Erreur # 1 : Mauvaise compréhension de la protection réellement apportée par SPF :
SPF est un enregistrement DNS qui permet de référencer les systèmes qu’une organisation souhaite autoriser à émettre des e-mails en son nom. Dans le "Header Authentication-Results" d'un e-mail, l’adresse e-mail de "Return-Path " ou "Envelope from " ou "smtp.mailfrom" doit appartenir au nom de domaine sur lequel est configuré le SPF pour que le SPF soit valide lors de la vérification par l'anti-spam du destinataire d'un e-mail. Autrement dit, le contrôle SPF permet de vérifier si l'adresse IP à partir de laquelle l'e-mail est envoyé est autorisée par le SPF (Sender Policy Framework) du domaine figurant dans le champ de retour (Return-Path).
Or, l’adresse e-mail de « Return-Path » d’un e-mail est simplement l’adresse qui est configurée pour recevoir une notification appelée « NDR : Non Delivery Report » lorsqu’un e-mail n’a pas été délivré au destinataire.
La configuration de SPF permet donc d’éviter que les adresses e-mail de vos employés ne reçoivent une pluie d’e-mails de « NDR » lorsqu’un pirate émet des e-mails ayant une adresse e-mail de « Return-Path » identique aux adresses e-mail de vos employés.
Comme expliqué dans cet article « Qu’est-ce que SPF ? », cette adresse e-mail de « Return-Path » peut ne pas être égale à l’adresses e-mail affichée dans le champ « From » du client mail du destinataire.
De ce fait, l’implémentation d’un enregistrement SPF - sans enregistrement DNS DMARC configuré en mode blocage - ne permet pas à lui seul de se prémunir contre l’usurpation de ses adresses e-mail.
Si vous désirez stopper l’usurpation de vos adresses e-mails, alors il faut implémenter DMARC en plus de SPF.
Erreur # 2 : Configuration SPF erronée et impactant la délivrabilité des e-mails
La configuration d’un enregistrement SPF demeure une bonne pratique de sécurité et permet aussi d’augmenter la délivrabilité des e-mails que vous émettez.
Il est donc primordial de bien configurer un enregistrement SPF sur son domaine afin de diminuer les chances que vos e-mails ne soient qualifiés comme « spam » par les solutions antispams de vos destinataires (ex : proofpoint, gmail, symantec, o365, etc.).
De nombreux « mécanismes DNS» sont disponibles pour décrire les IPs des systèmes autorisés à émettre des e-mails avec une adresse e-mail de « Return-Path » appartenant au domaine. Mais une utilisation hasardeuse de ces mécanismes provoque parfois des dépassements des limitations imposées par le protocole SPF (taille de l’enregistrement SPF, nombre de « lookups » DNS supérieur à 10, nombre de non résolution de « lookup » DNS supérieure à 2, etc.» et impacter la délivrabilité de vos e-mails.
Conscient qu’un enregistrement SPF doit être « réfléchi » et vérifié après chaque modification, nous avons développé un l’outil « SPF checker tool » qui permettra d’évaluer votre champ SPF et vous avertira si votre enregistrement SPF contient des erreurs ou si ce dernier peut encore être optimisé / simplifié :