Qu'est-ce que SPF ?

En plus de l'enregistrement DMARC que nous expliquons dans notre article 'Qu'est-ce que DMARC ?', un enregistrement SPF est également bien connu dans le monde de l'email. Vous pouvez considérer l'enregistrement SPF comme complémentaire à DMARC. Il indique quels serveurs sont autorisés à envoyer des emails depuis votre domaine. Chez Lettermint, nous utilisons SPF d'une manière légèrement différente pour envoyer des emails transactionnels. Dans cet article, nous expliquons ce qu'est SPF et comment nous l'utilisons chez Lettermint.

Qu'est-ce que SPF

SPF signifie Sender Policy Framework. C'est une méthode de vérification d'email développée en 2006 pour empêcher l'usurpation d'email. Avec un enregistrement SPF, vous déterminez quels serveurs de messagerie sont autorisés à envoyer des emails au nom de votre domaine.

Considérez-le comme une liste d'expéditeurs approuvés. Lorsque quelqu'un envoie un email depuis votre domaine, le serveur de messagerie destinataire vérifie cette liste. Le serveur expéditeur est-il sur la liste ? Alors l'email est autorisé. Sinon, le serveur de messagerie peut rejeter l'email ou le marquer comme spam.

SPF fonctionne avec DMARC pour protéger votre domaine. Tandis que DMARC définit la politique, SPF assure la vérification technique des serveurs d'envoi. Cette combinaison rend difficile pour les acteurs malveillants de se faire passer pour votre entreprise.

Comment fonctionne SPF

SPF fonctionne via le système DNS. Lorsqu'un serveur de messagerie reçoit un email, il effectue les étapes suivantes :

1. Le serveur examine le domaine de l'expéditeur (la partie après @ dans l'adresse email)
2. Il interroge ensuite l'enregistrement SPF dans le DNS de ce domaine
3. Le serveur vérifie si l'adresse IP du serveur expéditeur figure dans l'enregistrement SPF
4. Sur la base de cette vérification, l'email est accepté, rejeté ou marqué comme spam

Ce processus se déroule automatiquement en quelques secondes. C'est pourquoi il est si important de configurer correctement votre SPF. Une erreur et vos emails importants pourraient ne pas arriver - vous ne voulez certainement pas cela.

Comment configurer SPF

Un enregistrement SPF est un enregistrement TXT dans votre DNS. Il commence toujours par v=spf1 et se termine par une action qui indique ce qui doit arriver aux serveurs qui ne figurent pas sur la liste.

Un enregistrement SPF simple ressemble à ceci :

      v=spf1 include:_spf.google.com -all

    

Cet enregistrement indique que seul Google est autorisé à envoyer des emails au nom de votre domaine. Le -all à la fin signifie que les autres serveurs sont rejetés (échec strict).

Mécanismes et modificateurs SPF

SPF utilise deux types d'instructions : les mécanismes et les modificateurs.

Les mécanismes sont les règles qui déterminent quels serveurs peuvent envoyer des emails. Ils sont exécutés de gauche à droite et s'arrêtent dès qu'une correspondance est trouvée. Voici les principaux mécanismes :

Les modificateurs sont des instructions optionnelles qui fournissent des informations supplémentaires mais ne déterminent pas directement si un serveur peut envoyer. Le modificateur le plus important est all, qui apparaît à la fin de votre enregistrement SPF :

• -all (échec strict) : Rejeter les emails des serveurs non autorisés
• ~all (échec souple) : Marquer comme suspect mais livrer quand même
• +all (réussite) : Accepter tous les emails (non recommandé)
• ?all (neutre) : Aucun jugement

D'autres modificateurs sont redirect (rediriger vers l'enregistrement SPF d'un autre domaine) et exp (fournir une explication en cas d'échec), mais ceux-ci sont rarement utilisés.

