Ceci est une ancienne révision du document !
Table des matières
SPF
Préambule
SPF (Sender Policy Framework) est une norme de vérification du nom de domaine de l'expéditeur d'email. Il s'agit d'un enregistrement DNS de type TXT sans préfixe (à confirmer selon l'hébergeur), chaque valeur (en majuscules ou en minuscules, peu importe) est séparée par un espace.
Le principe en exemple :
- On envoie un email de expe@mondomaine.com à dest@hotmail.com, il y a toujours l'IP du serveur de mails dans les en-têtes
- Le MTA Hotmail cherche un DNS SPF attribué à mondomaine.com
- Si l'IP n'est pas listé dans le DNS, l'authenticité n'est pas prouvée (voir les qualifieurs pour la directive donnée en cas d'échec)
Variables
| Variable | Instructions | Exemples |
|---|---|---|
v=spf1 | Version du SPF (obligatoire) | |
MX | Indique si le domaine contient un enregistrement DNS de type MX | |
A | Indique si le domaine contient un enregistrement DNS de type A ou AAAA | |
all | Correspond toujours, quelque soit l'IP | (voir les qualifieurs, ex: ∼all = toutes les IPs qui ne correspondent pas) |
IP4 | Correspond à l'IP (ou à la plage d'IPs) | • ip4:12.22.58.0/14 plage d'adresses IPs |
• ip4:64.170.98.2/24 ip4:72.156.123.0 plages d'IPS + une autre IP |
||
IP6 | Correspond à l'IP (ou à la plage d'IPs) en v6 | |
EXISTS | Si le domaine existe, c'est à dire résolu d'une quelconque manière ; rarement utilisé | |
INCLUDE | Si la règle incluse passe le test ; typiquement utilisé pour gérer les règles avec plusieurs FAI | |
PTR | Obsolète. Correspond si “forward-confirmed reverse DNS“ |
Qualifieurs
+ | Pour résultat favorable. Peut être omis, ”+mx” est équivalent “mx” |
? | Pour résultat neutre |
∼ | Léger échec (softfail). Intermédiaire entre neutre et échec ; pour débogage |
- | Échec réel, le mail doit être rejeté |
Exemples
v=spf1 mx a ∼all
mondomaine.com a bien un enregistrement DNS de type MX et un autre A ; accepter n'importe quelle IP mais marquer l'email comme ayant une erreur légère si l'IP expéditeur ne correspond pas.
v=spf1 mx a ip4:64.170.98.2 -all
mondomaine.com a bien un enregistrement DNS de type MX et un autre A ; accepter les emails venant de cette IP mais rejeter les autres. Donc si quelqu'un envoie un email en se faisant passer pour mondomaine.com, l'IP dans l'email ne correspondra pas et le MTA du destinataire n'acceptera pas l'email.
Ressources
Pour aller plus loin :