Passer au contenu principal

Que sont les enregistrements SPF (Sender Policy Framework) ? Ce qu’il faut savoir sur le SPF

Découvrez ce que sont les enregistrements Sender Policy Framework (SPF) et comment ils aident à prévenir l’usurpation d’adresses électroniques.

Un SPF (Sender Policy Framework) fonctionne comme un agent de sécurité posté dans le hall de votre événement. Vous fournissez une liste d’invités, et l’agent laisse entrer ceux dont le nom figure sur la liste pendant que tous les autres attendent d’être invités à entrer ou à quitter les lieux.

Par exemple, en tant que dirigeant de PME, vous connaissez généralement vos clients et fournisseurs par leur nom, et vous avez déjà vu le logo de leur entreprise, leur personnel et d’autres informations sur eux. Cependant, les échanges par e-mail ne comportent pas ce type d’indices visuels qui renforcent la légitimité de votre entreprise.

Le vice-président du marketing d’une entreprise de moyenne envergure ne connaît peut-être que quelques clients et fournisseurs. Il s’appuie sur un réceptionniste qui filtre les appels et les visiteurs, ne permettant qu’aux personnes qui ne peuvent pas être reçues par les membres du personnel juniors de parler directement au VP.

En revanche, le PDG ou le dirigeant d’une société internationale d’import/export ne peut parler qu’à une personne dont le rendez-vous a été programmé bien à l’avance. De plus, toute personne autorisée à prendre rendez-vous doit également avoir un problème vital pour l’ensemble de l’entreprise que seul le PDG peut gérer, comme un client VIP avec un contrat compliqué.

Dans chacune de ces situations, les entreprises doivent avoir un moyen de s’assurer que l’expéditeur est bien celui qu’il prétend être. Autrement, si un spammer, un escroc ou un bot usurpait votre identité et obtenait l’accès à votre liste de clients ou à votre serveur de messagerie, la réputation de votre entreprise pourrait en être considérablement affaiblie. Votre SPF fournit ce moyen d’authentification.

Apprenez-en davantage sur les SPF et découvrez des réponses aux questions courantes telles que « Qu’est-ce qu’un enregistrement SPF ? » et « Comment créer un enregistrement SPF ? », afin de tirer parti de cette mesure de sécurité pour protéger votre entreprise.

Que sont les enregistrements SPF ?

Un enregistrement SPF est essentiellement un système de vérification d’identité numérique pour vos e-mails. Il s’agit d’une ligne spécifique de code texte (TXT) ajoutée aux enregistrements DNS de votre domaine qui fonctionne en arrière-plan pour authentifier les expéditeurs d’e-mails et s’assurer qu’ils proviennent d’adresses IP autorisées.

Lorsqu’il est correctement configuré, cet enregistrement indique aux serveurs de messagerie destinataires que l’e-mail provient de sources légitimes autorisées à envoyer des messages à partir de certains domaines.

L’authentification SPF fonctionne en créant une liste d’adresses IP et de noms de serveurs approuvés qui sont autorisés à envoyer des e-mails à partir de votre domaine. Lorsque quelqu’un reçoit un message prétendant provenir de votre domaine, son serveur de courrier électronique vérifie automatiquement cet enregistrement SPF afin de s’assurer que le serveur d’envoi figure bien sur votre liste approuvée.

Voici comment fonctionne chaque élément :

  • Identification de l’expéditeur : l’enregistrement SPF permet aux serveurs destinataires de confirmer qu’un e-mail provient bien d’une source autorisée et non d’une personne tentant d’usurper votre domaine. Cette vérification s’effectue de manière invisible lors de la distribution des e-mails.
  • Vérification de l’expéditeur : les systèmes de messagerie peuvent vérifier automatiquement si l’adresse IP du serveur de messagerie expéditeur correspond à celle indiquée dans votre enregistrement SPF, empêchant ainsi les serveurs non autorisés d’usurper l’identité de votre domaine dans les e-mails.
  • Vérification du chemin de retour : SPF fournit un chemin fiable vers la source authentique si les destinataires ont des questions sur votre message ou des inquiétudes concernant l’utilisation de leurs informations, ce qui renforce la transparence.

En mettant en œuvre les enregistrements SPF, vous indiquez essentiellement au monde entier quels serveurs sont autorisés à envoyer des e-mails au nom de votre domaine, créant ainsi une première couche cruciale de sécurité pour les e-mails et l’authentification des expéditeurs.

