) qui envoient des courriers électroniques au nom de votre domaine. Cela inclut :

  • Serveurs de messagerie (basés sur le web comme Gmail ou via votre fournisseur d’accès Internet et au bureau comme Microsoft Exchange)
  • Fournisseurs de services de messagerie (entreprises qui offrent des services de marketing par courriel/mailing en masse)
  • Services divers (par exemple, systèmes d’assistance/de billetterie, fournisseurs de paiement, services de commerce électronique, etc.)

v = spf1 ip4: 40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:thirdpartydomain.com ~ all

  • Commencez avec la version v=spf1 de SPF, cela indique qu’il s’agit d’un enregistrement SPF. Ce sera toujours v=spf1, car les autres versions du SPF ne sont plus disponibles.
  • La balise de version SPF doit être suivie de toutes les adresses IP qui sont autorisées à envoyer des courriers électroniques au nom de votre domaine. Par exemple : v=spf1 ip4:40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348
  • Vient ensuite la déclaration « include » qui est requise pour tout tiers envoyant des courriels en votre nom. Par exemple : v = spf1 ip4: 40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:thirdpartydomain.com
    Vous devrez consulter ces fournisseurs tiers pour savoir quel domaine utiliser comme valeur ici. Les fournisseurs de services de messagerie publient aussi généralement des enregistrements SPF pour les domaines envoyés en votre nom, vous devrez donc vérifier avec eux également.
  • Et enfin, la balise « all » est importante car elle indique la politique en place et la rigueur à appliquer lorsqu’un serveur récepteur détecte un élément qui n’est pas répertorié dans votre enregistrement SPF (c’est-à-dire non autorisé).
    La balise « all » présente les options de base suivantes :
    -all : (échec) les e-mails non autorisés seront rejetés*.
    ~ all : (soft fail) les e-mails non autorisés seront acceptés mais marqués*.
    +all : cette balise permet à n’importe quel serveur d’envoyer des e-mails depuis votre domaine, nous le déconseillons donc fortement. Par exemple : v=spf1 ip4:40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:thirdpartydomain.com ~all.

*Plus d’informations sur les différences entre fail et softfail peuvent être trouvées ici.

Il s’agit d’un aperçu de base de ce que peut contenir un enregistrement SPF. Un aperçu plus détaillé de la syntaxe du SPF peut être trouvé ici.

Pour éviter les abus, il est conseillé de publier une politique de SPF pour vos domaines qui n’envoient pas de courriels (domaines inactifs ou en parking) qui ne comprennent pas d’adresses IP. Voici un exemple d’enregistrement pour un domaine non expéditeur : v=spf1 -all

Remarque : les enregistrements SPF ne peuvent pas comporter plus de 255 caractères et ne peuvent pas contenir plus de dix déclarations « include », également appelées « lookups » (recherches).

Pour inspecter et vérifier vos dossiers de SPF, visitez notre SPF Survey gratuit. Si vous ne l’avez pas encore fait, inscrivez-vous ici pour un essai gratuit de 14 jours et laissez-nous vous aider à sécuriser vos domaines de messagerie.