SPF est un enregistrement DNS qui permet de référencer les IPs qu’un nom de domaine souhaite autoriser à émettre des e-mails en son nom. Pour que le résultat d'une vérification SPF soit positif (pass), il faut que le domaine de l’adresse de "Return-Path" ou "Envelope from" ou "smtp.mailfrom" (observable uniquement dans les entêtes techniques d’un e-mail) dispose d’un enregistrement SPF référençant l’IP du système ayant émis cet e-mail.
Les instructions SPF sont des mécanismes utilisés pour indiquer comment gérer les e-mails qui ne répondent pas aux critères de l'enregistrement SPF. Les plus couramment utilisés sont "?all", "~all" et "-all". Chacun d'entre eux présente des avantages et des inconvénients." :
- Le mode SPF « ?all » : Cet enregistrement est le plus permissif. Il permet d’indiquer aux anti-spams que vous n’êtes pas certain d’avoir inventorié l’ensemble des IPs émettrices autorisées à émettre des e-mails avec votre domaine dans le champ « SMTP from / Envelope from » d’un e-mail. Les anti-spams diminueront le score de spam de l’e-mail si le résultat de la vérification donne "SPF=Pass", diminuant alors les chances que vos e-mails soient qualifiés de spam. Si la vérification SPF échoue car l’IP émettrice n’est pas présente dans votre SPF alors l’antispam n’augmentera pas le score de spam de l’e-mail.
- Le mode SPF «~all » : Cet enregistrement apporte les mêmes avantages que le mode « ?all » si l’e-mail réussi son test SPF=pass. Par contre, si votre e-mail échoue le tests SPF alors vous demandez à l’antispam d’augmenter le score de spam de l’e-mail ce qui augmentera les chances que cet e-mail soit qualifié de spam
- Le mode SPF « -all » : Cet enregistrement est similaire à l’instruction ci-dessus cependant ici, vous indiquez à l’antispam de rejeter l’e-mail s’il échoue à sa vérification SPF. Cette configuration peut provoquer quelques effets de bord. Ainsi certains de vos utilisateurs recevront parfois des notifications leur indiquant que des e-mails émis en leur nom ont été rejetés par des antispam. Cela se produit lorsque des pirates usurpent leurs adresses e-mails ou bien lorsque vos utilisateurs ont envoyé un e-mail vers un destinataire ou une liste de diffusion transférant les e-mails vers une autre adresse e-mail de manière non conforme au protocole SPF. C’est le cas des boites e-mail hébergées par SFR ou des listes de diffusion proposées par OVH par exemple.
Il est important de noter que chaque système anti-spam est libre d'interpréter les résultats SPF à sa manière, mais les fondements de SPF sont définis.
Que conseillons-nous à nos clients?
1/ Configurez-vous un enregistrement SPF pour la première fois sur un domaine existant ? Configurez un enregistrement SPF en mode «?all» et surveillez les éventuels e-mails émis par ce domaine grâce à notre outil d’analyse des rapports DMARC. Cela vous aidera à élaborer votre enregistrement SPF définitif.
2/ Votre domaine n’émet et ne reçoit aucun e-mail ? Configurez son enregistrement SPF avec une instruction SPF « -all » ainsi que d’autres enregistrements DMARC/DKIM/MX défensifs en suivant les instructions présentes dans cet article
3/ Votre domaine émet-il des e-mails ? Surveillez les e-mails émis par ce domaine grâce à notre outil d’analyse des rapports DMARC, puis :
Si vous observez que beaucoup d’e-mails légitimes sont transférés par des tiers tout en conservant votre nom de domaine dans le champ «SMTP from / Envelope from» (transfert d’e-mail non conforme avec le protocole SPF car le domaine de «SMTP from / Envelope from» devrait être changé par le domaine du transmetteur lors du transfert pour ne pas référencer votre domaine), nous vous recommandons de configurer un enregistrement SPF en «~all». Dans ce cas, il faut également bien configurer DKIM sur vos sources émettrices (l’authentification DKIM contrairement à SPF « survie » à un transfert d’e-mail) ainsi que de protéger votre domaine avec un enregistrement DMARC en mode « quarantine » ou « reject » dès que vos flux e-mails seront suffisamment authentifiés avec SPF/DKIM. Cela permettra de protéger votre domaine contre l’usurpation de ses adresses e-mails dans le champs «header from» visible dans les clients mails comme Outlook/Gmail tout en évitant de bloquer inutilement des e-mails réussissant leur vérification DMARC avec DKIM mais échouant leur vérification SPF comme ce dernier :
Si vous n’observez aucun transfert d’e-mails, vous pouvez configurer un SPF en «-all» ainsi que protéger votre domaine avec un enregistrement DMARC en mode « quarantine » ou « reject » dès que vos flux e-mails seront suffisamment authentifiés avec SPF/DKIM. Cela permettra de protéger votre domaine contre l’usurpation de ses adresses e-mail dans le champ « header from » visible dans les clients mails comme Outlook/Gmail.
Nos conseils sont équilibrés et parfois différents des avis d'experts qui ne sont pas directement impactés par les conséquences de leurs recommandations. Ces experts préconisent souvent de mettre en place un enregistrement SPF "-all" qui peut bloquer des e-mails légitimes même s'ils ont été authentifiés avec DMARC/DKIM:
Comment d'autres domaines importants utilisent-ils le SPF ?
En examinant les domaines des entreprises technologiques bien connues, nous pouvons constater que la plupart d'entre eux utilisent le SPF softfail, tels que apple.com, google.com et oracle.com. Cependant, d'autres domaines tels que microsoft.com ou facebook.com utilisent une politique plus stricte ('hard' fail policy).
Parmi les organisations gouvernementales, les politiques peuvent varier également. Par exemple, whitehouse.gov et cia.gov utilisent tous deux le SPF "softfail", tandis que fbi.gov utilise une politique stricte.
Chez dmarc.fr, nous prenons le temps d'offrir des conseils personnalisés à nos clients en utilisant les données réelles recueillies grâce à nos outils d'analyse. Cela permet à nos clients de prendre des décisions éclairées sur les configurations à adopter en connaissant les avantages et les inconvénients potentiels des différentes options.