Limites du SPF : ce que le SPF ne peut pas faire

Si les enregistrements SPF aident les propriétaires de domaines à sécuriser leurs communications par e-mail, ce protocole d’authentification présente toutefois des limites qu’il est important de comprendre. Le SPF n’est pas une solution de sécurité complète en soi.

Ses limites sont les suivantes :

  • Aucune capacité de chiffrement : lorsque les serveurs de réception effectuent une authentification SPF, ils vérifient uniquement l’authenticité de l’expéditeur, mais ne font rien pour protéger le contenu réel de vos messages. Toute personne qui intercepte vos e-mails peut toujours les lire si vous n’utilisez pas de chiffrement supplémentaire.
  • Aucune fonctionnalité de confidentialité : ces enregistrements ne masquent pas les métadonnées des e-mails et ne protègent pas les informations sensibles contenues dans vos messages. Ils vérifient simplement qu’un e-mail provient d’un serveur de messagerie autorisé.
  • Interruption lors du transfert : lorsque quelqu’un transfère votre e-mail, la validation SPF échoue car l’adresse IP du serveur d’envoi du destinataire devient le nouvel expéditeur. Cela signifie que les messages transférés légitimes peuvent être signalés comme suspects.
  • Aucune fonctionnalité de rapport : contrairement aux protocoles plus avancés, SPF ne génère pas de rapports sur les personnes qui tentent d’usurper votre domaine ni ne fournit d’analyses sur les problèmes de distribution liés à l’authentification.
  • Insuffisant en tant que solution autonome : la recherche DNS effectuée lors des vérifications SPF n’est qu’une couche de sécurité parmi d’autres pour les e-mails. Les pirates informatiques expérimentés peuvent contourner la protection SPF seule. C’est pourquoi les experts recommandent de l’associer à DKIM et DMARC pour une protection complète.
  • Portée de protection limitée : SPF vérifie uniquement le serveur d’envoi, et non le contenu réel des e-mails. Cela signifie que les attaques de phishing contenant du contenu malveillant peuvent toujours passer les contrôles SPF si elles sont envoyées à partir de serveurs autorisés.

Que devez-vous savoir sur le SPF ?

La mise en œuvre des enregistrements SPF indique aux serveurs de messagerie des destinataires que votre message n’est pas une usurpation d’identité, un spam ou une tentative d’escroquerie. En prenant le temps d’intégrer les enregistrements SPF dans les paramètres de votre domaine, vous créez un processus de vérification qui renforce la confiance et réduit la résistance à vos messages.

Lorsque des messages prétendent provenir de votre domaine protégé par SPF mais proviennent en réalité de serveurs non autorisés, ils échouent aux contrôles d’authentification SPF, protégeant ainsi la réputation de votre marque et vos destinataires contre d’éventuelles escroqueries.

Ce système de vérification est particulièrement important pour le traitement du courrier entrant, car il offre un niveau supplémentaire de sécurité avant que les messages n’atteignent les boîtes de réception.

Les points clés à retenir concernant le SPF sont les suivants :

  • Vérification de l’adresse IP : un enregistrement SPF est essentiellement une liste publiée d’adresses IP autorisées à envoyer des e-mails au nom de votre domaine, donnant des instructions claires aux fournisseurs de messagerie électronique sur le traitement de vos messages sortants.
  • Amélioration de la délivrabilité : votre enregistrement SPF offre une couche de protection qui augmente les chances que vos messages légitimes parviennent à la boîte de réception du destinataire prévu plutôt que d’être signalés comme spam.
  • Aucune fonction de chiffrement : bien que le SPF vérifie l’authenticité de l’expéditeur, il ne chiffre pas le contenu de votre message et ne protège pas la confidentialité des informations qu’il contient.
  • Visibilité de l’en-tête : les résultats de la vérification SPF apparaissent dans l’en-tête complet de vos e-mails, ce qui permet aux destinataires de vérifier manuellement l’authentification si nécessaire.
  • Signal de confiance : le domaine SPF répertorié en premier dans votre mécanisme « include » démontre que vous avez pris les précautions minimales pour protéger à la fois les données de votre entreprise et vos destinataires contre les menaces potentielles liées aux e-mails.

