Que sont les enregistrements SPF ? Ce qu'il faut savoir sur le SPF

Limites du SPF : Ce que le SPF ne peut pas faire

Maintenant que nous avons répondu à la question "Qu'est-ce qu'un enregistrement SPF ?", nous devons expliquer ce que les enregistrements SPF ne peuvent pas faire. L'authentification SPF fournit le niveau de sécurité minimum pour vos campagnes par e-mail.

Voici quelques-unes des limites à prendre en compte :

• Le SPF ne chiffre pas les messages.
• Cette norme ne fournit aucune protection en matière de confidentialité.
• Le fait de transférer un e-mail brise le SPF, car le transitaire devient le nouvel expéditeur.
• Un SPF ne génère pas de rapports.
• La norme SPF seule ne fournit pas une protection suffisante.

Que devez-vous savoir sur la norme SPF ?

Les enregistrements SPF indiquent à votre destinataire que votre message n'est pas du courrier indésirable, qu'il est authentique et qu'il ne s'agit pas d'une tentative d'hameçonnage. Toutes les entreprises sont confrontées à des défis pour démontrer l'authenticité de leurs messages. En utilisant ce processus de vérification pour renforcer la confiance, vous améliorez la fiabilité de vos messages. Le SPF améliore également le niveau de sécurité de vos destinataires.

Voici quelques éléments importants à noter sur le SPF :

1. Un SPF (Sender Policy Framework) est une liste d'adresses IP et d'instructions que les fournisseurs d'accès à Internet doivent suivre au moment de traiter les e-mails que vous envoyez.
2. Votre SPF offre un niveau de protection supplémentaire qui rend vos messages plus susceptibles d'atteindre leurs destinataires.
3. Un enregistrement SPF ne chiffre pas vos messages.
4. Les enregistrements SPF apparaissent dans les en-têtes complets de vos messages.
5. Le domaine SPF indiqué en premier dans le mécanisme "include" démontre que vous avez pris les précautions élémentaires pour protéger vos données personnelles et professionnelles.

SPF, DMARC et DKIM

Le Internet Engineering Task Force (IETF) a publié la norme SPF actuelle dans la RFC 7208 en avril 2014. L'objectif était de créer un cadre pour empêcher les pirates informatiques et les hameçonneurs d'envoyer des e-mails en se faisant passer pour une entreprise connue et de confiance. Ce cadre est ensuite devenu le spf1. Depuis ce moment-là, v=spf1 est devenu le format standard indiquant la version de chaque enregistrement SPF. Cependant, le fait de transférer un message annule le SPF. C'est pourquoi deux autres stratégies sont entrées en jeu : DKIM et DMARC.

Que signifie DKIM ?

DKIM est un acronyme signifiant DomainKeys Identified Mail. Comme le SPF, le DKIM est un enregistrement TXT dans le DNS, mais contrairement au SPF, les enregistrements DKIM restent valides même lorsqu'ils sont transférés. Les normes actuelles de DKIM sont le fruit du travail de Yahoo! et Cisco, qui avaient chacun créé leurs méthodes d'authentification des e-mails. Considérez le DKIM comme le cachet de cire qui accompagnaient autrefois les documents officiels. Ces sceaux de cire étaient reconnaissables ; si un message arrivait avec un sceau manquant ou brisé, il n'était pas considéré comme digne de confiance.

Chaque serveur de messagerie envoyant des e-mails dispose d'un DKIM divisé en deux parties : une clé DKIM privée et une clé publique. Chaque serveur destinataire accède à la clé publique du DKIM. Lorsque vous envoyez un e-mail, le serveur de messagerie destinataire effectue une recherche dans le DNS. Si ce serveur de messagerie trouve votre clé DKIM publique, il ouvre la signature DKIM. Si la signature contenue dans le message correspond à la signature que vous avez publiée dans votre DNS, le serveur de messagerie destinataire considérera ce message comme authentique. Si ce n'est pas le cas, le message sera renvoyé et n'atteindra pas la boîte de réception du destinataire prévu. Cela signifie qu'il ne sera pas reçu ou qu'il finira dans le dossier spam ou dans tout autre dossier créé pour filtrer les messages indésirables.

Le format approprié pour les enregistrements DKIM ressemble à ceci :

<selector(s=)._domainkey.domain(d=)>.   TXT v=DKIM1; p=\<public key>

Voici un exemple de clé publique DKIM au bon format :

dk5182-3458._domainkey.mydomainexample.com. IN TXT "v=DKIM1\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC1TaNgLlSyQMNWVLNLvyY/neDgaL2oqQE8T5illKqCgDtFHc8eHVAU+nlcaGmrKmDMw9dbgiGk1ocgZ56NR4ycfUHwQhvQPMUZw0cveel/8EAGoi/UyPmqfcPibytH81NFtTMAxUeM4Op8A6iHkvAMj5qLf4YRNsTkKAV;"

À quoi servent les différentes parties d'un enregistrement DKIM ?

Dans cet exemple, dk5182-3458 représente le sélecteur (s=). Le (d=) représente le domaine spécifié, c'est-à-dire mydomainexample.com. La version doit toujours apparaître en tant que "v=DKIM1'' dans chaque enregistrement DKIM. Le mécanisme "p" représente le code public, une chaîne de lettres, de chiffres et de symboles.

Qu'est-ce que DMARC ?

