| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| spf [2025/08/24 21:50] – seb | spf [2025/08/31 10:07] (Version actuelle) – [Variables] seb |
|---|
| |
| **SPF** (Sender Policy Framework) est une norme de vérification du nom de domaine de l'expéditeur d'email. | **SPF** (Sender Policy Framework) est une norme de vérification du nom de domaine de l'expéditeur d'email. |
| Il s'agit d'un enregistrement DNS de type TXT sans préfixe (à confirmer selon l'hébergeur), chaque valeur (majuscule ou minuscule, peut importe) est séparée par un espace. | Il s'agit d'un enregistrement DNS de type TXT sans préfixe (à confirmer selon l'hébergeur), chaque valeur (en majuscules ou en minuscules, peu importe) est séparée par un espace. |
| |
| __Exemple :__ | Le principe en exemple : |
| |
| ''v=spf1 MX A ∼all'' | * On envoie un email de **//expe@mondomaine.com//** à **//dest@hotmail.com//**, il y a toujours l'IP du serveur de mails dans les en-têtes |
| | * Le MTA Hotmail cherche un DNS SPF attribué à **//mondomaine.com//** |
| | * Si l'IP n'est pas listé dans le DNS, l'authenticité n'est pas prouvée (voir les qualifieurs pour la directive donnée en cas d'échec) |
| | |
| | Réaliser un enregistrement DNS SPF est donc très important pour la réputation d'un domaine. |
| |
| ===== Variables ===== | ===== Variables ===== |
| ^Variable ^Instructions ^Exemples| | ^Variable ^Instructions ^Exemples| |
| |''v=spf1''|Version du SPF (obligatoire)| | | |''v=spf1''|Version du SPF (obligatoire)| | |
| |''MX''|Indique si le domaine contient un enregistrement DNS de type MX| | | |''MX''|Le domaine du DNS MX courant est utilisé| | |
| |''A''|Indique si le domaine contient un enregistrement DNS de type A ou AAAA| | |''A''|Le domaine du DNS A ou AAAA courant est utilisé| |
| |''all''|Correspond toujours, quelque soit l'IP|(voir les qualifieurs, ex: ''∼all'' = toutes les IPs qui ne correspondent pas)| | |
| |''IP4''|Correspond à l'IP (ou à la plage d'IPs)|• ''ip4:12.22.58.0/14'' plage d'adresses IPs| | |''IP4''|Correspond à l'IP (ou à la plage d'IPs)|• ''ip4:12.22.58.0/14'' plage d'adresses IPs| |
| |:::|:::|• ''ip4:64.170.98.2/24 ip4:72.156.123.0'' plages d'IPS + une autre IP| | |:::|:::|• ''ip4:64.170.98.2/24 ip4:72.156.123.0'' plages d'IPS + une autre IP| |
| |IP6|Correspond à l'IP (ou à la plage d'IPs) en v6| | | |''IP6''|Correspond à l'IP (ou à la plage d'IPs) en v6| | |
| |EXISTS|Si le domaine existe, c'est à dire résolu d'une quelconque manière ; rarement utilisé| | |''EXISTS''|Si le domaine existe, c'est à dire résolu d'une quelconque manière ; rarement utilisé| |
| |INCLUDE|Si la règle incluse passe le test ; typiquement utilisé pour gérer les règles avec plusieurs FAI| | |''INCLUDE''|Si la règle incluse passe le test ; typiquement utilisé pour gérer les règles avec plusieurs FAI| |
| |PTR|Obsolète. Correspond si "forward-confirmed revese DNS"| | |''PTR''|Obsolète. Correspond si "forward-confirmed reverse DNS"| |
| | |''all''|Correspond toujours, quelque soit l'IP, toujours placé en dernier|(voir les mécanismes qualifieurs, ex: ''∼all'' = toutes les IPs qui ne correspondent pas)| |
| |
| ===== Qualifieurs ===== | ===== Mécanismes qualifieurs ===== |
| |
| |''+''|Pour résultat favorable. Peut être omis, "+mx" est équivalent "mx"| | |''+''|Pour résultat favorable. Peut être omis, ''+mx'' est équivalent ''mx''| |
| |''?''|Pour résultat neutre| | |''?''|Pour résultat neutre| |
| |''∼''|Léger échec (softfail). Intermédiaire entre neutre et échec ; pour débogage| | |''∼''|Léger échec (//softfail//). Intermédiaire entre neutre et échec ; pour déboggage| |
| |''-''|Échec réel, le mail doit être rejeté| | |''-''|Échec réel, le mail doit être rejeté| |
| |
| ''v=spf1 mx a ∼all'' | ''v=spf1 mx a ∼all'' |
| |
| **mondomaine.com** a bien un enregistrement DNS de type MX et un autre A ; accepter n'importe quelle IP mais marquer l'email comme ayant une erreur légère si l'IP expéditeur ne correspond pas. | Accepter les emails dont l'IP correspond à l'enregistrement DNS MX ou A, marquer les autres en erreur légère. C'est la valeur de base pour mettre place et tester le SPF. |
| |
| ''v=spf1 mx a ip4:64.170.98.2 -all'' | ''v=spf1 A MX ip4:64.170.98.2 -all'' |
| |
| **mondomaine.com** a bien un enregistrement DNS de type MX et un autre A ; accepter les emails venant de cette IP mais rejeter les autres. | Accepter les emails venant de cette IP, de l'IP dont l'enregistrement DNS A ou MX, mais rejeter les autres (meilleure sécurité). |
| | |
| | Donc si quelqu'un envoie un email en se faisant passer pour **mondomaine.com**, l'IP dans l'email ne correspondra pas et le MTA du destinataire n'acceptera pas l'email. |
| |
| ===== Ressources ===== | ===== Ressources ===== |
| | |
| | Pour aller plus loin : |
| |
| http://www.open-spf.org/SPF_Record_Syntax/ | http://www.open-spf.org/SPF_Record_Syntax/ |