SPF, DMARC et DKIM

Le Internet Engineering Task Force (IETF) a publié la norme SPF actuelle dans la RFC 7208 en avril 2014. L’objectif était de créer un cadre pour empêcher les pirates informatiques et les hameçonneurs d’envoyer des e-mails en se faisant passer pour une entreprise connue et de confiance.

Ce cadre est ensuite devenu le spf1. Depuis ce moment-là, v=spf1 est devenu le format standard indiquant la version de chaque enregistrement SPF. Cependant, le fait de transférer un message annule le SPF. C’est pourquoi deux autres stratégies sont entrées en jeu : DKIM et DMARC.

Qu'est-ce que DKIM ?

DKIM est un acronyme signifiant DomainKeys Identified Mail. Comme le SPF, le DKIM est un enregistrement TXT dans le DNS, mais contrairement au SPF, les enregistrements DKIM restent valides même lorsqu’ils sont transférés. Les normes actuelles de DKIM sont le fruit du travail de Yahoo! et Cisco, qui avaient chacun créé leurs propres méthodes d’authentification des e-mails.

Considérez le DKIM comme le cachet de cire qui accompagnaient autrefois les documents officiels. Ces sceaux de cire étaient reconnaissables ; si un message arrivait avec un sceau manquant ou brisé, il n’était pas considéré comme digne de confiance.

Chaque serveur de messagerie envoyant des e-mails dispose d’un DKIM divisé en deux parties : une clé DKIM privée et une clé publique. Chaque serveur destinataire accède à la clé publique du DKIM. Lorsque vous envoyez un e-mail, le serveur de messagerie destinataire effectue une recherche dans l’enregistrement texte du DNS.

Si ce serveur de messagerie trouve votre clé DKIM publique, il ouvre la signature DKIM. Si la signature contenue dans le message correspond à la signature que vous avez publiée dans votre DNS, le serveur de messagerie destinataire considérera ce message comme authentique. Si ce n’est pas le cas, le message sera renvoyé et n’atteindra pas la boîte de réception du destinataire prévu.

Cela signifie qu’il ne sera pas reçu ou qu’il finira dans le dossier spam ou dans tout autre dossier créé pour filtrer les messages indésirables.

Le format approprié pour les enregistrements DKIM ressemble à ceci :

"<selector(s=)._domainkey.domain(d=)>.   TXT v=DKIM1; p=\<public key>"

Voici un exemple de clé publique DKIM au bon format :

"dk5182-3458._domainkey.mydomainexample.com. IN TXT "v=DKIM1\;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC1TaNgLlSyQMNWVLNLvyY/neDgaL2oqQE8T5illKqCgDtFHc8eHVAU+nlcaGmrKmDMw9dbgiGk1ocgZ56NR4ycfUHwQhvQPMUZw0cveel/8EAGoi/UyPmqfcPibytH81NFtTMAxUeM4Op8A6iHkvAMj5qLf4YRNsTkKAV;""

À quoi servent les différentes parties d’un enregistrement DKIM ?

Dans cet exemple, dk5182-3458 représente le sélecteur (s=). Le (d=) représente le domaine spécifié, c’est-à-dire mydomainexample.com. La version doit toujours apparaître en tant que « v=DKIM1 » dans chaque enregistrement DKIM. Le mécanisme « p » représente le code public, une chaîne de lettres, de chiffres et de symboles.

Qu’est-ce que DMARC ?

DMARC est l’abréviation de Domain-based Message Authentification, Reporting & Conformance. DMARC empêche les activités malveillantes en bloquant les messages qui usurpent l’identité de quelqu’un avant qu’ils n’atteignent votre boîte de réception. Ces fraudeurs se font passer pour vous afin de glaner des informations qu’ils peuvent utiliser pour commettre des vols d’identité ou d’autres types de fraudes.

La méthode DMARC vous permet d’éviter ce genre de fraude en bloquant les tentatives d’intrusion. DMARC utilise un code open source et gratuit, mais votre fournisseur de services de messagerie doit également utiliser la protection DMARC pour qu’il fonctionne. DMARC fournit un troisième niveau de protection après SPF et DKIM.

DMARC vous permet de dire à votre fournisseur de services de messagerie s’il doit rejeter ou mettre en quarantaine les e-mails provenant de sources inconnues ou peu fiables en fonction des informations reçues suite aux requêtes DKIM et SPF.

