Enregistrement SPF
Un enregistrement SPF (Sender Policy Framework) est un mécanisme de validation d'authentification des emails utilisé pour empêcher la falsification de l'expéditeur. Il permet aux propriétaires de domaines d'indiquer quels serveurs de messagerie sont autorisés à envoyer des emails au nom de leur domaine. L'enregistrement SPF spécifie les adresses IP ou les noms de domaine des serveurs de messagerie autorisés, et les serveurs de réception des emails vérifient ensuite si l'expéditeur est autorisé à envoyer des emails pour ce domaine en vérifiant l'alignement de l'adresse IP source avec l'enregistrement SPF. Cela aide à réduire les risques de spam, de phishing et de spoofing en renforçant l'authenticité des emails envoyés à partir d'un domaine spécifique.
Problème lié aux emails redirigés
Lorsqu'un email passe par un serveur de redirection et que ce dernier effectue une modification de l'en-tête "De" ou de l'enveloppe SMTP, cela peut avoir un impact sur la façon dont l'enregistrement SPF est évalué. Si le domaine d'origine a un enregistrement SPF configuré, il est possible que ce dernier ne s'applique plus, car le domaine de redirection devient le domaine d'expéditeur réel.
Si le domaine de redirection n'a pas d'enregistrement SPF spécifique, les serveurs de messagerie qui reçoivent l'email peuvent ne pas avoir de directives claires pour évaluer l'authenticité de l'expéditeur. Certains serveurs de messagerie peuvent choisir d'appliquer une politique de traitement par défaut, telle que "~all" ou "-all", ou peuvent simplement ignorer l'enregistrement SPF lors de la décision de livraison. Cela peut entraîner une réduction de la fiabilité de la validation SPF et une augmentation du risque de spoofing ou de courriers indésirables.
Le désavantage principal d'une redirection avec modification est que le contrôle sur l'enregistrement SPF et l'authentification de l'expéditeur est potentiellement perdu. Cela peut rendre plus difficile la protection contre le phishing, le spoofing et le spam. Il est donc recommandé de prendre en compte ce facteur lors de la mise en place de redirections avec modification et de veiller à ce que le domaine de redirection ait également un enregistrement SPF correctement configuré pour maintenir une bonne politique d'authentification des expéditeurs.
Les différents types de règle SPF
"~all" (SoftFail)
Lorsque vous utilisez "~all", vous indiquez aux serveurs de messagerie qu'ils doivent accepter les emails provenant d'un domaine même s'ils ne correspondent pas aux règles SPF définies. Cependant, ces emails sont marqués comme non conformes (SoftFail). Cela signifie que si un serveur de messagerie reçoit un email provenant d'un domaine avec "~all", mais qui échoue la validation SPF, il peut marquer cet email comme potentiellement non fiable ou le placer dans le dossier de spam. L'avantage de "~all" est qu'il permet de tester les modifications SPF sans bloquer les emails légitimes tout de suite. Cela peut être utile lors de la mise en place d'un SPF strict.
"-all" (HardFail)
L'utilisation de "-all" indique aux serveurs de messagerie qu'ils doivent rejeter tout email provenant d'un domaine qui ne correspond pas aux règles SPF définies. Si un email échoue la validation SPF et que le domaine utilise "-all", le serveur de messagerie le considérera comme non valide et le rejettera ou le placera directement dans le dossier de spam. L'avantage de "-all" est qu'il offre une protection stricte contre les emails non autorisés, en garantissant que seuls les emails provenant des serveurs de messagerie autorisés sont acceptés.
"+all" (Allow)
Ce mécanisme indique que tous les serveurs de messagerie sont autorisés à envoyer des emails au nom du domaine, y compris les serveurs de redirection. Cependant, l'utilisation de "+all" peut réduire l'efficacité de l'enregistrement SPF en permettant potentiellement à des expéditeurs non autorisés d'envoyer des emails en usurpant le domaine.
"?all" (Neutral)
Ce mécanisme indique qu'aucune décision explicite n'est prise concernant la validation SPF. Les serveurs de messagerie peuvent décider individuellement de la façon dont ils traitent les emails en fonction de l'enregistrement SPF. Cela offre une flexibilité, mais peut également entraîner une réduction de l'efficacité de l'authentification des expéditeurs.
Choix par défaut dans nos configurations
En conclusion, l'utilisation du mécanisme "~all" dans un enregistrement SPF offre une approche plus souple pour gérer les emails passant par des serveurs de redirection. En marquant les emails non conformes comme "SoftFail", il permet aux serveurs de messagerie de les accepter tout en les signalant comme potentiellement non fiables. Cela permet aux administrateurs de domaine de tester et de surveiller attentivement les modifications SPF sans bloquer immédiatement les emails légitimes. Cependant, il est essentiel de mettre en place une surveillance et une gestion rigoureuses pour éviter les abus ou les tentatives de phishing. Le choix du mécanisme SPF approprié dépend des besoins de sécurité spécifiques de chaque domaine, et il est recommandé de consulter les meilleures pratiques et de maintenir une configuration SPF adéquate pour renforcer l'authentification des expéditeurs et réduire les risques associés aux emails non autorisés.
Si vous souhaitez appliquer une autre règle à vos enregistrements SPF merci de nous contacter.