Qu’est-ce que le SPF ?

Le SPF, ou Sender Policy Framework (Cadre de politique de l’expéditeur), est une technique de validation d’e-mails qui vise à prévenir la falsification de l’adresse d’expéditeur dans les messages électroniques. Il agit comme une sorte de mécanisme d’autorisation en spécifiant les serveurs de messagerie autorisés à envoyer des e-mails au nom d’un domaine particulier.

Le fonctionnement du SPF repose sur l’ajout d’enregistrements DNS spéciaux au domaine de l’expéditeur. Ces enregistrements contiennent une liste des adresses IP des serveurs de messagerie autorisés à envoyer des e-mails au nom de ce domaine. Lorsqu’un serveur de messagerie reçoit un e-mail, il vérifie les enregistrements SPF du domaine de l’expéditeur. Si l’adresse IP de l’expéditeur n’est pas incluse dans les enregistrements SPF, l’e-mail peut être marqué comme suspect ou rejeté.

Le SPF renforce la lutte contre le spam, le phishing et les attaques de type « spoofing » en empêchant les cybercriminels de se faire passer pour des domaines légitimes. Cela aide également à améliorer la délivrabilité des e-mails légitimes, car les serveurs de réception sont plus enclins à accepter les messages provenant de serveurs authentifiés par SPF.

Cependant, le SPF ne crypte pas les e-mails ni ne garantit la sécurité des contenus. De plus, il ne résout pas tous les problèmes d’authentification des e-mails, ce qui a conduit à l’adoption d’autres normes comme DKIM et DMARC pour une protection plus complète contre les tentatives de manipulation des e-mails.

 

Comment fonctionne le SPF ?

Le SPF (Sender Policy Framework) est un mécanisme de validation des e-mails qui vise à prévenir la falsification de l’adresse d’expéditeur dans les messages électroniques. Voici comment fonctionne le SPF en quelques étapes clés :

1. Configuration DNS :
Le propriétaire du domaine (l’expéditeur) configure les enregistrements DNS de son domaine en ajoutant une entrée SPF. Cet enregistrement contient des informations sur les adresses IP des serveurs de messagerie autorisés à envoyer des e-mails au nom de ce domaine.

2. Envoi d’un e-mail :
Lorsqu’un serveur de messagerie reçoit un e-mail prétendant provenir d’un domaine spécifique, il vérifie les enregistrements SPF du domaine de l’expéditeur. Il récupère l’adresse IP de l’expéditeur à partir des en-têtes de l’e-mail.

3. Validation SPF :
Le serveur de réception vérifie si l’adresse IP de l’expéditeur est répertoriée dans les enregistrements SPF du domaine de l’expéditeur. Si l’adresse IP correspond à une adresse IP autorisée, le message est considéré comme valide. Sinon, il peut être rejeté ou classé comme suspect.

4. Actions en fonction du résultat :
Selon le résultat de la validation SPF, le serveur de réception peut prendre différentes mesures. Si l’adresse IP est autorisée, l’e-mail peut être accepté et livré à la boîte de réception du destinataire. Si l’adresse IP n’est pas autorisée, le serveur peut marquer l’e-mail comme spam ou le rejeter.

Le SPF améliore la sécurité en empêchant les cybercriminels de prétendre être d’un domaine légitime pour envoyer des e-mails malveillants. Cependant, le SPF ne garantit pas à lui seul l’authenticité ou l’intégrité de l’e-mail. D’autres mécanismes, tels que DKIM et DMARC, peuvent être utilisés conjointement avec le SPF pour une protection plus complète contre les attaques d’usurpation d’identité et de phishing.

 

Comment est composé un champ SPF ?

Un champ SPF (Sender Policy Framework) est une entrée DNS spécifique ajoutée au domaine de l’expéditeur pour spécifier les serveurs de messagerie autorisés à envoyer des e-mails en son nom. Un champ SPF est généralement sous forme de texte (enregistrement DNS TXT) et suit une syntaxe spécifique. Voici comment est généralement composé un champ SPF :

 

Déclaration SPF :

Un champ SPF commence par la déclaration « v=spf1 ». Cette partie indique la version de la spécification SPF utilisée. Actuellement, « spf1 » est la seule version utilisée.

Mécanismes :

Les mécanismes SPF spécifient les règles pour déterminer si une adresse IP est autorisée à envoyer des e-mails au nom du domaine. Les mécanismes courants sont :

 

Mécanisme Description Exemple
« a » Autorise les adresses IP des enregistrements A du domaine. « v=spf1 a mx -all »
« mx » Autorise les adresses IP des enregistrements MX du domaine. « v=spf1 mx -all »
« ip4 » Autorise des adresses IPv4 spécifiques. « v=spf1 ip4:192.168.1.1 -all »
« ip6 » Autorise des adresses IPv6 spécifiques. « v=spf1 ip6:2001:db8::1 -all »
« include » Inclut d’autres domaines SPF pour les règles. « v=spf1 include:_spf.example.com -all »
« all » Spécifie l’action par défaut pour toutes les autres adresses IP. « v=spf1 mx -all »
« redirect » Redirige vers un autre domaine SPF. « v=spf1 redirect=_spf.example.com »
« exp » Utilisé pour afficher un texte explicatif. « v=spf1 exp=This is an example »

 

Qualificateurs :

Les qualificateurs sont utilisés pour indiquer comment le résultat du mécanisme doit être interprété. Les qualificateurs courants sont :

 

Qualificateur Description Exemple
« + » Autorise l’envoi depuis l’adresse IP spécifiée. « v=spf1 ip4:192.168.1.1 +all »
« -«  Interdit l’envoi depuis l’adresse IP spécifiée. « v=spf1 ip4:192.168.1.1 -all »
« ~ » Indique que l’envoi est autorisé, mais peut être marqué comme suspect. « v=spf1 ip4:192.168.1.1 ~all »
« ? » Indique que le résultat est neutre (ni autorisé ni interdit). « v=spf1 ip4:192.168.1.1 ?all »
«  » Utilisé pour spécifier l’action par défaut. « v=spf1 ip4:192.168.1.1 »

 

Mécanismes spéciaux :

En plus des mécanismes et des qualificateurs, des mécanismes spéciaux comme « redirect » (redirige vers un autre domaine SPF) et « exp » (utilisé pour afficher un texte explicatif) peuvent être utilisés.

Un exemple de champ SPF pourrait ressembler à ceci :

v=spf1 ip4:xxx.xxx.xxx.xxx include:fournisseur.host.com mx -all