Limites SPF

SPF a plusieurs limitations techniques que vous devez prendre en compte :

• Maximum 1 enregistrement SPF par domaine
  Vous ne pouvez avoir qu'un seul enregistrement SPF dans votre DNS. Plusieurs enregistrements SPF rendent votre configuration invalide. Tous les services doivent donc être inclus dans cet unique enregistrement.
• Maximum 10 consultations DNS par vérification SPF
  Une consultation DNS est une requête au système DNS pour récupérer des informations. Chaque fois que vous utilisez include, a, mx, exists ou redirect, cela compte comme une consultation. Le serveur de messagerie destinataire peut effectuer un maximum de 10 de ces requêtes pour vérifier votre enregistrement SPF.
• L'enregistrement SPF peut contenir un maximum de 255 caractères par ligne
  Pour des enregistrements plus longs, vous devez les diviser en plusieurs lignes.
• Avec plusieurs lignes : maximum 512 caractères au total
  C'est la limite absolue pour la longueur totale de votre enregistrement SPF.
• Maximum 2 consultations vides autorisées
  Une consultation vide est une requête DNS qui ne renvoie aucun résultat. Trop de consultations échouées rendent votre enregistrement SPF invalide.

Ces limites sont importantes lorsque vous utilisez plusieurs services. Chaque include compte comme une consultation DNS. Avec trop de consultations, la vérification SPF échoue.

Configurer SPF

Placez votre enregistrement SPF comme enregistrement TXT dans le DNS de votre domaine. Pour le domaine example.com, placez l'enregistrement directement sur example.com, pas sur un sous-domaine comme avec DMARC.

Vous utilisez plusieurs services email ? Ajoutez-les tous à un seul enregistrement SPF. Vous ne pouvez avoir qu'un seul enregistrement SPF par domaine.

Exemple avec plusieurs services :

      v=spf1 include:_spf.google.com include:zoho.eu -all

    

SPF chez Lettermint

Chez Lettermint, nous faisons les choses différemment. Nous utilisons une solution intelligente pour contourner les limites SPF connues : la méthode Return-Path. Au lieu de devoir ajouter include:_spf.lettermint.co à votre enregistrement SPF, nous appliquons une technique différente.

Comment fonctionne Return-Path ?

Lorsque Lettermint envoie un email au nom de votre domaine, nous utilisons un Return-Path spécial. C'est l'adresse où les messages d'erreur (rebonds) sont envoyés. En utilisant un Return-Path qui se termine par lettermint.co, le serveur de messagerie destinataire vérifie l'enregistrement SPF de Lettermint au lieu de celui de votre domaine.

Cela signifie que :

• Vous n'avez pas besoin d'ajouter un include pour Lettermint à votre enregistrement SPF
• Vous restez sous la limite de 10 consultations DNS
• Votre configuration SPF existante reste intacte
• Les emails sont toujours correctement authentifiés

Pourquoi cette approche ?

Beaucoup de nos clients utilisent plusieurs services email. En utilisant la méthode Return-Path, nous vous empêchons d'atteindre les limites SPF. Vous pouvez utiliser Lettermint aux côtés de Google Workspace, Microsoft 365 ou d'autres services sans vous soucier du nombre maximum de consultations DNS.

Lorsque vous ajoutez un domaine à Lettermint, nous vous demandons d'ajouter trois enregistrements DNS : DMARC, DKIM et un enregistrement de rebond. Ceux-ci fonctionnent ensemble avec notre configuration Return-Path pour assurer une authentification email appropriée, sans avoir à modifier votre enregistrement SPF.

Vérification SPF

Vérifiez ci-dessous si votre domaine a un SPF valide. Remarque : Lettermint utilise Return-Path pour l'authentification, donc il n'apparaîtra pas dans cette vérification.

Conclusion

SPF est un élément essentiel de la sécurité email. Il fonctionne avec DMARC pour protéger votre domaine contre les abus. Chez Lettermint, nous garantissons que votre configuration continue de fonctionner de manière optimale grâce à notre implémentation Return-Path, sans atteindre les limites techniques.

Un SPF correctement configuré (y compris via Return-Path) garantit que :

• Vos emails arrivent de manière fiable
• Les acteurs malveillants ne peuvent pas abuser de votre domaine
• Les serveurs de messagerie reconnaissent vos emails comme légitimes

Testez toujours votre SPF après la configuration avec notre vérificateur SPF. Ainsi, vous savez avec certitude que tout fonctionne correctement. Parce qu'en fin de compte, il s'agit d'une seule chose : que vos emails arrivent en toute sécurité là où ils doivent être.