SPF

L'usurpation (spoofing) est un problème majeur qui gagne en ampleur à chaque année. Une des nombreuses solutions à ce problème est l'adoption d'un enregistrement SPF. Lisez la suite pour en savoir plus sur le problème de l'usurpation d'identité et une brève introduction à SPF.


DANS CET ARTICLE
Le problème de l'usurpation Sender Policy Framework (SPF)
Rejets SPF Ressources

Le problème de l'usurpation

L'usurpation de courriels est une activité frauduleuse dans laquelle l'expéditeur (c.-à-d. le spammeur) envoit un courriel en se faisant passer comme quelqu'un d'autre. Plus concrètement, l'envoi SMTP est fait avec une adresse à partir d'un serveur qui n'appartient pas à cette compagnie. 

Souvent, les utilisateurs prennent connaissance de cette technique quand ils reçoivent un courriel qui leur est vraisemblablement envoyé par eux-meme! Malheureusement, l'usurpation devient un problème de plus en plus commun avec des conséquences durables pour le propriétaire du domaine ou de l'adresse usurpé.

La première victime d'une campagne d'usurpation sera la réputation de votre domaine : si vous recevez des spams envoyés par vous-même, vous pouvez être certains que d'autres reçoivent également ces types de courriels. Ce n'est évidemment pas une bonne chose. 

La deuxième conséquence peut être plus nuisible : parmi les serveurs recevant ces messages qui vous usurpent, certains utilisent des solutions de filtrage qui classifieront ces courriels comme spam. Ces serveurs peuvent ensuite rejetter les courriels. Ces messages de rejet vous seront envoyés et pourraient nuire à vos opérations tout dépendant du volume. Si la campagne de spam est assez massive, votre serveur se trouvera inondé de messages de rejet, même s'il n'est pas la source d'envoi de ces courriels. Heureusement, il existe une solution qui peut aider à protéger votre domaine contre l'usurpation : la publication d'un enregistrement SPF.

Sender Policy Framework (SPF)

Le SPF est un système de validation de courrier électronique ouvert conçu pour empêcher l'usurpation d'adresses courriel. Le protocole SPFv1 a été reconnu par l'IETF (Internet Engineering Task Force) et publié pour la première fois dans la RFC 4408 en 2004. La technologie a été officialisée en 2016 avec la RFC 7208.

SPFv1 permet au propriétaire d’un nom de domaine de définir quels serveurs sont autorisés à envoyer des courriel pour ce nom de domaine via l’utilisation d’enregistrements DNS.

La protection offerte par le SPF se fait en deux parties :

  • Par le propriétaire d'un domaine qui publie un enregistrement SPF pour son domaine.
  • Par l'administrateur d'un serveur de messagerie qui effectue les vérifications SPF

Lorsqu'un message provient d'un domaine protégé par un enregistrement SPF, s'il n'est pas envoyé par un serveur spécifié dans l'enregistrement, le serveur du destinataire devrait le rejetter. 

Vous protégez votre domaine en publiant un enregistrement SPF car les courriels usurpant votre domaine ne seront plus acceptés par les destinataires qui font des vérifications SPF. 

Exemple

Bob possède le nom de domaine "example.net" et envoit ses courriel avec son serveur "pluto.example.net" ainsi qu'avec son compte Hotmail. Afin de se protéger contre les usurpations, il décide de publier l'enregistrement suivant :

example.net. TXT “v=spf1 mx a:pluto.example.net include:gmail.com –all”

Ce qui signifie :

  • v=spf1 : SPF version 1.
  • mx : Les serveurs qui reçoivent les courriels pour example.net (cad. : ses enregistrements MX) sont autorisés à envoyer des courriels.
  • a:pluto.example.net : Le serveur "pluto.example.net" est autorisé.
  • include:hotmail.com : Les serveurs de Hotmail sont également autorisés. Ils sont inclus en vérifiant l'enregistrement SPF pour ledomaine "hotmail.com".
  • -all : Aucun autre serveur n'est autorisé à envoyer des courriels au nom de example.net.

Rejets SPF

En bout de compte, les enregistrements SPF existent afin de bloquer les courriels usurpés. Les rejets ne se produisent que si l'enregistrement SPF est correctement configuré. Pour vous assurer que les courriels usurpés sont rejetés, l'enregistrement SPF doit être configuré avec le mécanisme -all  

Étant donné que les vérifications SPF sont effectuées pendant la transaction SMTP, les courriels usurpés seront rejetés et une Notification De Rejet (NDR). Afin d'aider à diagnostiquer les erreurs SPF, nos messages d'erreur incluent une page de diagnostic utile. Vous pouvez voir un exemple de page de diagnostic ici : http://www.openspf.org/Why?s=mfrom&id=example%40orange.com&ip=1.2.3.4&r=example%40potato.com

La page de diagnostique SPF donne un contexte pour vous aider à comprendre l'origine de l'erreur SPF et les solutions possibles au problème. Il est important de se rappeler que cette page est dynamique: si le problème a été corrigé, la page ne sera plus pertinente.

Ressources

Notre équipe se fera un plaisir de vous aider à publier un enregistrement SPF complet et valide.

Ceci a-t-il répondu à votre question? Merci d'avoir partagé vos commentaires! Une erreur est survenue lors du traitement de votre requête. Veuillez réessayer un peu plus tard.