DMARC est un acronyme signifiant Domain-based Message Authentication, Reporting and Conformance. DMARC empêche les activités malveillantes en bloquant les messages qui usurpent l'identité de quelqu'un avant qu'ils n'atteignent votre boîte de réception. Ces fraudeurs se font passer pour vous afin de glaner des informations qu'ils peuvent utiliser pour commettre des vols d'identité ou d'autres types de fraudes.

La méthode DMARC vous permet d'éviter ce genre de fraude en bloquant les tentatives d'intrusion. DMARC utilise un code open source et gratuit, mais votre fournisseur de services de messagerie doit également utiliser la protection DMARC pour qu'il fonctionne. DMARC fournit un troisième niveau de protection après SPF et DKIM.

DMARC vous permet de dire à votre fournisseur de services de messagerie s'il doit rejeter ou mettre en quarantaine les e-mails provenant de sources inconnues ou peu fiables en fonction des informations reçues suite aux requêtes DKIM et SPF.

Parties d'un enregistrement SPF

Un enregistrement SPF correctement formaté est un fichier texte (TXT) contenant deux éléments principaux. Tout d'abord, l'enregistrement doit inclure la version SPF. Le reste de l'enregistrement est constitué des mécanismes nécessaires pour contrôler les noms d'hôte et les adresses IP qui sont autorisés à envoyer des messages à partir de votre domaine.

Un enregistrement SPF dans une expression d'authentification par e-mail peut ressembler à ceci :

"v=spf1 a MX include:spf.yourbusinessdomainname.com ~all"

L'expression v=spf1 indique au serveur de messagerie destinataire que cet enregistrement TXT est un enregistrement SPF. Le mécanisme "a'' demande à ce serveur de faire correspondre l'adresse IP de l'expéditeur à l'outil "a" du domaine "from" avant d'autoriser le téléchargement du message entier. Le mécanisme MX fait référence au serveur d'échange de messages ou à l'"hôte" que vous utilisez pour stocker vos messages électroniques, tels que Google Workspace ou Microsoft 365 Business Premium. Enfin, le mécanisme "include" spécifie que le domaine SPF d'exemple, yourbusinessdomainname.com, a le droit d'envoyer les e-mails de votre entreprise.

Points importants à retenir :

• L'expression v=spf1 est la première balise et doit TOUJOURS apparaître au début de votre enregistrement SPF.
• L'expression "a" doit correspondre à l'enregistrement "from".
• Votre MX est le service d'échange de messages que vous utilisez.
• Chaque domaine autorisé à envoyer vos e-mails professionnels doit apparaître dans l'expression "include", y compris tous les services de messagerie tiers que vous utilisez, tels que Mailchimp.
• Ajoutez chaque adresse IP utilisée pour envoyer vos e-mails professionnels dans votre mécanisme SPF.

Comment créer un enregistrement SPF ?

Pour obtenir les meilleurs résultats possible, créez votre syntaxe d'enregistrement SPF en tant que fichier TXT avant de la télécharger au lieu de la créer sur le tableau de bord de votre serveur DNS. De cette façon, vous pourrez la vérifier pour détecter les erreurs de format avant de la tester.

Suivez ces étapes pour créer et mettre en œuvre votre enregistrement SPF :

1. Tout d'abord, ouvrez le tableau de bord de votre fournisseur de domaine.
2. Allez dans Paramètres.
3. Créez votre enregistrement SPF en tant qu'entrée TXT.
4. Ajoutez-le à vos paramètres DNS.
5. Tester les modifications.

Les modifications de votre dossier SPF peuvent prendre jusqu'à 48 heures, alors soyez patient. Passé ce délai de deux jours, testez à nouveau vos modifications.

Si vous envoyez seulement des e-mails avec Google Workspace, par exemple, votre enregistrement SPF ressemblera à ceci :

"v=spf1 include:_spf.google.com ~all"

Cependant, si vous avez d'autres fournisseurs de services de messagerie, vous aurez besoin d'ajouter une expression "include:" différente pour chacun d'entre eux. Si vous utilisez également Mandrill de Mailchimp pour envoyer des messages, vous devez donc ajouter "include:mandrillapp.com" après l'expression Google et avant l'élément ~all. Votre nouveau SPF ressemblera à ceci :

"v=spf1 include:_spf.google.com include:mandrillapp.com ~all"

Ici, vous devez "domainkey.example.com" par le nom de domaine de votre entreprise.

Protéger votre entreprise avec des enregistrements SPF

Si vous ne prenez pas de mesures pour sécuriser vos communications, des personnes mal intentionnées telles que d'anciens employés, des employés mécontents, des spammers ou des arnaqueurs risquent de nuire à votre réputation en se faisant passer pour votre entreprise pour envoyer de faux e-mails. L'authentification SPF permet à vos clients et contacts de vérifier que les messages qu'ils reçoivent proviennent bien de vous. Bien qu'il ne chiffre pas le contenu des messages, SPF est votre première ligne de défense contre les usurpations d'identité. Pour une protection totale contre les cyberattaques par e-mail, vous pouvez également utiliser les protocoles DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting & Conformance).

Si vous trouvez pénible de créer puis d'ajouter des enregistrements SPF à votre DNS, vous pouvez compter sur Mailchimp pour configurer et tester votre authentification SPF et votre authentification de domaine pour vous.