Mettre en Place SPF

Le Sender Policy Framework (SPF) est un protocole de sécurité des emails qui aide à prévenir l'usurpation d'identité en spécifiant quels serveurs sont autorisés à envoyer des emails pour votre domaine.

Etape N°1 : Créer l'enregistrement SPF

1.1. Comprendre la Syntaxe de l'Enregistrement SPF

Un enregistrement SPF est un enregistrement TXT dans votre DNS qui définit les serveurs autorisés à envoyer des emails pour votre domaine. La syntaxe de base d'un enregistrement SPF est la suivante :

v=spf1 [mécanismes] [modificateurs]

• v=spf1 : Indique la version de SPF utilisée.
• [mécanismes] : Spécifie les serveurs autorisés à envoyer des emails.
• [modificateurs] : Fournit des informations supplémentaires sur la manière de traiter les emails.

1.2. Mécanismes SPF

Les mécanismes SPF définissent les serveurs autorisés à envoyer des emails :

• ip4 : Autorise une adresse IPv4 ou une plage d'adresses IPv4.
• ip6 : Autorise une adresse IPv6 ou une plage d'adresses IPv6.
• a : Autorise les adresses IP définies dans les enregistrements A du domaine.
• mx : Autorise les adresses IP définies dans les enregistrements MX du domaine.
• ptr : Autorise les domaines dont les enregistrements PTR correspondent à l'adresse IP de l'expéditeur.
• exists : Autorise si le domaine spécifié possède un enregistrement DNS (indiqué après exists).
• include : Inclut les mécanismes SPF d'un autre domaine (indiqué après le include).
• all : Correspond à toutes les adresses IP. Utilisé avec un qualificateur SPF (ex. : -all pour interdire tous les serveurs non listés précédemment).

1.3. Qualificateurs SPF

Les qualificateurs SPF (qui se mettent facultativement devant les mécanismes) définissent comment traiter les emails provenant de serveurs non autorisés" :

• + : Passe (par défaut si aucun qualificateur n'est précisé).
• - : Échoue.
• ~ : SoftFail (accepte mais marque comme suspect).
• ? : Neutre (ni passe ni échoue).

1.4. Modificateurs SPF

Les modificateurs SPF fournissent des informations supplémentaires sur la manière de traiter les emails. Voici les modificateurs :

• redirect : Redirige vers un autre enregistrement SPF.
• exp : Spécifie le champ TXT d'un domaine qui fournit une explication en cas d'échec (très peu utilisé).

1.5. Utilisation des macros

Afin d'être le plus exhaustif possible, il convient de noter que, dans certains cas spécifiques, l'utilisation de variables, appelées aussi "macro" ou "placeholder", peut être envisagée dans les mécanismes SPF. Pour la liste complète des macros et des exemples, cliquez ICI.

1.6. Exemples d'Enregistrements SPF

Exemple 1 : Autoriser une seule adresse IP

v=spf1 ip4:192.0.2.0 -all

équivaut à

v=spf1 +ip4:192.0.2.0 -all

Cet enregistrement autorise uniquement les emails envoyés depuis l'adresse IP 192.0.2.0. Toutes les autres IP des autres serveurs sont interdits (c'est ce qu'indique le   -all).

Exemple 2 : Autoriser plusieurs serveurs

v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.123 include:_spf.google.com -all

Cet enregistrement autorise les emails envoyés depuis les adresses IP 192.0.2.0/24, 198.51.100.123, et les serveurs listés dans l'enregistrement SPF de _spf.google.com. Tous les autres serveurs sont interdits.

Exemple 3 : Utiliser des enregistrements MX

v=spf1 mx -all

Cet enregistrement autorise les emails envoyés depuis les serveurs listés dans les enregistrements MX du domaine. Tous les autres serveurs sont interdits.

Exemple 4 : Utiliser le modificateur redirect

v=spf1 redirect=_spf.example.com

Dans cet exemple, l'enregistrement SPF redirige vers l'enregistrement SPF de _spf.example.com. Le modificateur redirect doit être le dernier mécanisme de l'enregistrement SPF.