Importance de DKIM et DMARC

Mailchimp souligne l’importance des protocoles DKIM et DMARC dans l’authentification des e-mails afin de garantir la sécurité des communications. DKIM, ou DomainKeys Identified Mail, utilise des signatures cryptographiques pour vérifier l’intégrité des e-mails, même lorsqu’ils sont transférés. DMARC, qui signifie Domain-based Message Authentication, Reporting & Conformance, fournit un cadre permettant de gérer les échecs d’authentification des e-mails et de générer des rapports.

En mettant en œuvre DKIM et DMARC, les entreprises peuvent renforcer la sécurité de leurs e-mails, se protéger contre l’usurpation d’identité et préserver la réputation de leur marque. Mailchimp propose des outils et des ressources pour simplifier l’intégration de ces protocoles, aidant ainsi les entreprises à réussir leurs campagnes de marketing par e-mail.

Configuration de DKIM et mise en œuvre de DMARC

Pour renforcer l’authentification de vos e-mails avec Mailchimp, la configuration de DKIM et la mise en œuvre de DMARC sont des étapes essentielles. DKIM, ou DomainKeys Identified Mail, ajoute une signature numérique à vos e-mails, garantissant ainsi qu’ils restent inchangés et authentiques.

DMARC, qui signifie Domain-based Message Authentication, Reporting & Conformance (authentification, rapport et conformité des messages basés sur le domaine), vous permet de définir comment les serveurs destinataires doivent traiter les e-mails qui échouent aux contrôles SPF et DKIM, protégeant ainsi votre marque contre les tentatives de phishing.

Les considérations relatives aux politiques DMARC comprennent le choix des mesures à prendre en cas d’échec des vérifications et l’examen régulier des rapports générés afin d’empêcher toute utilisation non autorisée du domaine. Mailchimp fournit des outils et des ressources pour intégrer ces protocoles en toute transparence, garantissant ainsi la sécurité et la fiabilité de vos communications par e-mail.

Amélioration de l'authentification des e-mails avec DKIM et DMARC

Pour améliorer la délivrabilité des e-mails et renforcer la sécurité de Mailchimp, il est essentiel de configurer DKIM et DMARC. DKIM, ou DomainKeys Identified Mail, ajoute une signature cryptographique à vos e-mails, garantissant ainsi leur intégrité et leur authenticité aux destinataires. Cette vérification reste intacte même si les e-mails sont transférés.

DMARC, abréviation de Domain-based Message Authentication, Reporting & Conformance, fournit des directives pour traiter les e-mails qui échouent aux contrôles DKIM et SPF. La configuration de DMARC permet aux serveurs de messagerie de rejeter ou de mettre en quarantaine les messages suspects, protégeant ainsi votre marque contre le phishing et l’usurpation d’identité.

Il est essentiel d’examiner régulièrement les rapports DMARC afin d’identifier toute utilisation non autorisée de votre domaine et d’ajuster vos politiques en conséquence. Mailchimp fournit des outils et des ressources pour intégrer efficacement ces protocoles, garantissant ainsi des communications sécurisées et fiables.

Téléchargez l'e-book et découvrez les bonnes pratiques à suivre pour vous lancer. 

Découvrez les dernières technologies qui vous permettront d'établir des relations plus percutantes avec vos clients. Explorez les changements introduits par l'IA dans le marketing par e-mail et découvrez comment les autres réussissent. Plus important encore, découvrez comment mettre en place un marketing par e-mail efficace plus rapidement que jamais.

Télécharger l'e-book
Couverture de l’e-book Une introduction au marketing par e-mail : conseils pour augmenter vos chances de réussite

Éléments des enregistrements SPF

Un enregistrement SPF correctement formaté est un fichier texte (TXT) contenant deux éléments principaux. Tout d’abord, l’enregistrement doit inclure la version SPF. Le reste de l’enregistrement est constitué des mécanismes nécessaires pour contrôler les noms d’hôte et les adresses IP qui sont autorisés à envoyer des messages à partir de votre domaine.

Un enregistrement SPF dans une expression d’authentification par e-mail peut ressembler à ceci :

"v=spf1 a MX include:spf.yourbusinessdomainname.com ~all"

L’expression v=spf1 indique au serveur de messagerie destinataire que cet enregistrement TXT est un enregistrement SPF. Le mécanisme « a »’ demande à ce serveur de faire correspondre l’adresse IP de l’expéditeur à l’outil « a » du domaine « from » avant d’autoriser le téléchargement du message entier. Le mécanisme MX fait référence au serveur d’échange de messages ou à l’« hôte » que vous utilisez pour stocker vos messages électroniques, tels que Google Workspace ou Microsoft 365 Business Premium. Enfin, le mécanisme « include » spécifie que le domaine SPF d’exemple, yourbusinessdomainname.com, a le droit d’envoyer les e-mails de votre entreprise.

