SPF (Sender Policy Framework)

Qu'est-ce que le SPF?

SPF (Sender Policy Framework) est une méthode d'authentification par courriel qui permet aux propriétaires de domaines de spécifier quels serveurs de messagerie sont autorisés à envoyer des courriels en leur nom. La réception des serveurs de messagerie vérifie les enregistrements SPF pour vérifier que les courriels entrants d'un domaine proviennent d'une source autorisée.

Pourquoi le FPS importe

Sans SPF, n'importe qui peut envoyer des courriels qui semblent provenir de votre domaine (spoofing). SPF aide :

• Prévenir l'hameçonnage: Les attaquants ne peuvent pas facilement se passer de votre domaine
• Améliorer la livraison: Les fournisseurs d'emails font confiance aux messages authentifiés
• Protéger la réputation: Le spam Spoomed n'endommagera pas la réputation de votre domaine
• Enable DMARC: Le SPF est un élément constitutif des politiques du DMARC

Comment SPF Travaux

1. Le propriétaire du domaine publie un enregistrement SPF (TXT) dans DNS

2. Le serveur de messagerie de Sender envoie un e-mail qui prétend être de @example.com

3. Le serveur de courrier du destinataire recherche l'enregistrement SPF de example.com

4. Le serveur vérifie si l'IP d'envoi est autorisé

5. Résultat appliqué: Passage, échec, échec ou neutre

Syntaxe des enregistrements SPF

Un enregistrement SPF est un enregistrement TXT avec un format spécifique:

v=spf1 [mechanisms] [qualifier]all

Exemple SPF Comptes rendus

v=spf1 ip4:203.0.113.50 -all

v=spf1 include:_spf.google.com ~all

v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 -all

Mécanismes du FPS

Qualificatifs

Pratiques exemplaires de mise en œuvre du FPS

Commencez avec SoftFail

Lors de la première mise en œuvre de SPF, utilisez ~all pour éviter de rejeter le courriel légitime:

v=spf1 include:_spf.google.com ~all

La transition vers l'échec

Une fois le travail confirmé, passer à -all pour une application stricte:

v=spf1 include:_spf.google.com -all

Gardez la recherche DNS de moins de 10 ans

SPF permet un maximum de 10 recherche DNS (inclus, a, mx, redirection, existe). Le dépassement de cette limite entraîne des défaillances du SPF.

# Counts as DNS lookups:
include:_spf.google.com    # 1 (plus nested includes)
a:mail.example.com         # 1
mx                         # 1

# Does NOT count:
ip4:203.0.113.50           # 0
ip6:2001:db8::1            # 0

Un seul enregistrement SPF

Plusieurs enregistrements SPF provoquent des défaillances de validation. Combiner tous les mécanismes en un seul disque :

# Wrong - two SPF records
v=spf1 include:_spf.google.com ~all
v=spf1 include:sendgrid.net ~all

# Correct - combined
v=spf1 include:_spf.google.com include:sendgrid.net ~all

Vérification des dossiers SPF

dig example.com TXT | grep spf

curl "https://domscan.net/v1/health?domain=example.com"
# Returns hasSPF status

Questions communes relatives au cadre de programmation stratégique

Trop de recherche DNS

Symptôme: Permerror SPF

Solution: Flatten comprend ou utilise moins de services externes

Services tiers manquants

Symptom: le courriel légitime échoue SPF

Solution: Ajouter include/ip4 pour tous les services d'envoi (outils de marketing, CRM, etc.)

Le SPF est trop permis

Symptom: Spoofed email passe SPF

Problème : Utilisation de +all ou trop de services inclus

Solution : Vérification et restriction des expéditeurs autorisés

SPF est essentiel pour l'authentification par courriel, mais fonctionne mieux combiné avec DKIM et DMARC pour une protection complète.