SPF ou Sender Policy Framework (littéralement « cadre de politique de l’expéditeur ») est utilisé pour authentifier l’expéditeur d’un courrier électronique. Avec un enregistrement SPF en place, les fournisseurs d’accès Internet peuvent vérifier qu’un serveur de messagerie est autorisé à envoyer des courriers électroniques pour un domaine spécifique. Un enregistrement SPF est un enregistrement DNS TXT contenant une liste d’adresses IP autorisées à envoyer des courriers électroniques au nom de votre domaine.

Visualisation: comment fonctionne la messagerie SPF (Sender Policy Framework) pour empêcher le phishing

Comment SPF fonctionne-t-il ?

Pour utiliser SPF, il faut publier un enregistrement SPF dans le DNS. Cet enregistrement est une liste de toutes les adresses IP qui sont autorisées à envoyer des courriers électroniques au nom du domaine.

Le mécanisme SPF utilise le domaine dans l’adresse de retour pour identifier l’enregistrement SPF. Lorsqu’un expéditeur tente de transférer un courrier électronique à un serveur « récepteur » de courrier électronique pour qu’il soit livré, le serveur vérifie si l’expéditeur figure sur la liste d’expéditeurs autorisés du domaine. Si c’est le cas, un lien s’établit entre le courrier électronique et le domaine de messagerie. Si ce n’est pas le cas, le serveur continue à traiter le courrier électronique comme d’habitude sans ce lien, car toute sorte de choses pourraient être en train de se produire.

Il se peut que le courriel soit réel, mais que la liste d’expéditeurs ne soit pas exacte. Le courrier électronique réel peut avoir été transféré, ce qui signifie qu’il peut provenir de n’importe où, ce qui rend la liste d’expéditeurs autorisés inutile. Ou alors, le courriel est faux et non désiré. Un trop grand nombre de résultats possibles qui rend difficile de donner un sens à l’absence du lien que le SPF pourrait fournir. DKIM comble le vide dans le cadre technique de la norme DMARC en tant que moyen supplémentaire d’essayer de relier un courriel à un domaine.

SPF et DMARC pour le courrier électronique

Le SPF peut, à lui seul, relier un courriel à un domaine. Une fois les enregistrements DNS en place, DMARC lie les résultats de SPF au contenu du courrier électronique, plus précisément au domaine trouvé dans la voie de retour ou dans l’en-tête From: d’un courrier électronique. Pour que le SPF fonctionne correctement dans le contexte de DMARC, l’adresse du chemin de retour doit être pertinente pour le domaine de l’en-tête From:, qui est l’élément qui relie l’alignement DMARC.

Pour en savoir plus, lisez Comment créer et ajouter un enregistrement SPF

Avantages de la mise en place de SPF

Le SPF est devenu indispensable pour aider à vérifier quelle infrastructure d’envoi peut relayer le courrier électronique au nom de votre domaine. La mise en œuvre de SPF pour le courrier électronique présente des avantages importants :

  • La délivrabilité globale de vos courriels augmente
  • La réputation de votre marque se voit renforcée
  • SPF vous aide à vous défendre contre l’usurpation d’identité de domaine et l’usurpation d’adresse électronique

Vérifiez les paramètres SPF de votre domaine SPF Surveyor (inspecteur SPF) de dmarcian est un outil d’analyse qui présente une vue graphique des enregistrements SPF. Il vous permet d’identifier rapidement quels sont les serveurs autorisés à envoyer au nom d’un domaine.

Pourquoi SPF seul n’est pas assez sûr

Bien que SPF soit une couche d’authentification du courrier électronique éprouvée qui existe depuis la fin des années 1990, il présente quand même des difficultés. Autrement dit, le transfert de courrier électronique se fait sur Internet et le mécanisme de SPF ne survit pas au processus de transfert. La redirection se produit généralement lorsque vous envoyez un courrier électronique à someone@EXAMPLE.ORG et que cette personne a configuré son courrier électronique pour qu’il soit transféré à une autre adresse, comme someone@SAMPLE.NET. Dans cet exemple, votre courrier électronique semble sortir d’une infrastructure qui apparemment n’a rien à voir avec vous.

La signature DKIM peut survivre au transfert. Si votre domaine est couvert par DKIM, la capacité de dmarcian à détecter les transferts augmente. SPF ne fonctionne pas dans le contexte de la redirection, car le SPF est simplement une liste de serveurs qui sont autorisés à envoyer au nom de votre domaine, et il n’est pas possible pour un propriétaire de domaine de maintenir une liste de redirecteurs.

Idées fausses sur SPF

Il arrive souvent que les entreprises comprennent mal le fonctionnement de SPF et instruisent leurs clients d’inclure l’enregistrement SPF de l’entreprise. Cependant, cela finit par ne rien faire si l’entreprise utilise son propre domaine dans l’adresse de rebond. Lorsqu’un destinataire traite un courriel, il consulte l’enregistrement SPF de l’entreprise et non celui du client.

Deux choses indésirables se produisent à cause de cette idée fausse :

  1. Des « includes » inutiles sont ajoutés dans les enregistrements SPF. Cela entraîne un gonflement des enregistrements SPF et pose des problèmes de gestion.
  2. La confusion s’ installe car les gens veulent juste mettre en place SPF pour que leur déploiement DMARC soit terminé. Le résultat : SPF passe, mais DMARC échoue.

Pour que SPF fonctionne correctement dans le contexte de DMARC, la bounce address (littéralement « adresse de rebond ») doit être pertinente pour le domaine de l’en-tête From:. Malheureusement, de nombreuses entreprises qui envoient des courriels au nom d’autres entreprises ne permettent pas à leurs clients de modifier l’adresse de rebond pour le domaine du client. Cela change lentement, mais les entreprises doivent d’abord comprendre les bases du fonctionnement de SPF, et nous avons des ressources disponibles pour aider les entreprises à envoyer des courriels conformes à la norme DMARC au nom d’autrui.