1.7. Remarque importante

Chaque fois qu'un mécanisme "include:", "a:", "mx:", "ptr" ou "exists:" nécessite une résolution DNS, cela compte comme un lookup. La spécification SPF (RFC 7208) limite le nombre de "lookups DNS" à 10. le but est d'empêcher les enregistrements SPF de causer des problèmes de performance lorsque le serveur de mail de reception doit controler si l'IP de l'émetteur est autorisée ou non selon l'enregistrement SPF.

Si un enregistrement SPF risque ou va dépasser les 10 lookup DNS, vous pouvez utiliser notre outil ci-dessous pour résoudre ce problème :

Etape N°2 : Publier l'enregistrement SPF dans votre DNS

Une fois votre enregistrement SPF créé, il ne vous reste plus qu'à le publier dans le DNS de votre domaine.

2.1. Accéder à la Console DNS de Votre Fournisseur

Pour publier un enregistrement SPF, vous devez accéder à la console DNS de votre fournisseur de noms de domaine. Les étapes peuvent varier légèrement selon le fournisseur, mais voici un guide général :

1. Connectez-vous à votre compte sur le site de votre fournisseur de noms de domaine.
2. Accédez à la section de gestion DNS de votre domaine.

2.2. Ajouter un Enregistrement TXT

1. Recherchez l'option pour ajouter un nouvel enregistrement DNS. Cela peut être intitulé "Ajouter un enregistrement", "Nouvel enregistrement", ou quelque chose de similaire.
2. Sélectionnez le type d'enregistrement TXT.
3. Entrez les informations suivantes :
   • Nom : Laissez ce champ vide ou entrez @ pour appliquer l'enregistrement à l'ensemble du domaine.
   • Valeur : Entrez votre enregistrement SPF (par exemple, v=spf1 ip4:192.0.2.0/24 -all).
   • TTL (Time to Live) : Définissez le TTL sur une valeur appropriée, comme 3600 secondes (1 heure).

2.3. Enregistrer les Modifications

1. Enregistrez l'enregistrement TXT. La plupart des interfaces DNS ont un bouton "Enregistrer" ou "Ajouter un enregistrement".
2. Attendez la propagation DNS. Les modifications DNS peuvent prendre quelques minutes à plusieurs heures pour se propager. Vous pouvez vérifier la propagation en utilisant des outils en ligne comme DNS Checker.

2.4. Vérifier l'Enregistrement SPF

Pour vérifier que votre enregistrement SPF est correctement configuré, vous pouvez utiliser notre outil en ligne :

Cet outil analysera votre enregistrement SPF et vous fournira des recommandations pour toute correction nécessaire.

2.5. Exemples de Publication d'Enregistrements SPF

Exemple 1 : Cloudflare

1. Connectez-vous à votre compte Cloudflare.
2. Sélectionnez votre domaine.
3. Allez dans l'onglet "DNS".
4. Cliquez sur "Ajouter un enregistrement".
5. Sélectionnez "TXT" comme type d'enregistrement.
6. Entrez @ dans le champ "Nom".
7. Entrez votre enregistrement SPF dans le champ "Valeur".
8. Cliquez sur "Enregistrer".

Exemple 2 : Google Domains

1. Connectez-vous à votre compte Google Domains.
2. Sélectionnez votre domaine.
3. Allez dans l'onglet "DNS".
4. Faites défiler vers le bas jusqu'à "Enregistrements personnalisés".
5. Sélectionnez "TXT" comme type d'enregistrement.
6. Entrez @ dans le champ "Nom".
7. Entrez votre enregistrement SPF dans le champ "Valeur".
8. Cliquez sur "Enregistrer".

Exemple 3 : OVH

1. Connectez-vous à votre compte OVH.
2. Sélectionnez votre domaine.
3. Allez dans l'onglet "Zone DNS".
4. Cliquez sur "Ajouter une entrée".
5. Sélectionnez "TXT" comme type d'enregistrement.
6. Entrez @ dans le champ "Sous-domaine".
7. Entrez votre enregistrement SPF dans le champ "Valeur".
8. Cliquez sur "Valider".