Points importants à retenir :

  • L’expression v=spf1 est la première balise et doit TOUJOURS apparaître au début de votre enregistrement SPF.
  • La déclaration « a » doit correspondre à l’enregistrement « from ».
  • Votre MX est le service d’échange de messages que vous utilisez.
  • Chaque domaine autorisé à envoyer vos e-mails professionnels doit apparaître dans l’expression « include », y compris tous les services de messagerie tiers que vous utilisez, tels que Mailchimp.
  • Ajoutez chaque adresse IP utilisée pour envoyer vos e-mails professionnels dans votre mécanisme SPF.

Comment créer un enregistrement SPF

Pour obtenir les meilleurs résultats possible, créez votre syntaxe d’enregistrement SPF en tant que fichier TXT avant de la télécharger au lieu de la créer sur le tableau de bord de votre serveur DNS. De cette façon, vous pourrez la vérifier pour détecter les erreurs de format avant de la tester.

Suivez ces étapes pour créer et mettre en œuvre votre enregistrement SPF :

  1. Tout d’abord, ouvrez le tableau de bord de votre fournisseur de domaine.
  2. Allez dans Paramètres.
  3. Créez votre enregistrement SPF en tant qu’entrée TXT.
  4. Ajoutez-le à vos paramètres DNS.
  5. Tester les modifications.

Les modifications de votre dossier SPF peuvent prendre jusqu’à 48 heures, alors soyez patient. Passé ce délai de deux jours, testez à nouveau vos modifications.

Si vous envoyez seulement des e-mails avec Google Workspace, par exemple, votre enregistrement SPF ressemblera à ceci :

"v=spf1 include:_spf.google.com ~all"

Cependant, si vous avez d’autres fournisseurs de services de messagerie, vous aurez besoin d’ajouter une expression « include: » différente pour chacun d’entre eux. Si vous utilisez également Mandrill de Mailchimp pour envoyer des messages, vous devez donc ajouter « include:mandrillapp.com » après l’expression Google et avant l’élément ~all. Votre nouveau SPF ressemblera à ceci :

"v=spf1 include:_spf.google.com include:mandrillapp.com ~all"

Ici, vous remplaceriez « domainkey.example.com » avec le nom de domaine de votre entreprise.

Protégez votre entreprise avec les enregistrements SPF

Si vous ne prenez pas de mesures pour sécuriser vos communications, des personnes mal intentionnées telles que d’anciens employés, des employés mécontents, des spammers ou des arnaqueurs risquent de nuire à votre réputation en se faisant passer pour votre entreprise pour envoyer de faux e-mails. L’authentification SPF permet à vos clients et contacts de vérifier que les messages qu’ils reçoivent proviennent bien de vous.

Bien qu’il ne chiffre pas le contenu des messages, SPF est votre première ligne de défense contre les usurpations d’identité. Pour une protection totale contre les cyberattaques par e-mail, vous pouvez également utiliser les protocoles DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting & Conformance).

Si vous trouvez fastidieux de créer et d’ajouter vous-même des enregistrements SPF à votre DNS, vous pouvez faire appel à Mailchimp pour configurer et tester votre authentification SPF et votre authentification de domaine.

Principaux points à retenir

  • Les enregistrements SPF agissent comme des gardes de sécurité pour votre domaine e-mail, indiquant aux serveurs destinataires quelles sources sont autorisées à envoyer des messages en votre nom.
  • Si le SPF offre une protection de base, son association avec les protocoles DKIM et DMARC permet de créer un système de sécurité complet qui réduit considérablement les attaques par usurpation d’adresse e-mail et phishing.
  • Des enregistrements SPF correctement configurés améliorent la délivrabilité des e-mails, protègent la réputation de votre marque et renforcent la confiance des destinataires en vérifiant que vos e-mails sont légitimes.
  • Malgré leurs avantages en matière de sécurité, les enregistrements SPF sont relativement simples à mettre en œuvre. Il s’agit simplement d’une ligne de code texte ajoutée aux paramètres DNS de votre domaine.
Partagez cet article