Ceci est une ancienne révision du document !
Table des matières
SPF
Préambule
SPF (Sender Policy Framework) est une norme de vérification du nom de domaine de l'expéditeur d'email. Il s'agit d'un enregistrement DNS de type TXT sans préfixe (à confirmer selon l'hébergeur), chaque valeur (en majuscules ou en minuscules, peu importe) est séparée par un espace.
Le principe en exemple :
- On envoie un email de expe@mondomaine.com à dest@hotmail.com, il y a toujours l'IP du serveur de mails dans les en-têtes
- Le MTA Hotmail cherche un DNS SPF attribué à mondomaine.com
- Si l'IP n'est pas listé dans le DNS, l'authenticité n'est pas prouvée (voir les qualifieurs pour la directive donnée en cas d'échec)
Réaliser un enregistrement DNS SPF est donc très important pour la réputation d'un domaine.
Variables
| Variable | Instructions | Exemples |
|---|---|---|
v=spf1 | Version du SPF (obligatoire) | |
MX | Le domaine du DNS MX courant est utilisé | |
A | Le domaine du DNS A ou AAAA courant est utilisé | |
IP4 | Correspond à l'IP (ou à la plage d'IPs) | • ip4:12.22.58.0/14 plage d'adresses IPs |
• ip4:64.170.98.2/24 ip4:72.156.123.0 plages d'IPS + une autre IP |
||
IP6 | Correspond à l'IP (ou à la plage d'IPs) en v6 | |
EXISTS | Si le domaine existe, c'est à dire résolu d'une quelconque manière ; rarement utilisé | |
INCLUDE | Si la règle incluse passe le test ; typiquement utilisé pour gérer les règles avec plusieurs FAI | |
PTR | Obsolète. Correspond si “forward-confirmed reverse DNS“ | |
all | Correspond toujours, quelque soit l'IP | (voir les mécanismes qualifieurs, ex: ∼all = toutes les IPs qui ne correspondent pas) |
Mécanismes qualifieurs
+ | Pour résultat favorable. Peut être omis, ”+mx” est équivalent “mx” |
? | Pour résultat neutre |
∼ | Léger échec (softfail). Intermédiaire entre neutre et échec ; pour débogage |
- | Échec réel, le mail doit être rejeté |
Exemples
v=spf1 mx a ∼all
Accepter les emails dont l'IP correspond à l'enregistrement DNS MX ou A, marquer les autres en erreur légère. C'est la valeur de base pour mettre place et tester le SPF.
v=spf1 A MX ip4:64.170.98.2 -all
Accepter les emails venant de cette IP, de l'IP dont l'enregistrement DNS A ou MX, mais rejeter les autres (meilleure sécurité).
Donc si quelqu'un envoie un email en se faisant passer pour mondomaine.com, l'IP dans l'email ne correspondra pas et le MTA du destinataire n'acceptera pas l'email.
Ressources
Pour aller plus loin :