Passer au contenu principal

Définir un enregistrement SPF (configuration avancée)

Protéger contre le spoofing et l'hameçonnage, et éviter que des messages soient marqués comme spam.

Un enregistrement SPF définit les domaines et serveurs de messagerie autorisés à envoyer des e-mails au nom de votre domaine. Il indique également aux serveurs de réception l'action à effectuer une fois les messages contrôlés. Les serveurs de réception vérifient l'enregistrement SPF pour s'assurer que les messages entrants qui semblent provenir de votre organisation sont bien envoyés depuis des serveurs que vous avez autorisés. Les domaines ne peuvent comporter qu'un seul enregistrement SPF. Toutefois, l'enregistrement SPF d'un domaine peut spécifier plusieurs serveurs et tiers autorisés à envoyer des e-mails en son nom.

Format des enregistrements SPF

Un enregistrement SPF est une ligne de texte brut comprenant une liste de tags et de valeurs. Ces tags sont appelés mécanismes. Les valeurs sont généralement des adresses IP et des noms de domaines.
Un enregistrement SPF est ajouté auprès du fournisseur de domaine sous la forme d'un enregistrement TXT DNS.
Les enregistrements SPF peuvent comporter jusqu'à 255 caractères. La taille de l'enregistrement TXT ne doit pas dépasser 512 octets.

Mécanismes des enregistrements SPF

Créez un enregistrement SPF à l'aide des mécanismes indiqués dans le tableau suivant. Les serveurs de messagerie de réception vérifient les messages en fonction des mécanismes dans l'ordre qui est indiqué dans l'enregistrement SPF.

À retenir :

  • Si nécessaire, vous pouvez ajouter des qualificatifs d'enregistrements SPF aux mécanismes. 
  • L'enregistrement TXT pour SPF ne doit pas inclure plus de 10 références à d'autres domaines ou serveurs.  Ces références sont appelées résolutions
Mécanisme Description et valeurs autorisées
v

Version de SPF. Ce tag est requis, et doit être le premier de l'enregistrement. Pour ce mécanisme, vous devez indiquer :

v=spf1

ip4

Autorise les serveurs de messagerie par adresse ou plage d'adresses IPv4. La valeur doit être une adresse ou une plage d'adresses IPv4 au format standard, par exemple :

ip4:192.168.0.1

ou

ip4:192.0.2.0/24

ip6

Autorise les serveurs de messagerie par adresse ou plage d'adresses IPv6. La valeur doit être une adresse ou une plage d'adresses IPv6 au format standard, par exemple :

ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF

ou

ip6:2001:db8:1234::/48

a

Autorise les serveurs de messagerie par nom de domaine, par exemple :

a:solarmora.com

mx

Autorise un ou plusieurs serveurs de messagerie par enregistrement MX de domaine, par exemple :

mx:mail.solarmora.com

Si ce mécanisme n'est pas inclus dans l'enregistrement SPF, la valeur par défaut correspond aux enregistrements MX du domaine sur lesquels l'enregistrement SPF est utilisé.

include

Autorise les expéditeurs d'e-mails tiers par domaine, par exemple :

include:servers.mail.net

all

Spécifie une correspondance avec tous les messages entrants. Nous vous recommandons de toujours inclure ce mécanisme dans l'enregistrement SPF.

Il doit s'agir du dernier mécanisme de l'enregistrement SPF. Tout mécanisme venant après all est ignoré.

Quand utiliser ~all ou -all ?

Lorsqu'un enregistrement SPF inclut ~all (qualificatif d'échec partiel), les serveurs de réception acceptent généralement les messages d'expéditeurs qui ne sont pas inclus dans l'enregistrement SPF, mais les marquent comme suspects.

Lorsqu'un enregistrement SPF inclut -all (qualificatif d'échec), les serveurs de réception peuvent rejeter les messages d'expéditeurs qui ne sont pas inclus dans l'enregistrement SPF. Si l'enregistrement SPF n'est pas configuré correctement, le qualificatif d'échec risque d'envoyer davantage de messages dans le dossier "Spam".

Conseil : Pour empêcher le spoofing de domaines qui n'envoient pas d'e-mails, utilisez l'enregistrement SPF suivant pour le domaine : vspf1 ~all

Qualificatifs d'enregistrements SPF

Un qualificatif est un préfixe facultatif que vous pouvez ajouter à n'importe quel mécanisme de l'enregistrement SPF. Un qualificatif indique au serveur de messagerie de réception s'il doit considérer un message comme authentifié en cas de correspondance avec une valeur de mécanisme, par exemple :

v=spf1 include:_spf.google.com -all

Dans cet exemple, l'enregistrement SPF autorise uniquement l'envoi d'e-mails depuis Google Workspace pour votre domaine. Le mécanisme all comporte un qualificatif d'échec ( - ), de sorte que les messages provenant d'un autre expéditeur ne seront pas authentifiés par le contrôle SPF et pourront être rejetés par le serveur de réception.

Les mécanismes sont vérifiés suivant leur ordre d'apparition dans l'enregistrement SPF. Si un mécanisme ne comporte aucun qualificatif et qu'une correspondance est établie, l'action par défaut est d'approuver l'authentification. En l'absence de correspondance, l'action par défaut est neutre : le message n'est ni authentifié, ni rejeté.

Ces qualificatifs vous permettent, si nécessaire, d'indiquer aux serveurs de réception comment gérer les messages en cas de correspondance avec les mécanismes de l'enregistrement SPF.

Qualificatif Action du serveur de réception en cas de correspondance
+ Approuve l'authentification. Le serveur associé à l'adresse IP correspondante est autorisé à envoyer des messages pour votre domaine. Les messages sont authentifiés. C'est l'action par défaut du mécanisme en l'absence de qualificatif.
- Refuse l'authentification. Le serveur associé à l'adresse IP correspondante n'est pas autorisé à envoyer des messages pour le domaine. L'enregistrement SPF n'inclut pas le domaine ni l'adresse IP du serveur d'envoi, si bien que les messages ne seront pas authentifiés.
~ Authentification par échec partiel. Le serveur associé à l'adresse IP correspondante ne sera probablement pas autorisé à envoyer des messages pour le domaine. Généralement, le serveur de réception accepte les messages, mais les marque comme suspects.
? Neutre. L'authentification n'est ni approuvée, ni refusée. L'enregistrement SPF n'indique pas explicitement que l'adresse IP est autorisée à envoyer des messages pour le domaine. Les enregistrements SPF dont les résultats sont neutres utilisent souvent ?all.

Outils de Test

https://mxtoolbox.com/spf.aspx

https://dmarcadvisor.com/fr/spf-check/