SPF pour la protection du courrier

SPF(Sender Policy Framework) – Outil permettant de déterminer quels serveurs sont autorisés à envoyer du courrier au nom de notre domaine. En d’autres termes, l’entrée pour le domaine exemple.com spécifiera ce qu’il faut faire avec les messages de toute personne à @example.com. Il vous permet de rejeter un message ou de le signaler et de vous avertir d’une éventuelle tentative d’usurpation d’identité pour ce domaine.

Contrôle SPF

Une règle simple pour vérifier le SPF consiste à demander au serveur DNS l’enregistrement txt du domaine de l’adresse électronique (par exemple, info@roan24.pl est le domaine roan24.pl). Donc „dig roan24.pl txt” va nous renvoyer : „v=spf1 a mx ip4:178.33.3.224 -all” c’est-à-dire que le domaine a une entrée spf version 1 (v=spf1), et à partir du domaine donné il ne peut envoyer du courrier qu’à partir d’adresses ip qui sont dans l’entrée A (a), MX (mx), ou a une ip version 4 178.33.3.224 (ip4:178.33.3.224). Quant aux entrées a et mx, vous pouvez lire comment elles fonctionnent dans notre article sur les bases du DNS.
Il ne reste plus qu’à vérifier ce qu’il faut faire avec le message, c’est-à-dire l’entrée „all”, le plus souvent utilisée est „~all” qui signifie accepter mais signaler la possibilité de fraude, ou „-all” si le serveur d’envoi n’est pas sur la liste SPF alors rejeter le message sans autre vérification.

Comment introduire le SPF

Une description détaillée de l’ensemble de la syntaxe peut être trouvée sur le site web d’openspf, mais dans la version anglaise. Cependant, je vais décrire ici, en espérant que cela soit compréhensible, la syntaxe à utiliser pour entrer SPF sur notre domaine.
Donc oui, nous utiliserons toujours v=spf1 au début car je décrirai ici la version 1 de spf (il n’y a pas de version 2 pour le moment). Nous avons donc une entrée :
v=spf1
Cette entrée ne nous dit encore rien, ajoutons-lui une balise all – elle signifie comment nous devons traiter le message que nous vérifions spf. Et donc on peut le faire précéder de quatre signes : „+” signifiant que c’est ok, „-” signifiant que ça n’a pas passé, „~” que c’est suspect, ” ?” neutre.
Ainsi, si l’entrée ressemble à „+all” et que l’hôte expéditeur ne figure pas dans la liste, nous devons accepter un tel message.
Si c’est „~all” et que l’hôte n’est pas sur la liste, nous sommes censés accepter un tel message mais le marquer comme une erreur spf, ou suspecté d’être un spam.
Si nous avons „-all”, recommandé par moi, cela signifie que si le serveur n’est pas dans la liste, alors le message provenant de ce serveur doit être rejeté.
L’entrée „?all” signifie que rien ne s’est passé, qu’elle soit présente ou non – en bref, il ne peut y avoir d’entrée.
Je recommande d’utiliser soit „~all” si vos adresses changent fréquemment et que vous risquez d’avoir du mal à toutes les saisir, soit „-all” si vous connaissez les adresses exactes de vos serveurs et qu’elles ne changent pas trop souvent.
v=spf1 -all
Avec un début et une fin, nous allons maintenant entrer les adresses IP ou les entrées (au milieu de l’entrée) dans notre liste.
A – c’est-à-dire le serveur en entrée a peut envoyer du courrier. REMARQUE Si vous utilisez un proxy ou un cdn (par exemple, cloudflare), vous ne devez pas entrer cette information car votre serveur de messagerie ne doit pas être autorisé à envoyer du courrier en votre nom.
MX – Il faut noter ici que si vous changez l’adresse du serveur dans l’entrée MX, vous n’avez plus besoin de changer l’entrée SPF, ce qui facilite le travail, parfois il peut arriver que l’on utilise une passerelle pour recevoir le courrier et cette entrée ne doit pas être utilisée.
ip4 – c’est-à-dire une adresse ip ou une adresse ip/masque (par exemple, 192.168.0.0/24 est – 192.168.0.0 à 192.168.0.255) signifie les adresses ip spécifiques de la version quatre qui sont autorisées à envoyer du courrier.
ip6 – sur le même principe que les adresses ip4, mais il ne concerne que les adresses de la version 6.
Il existe également des entrées supplémentaires telles que „include” et „redirect”, include ajoute les entrées du domaine spécifié (via une recherche txt) et redirect redirige vers un autre domaine où nous pouvons trouver des directives SPF dans l’entrée txt.
De même, la création d’une entrée SPF n’est pas difficile, même pour les grands fournisseurs de courrier et est recommandée. N’oubliez pas que vous devez la mettre à jour lorsque vous changez l’adresse IP du serveur de courrier et qu’elle n’est pas ajoutée par MX. Pour les petits domaines, nous recommandons d’utiliser des entrées courtes avec seulement l’entrée mx ajoutée, par exemple. est suffisante pour tous nos clients :
v=spf1 mx ip4:178.33.3.224 -all

Résumé

Le SPF n’est pas idéal pour sécuriser notre courrier, mais il est assez facile à saisir et, correctement formaté, il peut réduire considérablement le phishing lié à l’usurpation d’identité de notre domaine de courrier.